INTRODUCCION

CAPITULO I

MARCO TEORICO
 1. ESTÁNDARES INTERNACIONALES

Los estándares internacionales son producto de diferentes organizaciones, algunas para uso
interno solo, otras para uso por grupos de gente, grupos de compañías, o una subsección de una
industria. Un problema surge cuando diferentes grupos se reúnen, cada uno con una amplia base
de usuarios haciendo alguna cosa bien establecida que entre ellos es mutuamente incompatible.
Establecer estándares internacionales es una manera de prevenir o superar este problema.

Hay muchas organizaciones de estandarización nacional y regional, pero las tres organizaciones
internacionales que tienen el mayor reconocimiento internacional son la Organización
Internacional para la Estandarización (ISO), la Comisión Electrotécnica Internacional (IEC), y
la Unión Internacional de Telecomunicaciones (ITU). Las tres han existido durante más de 50
años (fundadas en 1947, 1906, y 1865, respectivamente) y tienen todas su sede en Ginebra,
Suiza. Han establecido decenas de miles de estándares que cubren casi cualquier tema
concebible. Muchos de estos han sido adoptados mundialmente reemplazando varios estándares
propios incompatibles. Muchos de estos estándares han evolucionado naturalmente de esos
diseñados internamente en una industria, o por un país particular, mientras otros han sido
creados desde cero por grupos de expertos que se reúnen en varios comités técnicos.

1.1. METODOLOGÍAS Y NORMAS MÁS USADAS.

Las infraestructuras de las TI son el cimiento de los servicios del negocio. Soportando los
servicios TIC que se ofrecen a las organizaciones. A su vez estos servicios TIC deben estar
apoyados por procesos de gestión de servicios, de forma que se garantice su entrega y calidad.

Se muestra una figura que esquematiza este escenario.

SERVICIO DE NEGOCIO
 INFORMACION
……………………………
……
……………………………
…….
SERVICIOS TIC
PROCESO DE
GESTION DE
SERVICIO

INFRAESTRUCTURA TIC

Figura 1.- Diagrama de gestión de servicios en las TIC.

A. ¿QUE ES ITIL?

Lo primero que se debe aclarar es que ITIL no es ni una metodología, ni una norma,
Sencillamente es un compendio de buenas prácticas.

ITIL ( Technology Infrastructure Library). Es un estándar de facto que Proporciona un

marco de trabajo configurable, basado en un compendio de buenas prácticas, sintetizadas en
una serie de procesos consistentes, coherentes y entendibles para la gestión de servicios de
las TI. Seguidamente se describen sus características más importantes:

 Estándar de facto: ITIL comenzó como un conjunto de procesos que utilizaba el

gobierno del Reino Unido para mejorar la gestión de los servicios TI. Posteriormente
ha sido adoptado por la industria como base de una gestión satisfactoria de los
servicios TI, proporcionando un lenguaje común a la hora de la gestión de dichos
servicios.
 Marco de trabajo configurable: ITIL es un marco de trabajo, que describe las
fronteras de la gestión de servicio en las organizaciones. Los procesos de ITIL son
pensados para ser implantados de tal manera que apoyen pero no dicten los procesos
de negocio de las organizaciones, son sólo directrices que permiten a las empresas
moldear sus procesos para que se ajusten a sus propios requisitos empresariales
 Compendio de buenas prácticas: Realmente es una colección de libros que reúnen
una serie de mejores prácticas de la industria en materia de gestión de servicios de
las TI.
 Sintetizadas en una serie de procesos: La gestión de los servicios se basa en
procesos comunes, roles y actividades, con unos objetivos y una referencia de
comunicación entre ellos bien establecida, buscando siempre la mayor calidad en el
servicio y su justificación en costo.
 Gestión de servicios: Es el objetivo final de ITIL, realizar una provisión y soporte de
servicios de alta calidad.
 El siguiente esquema muestra esta relación entre los procesos de ITIL y la gestión de
servicios en las TI.

ITIL
PROCESO

GESTION
ITIL DE ITIL
PROCESO SERVICIOS PROCESOS
DE LAS TI

ITIL
PROCESOS

Figura 2: Diagrama de gestión de servicios en ITIL.

B. CMMi.

Capability Maturity Model Integration (CMMi) es un modelo para la mejora de procesos

que proporciona a las organizaciones los elementos esenciales para procesos eficaces.

Las mejores prácticas CMMi se publican en los documentos llamados modelos.

La versión actual de CMMi es la versión 1.2. Hay tres constelaciones de la versión1.2

disponible:

 CMMi para el Desarrollo (CMMi-DEV o CMMi for Development) Versión 1.2 fue
liberado en agosto de 2006. En él se tratan procesos de desarrollo de productos y
servicios.
 CMMi para la Adquisición (CMMi-ACQ o CMMi for Acquisition) Versión 1.2 fue
liberado en noviembre de 2007.
 CMMi para Servicios (CMMi-SVC o CMMi for Services) está diseñado para cubrir
todas las actividades que requieren gestionar, establecer y entregar servicios.

C. COBIT.

Como respuesta a las necesidades planteadas en los entornos de las TI, el marco de trabajo
COBIT se creó con las características principales de ser orientado a negocios y procesos,
basado en controles e impulsado por mediciones.
COBIT e ITIL no son mutuamente excluyentes y pueden ser combinados para proporcionar
un sólido marco de trabajo de gobierno, de control y mejores prácticas en gestión de
servicios TI. Las empresas que deseen ampliar su marco de control y gobierno de las TI
deberían utilizar COBIT [GAR02].

1.1 ORGANIZACIÓN INTERNACIONAL PARA LA ESTANDARIZACIÓN

La Organización Internacional de Normalización o ISO (del griego, ἴσος (isos), 'igual'),

nacida tras la Segunda Guerra Mundial (23 de febrero de 1947), es el organismo encargado
de promover el desarrollo de normas internacionales de fabricación, comercio y
comunicación para todas las ramas industriales a excepción de la eléctrica y la electrónica.
Su función principal es la de buscar la estandarización de normas de productos y seguridad
para las empresas u organizaciones a nivel internacional.

La ISO es una red de los institutos de normas nacionales de 162 países, sobre la base de un
miembro por país, con una Secretaría Central en Ginebra (Suiza) que coordina el sistema.
La Organización Internacional de Normalización (ISO), con sede en Ginebra, está
compuesta por delegaciones gubernamentales y no gubernamentales subdivididos en una
serie de subcomités encargados de desarrollar las guías que contribuirán al mejoramiento
ambiental.

Las normas desarrolladas por ISO son voluntarias, comprendiendo que ISO es un
organismo no gubernamental y no depende de ningún otro organismo internacional, por lo
tanto, no tiene autoridad para imponer sus normas a ningún país.

Está compuesta por representantes de los organismos de normalización (ON) nacionales,

que produce normas internacionales industriales y comerciales. Dichas normas se conocen
como normas ISO y su finalidad es la coordinación de las normas nacionales, en
consonancia con el Acta Final de la Organización Mundial del Comercio, con el propósito
de facilitar el comercio, el intercambio de información y contribuir con normas comunes al
desarrollo y a la transferencia de tecnologías.

 MISIÓN

Promover el desarrollo de la estandarización y las actividades relacionadas con ella en todo

el mundo.

 PRINCIPIOS

La Organización Internacional para la Estandarización señala que sus estándares son

producidos de acuerdo a los siguientes principios:

- Consenso: Se respeta las opiniones de todos, por lo que son tomados en cuenta los
puntos de vistas de todos los interesados: fabricantes, vendedores, usuarios, grupos
de consumidores, laboratorios de análisis, gobiernos, especialistas y organizaciones
de investigación.
- Aplicación Industrial Global: Se brinda soluciones globales para satisfacer a
las industrias y a los clientes en todo el mundo.
 - Voluntario: La estandarización internacional es conducida por el mercado y por
consiguiente es de carácter voluntario por parte de todos los interesados del mercado.

Algunos estándares son los siguientes: 

ISO ESTANDARIZACION
ISO 216 Medidas de papel: ISO A4 
ISO 639 Nombres de lenguas 
ISO 690:1987 Regula las citas bibliográficas (corresponde a la norma UNE 50104:1994) 
ISO 690-2:1997 Regula las citas bibliográficas de documentos electrónicos 
ISO 732 Formato de carrete de 120 
ISO 838 Estándar para perforadoras de papel 
ISO 1007 Formato de carrete de 135 
ISO/IEC 1539-1 Lenguaje de programación Fortran 
ISO 3029 Formato carrete de 126 
ISO 3166 códigos de países 
ISO 4217 códigos de divisas 
ISO 7811 Técnica de grabación en tarjetas de identificación 
ISO 8601 Representación del tiempo y la fecha. Adoptado en Internet mediante el
Date and Time Formats de W3C que utiliza UTC 
ISO 8859 codificaciones de caracteres que incluye ASCII como un subconjunto (Uno
de ellos es el ISO 8859-1, que permite codificar las lenguas originales de
Europa occidental, como el español) 
ISO/IEC Lenguaje de programación Ada 
8652:1995
ISO 9000 Sistemas de Gestión de la Calidad – Fundamentos y vocabulario 
ISO 9001 Sistemas de Gestión de la Calidad – Requisitos 
ISO 9004 Sistemas de Gestión de la Calidad – Directrices para la mejora del
desempeño 
ISO 9660 Sistema de archivos de CD-ROM 
ISO 9899 Lenguaje de programación C 
ISO 10279 Lenguaje de programación BASIC 
ISO 10646 Universal Character Set 
ISO/IEC 11172 MPEG-1 
ISO/IEC 12207 Tecnología de la información / Ciclo de vida del software 
ISO 13450 Formato de carrete de 110 
ISO/IEC 13818 MPEG-2 
ISO 14000 Estándares de Gestión Medioambiental en entornos de producción 
ISO/IEC 14496 MPEG-4 
ISO/IEC 15444 JPEG 2000 
ISO 15693 Estándar para «tarjetas de vecindad
ISO 26300 Open Document 
ISO/IEC 17025 Requisitos generales relativos a la competencia de los laboratorios de
ensayo y calibración 
ISO/IEC 26300 Open Document Format (.odf) 
ISO/IEC 27001 Sistema de Gestión de Seguridad de la Información 
ISO/IEC 20000 Tecnología de la información. Gestión del servicio 
ISO 32000 Formato de Documento Portátil (.pdf) 
ISO/IEC 17025 Garantía contra todo tipo de fallos en la grabación de discos compactos,
excepto problemas de compatibilidad.

A. TECNOLOGÍAS DE INFORMACIÓN

La Tecnología de Información es un dispositivo para transmitir, manipular, analizar o

explotar información, en el cual una computadora digital procesa información integral a
comunicaciones de usuarios y tareas de decisión (Huber 1990).

La IT Governance Institute define un servicio de tecnología de información es una

provisión diaria de aplicaciones de tecnología de información y soporte para su uso,
incluyendo help desk, provisión y movimiento de equipos, y autorizaciones de seguridad.
Además define una aplicación de tecnología de información como una funcionalidad
electrónica que congrega partes de procesos de negocio con soporte de tecnología de
información (ITGI 2008).

Al realizar un compilado en los conceptos mencionados, podemos definir a una tecnología

de información como un servicio relacionado que se usa en la organización para el logro de
sus objetivos de negocio, tanto dentro de ella como en sus actividades de interrelaciones con
otras organizaciones.

También podemos decir que son los sistemas de información (sistemas que soportan
procesos relacionados al manejo de la información en las organizaciones), el hardware de
computadoras, redes y comunicaciones, así como el software de base (sistemas operativos,
servidores proxy, manejadores de bases de datos, servidores web, etc.)

B. GOBIERNO DE TECNOLOGÍAS DE INFORMACIÓN

Responsabilidad del comité de dirección y de los ejecutivos. Es una parte integral del
gobierno de la organización y consiste en el liderazgo y las estructuras y procesos
organizativos que aseguran que las Tecnologías de Información de la organización
sostienen y extienden la estrategia y los objetivos de la organización (ITGI 2003).

Figura 3: Beneficios más

destacados de un Gobierno de TI (ISACA 2010)

La gestión de las Tecnologías de la Información está más orientada al abastecimiento

interno de TI y con una ubicación temporal en el presente, el Gobierno de las Tecnologías
de Información es más amplio ya que además pretende atender las demandas externas (de
los clientes) y en un espacio temporal futuro. Así, la gestión se concentraría en administrar
e implementar las estrategias en el día a día, mientras que el gobierno se encargaría de
establecer dichas estrategias junto con la política y la cultura de la organización.

Cabe resaltar, añadiendo a lo expuesto anteriormente, que Allen define Gobierno de

Tecnologías de Información como la acción de “fijar expectativas claras para la conducta
(comportamiento y acciones) de la entidad que está siendo gobernada, y dirigir, controlar e
influenciar fuertemente dicha entidad para cumplir estas expectativas” (Allen 2005).

El Gobierno de Tecnologías de Información tiene como objetivo principal llevar a cabo

proyectos de implementación y uso de Tecnologías de Información y/o Comunicaciones
como soporte a las actividades críticas y que de algún modo le brinde a la Alta Dirección la
garantía de que la infraestructura tecnológica que tiene la organización va a permitir lograr
los objetivos de negocio.

Es una estructura de relaciones y procesos que brinda dirección a la empresa para lograr los
objetivos de negocios con una adecuada implementación de los procesos de TI en su
interior, haciendo que las inversiones en TI retornen valor, logrando gestionar
adecuadamente los riesgos de TI, entre otras metas.

Entrega de
valor de TI

Alineamiento Gerencia de
estratégico riesgos

Medición de
desempeño

Figura 4: Estructura de relaciones en el Gobierno de TI

Definiendo cada uno de estos aspectos de esta manera (Tupia 2011):

 Alineación estratégica: alinear la tecnología a los objetivos organizacionales, para

que respondan como reales soportes.
 Gestión de riesgos: el uso de TICs trae consigo una serie de riesgos a los procesos
en donde están brindando soporte. La gestión de riesgos permitirá identificarlos,
manejarlos y reducir el impacto que presentarían sobre los procesos mismos y los
activos de información involucrados.
 Entrega de valor: optimizar las inversiones de TI.
 Medición del desempeño: monitorear los proyectos, procesos y la función misma
de TI, evaluando su idoneidad – en relación con los objetivos de negocio – con
métricas pertinentes

Con lo desarrollado anteriormente, podemos concluir que el Gobierno de Tecnologías de

Información institucionaliza las buenas prácticas para asegurar que la TI respalda los
objetivos del negocio. Con los mismos fines existen muchas buenas prácticas
internacionales que ayudarán a la organización a dirigir aspectos específicos sobre
estrategia, entrega de valor, prestación de servicios, gestión de riesgos y seguridad de
información.

C. CONCEPTOS DE SEGURIDAD

A continuación se presentará los conceptos relacionados a Seguridad como son: activo,

seguridad de la información, amenaza y vulnerabilidad.

 Activo

Elemento impreso o digital que contenga información, así como todo sistema
conformado por software, hardware y su documentación pertinente - que cree, maneje y
procese información para una organización; también se puede incluir a la infraestructura
tecnológica donde se desenvuelven dichos sistemas. Se considera activo esté o no
registrado contablemente (Tupia 2010: 21)

 Seguridad de la Información

La ISO/IEC 27000:2009 define la Seguridad de Información como la preservación de la

confidencialidad, integridad y disponibilidad de la información; además, otras
propiedades como autenticidad, responsabilidad, no repudio y fiabilidad pueden ser
también consideradas. (ISO 2009).

También amplia el concepto añadiendo que es la protección de la información de un

rango amplio de amenazas para poder asegurar la continuidad del negocio, minimizar el
riesgo comercial y maximizar el retorno de las inversiones y las oportunidades
comerciales.

Es necesario entender también a la Seguridad de Información como el conjunto de

procesos y actividades que permiten mantener libre de peligros y daños por accidente o
ataque a los activos de información que forman parte de una organización
(BOSWORTH, KABAY y WHYNE 2002).

Muy importante es diferenciar seguridad de tecnologías de información y la seguridad de

información: la seguridad de TI se encarga en particular, de la protección tecnológica y
es administrada desde un nivel operativo por las áreas de sistemas de la mayoría de
empresas.

La seguridad de información va más allá ocupándose de riesgos, beneficios, buen uso,

procesos y actividades involucradas con la información y los activos relacionados a ella,
impulsados por la Alta Dirección empresarial (Tupia 2010: 21).

 Amenaza

Una causa potencial de un incidente no-deseado. El cual puede resultar en daño a un

sistema u organización (ISO 2004).
Son todas las actividades, eventos o circunstancias que puedan afectar el buen uso de un
activo de información dañándola y no permitiendo que brinde soporte a algún proceso,
perjudicando directamente la consecución de los objetivos de negocio (Tupia 2010)

Figura 5: Tipos de amenaza

 Vulnerabilidad

La debilidad de un activo o grupos de activos que puede ser explotada por una o más
amenazas. (ISO 2004).

Es una característica inherente al activo de información, siendo el grado de

susceptibilidad a verse afectado por una amenaza. Los activos deben ser sometidos a
pruebas para comprobar la presencia de vulnerabilidad en ellos y medir su gravedad.

Existen herramientas (software) que permiten diagnosticar y observar de forma detallada

los activos para así detectar las vulnerabilidades. Esta actividad es conocida por ser
hecha por peritos en materia de seguridad.
Se puede imputar a la ausencia de controles o a su deficiente establecimiento como las
principales causas de vulnerabilidad sobre los activos de información (Tupia 2010).

1.1.1. ISO 27001 SISTEMA DE GESTION DE SEGURIDAD DE LA

INFORMACION

La tendencia hacia un mercado global y sus correspondientes desafíos hace que muchas
organizaciones, especialmente sus sistemas de información y redes de trabajo, se vean
enfrentadas a continuas amenazas de seguridad.

Uno de los mayores desafíos de las empresas actuales (independientemente de su

tamaño o sector) es la implantación de Sistemas de Gestión de Seguridad de la
Información (SGSI´s) que garantice que el principal activo de cualquier empresa, la
INFORMACIÓN, se encuentra protegido.

La definición de procedimientos y controles es uno de los factores fundamentales a la

hora de establecer un SGSI, podemos decir que los pilares básicos sobre los que se
apoya la norma ISO 27001 son:

 Establecimiento de una política, un alcance y unos objetivos para la seguridad de la

información.
  Elaboración de un análisis de riesgos proporcionado a la naturaleza y valoración de
los activos y de los riesgos a los que los activos están expuestos.
 Selección de los controles adecuados, de acuerdo con los objetivos que se
pretenden obtener con los mismos, justificando la selección.
 Seguimiento y revisión de la eficiencia del SGSI.
 Mejora continua.

a. ISO 27001 y 27002

Se refiere a las normas internacionales del International Organization for Standardization

(ISO). Pertenecen a la familia de normas ISO 27001. Recientemente han sido
actualizadas a una nueva versión: ISO/IEC 27001:2013 e ISO/IEC 27002:2013.

El objetivo de la ISO 27001 es que la empresa sea capaz de priorizar y seleccionar

controles en base a sus posibilidades y a sus necesidades/riesgos de seguridad. Es que los
riesgos se analicen y se gestionen, que la seguridad se planifique, se implemente y, sobre
todo, se revise y se corrija y mejore.

La ISO 27001 se ha modificado para adaptarse a la nueva estructura de alto nivel

utilizado en todas las normas de Sistemas de Gestión, lo que simplifica su integración
con otros sistemas de gestión.

La ISO 27002 es una guía para, en distintos ámbitos, conocer qué se puede hacer para
mejorar la seguridad de la información. Expone, en distintos campos, una serie de
apartados a tratar en relación a la seguridad, los objetivos de seguridad a perseguir, una
serie de consideraciones (controles) a tener en cuenta para cada objetivo y un conjunto
de "sugerencias" para cada uno de esos controles. Sin embargo, la propia norma ya
indica que no existe ningún tipo de priorización entre controles, y que las "sugerencias"
que realiza no tienen por qué ser ni siquiera convenientes, en función del caso en
cuestión.

La ISO 27002 es en esencia una guía que describe los objetivos de control y los
controles recomendables en cuanto a seguridad de la información en las organizaciones.
b. NTP 27001

Norma Técnica Peruana NTP-ISO/IEC 27001:2008 que especifica los requisitos para el
establecimiento, implantación, la puesta en funcionamiento, control, revisión,
mantenimiento y mejoramiento de un sistema de Gestión de Seguridad de la Información
de una organización.

Adopta la aplicación de un sistema de procesos dentro de una organización, junto con la

identificación y la interacción de estos procesos, así como su gestión, adoptando el
modelo “Plan-Do-Check-Act”, que se aplica para estructurar todos los procesos del
Sistema de Gestión de Seguridad de la Información. Este proceso requiere.

Establecer el SGSI Implementar y

operar el SGSI

Plan Do

Act Check
Mantener y mejorar Monitorear y revisar
el SGSI el SGSI

Figura 9: Plan-Do-Check-Act para NTP 27001

 Establecer el SGSI: crear política, objetivos, procesos y procedimiento SGSI

relevantes para manejar el riesgo y mejorar la seguridad de la información para
entregar resultados en correspondencia con las políticas y objetivos generales de la
organización.
  Implementar y operar el SGSI: Implementar y manejar la política, controles y
procedimientos SGSI.
 Monitorear y revisar el SGSI: Evaluar y, donde sea aplicable calcular el
desempeño del proceso en comparación con la política, objetivos y experiencias
prácticas SGSI y reportar los resultados a la gerencia para revisión.
 Mantener y mejorar SGSI: Tomar acciones correctivas y preventivas,
establecidas u otra información relevante, para lograr el mejoramiento continuo del
SGSI.

c. NTP 17799

Norma Técnica Peruana elaborada por el comité Técnico de Normalización de

codificación e Intercambio Electrónico de Datos (EDI) en el año 2006, siendo
oficializada al año siguiente. Es una adopción de la Norma ISO/IEC 17799:2007.

La NTP 17799:2007 tiene como finalidad proporcionar una base común en el desarrollo
de normas de seguridad en las organizaciones y ser una buena práctica de la gestión de la
seguridad.
Comprende de 11 ítems de control de seguridad que envuelven un total de 39 categorías
principales, que (con sus respectivos objetivos) son:

A. Política de seguridad
a. Política de seguridad de la información: para la gestión de Seguridad de la
Información según los requerimientos del negocio, las leyes y regulaciones.
B. Aspectos organizativos para la seguridad
a. Organización interna: gestionar internamente la seguridad de la información.
b. Seguridad en los accesos de terceras partes: para mantener la seguridad de los activos
de información y los recursos que manejen información por parte de terceros.
C. Clasificación y control de activos
a. Responsabilidad sobre los activos: para la protección adecuada de los activos de la
organización.
b. Clasificación de la información: para establecer un nivel de protección a los activos
de información.
D. Seguridad en Recursos Humanos
a. Seguridad antes del empleo: asegurando que los empleados, contratistas y terceros
sean los adecuados y que conozcan sus responsabilidades, reduciendo así el riesgo de
fraude, hurto o mal uso de las instalaciones.
b. Durante el empleo: que los empleados, contratistas y terceros sean consientes de las
políticas de seguridad de información de la organización.
c. Finalización o cambio del empleo: que los empleados, contratistas y terceros
terminen su relación laboral con la organización de manera ordenada.
E. Seguridad física y del entorno
a. Áreas seguras: Prescindir los accesos no autorizados, daños e interferencias contra los
locales y la información de la organización.
b. Seguridad de los equipos: para los activos de información y la interrupción de las
actividades de la organización.
F. Gestión de comunicaciones y operaciones
a. Procedimientos y responsabilidades de operación: manejo correcto y seguro de los
recursos que utilicen información de la organización.
b. Gestión de servicios externos: para mantener un nivel de seguridad apropiado y de
entrega de servicio en línea con los acuerdos con terceros.
c. Planificación y aceptación del sistema: atenuar los riesgos de fallos del
sistema.
d. Protección contra software malicioso: dar protección a la integridad del software y de
la información
e. Gestión de respaldo y recuperación: que los servicios que manejan la información y
comunicación se mantengan en fluidez continua.
f. Gestión de seguridad en redes: asegurar la información en las redes así como de su
infraestructura.
g. Utilización de los medios de información: que las actividades de información no se
interrumpan y que los activos no sufran modificaciones, daños y accesos no
autorizados.
h. Intercambio de información: evitar la pérdida, modificación o mal uso de
información que se intercambia entre organizaciones.
i. Servicios de correo electrónico: dar seguridad al uso y servicios de comercio
electrónico.
j. Monitoreo: para detectar las actividades no autorizadas que quieran manejar la
información de la organización.
G. Control de accesos

a. Requisitos de negocio para el control de accesos: controlar los accesos a la

información.
b. Gestión de acceso de usuarios: asegurar el acceso de usuario autorizados y minimizar
los no autorizados.
c. Responsabilidades de los usuarios: evitar los accesos no autorizados y el compromiso
o robo de la información.
d. Control de acceso a la red: impedir el acceso no autorizado a los servicios de
red.
e. Control de acceso al sistema operativo: evitar los accesos no autorizados a las
computadoras.
f. Control de acceso a las aplicaciones y la información: para dificultar el acceso no
autorizado a la información que está en los sistemas.
g. Informática móvil y teletrabajo: acreditar la seguridad de la información mediante
dispositivos móviles y de teletrabajo.
H. Adquisición, desarrollo y mantenimiento de sistemas
a. Requisitos de seguridad de los sistemas: que los sistemas de información sean
seguros desde su concepción.
b. Seguridad de las aplicaciones del sistema: que los datos de usuarios no experimenten
mal uso, pérdida o modificaciones en las aplicaciones.
c. Controles criptográficos: para proteger la información referente a su confidencialidad,
integridad y autenticidad.
d. Seguridad de los archivos del sistema: preservar la seguridad de los archivos del
sistema.
e. Seguridad en los procesos de desarrollo y soporte:
f. Gestión de la vulnerabilidad técnica
 I. Gestión de incidentes en la Seguridad de Información
a. Reportando eventos y debilidades de la seguridad de información
b. Gestión de las mejoras e incidentes en la seguridad de información
J. Gestión de continuidad del negocio
a. Aspectos de la gestión de continuidad del negocio
K. Cumplimiento
a. Cumplimiento con los requisitos legales
b. Revisiones de la política de seguridad y de la conformidad técnica
c. Consideraciones sobre la auditoria de sistemas

La Presidencia del Consejo de Ministros, decretó que de uso obligatorio esta norma con
la finalidad de poder generar un plan de seguridad de la información en la
Administración Pública. Esta medida muestra que el estado peruano tiene como
consigna el introducir cada vez más la cultura de seguridad en sus empresas estatales
para brindar mejor servicio a los ciudadanos peruanos.

d. EMPRESAS PERUANAS ADECUADAS AL ISO 20000

La información es el principal activo para el funcionamiento de los procesos del

INDECOPI, por ello y como nuestra de los esfuerzos institucionales hacia la
satisfacción de sus clientes, se ha implementado un Sistema de Gestión de Seguridad
de la /información (SCSI}, el cual nos permite proteger y reducir los riesgos de
pérdida, robo, acceso no autorizado o corrupción de la información.
El SGSI permite proteges la Información con eficiencia, preservando su
confidencialidad, integridad y disponibilidad para brindar confianza a Jos
ciudadanos, el empresariado, el Estado y la sociedad en general; asimismo, permite
responder oportunamente a los incidentes, asegurar la continuidad en los
procesos críticos, optimizar el uso de recursos, ordenar los procesos, e innovar
servicios tecnológicamente.

Para asegurar los niveles de exigencia internacional en seguridad de la Información, el

Sistema de Gestión de Seguridad de la Información del INDECOPI ha sido evaluado
rigurosamente por un organismo certificador, el cual Ie otorgó en abril del año 2013 la
certificación JSO/TEC 27001:2005.

1.1.2. ISO 20000 TECNOLOGIA DE LA INFORMACION GESTION DE

SERVICIOS

Es la norma para la calidad en la gestión de los servicios de tecnología de la

información.

Publicada en diciembre de 2005, la norma ISO/IEC 20000 es la primera norma en el

mundo específicamente dirigida a la gestión de los servicios de TI (tecnología de la
información). Fue desarrollada en respuesta a la necesidad de establecer procesos y
procedimientos para minimizar los riesgos en los negocios provenientes de un colapso
técnico del sistema de TI de las organizaciones.
A. Principios.

 Sistema de gestión.-Un medio para garantizar los servicios.

 Servicios TI.-Tiene que ser servicios estratégicos (servicio atendiendo algo, o
una necesidad).
 Medir procesos.- Medir si el servicio es bueno o malo. Se mide por medio de los
procesos y los indicadores.

B. Objetivos de ISO/IEC 20000.

 Una organización que demande servicio a los proveedores de servicio y que

necesite garantías de cumplimiento de sus registros de servicio.
(Saben de gestión del servicio)
 Una organización que requiera un enfoque consistente de todos sus proveedores
de servicio, incluidos los de una cadena de suministros.
(Ayuda a servirle como una garantía)
 Un proveedor de servicios que tiene la intensión de demostrar su capacidad en
el diseño, transición, provisión y mejora de los servicios que cumplen los
registros de servicios.
(Certificarse para demostrar su capacidad de gestión)
 Un proveedor de servicios para monitorizar. Medir y revisar sus procesos de
gestión de servicio y los servicios.
(Mantener una estándar, medirse como están)
 Un proveedor de servicio para mejorar el diseño, transición y provisión de los
servicios mediante una implementación y operación eficaces del sistema de
gestión de los servicios (SGS).
(Monitorizar como están sus servicios)
 Un asesor o auditor, para evaluar la conformidad del SGS de un proveedor de
servicio respecto a los requisitos de esta parte de la serie ISO/IEC 20000.
 (Utiliza el auditor, para medir el servicio)

C. ¿Qué certifica la ISO 20000?

La ISO 20000 certifica la adecuación de un SGSTI (sistema de gestión de servicios de

TI) a los requisitos de la norma para un alcance determinado.

D. ¿Cuál es el alcance válido de una certificación ISO 20000?

La norma exige que el SGSTI esté implementado para uno o más servicios de TI
dependen de la entidad de certificación y debe cubrir necesariamente los 13 procesos
que incluye la norma. 

No puede haber una certificación de parte de los procesos de la ISO 20000, la

certificación ha de cubrir siempre los 13 procesos.

E. ¿Qué tipos de servicios pueden certificarse?

La ISO 20000 certifica servicios de TI. Es decir, servicios prestados por el área de
informática de una organización para sus usuarios internos y/o para sus clientes
externos. Para considerarse servicios de TI es necesario que tengan dependencia de
elementos de TI.

No son certificables los servicios profesionales que presta el área de informática

(programación, consultoría, soporte, etc.) porque no son en sí mismos servicios de TI al
no existir esa dependencia de elementos de TI. Sí suelen ser certificables las
plataformas requeridas por los servicios profesionales si éstos pueden configurarse
como servicio.

F. ¿Tiene sentido realizar la certificación ISO 20000 si la empresa ya tiene la ISO

9000?

La ISO 9000 es una certificación de calidad genérica que, por supuesto, es aplicable a
un área de informática. La ISO 20000 es una norma específica de gestión de servicios
de TI. Ambas normas pueden convivir en una organización y compartir parte de su base
documental y procedimientos.

En las organizaciones donde la informática sea un área clave del negocio, la

certificación ISO 20000 supondrá una diferenciación con su competencia y una medida
de posicionamiento ante sus clientes y proveedores.

1.1.2.1. ORGANIGZACIÓN

El estándar se organiza en dos partes:

A. Parte 1: ISO/IEC 20000-1:2005 - Especificación. (Desarrollada por BSI como BS

15000-1).

 En esta parte definen los requerimientos para un proveedor de servicios, para

entregar servicios gestionados de una calidad aceptable para sus clientes.
 Incluye un conjunto de requisitos mínimos y promueve la adopción de un modelo
de procesos integrados para realizar una gestión eficaz de los servicios que
responda a las necesidades de las empresas y sus clientes.
 La parte uno es la especificación para la gestión de servicios que abarca la gestión
de servicios de TI. Ésta es la parte que se puede auditar y establece unos requisitos
mínimos que deben cumplirse para obtener la certificación
 Su alcance incluye:

- Requisitos para un sistema de gestión.

- Planificación e implantación de la gestión del servicio.
- Planificación e implantación de servicios nuevos o cambiados.
- Grupo de procesos de Provisión del Servicio.
- Grupo de procesos de Control.
- Grupo de procesos de Entrega.
- Grupo de procesos de Resolución.
- Grupo de procesos de Relaciones.
1. Procesos ISO 20000

 Grupo de procesos de Provisión del Servicio

- Gestión de niveles de servicio.-Tiene el objetivo de definir, acordar, registrar

y gestionar niveles de servicio.
- Gestión financiera.-Tiene el objetivo de definir como presupuestar y
contabilizar el costo de la provisión de servicio.
- Gestión de la generación de informes.-Debe producir reportes acordados, en
tiempo, confiable y preciso para la toma de decisiones y la comunicación
eficaz.
- Gestión de la capacidad.-Debe asegurar que el proveedor de servicio tiene
siempre suficiente capacidad para cumplir con las demandas acordadas,
actuales y futuras, de las necesidades de negocio del cliente.
- Gestión de la disponibilidad y de la continuidad.-.Debe asegurar que los
compromiso de continuidad y disponibilidad de servicios acordados con los
clientes puedan ser cumplidos bajo cualquier circunstancia.
- Gestión de la seguridad.-Debe gestionar eficazmente la seguridad de la
información dentro de todas las actividades de los servicios.

 Grupo de procesos de Control

- Gestión de la configuración.- Tiene el objetivo de definir y controlar los

componentes de los servicios y la infraestructura, y mantener información de
configuración precisa.
 - Gestión de cambios.-Debe asegurar que todos los cambios son evaluados,
aprobados, implementados y revisados en una forma controlada.

 Grupo de procesos de Entrega

- Gestión de la entrega.-Tiene el objetivo de entregar, distribuir y controlar uno

o más cambios en una versión dentro del ambiente de producción.

 Grupo de procesos de Resolución.

- Gestión de incidencias.-Tiene el objetivo de restaurar tan pronto como sea los

servicios acordados para el cumplimiento de los SLA o para responder a
pedidos de servicio.
- Gestión de problemas.- Debe minimizar el colapso de los compromisos
asumidos a través de una identificación proactiva y un análisis de la causa de
los incidentes, y gestionar los problemas hasta su cierre.

 Grupo de procesos de Relaciones.

- Gestión de las relaciones con el negocio.-Tiene el objetivo de establecer y

mantener una buena relación entre el proveedor del servicio y el cliente
basados en la comprensión del cliente y sus drivers de negocio.
- Gestión de suministradores.-Debe gestionar proveedores para asegurar la
provisión de servicios de calidad perfectamente consistentes.

B. Parte 2: ISO/IEC 20000-2:2005 - Código de Prácticas. (Desarrollada por BSI como

BS 15000-2)

La segunda parte (Código de Prácticas) representa el conjunto de mejores prácticas

adoptadas y aceptadas por la industria en materia de Gestión de Servicio de TI. Está
basada en ITIL y sirve como guía y soporte en el establecimiento de acciones de mejora
en el servicio o preparación de auditorías del estándar ISO/IEC 20000-1:2005.

La parte dos es el código profesional para la gestión de servicios, que describe las
mejores prácticas para los procesos de gestión de servicios en el ámbito de la
especificación.

El Código de procedimiento resulta especialmente útil para organizaciones que se

preparan para someterse a una auditoría según la norma ISO 20000-1 o para planificar
mejoras del servicio.

 Gestión de servicio

Es el poder mantener el equilibrio entre los 4 elementos:

- Personas.
- Procesos.
- Productos/tecnología.
- Suministros/asociados.

Procesos Personas

Roles

Suministradores
(Asociados) Productos/
Tecnología

 Ciclo de vida de los servicios

- Estrategia de los servicios.-Definir cuáles son los servicios estratégicos y

cuáles son los críticos, y nuevos servicios que se va crear.
- Diseño de servicio.-Como se crean los servicios.
- Transición de servicio.- Para construir los servicios.
- Operación de servicio. Cambio del nuevo servicio.
- Mejora continua del proceso.-Planificar, hacer, medir y mejorar.

PASOS A SEGUIR PARA OBTENER LA CERTIFICACION ISO 20000

¿Dónde Visión y objetivos

queremos estar? de la organización
 MEJORA CONTINUA
¿Dónde estamos
Evaluación
ahora?

¿Cómo Definición de
llegamos? procesos

¿Cómo sabemos
que hemos Métricas y
llegado? Auditoria

C. EMPRESAS PERUANAS ADECUADAS AL ISO 20000

 PMC® LATAM SE CONVIERTE EN LA PRIMERA CONSULTORA PERUANA EN

OBTENER LAS CERTIFICACIONES ISO/IEC 20000 E ISO/IEC 27001.

Durante el 2013, PMC® Latam inicio sendos proyectos internos para conseguir dichas

certificaciones, así pues en noviembre, luego de obtener la ISO/IEC
20000 en reconocimiento al Sistema de Gestión de Servicios (SGS), PMC Latam enfiló sus
esfuerzos y recursos para conseguir su próximo objetivo: Lograr la certificación para su
Sistema de Gestión de Seguridad de la Información (SGSI).

La norma ISO/IEC 27001 define cómo organizar la seguridad de la información en cualquier

tipo de organización. Esta norma constituye la base para la Gestión de la Seguridad de la
Información y su objetivo es proporcionar una metodología para su implementación en
una organización de manera sobresaliente. 

Luego de superar satisfactoriamente la exigente auditoría de AENOR, quien es a su vez

reconocida por ser la entidad certificadora más respetada y estricta en el mundo de habla
hispana, finalmente PMC® Latam se convierte en la primera empresa de peruana de
consultoría, en ostentar simultáneamente las certificaciones ISO/IEC 20000 para la Gestión
de Servicios y la ISO/IEC 27001 para la Gestión de la Seguridad de la Información, para
todos los servicios que ofrece: Consultoría, Entrenamiento y Certificación Oficial, así como
la Mesa de Ayuda Técnica.

Este nuevo logro reafirma la condición de líderes absolutos dentro de este nicho de
mercado y garantiza un servicio de calidad para todos nuestros clientes, quienes cada vez
más apuestan por servicios con valor, y qué mayor valor que la empresa que lo asesora
esté certificada en aquellas buenas prácticas que luego lo ayudarán a conseguir beneficios
a través de proyectos de consultoría y alineamiento.

Cabe señalar que PMC® Latam, cuenta entre sus filas con el único Auditor Jefe ISO/IEC
20000 e ISO/IEC 27001 del país, y uno de los pocos en toda Latinoamérica, como un
verdadero valor diferencial y agregado en nuestro servicio de consultoría que nos
convierten en únicos.

GMD, cuenta con las más altas certificaciones de calidad como la ISO 20000, ISO
27001,OSHAS 18001, ISO 9001, CMMI*3, Certificación Tier III en nuestro Data Center,
Certificación de la Asociación de Buenos Empleadores, SAP Hosting Partner, entre otras.

 Telefónica Grandes Empresas obtiene certificación ISO 20000

[04/12/2012] Telefónica Grandes Empresas anunció que ha obtenido la certificación ISO

20000, que reconoce internacionalmente la Gestión de Servicio de Tecnologías de la
Información, convirtiéndose, de acuerdo a AENOR, en la primera empresa de
telecomunicaciones en el Perú en obtener este reconocimiento.

Las normas ISO/IEC 20000 definen los procesos y las actividades esenciales para que las
áreas de TI puedan prestar un servicio eficiente y alineado con las necesidades de una
empresa u organización. “Esta certificación es de gran importancia para el segmento, ya
que reconoce nuestra capacidad de brindarle a nuestros clientes un servicio de alta
calidad”, señaló Guillermo Checa, director de Telefónica Grandes Empresas.

Telefónica Grandes Empresas obtuvo la certificación ISO 20000, para el Servicio de

Outsourcing Desktop; el cual permite identificar, solucionar y gestionar incidencias y/o
requerimientos relacionados a la plataforma TIC (desktop, laptops, impresoras, servidores
y las propias aplicaciones) de sus clientes en el Perú y Latinoamérica, para una mejor
gestión y coordinación.

Checa destacó que la implementación de este sistema se realizó en un tiempo récord de

nueve meses, siendo lo habitual una duración entre 18 a 36 meses.

 SOUTHERN PERÚ COPPER CORPORATION

A partir del diagnóstico inicial (que tomó 2 meses de trabajo), Estratega propuso

inicialmente un plan de trabajo de 12 meses para poder obtener la certificación de la
norma ISO/IEC 20000, la única norma internacional auditable que adopta un enfoque por
procesos Southern Perú Copper Corporation es una empresa minera peruana
perteneciente al Grupo México. Cotiza en la Bolsa de Valores de Nueva York (NYSE: SCCO).
Posee la operación de dos minas en los Andes, al sur del Perú, en Cuajone y Toquepala, y
una fundición, refinería y puerto en la ciudad de Ilo.

El Gerente de Sistemas de la compañía convocó a Estratega en busca de una visión externa

y experimentada para identificar mejoras en la prestación de servicios de su área al resto
de la organización, tendiente a lograr la certificación ISO/IEC 20000 de alcance y
reconocimiento internacional. Luego de un primer informe diagnóstico donde se
determinó la brecha para lograr dicha certificación, el cliente obtuvo el compromiso de la
Presidencia para implementar el Sistema de Gestión de Servicios de TI (SGS-TI) según los
requisitos de dicha normativa, y convertirse de esta forma en la primera compañía
minera del mundo en lograrlo, así como la primera empresa del Perú en obtener dicha
certificación.

Para establecer, implementar, operar, supervisar, revisar, mantener y mejorar un SGS-TI

(SMS por su sigla en inglés).

Estratega propuso estructurar la operación de la Gerencia de Sistemas en torno a  flujos de

valor (o procesos de punta a punta) a fin de facilitar la integración de los requerimientos
normativos desde una perspectiva bien orientada a la operación del día a día.  Esta visión
innovadora y disruptiva frente a la estructura de la norma, probó ser válida y aceptada por
el auditor.

Es importante destacar que el estándar mencionado suele ser aplicado por compañías que
se dedican a tercerizar servicios basados en TI, aunque es mucho menos frecuente
encontrar áreas de Sistemas que busquen la certificación debido a que prestan servicios
internos a la organización.  En este contexto, el desafío que enfrentó SPCC fue doble en
virtud de los altos niveles de exigencia que los requisitos normativos imponen, siendo que
dichos servicios no se “comercializan” en el sentido estricto de la palabra.

La metodología de gestión del proyecto aplicada permitió detectar desvíos y obstáculos

tempranamente a fin de ajustar los cronogramas de manera satisfactoria y acordada por
ambas partes.
El fuerte compromiso de la Gerencia de Sistemas, con el inclaudicable apoyo de la
Dirección de SPCC, permitieron seguir avanzando, aún en contextos de cambios que se
dieron a nivel corporativo, y que obligaron a postergar la fecha tentativa inicial,
disminuyendo temporariamente la dedicación de los recursos internos de la compañía.

Así fue como luego de una pre-auditoría inicial, se hicieron los ajustes necesarios para
resolver las no conformidades detectadas, y se llegó a la tan ansiada Certificación en mayo
de 2014.

De la mano de Estratega, SPCC logró su objetivo. Fue el primero en el Perú y primera
minera en el mundo en certificar su Sistema de Gestión de Servicios de TI con la norma
ISO/IEC 20000. El cliente confió 100% en Estratega sabiendo que en Perú nadie contaba
con experiencia previa en la certificación de esa norma específica. Esa confianza y la
excelencia del trabajo en conjunto, permitieron una vez más, la concreción de un exitoso
proyecto.
 CAPITULO III CONCLUSIONES

CAPITULO IV RECOMENDACION

BIBLIOGRAFIA

ANEXOS