RAC#2

UNAH
UNIVERSIDAD NACIONAL
IS-811 Seguridad Informática
RAC#2
AUTÓNOMA DE HONDURAS Catedrático: Ing. Rafael E. Diaz del Valle O.
DEPARTAMENTO DE
INGENIERÍA EN SISTEMAS
III PAC 2021
RAC#2
Elaborado por:
Karen Mariela Melendes Aguilar 20151002526
Catedrático: Ing. Rafael E. Diaz del Valle O.
Lugar y fecha:
CU, Tegucigalpa, 1 de noviembre de 2021
Universidad Nacional Autónoma de Honduras | CIUDAD UNIVERSITARIA | Tegucigalpa M.D.C. Honduras C.A | www.unah.edu.hn Univers
Página
UNAH
RAC#2
AUTÓNOMA DE HONDURAS Catedrático: Ing. Rafael E. Diaz del Valle O.
DEPARTAMENTO DE
Índice
Introducción.................................................................................................................................. 1
Objetivos....................................................................................................................................... 2
Marco de Referencia....................................................................................................................... 3
Definición de política de seguridad............................................................................................4
Parámetros para establecer políticas de seguridad.....................................................................6
ISO 27000................................................................................................................................. 6
Beneficios.............................................................................................................................. 7
Aspectos Clave....................................................................................................................... 8
Riesgos.................................................................................................................................. 9
¿Qué es la gobernanza de las TIC?..........................................................................................10
Principales normas de Gobernanza de TI.................................................................................10
COBIT................................................................................................................................... 11
COBIT 5.............................................................................................................................. 12
COBIT 5 Guías habilitadoras..................................................................................................12
COBIT 5 Guías profesionales.................................................................................................12
ITIL....................................................................................................................................... 14
Análisis....................................................................................................................................... 17
Conclusiones............................................................................................................................... 20
Referencias.................................................................................................................................. 21
Universidad Nacional Autónoma de Honduras | CIUDAD UNIVERSITARIA | Tegucigalpa M.D.C. Honduras C.A | www.unah.edu.hn Univers
Página
UNAH
RAC# 2
AUTÓNOMA DE HONDURAS
DEPARTAMENTO DE Catedrático: Ing. Rafael E. Diaz del Valle O.

Introducción
La intención de este documento RAC (Resumen, Análisis, Conclusiones) es poder demostrar el
conocimiento adquirido a lo largo de la segunda unidad de la clase de Seguridad informática, por
lo cual en las siguientes paginas se estarán describiendo estándares de seguridad de suma
importancia para el entendimiento de los procesos empleados en esta rama tan amplia de la
informática.
Universidad Nacional Autónoma de Honduras | CIUDAD UNIVERSITARIA | Tegucigalpa M.D.C. Honduras C.A | www.unah.edu.hn
Página 1 de 23
UNAH
RAC# 2

Objetivos
Objetivo General
 Demostrar el conocimiento adquirido en la segunda unidad de la clase de seguridad
informática.
Objetivo Especifico
 Conocer los distintos estándares que existen con el fin de identificarlos y poder tomar las
medidas correctas al momento de su aplicación.
 Comprender los objetivos de mantener la seguridad de los sistemas de información y las
distintas etapas que se emplean para lograrlo.
Página 2 de 23
UNAH
RAC# 2

Marco de Referencia
Marco Conceptual
Se define Tecnología de la Información (TI), a las herramientas y métodos utilizados para
recabar, retener, manipular o distribuir información, la cual se encuentra por lo general
relacionada con las computadoras y las tecnologías afines aplicadas a la toma de decisiones. En
los sistemas de información la ética debe estar presente, por lo que la DIGEIG como institución
promotora de la ética y la transparencia, espera que el establecimiento de este manual de
políticas pueda transparentar y dar idoneidad a los métodos que son utilizados para manejar el
uso de la tecnología de la información que dispone la institución.
Los objetivos del Manual de Políticas de Tecnología de la Información de la DIGEIG, son los
siguientes:
a) Crear y definirlas políticas generales y específicas que faciliten la ejecución de las
actividades de tecnología de la información en las diferentes áreas de la Institución.
b) Promover el uso adecuado de los recursos humanos, materiales y activos tecnológicos
adecuados.
c) Normar los procesos de información con la finalidad de mejorar el rendimiento de la
DIGEIG.
d) Establecer las políticas para resguardo y garantía de acceso apropiado de la información
de la DIGEIG.
Página 3 de 23
UNAH
RAC# 2

La seguridad informática ha tomado gran auge, debido a las cambiantes condiciones y nuevas
plataformas tecnológicas disponibles. La posibilidad de interconectarse a través de redes, ha
abierto nuevos horizontes a las empresas para mejorar su productividad y poder explorar más allá
de las fronteras nacionales, lo cual lógicamente ha traído consigo, la aparición de nuevas
amenazas para los sistemas de información.
Definición de política de seguridad

Una política de seguridad informática es una forma de comunicarse con los usuarios, ya
que las mismas establecen un canal formal de actuación del personal, en relación con los
recursos y servicios informáticos de la organización.
Como una política de seguridad debe orientar las decisiones que se toman en relación con
la seguridad, se requiere la disposición de todos los miembros de la empresa para lograr una
visión conjunta de lo que se considera importante.
Las Políticas de Seguridad Informática deben considerar principalmente los siguientes
elementos:
 Alcance de las políticas, incluyendo facilidades, sistemas y personal sobre la cual aplica.
 Objetivos de la política y descripción clara de los elementos involucrados en su
definición.
 Responsabilidades por cada uno de los servicios y recursos informáticos aplicado a todos
los niveles de la organización.
Políticas de seguridad informática
Página 4 de 23
UNAH
RAC# 2

 Requerimientos mínimos para configuración de la seguridad de los sistemas que abarca el
alcance de la política.
 Definición de violaciones y sanciones por no cumplir con las políticas.
 Responsabilidades de los usuarios con respecto a la información a la que tiene acceso.
Las políticas de seguridad informática, también deben ofrecer explicaciones comprensibles sobre
por qué deben tomarse ciertas decisiones y explicar la importancia de los recursos. Igualmente,
deberán establecer las expectativas de la organización en relación con la seguridad y especificar
la autoridad responsable de aplicar los correctivos o sanciones.
Otro punto importante, es que las políticas de seguridad deben redactarse en un lenguaje sencillo
y entendible, libre de tecnicismos y términos ambiguos que impidan una comprensión clara de
las mismas, claro está sin sacrificar su precisión.
Por último, y no menos importante, el que las políticas de seguridad, deben seguir un proceso de
actualización periódica sujeto a los cambios organizacionales relevantes, como son: el aumento
de personal, cambios en la infraestructura computacional, alta rotación de personal, desarrollo de
nuevos servicios, regionalización de la empresa, cambio o diversificación del área de negocios,
etc.
Parámetros para establecer políticas de seguridad.
Página 5 de 23
UNAH
RAC# 2

 Es importante que, al momento de formular las políticas de seguridad informática, se
consideren por lo menos los siguientes aspectos:
 Efectuar un análisis de riesgos informáticos, para valorar los activos y así adecuar las
políticas a la realidad de la empresa.
 Comunicar a todo el personal involucrado sobre el desarrollo de las políticas, incluyendo
los beneficios y riesgos relacionados con los recursos y bienes, y sus elementos de
seguridad.
 Identificar quién tiene la autoridad para tomar decisiones en cada departamento, pues son
ellos los interesados en salvaguardar los activos críticos en su área.
 Monitorear periódicamente los procedimientos y operaciones de la empresa, de forma tal,
que ante cambios las políticas puedan actualizarse oportunamente.
 Detallar explícita y concretamente el alcance de las políticas con el propósito de evitar
situaciones de tensión al momento de establecer los mecanismos de seguridad que
respondan a las políticas trazadas.
ISO 27000
Desde 1901, y como primera entidad de normalización a nivel mundial, BSI (British Standards
Institution, la organización británica equivalente a AENOR en España) es responsable de la
publicación de importantes normas como: 1979 Publicación BS 5750 - ahora ISO 9001 1992
Publicación BS 7750 - ahora ISO 14001 1996 Publicación BS 8800 - ahora OHSAS 18001 La
norma BS 7799 de BSI aparece por primera vez en 1995, con objeto de proporcionar a cualquier
empresa -británica o no- un conjunto de buenas prácticas para la gestión de la seguridad de su
Página 6 de 23
UNAH
RAC# 2

información. La primera parte de la norma (BS 7799-1) es una guía de buenas prácticas, para la
que no se establece un esquema de certificación. Es la segunda parte (BS 7799-2), publicada por
primera vez en 1998, la que establece los requisitos de un sistema de seguridad de la información
(SGSI) para ser certificable por una entidad independiente. Las dos partes de la norma BS 7799
se revisaron en 1999 y la primera parte se adoptó por ISO, sin cambios sustanciales, como ISO
17799 en el año 2000. En 2002, se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO
de sistemas de gestión.
En 2005, con más de 1700 empresas certificadas en BS7799-2, este esquema se publicó por ISO
como estándar ISO 27001, al tiempo que se revisó y actualizó ISO17799. Esta última norma se
renombra como ISO 27002:2005 el 1 de Julio de 2007, manteniendo el contenido, así como el
año de publicación formal de la revisión. A semejanza de otras normas ISO, la 27000 es
realmente una serie de estándares. Los rangos de numeración reservados por ISO van de 27000 a
27019 y de 27030 a 27044.
Beneficios
 Establecimiento de una metodología de gestión de la seguridad clara y estructurada.
 Reducción del riesgo de pérdida, robo o corrupción de información.
 Los clientes tienen acceso a la información a través medidas de seguridad.
 Los riesgos y sus controles son continuamente revisados.
 Confianza de clientes y socios estratégicos por la garantía de calidad y confidencialidad
comercial.
Página 7 de 23
UNAH
RAC# 2

 Las auditorías externas ayudan cíclicamente a identificar las debilidades del sistema y las
áreas a mejorar.
 Posibilidad de integrarse con otros sistemas de gestión (ISO 9001, ISO 14001, OHSAS
18001L).
 Continuidad de las operaciones necesarias de negocio tras incidentes de gravedad.
 Conformidad con la legislación vigente sobre información personal, propiedad intelectual
y otras.
 Imagen de empresa a nivel internacional y elemento diferenciador de la competencia.
 Confianza y reglas claras para las personas de la organización.
 Reducción de costes y mejora de los procesos y servicio.
 Aumento de la motivación y satisfacción del personal.
 Aumento de la seguridad en base a la gestión de procesos en vez de en la compra
sistemática de productos y tecnologías.
Aspectos Clave
 Compromiso y apoyo de la Dirección de la organización.
 Definición clara de un alcance apropiado.
 Concienciación y formación del personal.
 Evaluación de riesgos exhaustiva y adecuada a la organización.
 Compromiso de mejora continua.
 Establecimiento de políticas y normas.
Página 8 de 23
UNAH
RAC# 2

 Organización y comunicación.
 Integración del SGSI en la organización.
Riesgos
 Exceso de tiempos de implantación: con los consecuentes costes descontrolados,
 desmotivación, alejamiento de los objetivos iniciales, etc.
 Temor ante el cambio: resistencia de las personas.
 Discrepancias en los comités de dirección.
 Delegación de todas las responsabilidades en departamentos técnicos.
 No asumir que la seguridad de la información es inherente a los procesos de negocio.
 Planes de formación y concienciación inadecuados.
 Calendario de revisiones que no se puedan cumplir.
 Definición poco clara del alcance.
 Exceso de medidas técnicas en detrimento de la formación, concienciación y medidas de
tipo organizativo.
 Falta de comunicación de los progresos al personal de la organización.
¿Qué es la gobernanza de las TIC?

El área de TI tiene como actividad principal la atención a las necesidades y estrategias del
negocio, teniendo como prerrogativa la conformidad en relación a las leyes, normas y
reglamentos internos y externos. Estos requisitos de negocio y legales varían de acuerdo con el
tipo, finalidad, ramo de actuación y exigencias regulatorias de las organizaciones.
En este contexto se introduce un concepto muy discutido y debatido en la gestión de negocios en
Página 9 de 23
UNAH
RAC# 2

la actualidad, denominado “Gobernanza de TI”.
Según Fernández y Abreu (2008), el principal objetivo de la gobernanza de TI es alinear a las
Tecnologías de la Información (TI) a los requisitos del negocio, teniendo como base la
continuidad de los negocios, la atención a las estrategias de negocios y la atención a las
reglamentaciones internas y externas.
Weill y Ross (2004) conceptualizan la gobernanza de TI como un instrumento para la definición
de los derechos de decisión y de las responsabilidades de administración para fomentar
comportamientos deseables en el uso de las TI.
La gobernanza de TI es de responsabilidad de las más altas esferas que lideran una organización ,
en las estructuras organizacionales y en los procesos para garantizar que la TI de la empresa
apoye y entienda las estrategias de los objetivos de negocios de la organización (ITGI 2007).
Principales normas de Gobernanza de TI

 CMMI: Capability Maturity Model Integration
 ITIL: Information Technology Infrastructure Library
 COSO: Comittee of Sponsoring Organizations of the Tradeway Comission
 ISO 38500 – Gobernanza corporativa para la Tecnología de Información
 ISO 27001 – Tecnología de información, técnicas de seguridad – sistemas de gestión de
la seguridad de información – requisitos
 PRINCE2TM – Project in a Controlled Environment
 PMBok – Project Management Body of Knowledge
Página 10 de 23
UNAH
RAC# 2

 BSC – Balanced scorecard
 COBIT
COBIT
COBIT es un marco de gobierno de las tecnologías de información que proporciona una serie de
herramientas para que la gerencia pueda conectar los requerimientos de control con los aspectos
técnicos y los riesgos del negocio. COBIT permite el desarrollo de las políticas y buenas
prácticas para el control de las tecnologías en toda la organización. COBIT enfatiza el
cumplimiento regulatorio, ayuda a las organizaciones a incrementar su valor a través de las
tecnologías, y permite su alineamiento con los objetivos del negocio.
Adicionalmente COBIT busca brindar mejoras a diferentes niveles:
 Compendio de mejores prácticas aceptadas internacionalmente.
 Orientado al gerenciamiento de las tecnologías.
 Complementado con herramientas y capacitación.
 Respaldado por una comunidad de expertos.
 En evolución permanente de acuerdo al sistema empresarial.
 Mantenido por una organización sin fines de lucro, con reconocimiento internacional
(ISACA).
 Mapeado con otros estándares.
 Orientado a Procesos, sobre la base de Dominios de Responsabilidad.
COBIT 5
Es el modelo corporativo COBIT 5 para la gobernanza y gestión de la TI en la organización, esto
Página 11 de 23
UNAH
RAC# 2

es, COBIT 5 propiamente dicho. Esta publicación presenta una visión holística del modelo
COBIT, siendo compuesta por principios, habilitadores, modelo de capacidad, entre otros temas
que abordaremos en capítulos posteriores.
COBIT 5 Guías habilitadoras

Es un conjunto de guías de los habilitadores (Enabler Guides). Estas guías comprenden las
publicaciones COBIT 5 Enabling Processes, COBIT 5 Enabling Information y otras guías
relacionadas denominadas Other Enabler Guides que serán desarrolladas por ISACA en al
futuro.
COBIT 5 Guías profesionales

Se trata de un conjunto de Guías Profesionales utilizadas para las actividades prácticas de
Implementación del modelo (COBIT 5 Implementación), seguridad de la información (COBIT 5
for information security), auditoría (COBIT 5 for assurance) y gestión de riesgos (COBIT 5 for
risk), además de otras guías profesionales relacionadas (Other Professional Guides), que serán
desarrolladas por ISACA en el futuro.
La siguiente clasificación describe sucintamente cada uno de los siete habilitadores
definidos en COBIT 5.
1- Principios, Políticas y Modelos: Son instrumentos para traducir el comportamiento
deseado por la gerencia en orientaciones prácticas para el día a día de la gestión.
Página 12 de 23
UNAH
RAC# 2

2- Procesos: Representa un conjunto de prácticas y actividades para alcanzar determinados
objetivos, produciendo un conjunto de resultados en apoyo a la consecución general de
los objetivos de TI.
3- Estructuras organizacionales: Representa las principales entidades de toma de decisión
en una organización.
4- Cultura, ética y comportamiento: Representa un factor de éxito en las actividades de
gobernanza y gestión relacionada con las personas y la organización, aunque es
subestimado por la administración. Es el conjunto de creencias, ideas, prácticas y
comportamientos, individuales y colectivos. Pertenecen a los individuos y, de forma
colectiva, a la organización.
5- Información: Penetra en toda la organización e incluye toda la información producida y
utilizada por la organización. Es necesaria para mantener la organización en movimiento
y bien regulada, más a nivel operacional, es muchas veces el principal producto de la
organización.
6- Servicios, infraestructura y aplicativos: Representa los recursos tecnológicos que
proveen a la organización los servicios relacionados con TI.
7- Personas, habilidades y competencias: Representa las personas necesarias para el éxito
en la realización de todas las actividades de la organización y, además, apoya en el
proceso de toma de decisiones.
ITIL
ITIL (Information Technology Infraestructure Library o Biblioteca de Infraestructura de
Página 13 de 23
UNAH
RAC# 2

Tecnologías de la Información) es un compendio de publicaciones, o librería, que describen de
manera sistemática un conjunto de “buenas prácticas” para la gestión de los servicios de
Tecnología Informática (en adelante TI).
Las organizaciones cada vez dependen más de la las herramientas informáticas para llevar a cabo
su trabajo diario. Este trabajo además está gestionado y controlado a través de otros sistemas
informáticos, pudiendo estar éstos a su vez dentro de una red controlada por otros sistemas y así
sucesivamente. Por tanto, la complejidad de estos procesos hizo crecer la demanda y necesidad
de las entidades (públicas o privadas) de disponer de un modelo que les permitiera gestionar su
infraestructura TI más fácilmente y que pudieran dar soporte a los objetivos de negocio.
ITIL nació en la década de 1980, a través de la Agencia Central de Telecomunicaciones y
Computación del Gobierno Británico (Central Computer and Telecomunications Agency -
CCTA), que ideó y desarrollo una guía para que las oficinas del sector público británico fueran
más eficientes en su trabajo y por tanto se redujeran los costes derivados de los recursos TI.
En la actualidad ITIL pertenece al Oficina de Comercio Británico (Office of Government
Commerce - OGC), pero puede ser utilizado para su aplicación libremente.
Las certificaciones han variado en las distintas versiones de ITIL, siendo en la actualidad cuatro
las que pueden obtenerse, según el nivel de profundización en la materia:
1. ITIL Foundation Level
2. ITIL Intermediate Level - Service Lifecycle & Service Capability Streams
3. ITIL Expert Level
Página 14 de 23
UNAH
RAC# 2

4. ITIL Master
La versión 3 de ITIL basa su estructura sobre el concepto de "ciclo de vida" de los servicios. Este
ciclo de vida se compone de 5 fases que se retroalimentan entre ellas de una manera cíclica y
donde los viejos conceptos de Provisión y Soporte al Servicio han sido integrados de otra forma
en dichas fases. Actualmente está vigente la edición 2011 de la versión 3 del estándar.
ITIL divide el ciclo de vida de un servicio en 5 fases, que se estudian con más detalle en las
lecciones correspondientes de este proyecto de aprendizaje:
 Estrategia del servicio, cuyo propósito es definir qué servicios se prestarán, a qué clientes
y en qué mercados.
 Diseño del servicio, responsable de desarrollar nuevos servicios o modificar los ya
existentes, asegurando que cumplen los requisitos de los clientes y se adecuan a la
estrategia predefinida.
 Transición del servicio, encargada de la puesta en operación de los servicios previamente
diseñados.
 Operación del servicio, responsables de todas las tareas operativas y de mantenimiento
del servicio, incluida la atención al cliente.
 Mejora continua del servicio, a partir de los datos y experiencia acumulados propone
mecanismos de mejora del servicio.
Página 15 de 23
UNAH
RAC# 2

Análisis
Hoy en día las empresas buscan manejar todos sus procesos y transferencia de datos de manera
segura evitando cualquier tipo de inconveniente que interfiera de manera intencional o no con
sus políticas de seguridad informática, por lo que han adoptado múltiples estándares de seguridad
con la finalidad de mejorar su gestión en distintas áreas. Entre los estándares que analizaremos a
continuación tenemos ISO2700, COBIT e ITIL.
ISO este compuesto por varios estándares los cuales son internacionales y están basados en la
implementación de buenas practicas con el fin de reforzar la seguridad de los sistemas de
Página 16 de 23
UNAH
RAC# 2

información de la organización. La metodología de este conjunto de estándares tiene la ventaja
de que esta bien estructurada permitiendo a los clientes y socios importantes tener la confianza
de que la información de sus negocios cumpla con los requisitos de confidencialidad, integridad
y disponibilidad. Otra de las múltiples ventajas de estos estándares es que son revisados cada
cierto tiempo para mantenerlos actualizados y así evitar tener riesgos muy altos en la seguridad
de los datos, todo esto conlleva a mejorar de una manera imparcial y ética la imagen de las
organizaciones que aplican este grupo de buenas practicas las cuales son indispensables en la
actualidad si se busca tener una empresa de renombre a nivel nacional e internacional.
COBIT es otro de los estándares aplicados con el fin de utilizar herramientas especificas
destinadas a la gerencia de los riesgos de las organizaciones. Este estándar va de la mano con el
uso de las tecnologías en toda la organización ya que uno de sus principales objetivos en enseñar
a los usuarios en este caso, los empleados del negocio a como manejar estas herramientas
tecnológicas de la mejor forma posible implementando una serie de reglamentos, los cuales se
conocen como buenas prácticas. Si las organizaciones emplean bien los estándares COBIT estas
aumentan su valor con la ayuda de las tecnologías utilizadas para sus procesos de negocios.
Algunos de los beneficios de estos estándares son los siguientes:
Se tiene un gran apoyo en su aprendizaje por parte de una comunidad de expertos realmente
grande, esto facilita en la incursión de su aplicación a las nuevas tecnologías de la información
que surgen día con día y que en la actualidad están mas vigentes que nunca debido a la creciente
virtualización de procesos debido a la pandemia casada por el virus COVID-19.
Página 17 de 23
UNAH
RAC# 2

Al igual que los estándares ISO, COBIT permanece en constante evolución con el fin de
gestionar mejor los riesgos. Además, funciona en conjunto con otros estándares por lo cual es
muy flexible.
Los empleados reciben contantes capacitaciones que les ayuda a comprender mejor el uso de las
nuevas tecnologías de la información.
ITIL
Este estándar surgió como respuesta a la demanda que tenían las organizaciones por gestionar de
manera más eficiente sus tecnologías las cuales a su vez están en muchos casos enlazadas con
complejos sistemas de información que necesitaban gestionar su seguridad de forma eficaz y
eficiente.
Este estándar se clasifica en 5 fases durante su ciclo de vida las cuales son las siguientes:
 Estrategia del servicio: Su función es establecer los servicios que se prestarán
clasificándolos según su tipo y a que clientes estarán dirigidos.
 Diseño del servicio: en este se crean nuevos servicios según la demanda de los clientes o
bien se modifican los que ya se ofrecen y se revisa que cumplan con los requisitos
solicitados por los usuarios finales.
 Transición del servicio: Se empieza a utilizar el servicio verificando que todo funciona
con normalidad,
 Operación del servicio: se le brinda mantenimiento a los servicios que fueron iniciados
Página 18 de 23
UNAH
RAC# 2

en la fase anterior prestando atención a que todos sus procesos funcionen de forma
correcta y sin riesgos.
 Mejora continua del servicio: utilizando los datos recopilados después de cierto tiempo
en el cual el servicio está en operación se diseñan nuevas funciones para este de ser
necesario.
Conclusiones
 La gobernanza de TI es de responsabilidad de las más altas esferas que lideran una
organización ya que de ellos depende la toma de decisiones respecto al uso de nuevas
tecnologías.
 Los estándares ISO al ser aplicados de la manera correcta generan confianza y reglas
claras a seguir para los empleados de la organización.
 Uno de los riegos de seguridad más comunes en una empresa es no asumir que la
seguridad de la información es inherente a los procesos de negocio.
 El Establecimiento de políticas y normas tanto como la mejora continua son dos de los
aspectos clave para la aplicación de estándares ISO.
Página 19 de 23
UNAH
RAC# 2

 La versión 3 de ITIL basa su estructura sobre el concepto de "ciclo de vida" de los
servicios lo cual es una gran ventaja ya que proporciona una estrategia clara a seguir en la
aplicación de los estándares de seguridad.
Referencias
 Políticas, normas y procedimientos. Departamento de informática ministerio de energía y
minas. Campus Virtual: Iniciar sesión en el sitio. (s/f-a). Edu.hn. Recuperado el 20 de
octubre de 2021, de https://campusvirtual.unah.edu.hn/mod/folder/view.php?id=1932718
 ISO2700
Campus Virtual: Iniciar sesión en el sitio. (s/f-b). Edu.hn. Recuperado el 20 de octubre
de 2021, de https://campusvirtual.unah.edu.hn/mod/folder/view.php?id=1932720
 Claudio, Luis. Fundamentos de COBIT 5. GTI5.pdf.
Campus Virtual: Iniciar sesión en el sitio. (s/f-c). Edu.hn. Recuperado el 20 de octubre de
2021, de https://campusvirtual.unah.edu.hn/mod/folder/view.php?id=1932722
Página 20 de 23
UNAH
RAC# 2

 Ríos Huercano, Sergio. Manual de ITIL V3. Manual Integro.
Campus Virtual: Iniciar sesión en el sitio. (s/f-d). Edu.hn. Recuperado el 20 de octubre de
2021, de https://campusvirtual.unah.edu.hn/mod/folder/view.php?id=1932724
Página 21 de 23

RAC#2

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

RAC#2

Cargado por

Copyright:

Formatos disponibles

UNAH

IS-811 Seguridad Informática

III PAC 2021

Karen Mariela Melendes Aguilar 20151002526

Catedrático: Ing. Rafael E. Diaz del Valle O.

CU, Tegucigalpa, 1 de noviembre de 2021

DEPARTAMENTO DE Catedrático: Ing. Rafael E. Diaz del Valle O.

conocimiento adquirido a lo largo de la segunda unidad de la clase de Seguridad informática, por

lo cual en las siguientes paginas se estarán describiendo estándares de seguridad de suma

DEPARTAMENTO DE Catedrático: Ing. Rafael E. Diaz del Valle O.

 Demostrar el conocimiento adquirido en la segunda unidad de la clase de seguridad

medidas correctas al momento de su aplicación.

 Comprender los objetivos de mantener la seguridad de los sistemas de información y las

distintas etapas que se emplean para lograrlo.

DEPARTAMENTO DE Catedrático: Ing. Rafael E. Diaz del Valle O.

Se define Tecnología de la Información (TI), a las herramientas y métodos utilizados para

recabar, retener, manipular o distribuir información, la cual se encuentra por lo general

promotora de la ética y la transparencia, espera que el establecimiento de este manual de

uso de la tecnología de la información que dispone la institución.

a) Crear y definirlas políticas generales y específicas que faciliten la ejecución de las

actividades de tecnología de la información en las diferentes áreas de la Institución.

b) Promover el uso adecuado de los recursos humanos, materiales y activos tecnológicos

c) Normar los procesos de información con la finalidad de mejorar el rendimiento de la

d) Establecer las políticas para resguardo y garantía de acceso apropiado de la información

DEPARTAMENTO DE Catedrático: Ing. Rafael E. Diaz del Valle O.

plataformas tecnológicas disponibles. La posibilidad de interconectarse a través de redes, ha

de las fronteras nacionales, lo cual lógicamente ha traído consigo, la aparición de nuevas

amenazas para los sistemas de información.

Definición de política de seguridad

recursos y servicios informáticos de la organización.

visión conjunta de lo que se considera importante.

Las Políticas de Seguridad Informática deben considerar principalmente los siguientes

 Objetivos de la política y descripción clara de los elementos involucrados en su

los niveles de la organización.

Políticas de seguridad informática

DEPARTAMENTO DE Catedrático: Ing. Rafael E. Diaz del Valle O.

 Requerimientos mínimos para configuración de la seguridad de los sistemas que abarca el

 Definición de violaciones y sanciones por no cumplir con las políticas.

 Responsabilidades de los usuarios con respecto a la información a la que tiene acceso.

deberán establecer las expectativas de la organización en relación con la seguridad y especificar

la autoridad responsable de aplicar los correctivos o sanciones.

las mismas, claro está sin sacrificar su precisión.

de personal, cambios en la infraestructura computacional, alta rotación de personal, desarrollo de

nuevos servicios, regionalización de la empresa, cambio o diversificación del área de negocios,

Parámetros para establecer políticas de seguridad.

DEPARTAMENTO DE Catedrático: Ing. Rafael E. Diaz del Valle O.

 Es importante que, al momento de formular las políticas de seguridad informática, se

consideren por lo menos los siguientes aspectos:

políticas a la realidad de la empresa.

 Comunicar a todo el personal involucrado sobre el desarrollo de las políticas, incluyendo

ellos los interesados en salvaguardar los activos críticos en su área.

 Monitorear periódicamente los procedimientos y operaciones de la empresa, de forma tal,

que ante cambios las políticas puedan actualizarse oportunamente.

 Detallar explícita y concretamente el alcance de las políticas con el propósito de evitar

situaciones de tensión al momento de establecer los mecanismos de seguridad que

respondan a las políticas trazadas.

Institution, la organización británica equivalente a AENOR en España) es responsable de la

empresa -británica o no- un conjunto de buenas prácticas para la gestión de la seguridad de su

DEPARTAMENTO DE Catedrático: Ing. Rafael E. Diaz del Valle O.

año de publicación formal de la revisión. A semejanza de otras normas ISO, la 27000 es

27019 y de 27030 a 27044.

 Reducción del riesgo de pérdida, robo o corrupción de información.

 Los clientes tienen acceso a la información a través medidas de seguridad.

 Los riesgos y sus controles son continuamente revisados.