Documentos de Académico
Documentos de Profesional
Documentos de Cultura
UNIVERSIDAD NACIONAL
IS-811 Seguridad Informática
RAC#2
AUTÓNOMA DE HONDURAS Catedrático: Ing. Rafael E. Diaz del Valle O.
DEPARTAMENTO DE
INGENIERÍA EN SISTEMAS
RAC#2
Elaborado por:
Lugar y fecha:
Universidad Nacional Autónoma de Honduras | CIUDAD UNIVERSITARIA | Tegucigalpa M.D.C. Honduras C.A | www.unah.edu.hn Univers
Página
UNAH
UNIVERSIDAD NACIONAL
IS-811 Seguridad Informática
RAC#2
AUTÓNOMA DE HONDURAS Catedrático: Ing. Rafael E. Diaz del Valle O.
DEPARTAMENTO DE
INGENIERÍA EN SISTEMAS
Índice
Introducción.................................................................................................................................. 1
Objetivos....................................................................................................................................... 2
Marco de Referencia....................................................................................................................... 3
Definición de política de seguridad............................................................................................4
Parámetros para establecer políticas de seguridad.....................................................................6
ISO 27000................................................................................................................................. 6
Beneficios.............................................................................................................................. 7
Aspectos Clave....................................................................................................................... 8
Riesgos.................................................................................................................................. 9
¿Qué es la gobernanza de las TIC?..........................................................................................10
Principales normas de Gobernanza de TI.................................................................................10
COBIT................................................................................................................................... 11
COBIT 5.............................................................................................................................. 12
COBIT 5 Guías habilitadoras..................................................................................................12
COBIT 5 Guías profesionales.................................................................................................12
ITIL....................................................................................................................................... 14
Análisis....................................................................................................................................... 17
Conclusiones............................................................................................................................... 20
Referencias.................................................................................................................................. 21
Universidad Nacional Autónoma de Honduras | CIUDAD UNIVERSITARIA | Tegucigalpa M.D.C. Honduras C.A | www.unah.edu.hn Univers
Página
UNAH
UNIVERSIDAD NACIONAL
IS-811 Seguridad Informática
RAC# 2
AUTÓNOMA DE HONDURAS
Introducción
La intención de este documento RAC (Resumen, Análisis, Conclusiones) es poder demostrar el
importancia para el entendimiento de los procesos empleados en esta rama tan amplia de la
informática.
Universidad Nacional Autónoma de Honduras | CIUDAD UNIVERSITARIA | Tegucigalpa M.D.C. Honduras C.A | www.unah.edu.hn
Página 1 de 23
UNAH
UNIVERSIDAD NACIONAL
IS-811 Seguridad Informática
RAC# 2
AUTÓNOMA DE HONDURAS
Objetivos
Objetivo General
informática.
Objetivo Especifico
Conocer los distintos estándares que existen con el fin de identificarlos y poder tomar las
Universidad Nacional Autónoma de Honduras | CIUDAD UNIVERSITARIA | Tegucigalpa M.D.C. Honduras C.A | www.unah.edu.hn
Página 2 de 23
UNAH
UNIVERSIDAD NACIONAL
IS-811 Seguridad Informática
RAC# 2
AUTÓNOMA DE HONDURAS
Marco de Referencia
Marco Conceptual
relacionada con las computadoras y las tecnologías afines aplicadas a la toma de decisiones. En
los sistemas de información la ética debe estar presente, por lo que la DIGEIG como institución
políticas pueda transparentar y dar idoneidad a los métodos que son utilizados para manejar el
Los objetivos del Manual de Políticas de Tecnología de la Información de la DIGEIG, son los
siguientes:
adecuados.
DIGEIG.
de la DIGEIG.
Universidad Nacional Autónoma de Honduras | CIUDAD UNIVERSITARIA | Tegucigalpa M.D.C. Honduras C.A | www.unah.edu.hn
Página 3 de 23
UNAH
UNIVERSIDAD NACIONAL
IS-811 Seguridad Informática
RAC# 2
AUTÓNOMA DE HONDURAS
La seguridad informática ha tomado gran auge, debido a las cambiantes condiciones y nuevas
abierto nuevos horizontes a las empresas para mejorar su productividad y poder explorar más allá
que las mismas establecen un canal formal de actuación del personal, en relación con los
Como una política de seguridad debe orientar las decisiones que se toman en relación con
la seguridad, se requiere la disposición de todos los miembros de la empresa para lograr una
elementos:
Alcance de las políticas, incluyendo facilidades, sistemas y personal sobre la cual aplica.
definición.
Responsabilidades por cada uno de los servicios y recursos informáticos aplicado a todos
Universidad Nacional Autónoma de Honduras | CIUDAD UNIVERSITARIA | Tegucigalpa M.D.C. Honduras C.A | www.unah.edu.hn
Página 4 de 23
UNAH
UNIVERSIDAD NACIONAL
IS-811 Seguridad Informática
RAC# 2
AUTÓNOMA DE HONDURAS
alcance de la política.
Las políticas de seguridad informática, también deben ofrecer explicaciones comprensibles sobre
por qué deben tomarse ciertas decisiones y explicar la importancia de los recursos. Igualmente,
Otro punto importante, es que las políticas de seguridad deben redactarse en un lenguaje sencillo
y entendible, libre de tecnicismos y términos ambiguos que impidan una comprensión clara de
Por último, y no menos importante, el que las políticas de seguridad, deben seguir un proceso de
actualización periódica sujeto a los cambios organizacionales relevantes, como son: el aumento
etc.
Universidad Nacional Autónoma de Honduras | CIUDAD UNIVERSITARIA | Tegucigalpa M.D.C. Honduras C.A | www.unah.edu.hn
Página 5 de 23
UNAH
UNIVERSIDAD NACIONAL
IS-811 Seguridad Informática
RAC# 2
AUTÓNOMA DE HONDURAS
Efectuar un análisis de riesgos informáticos, para valorar los activos y así adecuar las
los beneficios y riesgos relacionados con los recursos y bienes, y sus elementos de
seguridad.
Identificar quién tiene la autoridad para tomar decisiones en cada departamento, pues son
ISO 27000
Desde 1901, y como primera entidad de normalización a nivel mundial, BSI (British Standards
publicación de importantes normas como: 1979 Publicación BS 5750 - ahora ISO 9001 1992
Publicación BS 7750 - ahora ISO 14001 1996 Publicación BS 8800 - ahora OHSAS 18001 La
norma BS 7799 de BSI aparece por primera vez en 1995, con objeto de proporcionar a cualquier
Universidad Nacional Autónoma de Honduras | CIUDAD UNIVERSITARIA | Tegucigalpa M.D.C. Honduras C.A | www.unah.edu.hn
Página 6 de 23
UNAH
UNIVERSIDAD NACIONAL
IS-811 Seguridad Informática
RAC# 2
AUTÓNOMA DE HONDURAS
información. La primera parte de la norma (BS 7799-1) es una guía de buenas prácticas, para la
que no se establece un esquema de certificación. Es la segunda parte (BS 7799-2), publicada por
primera vez en 1998, la que establece los requisitos de un sistema de seguridad de la información
(SGSI) para ser certificable por una entidad independiente. Las dos partes de la norma BS 7799
se revisaron en 1999 y la primera parte se adoptó por ISO, sin cambios sustanciales, como ISO
17799 en el año 2000. En 2002, se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO
de sistemas de gestión.
En 2005, con más de 1700 empresas certificadas en BS7799-2, este esquema se publicó por ISO
como estándar ISO 27001, al tiempo que se revisó y actualizó ISO17799. Esta última norma se
renombra como ISO 27002:2005 el 1 de Julio de 2007, manteniendo el contenido, así como el
realmente una serie de estándares. Los rangos de numeración reservados por ISO van de 27000 a
Beneficios
Establecimiento de una metodología de gestión de la seguridad clara y estructurada.
comercial.
Universidad Nacional Autónoma de Honduras | CIUDAD UNIVERSITARIA | Tegucigalpa M.D.C. Honduras C.A | www.unah.edu.hn
Página 7 de 23
UNAH
UNIVERSIDAD NACIONAL
IS-811 Seguridad Informática
RAC# 2
AUTÓNOMA DE HONDURAS
Las auditorías externas ayudan cíclicamente a identificar las debilidades del sistema y las
áreas a mejorar.
Posibilidad de integrarse con otros sistemas de gestión (ISO 9001, ISO 14001, OHSAS
18001L).
y otras.
Aspectos Clave
Compromiso y apoyo de la Dirección de la organización.
Universidad Nacional Autónoma de Honduras | CIUDAD UNIVERSITARIA | Tegucigalpa M.D.C. Honduras C.A | www.unah.edu.hn
Página 8 de 23
UNAH
UNIVERSIDAD NACIONAL
IS-811 Seguridad Informática
RAC# 2
AUTÓNOMA DE HONDURAS
Organización y comunicación.
Riesgos
Exceso de tiempos de implantación: con los consecuentes costes descontrolados,
tipo organizativo.
reglamentos internos y externos. Estos requisitos de negocio y legales varían de acuerdo con el
Universidad Nacional Autónoma de Honduras | CIUDAD UNIVERSITARIA | Tegucigalpa M.D.C. Honduras C.A | www.unah.edu.hn
Página 9 de 23
UNAH
UNIVERSIDAD NACIONAL
IS-811 Seguridad Informática
RAC# 2
AUTÓNOMA DE HONDURAS
Tecnologías de la Información (TI) a los requisitos del negocio, teniendo como base la
La gobernanza de TI es de responsabilidad de las más altas esferas que lideran una organización ,
apoye y entienda las estrategias de los objetivos de negocios de la organización (ITGI 2007).
Universidad Nacional Autónoma de Honduras | CIUDAD UNIVERSITARIA | Tegucigalpa M.D.C. Honduras C.A | www.unah.edu.hn
Página 10 de 23
UNAH
UNIVERSIDAD NACIONAL
IS-811 Seguridad Informática
RAC# 2
AUTÓNOMA DE HONDURAS
COBIT
COBIT
COBIT es un marco de gobierno de las tecnologías de información que proporciona una serie de
herramientas para que la gerencia pueda conectar los requerimientos de control con los aspectos
técnicos y los riesgos del negocio. COBIT permite el desarrollo de las políticas y buenas
Mantenido por una organización sin fines de lucro, con reconocimiento internacional
(ISACA).
COBIT 5
Es el modelo corporativo COBIT 5 para la gobernanza y gestión de la TI en la organización, esto
Universidad Nacional Autónoma de Honduras | CIUDAD UNIVERSITARIA | Tegucigalpa M.D.C. Honduras C.A | www.unah.edu.hn
Página 11 de 23
UNAH
UNIVERSIDAD NACIONAL
IS-811 Seguridad Informática
RAC# 2
AUTÓNOMA DE HONDURAS
es, COBIT 5 propiamente dicho. Esta publicación presenta una visión holística del modelo
COBIT, siendo compuesta por principios, habilitadores, modelo de capacidad, entre otros temas
relacionadas denominadas Other Enabler Guides que serán desarrolladas por ISACA en al
futuro.
for information security), auditoría (COBIT 5 for assurance) y gestión de riesgos (COBIT 5 for
risk), además de otras guías profesionales relacionadas (Other Professional Guides), que serán
definidos en COBIT 5.
Universidad Nacional Autónoma de Honduras | CIUDAD UNIVERSITARIA | Tegucigalpa M.D.C. Honduras C.A | www.unah.edu.hn
Página 12 de 23
UNAH
UNIVERSIDAD NACIONAL
IS-811 Seguridad Informática
RAC# 2
AUTÓNOMA DE HONDURAS
en una organización.
colectiva, a la organización.
organización.
ITIL
ITIL (Information Technology Infraestructure Library o Biblioteca de Infraestructura de
Universidad Nacional Autónoma de Honduras | CIUDAD UNIVERSITARIA | Tegucigalpa M.D.C. Honduras C.A | www.unah.edu.hn
Página 13 de 23
UNAH
UNIVERSIDAD NACIONAL
IS-811 Seguridad Informática
RAC# 2
AUTÓNOMA DE HONDURAS
Las organizaciones cada vez dependen más de la las herramientas informáticas para llevar a cabo
su trabajo diario. Este trabajo además está gestionado y controlado a través de otros sistemas
informáticos, pudiendo estar éstos a su vez dentro de una red controlada por otros sistemas y así
sucesivamente. Por tanto, la complejidad de estos procesos hizo crecer la demanda y necesidad
de las entidades (públicas o privadas) de disponer de un modelo que les permitiera gestionar su
infraestructura TI más fácilmente y que pudieran dar soporte a los objetivos de negocio.
CCTA), que ideó y desarrollo una guía para que las oficinas del sector público británico fueran
más eficientes en su trabajo y por tanto se redujeran los costes derivados de los recursos TI.
Las certificaciones han variado en las distintas versiones de ITIL, siendo en la actualidad cuatro
Universidad Nacional Autónoma de Honduras | CIUDAD UNIVERSITARIA | Tegucigalpa M.D.C. Honduras C.A | www.unah.edu.hn
Página 14 de 23
UNAH
UNIVERSIDAD NACIONAL
IS-811 Seguridad Informática
RAC# 2
AUTÓNOMA DE HONDURAS
4. ITIL Master
La versión 3 de ITIL basa su estructura sobre el concepto de "ciclo de vida" de los servicios. Este
ciclo de vida se compone de 5 fases que se retroalimentan entre ellas de una manera cíclica y
donde los viejos conceptos de Provisión y Soporte al Servicio han sido integrados de otra forma
en dichas fases. Actualmente está vigente la edición 2011 de la versión 3 del estándar.
ITIL divide el ciclo de vida de un servicio en 5 fases, que se estudian con más detalle en las
Estrategia del servicio, cuyo propósito es definir qué servicios se prestarán, a qué clientes
y en qué mercados.
estrategia predefinida.
diseñados.
Mejora continua del servicio, a partir de los datos y experiencia acumulados propone
Universidad Nacional Autónoma de Honduras | CIUDAD UNIVERSITARIA | Tegucigalpa M.D.C. Honduras C.A | www.unah.edu.hn
Página 15 de 23
UNAH
UNIVERSIDAD NACIONAL
IS-811 Seguridad Informática
RAC# 2
AUTÓNOMA DE HONDURAS
Análisis
Hoy en día las empresas buscan manejar todos sus procesos y transferencia de datos de manera
segura evitando cualquier tipo de inconveniente que interfiera de manera intencional o no con
sus políticas de seguridad informática, por lo que han adoptado múltiples estándares de seguridad
con la finalidad de mejorar su gestión en distintas áreas. Entre los estándares que analizaremos a
ISO este compuesto por varios estándares los cuales son internacionales y están basados en la
Universidad Nacional Autónoma de Honduras | CIUDAD UNIVERSITARIA | Tegucigalpa M.D.C. Honduras C.A | www.unah.edu.hn
Página 16 de 23
UNAH
UNIVERSIDAD NACIONAL
IS-811 Seguridad Informática
RAC# 2
AUTÓNOMA DE HONDURAS
de que esta bien estructurada permitiendo a los clientes y socios importantes tener la confianza
de que la información de sus negocios cumpla con los requisitos de confidencialidad, integridad
y disponibilidad. Otra de las múltiples ventajas de estos estándares es que son revisados cada
cierto tiempo para mantenerlos actualizados y así evitar tener riesgos muy altos en la seguridad
de los datos, todo esto conlleva a mejorar de una manera imparcial y ética la imagen de las
organizaciones que aplican este grupo de buenas practicas las cuales son indispensables en la
COBIT es otro de los estándares aplicados con el fin de utilizar herramientas especificas
destinadas a la gerencia de los riesgos de las organizaciones. Este estándar va de la mano con el
uso de las tecnologías en toda la organización ya que uno de sus principales objetivos en enseñar
a los usuarios en este caso, los empleados del negocio a como manejar estas herramientas
tecnológicas de la mejor forma posible implementando una serie de reglamentos, los cuales se
conocen como buenas prácticas. Si las organizaciones emplean bien los estándares COBIT estas
aumentan su valor con la ayuda de las tecnologías utilizadas para sus procesos de negocios.
Se tiene un gran apoyo en su aprendizaje por parte de una comunidad de expertos realmente
que surgen día con día y que en la actualidad están mas vigentes que nunca debido a la creciente
Universidad Nacional Autónoma de Honduras | CIUDAD UNIVERSITARIA | Tegucigalpa M.D.C. Honduras C.A | www.unah.edu.hn
Página 17 de 23
UNAH
UNIVERSIDAD NACIONAL
IS-811 Seguridad Informática
RAC# 2
AUTÓNOMA DE HONDURAS
Al igual que los estándares ISO, COBIT permanece en constante evolución con el fin de
gestionar mejor los riesgos. Además, funciona en conjunto con otros estándares por lo cual es
muy flexible.
Los empleados reciben contantes capacitaciones que les ayuda a comprender mejor el uso de las
ITIL
Este estándar surgió como respuesta a la demanda que tenían las organizaciones por gestionar de
manera más eficiente sus tecnologías las cuales a su vez están en muchos casos enlazadas con
eficiente.
Este estándar se clasifica en 5 fases durante su ciclo de vida las cuales son las siguientes:
Diseño del servicio: en este se crean nuevos servicios según la demanda de los clientes o
bien se modifican los que ya se ofrecen y se revisa que cumplan con los requisitos
Transición del servicio: Se empieza a utilizar el servicio verificando que todo funciona
con normalidad,
Operación del servicio: se le brinda mantenimiento a los servicios que fueron iniciados
Universidad Nacional Autónoma de Honduras | CIUDAD UNIVERSITARIA | Tegucigalpa M.D.C. Honduras C.A | www.unah.edu.hn
Página 18 de 23
UNAH
UNIVERSIDAD NACIONAL
IS-811 Seguridad Informática
RAC# 2
AUTÓNOMA DE HONDURAS
en la fase anterior prestando atención a que todos sus procesos funcionen de forma
Mejora continua del servicio: utilizando los datos recopilados después de cierto tiempo
en el cual el servicio está en operación se diseñan nuevas funciones para este de ser
necesario.
Conclusiones
tecnologías.
Los estándares ISO al ser aplicados de la manera correcta generan confianza y reglas
Uno de los riegos de seguridad más comunes en una empresa es no asumir que la
El Establecimiento de políticas y normas tanto como la mejora continua son dos de los
Universidad Nacional Autónoma de Honduras | CIUDAD UNIVERSITARIA | Tegucigalpa M.D.C. Honduras C.A | www.unah.edu.hn
Página 19 de 23
UNAH
UNIVERSIDAD NACIONAL
IS-811 Seguridad Informática
RAC# 2
AUTÓNOMA DE HONDURAS
servicios lo cual es una gran ventaja ya que proporciona una estrategia clara a seguir en la
Referencias
ISO2700
de 2021, de https://campusvirtual.unah.edu.hn/mod/folder/view.php?id=1932720
2021, de https://campusvirtual.unah.edu.hn/mod/folder/view.php?id=1932722
Universidad Nacional Autónoma de Honduras | CIUDAD UNIVERSITARIA | Tegucigalpa M.D.C. Honduras C.A | www.unah.edu.hn
Página 20 de 23
UNAH
UNIVERSIDAD NACIONAL
IS-811 Seguridad Informática
RAC# 2
AUTÓNOMA DE HONDURAS
2021, de https://campusvirtual.unah.edu.hn/mod/folder/view.php?id=1932724
Universidad Nacional Autónoma de Honduras | CIUDAD UNIVERSITARIA | Tegucigalpa M.D.C. Honduras C.A | www.unah.edu.hn
Página 21 de 23