Centro Universitario

Tecnológico

Dennis Abel Ramirez Erazo

31251305

Tarea Semana 2 Ing. Juan Carlos Inestroza

Sección: 845
 Índice
Introducción .................................................................................................................................3
Objetivo General ..........................................................................................................................3
Marco Teórico ..............................................................................................................................3
ITIL v4 ...........................................................................................................................................3
COBIT 2019...................................................................................................................................3
ISO 38500, similitud con COBIT 2019. .........................................................................................3
ISO 22301. ....................................................................................................................................3
¿BS 25999 porque está relacionada con ISO 22301? ...................................................................4
ISO 27001:2020 ............................................................................................................................4
ISO 27002:2022 ............................................................................................................................4
ISO 20000 -1 diferencia con ISO 20000 -2 ....................................................................................4
ISO 27005 .....................................................................................................................................4
ISO 27035 .....................................................................................................................................4
ISO 27003 .....................................................................................................................................5
ISO 27006 .....................................................................................................................................5
ISO 27007 .....................................................................................................................................5
ISO 15504 .....................................................................................................................................5
ISO 19770 .....................................................................................................................................5
PMI y certificación PMP ...............................................................................................................5
NIST SP 800-100 ...........................................................................................................................5
CONTROLES SOX ...........................................................................................................................6
COSO ............................................................................................................................................6
MAGERIT ......................................................................................................................................6
TOGAF ..........................................................................................................................................6
Bibliografía ...................................................................................................................................7
Enlaces Videos ............................................................................................................................10
 Introducción
Esta investigación contiene un resumen de varias normas ISO, estándares y
metodologías que apoyan la gestión de la Seguridad de la Información.

Objetivo General
Generar conocimiento sobre los conceptos de la investigación.

Marco Teórico
A continuación, se presentan varias Normas ISO y estándares relacionados a
la seguridad de la información.

ITIL v4
Es una guía de mejores practicas para la Administración de Servicios de TI, sirve para
abordar nuevos desafíos de la administración de servicios y utilizar la tecnología
moderna.

COBIT 2019
Proporciona una guía y medios para mantener un sistema de gobierno optimo
confirme a las principales normas, marcos y regulaciones relacionadas, contribuye en
la estructuración de procesos y toma de decisiones y crear un sistema de gobierno
efectivo de la información y tecnología

ISO 38500, similitud con COBIT 2019.

La norma ISO 38500 supone la base para que la dirección de la empresa evalúe, dirija
y monitorice el uso de las tecnologías de la información y comunicación (TIC). La
norma fija los estándares para el buen gobierno de los procesos y decisiones tomadas
por los departamentos de TIC, así como las acciones de otros departamentos e
incluso proveedores externos.

La ISO 38500 y COBIT 2019 tienen la similitud en que ambas apoyan en la creación y
mejora de los sistemas de gobierno en las instituciones.

ISO 22301.
La ISO 22301 esta formada por 10 controles o clausulas.
La ISO 22301:2019 es la última versión de la norma internacional para sistemas de
gestión de la continuidad de negocio (SGCN) y proporciona un marco de buenas
prácticas para ayudar a las organizaciones a gestionar eficazmente el impacto de una
interrupción en su funcionamiento.
 ¿BS 25999 porque está relacionada con ISO 22301?
La BS 25999-2 era una norma británica publicada en 2007, y rápidamente se convirtió
en la norma principal para la gestión de la continuidad del negocio: fue reemplazada
por ISO 22301 en 2012.
BS 25999 se relaciona con ISO 22301 ya que son normas que proporcionan
estándares para los sistemas de gestión de continuidad del negocio.

ISO 27001:2020
La ISO 27001:2020 para Sistemas de Gestión de Seguridad de la Información en su
ultima versión aumenta el prestigio de la organización y mejora la confianza de los
clientes en los servicios prestados.

ISO 27002:2022
Publicada su nueva versión el 15 de febrero del 2022, y proporciona una guía de
buenas practicas para la implementación de controles en el tratamiento de los riesgos
de seguridad de la información.

Su principal cambio es su nombre: "Seguridad de la información, ciberseguridad y

protección de la privacidad- controles de seguridad de la información"

ISO 20000 -1 diferencia con ISO 20000 -2.

El ISO 20000-1 es un estándar de calidad creado por la International Organization for
Standarization (ISO) y se utiliza para la certificación de los servicios de gestión
y soporte TI.
La norma ISO 20000-1 se sirve de un control exhaustivo de la gestión de los servicios
de gestión y soporte TI para operar bajo unos procesos que sirvan para conseguir un
servicio efectivo.
En la norma se especifican procesos relacionados con la configuración de sistemas,
así como la gestión y solución de problemas en la TI. Una de las características
fundamentales de la norma es su facilidad para alinearse con otras normas que facilita
el trabajo en las empresas para la implementación de sistemas integrados.
La ISO/IEC 20000-2 describe con mayor detalle la importancia de implantar un SGSTI,
por eso se le dice que el consultor de la ISO 2000-1

ISO 27005
ISO 27005 Gestión de riesgos de la Seguridad de la información, el riesgo se define
como una amenaza que explota la vulnerabilidad de un activo pudiendo causar daños,
La norma contiene diferentes recomendaciones y directrices generales para la gestión
de riesgo en Sistemas de Gestión de Seguridad de la Información

ISO 27035
ISO 27035 Gestión de incidentes de seguridad de la información, se enfoca en
mejores practicas sobre la gestión de la información de incidentes de seguridad, dicha
gestión de incidentes da lugar a la creación de controles de detección y corrección
destinadas a reducir los impactos desfavorables.
 ISO 27003
ISO 27003 es un estándar internacional que constituye una guía para la implantación de
un SGSI.
Especifica el proceso de conseguir una aprobación para la implementación de un SGSI,
define el proyecto para dicho acometido, el cual es llamado en la norma ISO
27003 proyecto de SGSI, y da instrucciones sobre cómo abordar la planificación de la
gestión para implementar el SGSI.

ISO 27006
ISO 27006 es el estándar que proporciona una guía para garantizar la validez de las
certificaciones de los SGSI, el proceso de certificación consiste en auditar un SGSI para
el cumplimiento de ISO 27001.

ISO 27007
ISO 27007 proporciona una guía para que las organizaciones certificadas puedan
realizar las auditorías a los SGSI

ISO 15504
Denominada como Determinación de la Capacidad de Mejora del Proceso de Software,
proporciona un modelo para evaluar la capacidad en los procesos de desarrollo de
software.

ISO 19770
Es un estándar internacional relacionado con la gestión de activos de software,
constituida por 4 partes:

• Conjunto base de procesos para la gestión de activos de software.

• Estándar de datos para etiquetas de identificación de activos de software.
• Definición técnica de un esquema XML.
• Estándar internacional para la medición de utilización de recursos.

PMI y certificación PMP

Project Managament Instituto PMI es un proveedor de certificaciones profesionales
con las cuales dicha institución asegura que preparan a los profesionales con las
demandas de los proyectos y los empleadores de todo el mundo.
Project Management Professional PMP es la certificación de gestión de proyectos
líder en el mundo. Ahora que incluye enfoques predictivos, ágiles e híbridos, el
PMP ® demuestra experiencia en liderazgo de proyectos y experiencia en cualquier
forma de trabajo. Impulsa las carreras de los líderes de proyectos en todas las industrias
y ayuda a las organizaciones a encontrar a las personas que necesitan para trabajar de
manera más inteligente y desempeñarse mejor.

NIST SP 800-100
Es un manual de seguridad de la información: una guía para gerentes". Es un conjunto de
recomendaciones del Instituto Nacional de Estándares y Tecnología sobre cómo administrar
la seguridad de la información en su empresa. Está escrito para gerentes.
 CONTROLES SOX
SOX propone un entorno de control mínimo para asegurar los sistemas de información
que soporta la transaccionalidad de la información financiera, de manera que ésta
conserve los principios de:

• Disponibilidad
• Confidencialidad e
• Integridad de la información.

COSO
COSO (Committee of Sponsoring Organizations of the Tradeway Commission) es una
organización dedicada a proporcionar un modelo común de orientación a las entidades
sobre aspectos fundamentales de:

• Gestión ejecutiva y de gobierno,

• Ética empresarial,
• Control interno,
• Gestión del riesgo empresarial,
• Control del fraude, y
• Presentación de informes financieros.

MAGERIT
MAGERIT es la metodología de análisis y gestión de riesgos es una metodología de
carácter público que puede ser utilizada libremente y no requiere autorización previa.
Es de interés principalmente a las entidades en el ámbito de aplicación del Esquema
Nacional de Seguridad (ENS) para satisfacer el principio de la gestión de la seguridad
basada en riesgos, así como el requisito de análisis y gestión de riesgos, considerando
la dependencia de las tecnologías de la información para cumplir misiones, prestar
servicios y alcanzar los objetivos de la organización.

TOGAF
Es una arquitectura empresarial que ofrece un marco de alto nivel para el desarrollo de
software empresarial. Ayuda a organizar el proceso de desarrollo a través de un enfoque
sistemático para reducir los errores, mantener los plazos, mantenerse dentro del
presupuesto y alinear la TI con las unidades de negocios para producir resultados de
calidad.

Bibliografía
Apser, E. R. (2015, mayo 7). ¿Qué es el ISO 20000 y que tiene que ver con la

gestión y soporte TI? apser - Cloud Computing. https://apser.es/que-es-

el-iso-20000-y-que-tiene-que-ver-con-la-gestion-y-soporte-ti/

editors. (2019, mayo 30). ISO 27006 el estándar que garantiza la validez de las

certificaciones de los SGSI. Software ISO.

https://www.isotools.org/2019/05/30/iso-27006-el-estandar-que-

garantiza-la-validez-de-las-certificaciones-de-los-sgsi/

Fundamentos de COBIT 2019. (s/f). Isaca.Org. Recuperado el 30 de abril de

2022, de

https://engage.isaca.org/madridchapter/certificaciones/fundamentosco

bit2019

Gestión. (2021, septiembre 30). ISO 20000-2: el consultor perfecto para la

ISO/IEC 20000-1. itSM4U. https://news.itsmf.es/iso-20000-2-el-

consultor-perfecto-para-la-iso-iec-20000-1/

Grajales, L. (s/f). Todo lo que debes saber sobre la nueva versión de la ISO

27002:2022. B-secure.co. Recuperado el 30 de abril de 2022, de

https://www.b-secure.co/blog/todo-lo-que-debes-saber-sobre-la-nueva-

version-de-la-iso-270022022
ISO 27035 Gestión de incidentes de seguridad de la información. (2014, mayo

2). PMG SSI - ISO 27001. https://www.pmg-ssi.com/2014/05/iso-

27035-gestion-de-incidentes-de-seguridad-de-la-informacion/

ISO 38500 la norma para Gobierno de TI. (s/f). Prakmatic.com. Recuperado el

30 de abril de 2022, de https://www.prakmatic.com/iso-38500-la-

norma-para-gobierno-de-ti/

ISO/IEC 27003 - Guía para la implementación de un Sistema de Gestión de

Seguridad de la Información. (2014, enero 17). PMG SSI - ISO 27001.

https://www.pmg-ssi.com/2014/01/isoiec-27003-guia-para-la-

implementacion-de-un-sistema-de-gestion-de-seguridad-de-la-

informacion/

ISO/IEC 27007 : Guía para proceder a auditar un SGSI. (2014, junio 25).

Isotools.cl. https://www.isotools.cl/isoiec-27007/

ITIL 4 - ¿Qué es? - Conoce todos los detallles. (2019, junio 26). Aranda

Software. https://arandasoft.com/blog/itil-4/

Ley SOX: Todo Lo Que Hay Que Saber Para Entornos IT. (2021, mayo 20).

Freelancer Blog. https://www.freelancermap.com/blog/es/ley-sox-it/

MAGERIT v.3 : Metodología de Análisis y Gestión de Riesgos de los Sistemas

de Información. (s/f). Gob.es. Recuperado el 30 de abril de 2022, de

https://administracionelectronica.gob.es/pae_Home/pae_Documentaci

on/pae_Metodolog/pae_Magerit.html
Nueva ISO 27002:2022. (2022, febrero 22). Áudea.

https://www.audea.com/nueva-iso-270022022/

Pirani. (s/f). Conoce COSO, una visión 360° para gestionar el riesgo.

Piranirisk.com. Recuperado el 30 de abril de 2022, de

https://www.piranirisk.com/es/academia/especiales/coso-una-vision-

360-grados-para-gestionar-el-riesgo

¿Qué es norma BS 25999? (s/f). 27001Academy. Recuperado el 30 de abril de

2022, de https://advisera.com/27001academy/es/what-is-bs-25999/

¿Qué es TOGAF? Una metodología de arquitectura empresarial para negocios.

(2022, abril 29). Ciospain.es. https://www.ciospain.es/finanzas/que-es-

togaf-una-metodologia-de-arquitectura-empresarial-para-negocios

Toro, R. (2017, enero 5). ISO 27005: Seguridad de la Información y de las

comunicaciones. PMG SSI - ISO 27001. https://www.pmg-

ssi.com/2017/01/iso-27005-como-identificar-los-riesgos/

Toro, R. (2018, enero 18). ¿Qué es el estándar internacional ISO/IEC

15504? PMG SSI - ISO 27001. https://www.pmg-

ssi.com/2018/01/estandar-internacional-iso-iec-15504/

Wikipedia contributors. (s/f). ISO/IEC 19770. Wikipedia, The Free

Encyclopedia.

https://es.wikipedia.org/w/index.php?title=ISO/IEC_19770&oldid=1251

01223
(S/f). Pmi.org. Recuperado el 30 de abril de 2022, de

https://www.pmi.org/certifications?sc_camp=D750AAC10C2F4378CE6

D51F8D987F49D

Enlaces Videos
Tarea Semana 2

https://youtu.be/nkTNzPm0aZM

Tarea Semana1

https://youtu.be/bMJkKol-tRs