C

en
tr
o
U
ni
ve
rsi
ta
ri
 Índice
Introducción.................................................................................................................................3
Objetivo General..........................................................................................................................3
Marco Teórico..............................................................................................................................3
Reglamento de Gobiernos Electrónico en Honduras....................................................................4
Normativa de la CNBS..................................................................................................................9
ISO 27799 – Seguridad de la Información del sector sanitario...................................................11
ISO 27701 – Gestión de la privacidad de la información............................................................11
ISO 27017 – Seguridad de los servicios Cloud............................................................................11
Diferencias entre ISO 31000 e ISO 27005 y magerit...................................................................12
Diferencia entre ISO 22301:2012 e ISO 22301:2019..................................................................12
Comparación entre ISO 27035 e ISO 27001...............................................................................13
Indicar la importancia actual de GDPR en Honduras..................................................................13
Firma Electrónica en Honduras..................................................................................................13
ISO 27013 Integración del SGSI y SGS.........................................................................................13
DevSegOps.................................................................................................................................14
Diferencia entre ITIL v4 e ITIL v3................................................................................................14
Conclusiones..............................................................................................................................14
Bibliografía.................................................................................................................................15
 Introducción
Esta investigación contiene un resumen de los siguientes puntos:
 Reglamento de gobierno electrónico de Honduras
 Normativa de la CNBS
 ISO 27799 – Seguridad de la Información del sector sanitario
 ISO 27701 – Gestión de la privacidad de la información
 ISO 27017 – Seguridad de los servicios Cloud
 Cuadro Comparativo diferencias entre Iso 31000 e ISO 27005 y magerit
 Diferencia entre ISO 22301:2012 e ISO 22301:2019
 Comparación entre ISO 27035 e ISO 27001.
 Indicar la importancia actual de GDPR en Honduras
 Firma Electrónica en Honduras
 ISO 27013 Integración del SGSI y SGS
 DevSegOps
 Diferencia entre ITIL v4 e ITIL v3

Objetivo General
Generar conocimiento sobre los temas investigados ampliando el vocabulario
utilizado en el ámbito de auditorías informáticas.

Marco Teórico
Esta investigación se realiza para generar conocimiento relacionado a los
temas de auditorías informáticas, respecto a normativas ISO y controles y
tecnologías que se deben utilizar en las diferentes instituciones sean públicas o
privadas.
 Reglamento de Gobiernos Electrónico en Honduras
El Gobierno Digital en Honduras fue una de las iniciativas promovidas durante el 2020
cuando estaba en auge la pandemia del covid 19, con dicha iniciativa lo que se busco
fue brindar soluciones tecnológicas para minimizar la aglomeración de personas al
momento de realizar trámites en las instalaciones gubernamentales y que dichas
transacciones pudieran realizarse por medios electrónicos o digitales.
Es importante mencionar que la falta de reglamentación de los procedimientos para el
Gobierno Electrónico entorpece los impulso y evita o atrasa en cierto modo la
innovación tecnológica en las instituciones gubernamentales.
Para fortalecer dicha iniciativa se decretó el reglamento sobre el Gobierno Electrónico.
Dentro del objeto y alcance se busca la implementación del modelo a seguir, además
del ecosistema de Gobierno electrónico el cual es un conjunto de sistemas
informáticos, plataformas, tecnologías (hardware y software) y los procesos o
procedimientos a utilizar, adicional a esto se busca la creación de expedientes
electrónicos y las firmas electrónicas.
También se contempla la capacitación del recurso humano con el fin de desarrollar las
competencias necesarias para utilizar de forma eficiente cada una de las herramientas
digitales.
Dentro de los principios del gobierno electrónico se pueden mencionar:
1. Accesibilidad; La posibilidad de llegar al mayor número de personas posible
con tecnologías seguras.
2. Adecuación tecnológica; Promueve el uso estandarizado de las tecnologías
y su adopción en todos los niveles.
3. Buenas Fe; Instruye a las partes interesadas que intervengan en los
procesos de tramitación del expediente electrónico en actuar de buena fe.
4. Ética; Un valor que debe tener toda persona o servidor público.
5. Celeridad y Economía Procesal; los procesos deben realizarse dentro de
los plazos establecidos con agilidad y rapidez, siempre orientados a la
reducción de tiempo costo y esfuerzo
6. Cooperación: Es de suma importancia la cooperación entre servidores e
instituciones públicas.
7. Economía; Enfoque a utilizar las herramientas que aseguren el mayor
ahorro.
8. Eficacia: Gestionar las solicitudes de manera pronta, eficaz y oportuna.
9. Enfoque en el usuario: Se considera la experiencia del usuario como parte
integral
10. Fidelidad , Disponibilidad e Inalterabilidad de la Información; toda actuación
procesal será conservada en el expediente electrónico
11. Igualdad; Promueva la igualdad de derechos y ls restricciones o
discriminaciones para los ciudadanos que se relaciones con funcionarios
públicos.
12. Informalismo; Evita la burocracia y evita los aspectos formales dentro del
procedimiento.
13. Interoperabilidad: Fomenta la relación entre todos sus órganos de
administración pública mediante medios electrónicos que aseguren la
interoperabilidad y seguridad de los datos.
 14. Legalidad; Se deberán solicitar a los clientes solo los requisitos en base a la
ley.
15. Neutralidad; Todos los sistemas utilizados deben estar basados en
estándares internacionales.
16. Presunción de veracidad; se presume que todos los documentos
proporcionados por los clientes contienen la verdad de los hechos que
afirman.
17. Transparencia: Toda gestión realizada deben poder ser verificable y
transparente, cada uno de los sistemas utilizados debe poder ser auditables
y además permitir la trazabilidad de sus procesos.
18. Unidad de la administración: Se debe evitar ser redundantes a la hora de
pedir los requisitos, toda la información debe estar almacenada en una BD
desde la cual se deberá poder consultar.
19. Protección a los datos Personales: el Gobierno Digital debe ser capaz de
garantizar la protección de cada uno de los datos con los respectivos
permisos para su utilización.
La actuación administrativa automatizada es un enfoque en el cual es requerido que
los sistemas tengan la programación necesaria para evitar la intervención física y de
esta forma automatizar los procesos.
Con el uso de Cadena de bloques las bases de datos utilizadas deberán contener un
sello de tiempo y un enlace al documento anterior lo cual permitirá únicamente la
modificación de toda la cadena y no solo de un ítem, con esto se garantiza la
integridad referencial de los datos.
En cuanto a los Derechos emitidos en el decreto, se fomenta el libre acceso a los
servicios digitales para personas naturales y jurídicas mediante peticiones por si
mismo o por apoderado legal, además de el resguardo eficiente y trasparente de la
información la cual deberá ser compartida únicamente entre instituciones del estado
con previa autorización del usuario, dicha información podrá ser consultada por el
usuario ya sea para actualización o modificación y mantener registros o bitácoras de
los usuarios que han accedido a la información junto con el motivo de la consulta.
En cuanto a Deberes, los usuarios tienen la obligación de proveer información
verdadera además de la custodia correcta de sus contraseñas evitando su uso por
terceros no autorizados, adicional a esto es responsabilidad de cada usuario cumplir
con todos los requisitos solicitados, mantener su información actualizada y reportar
cualquier anomalía que presenten las plataformas digitales.
En cuanto a Prohibiciones, estas van enfocadas en su mayoría a la negación de
información o servicios de la información por parte de las instituciones o servidores
públicos, además de prohibir cobros indebidos o no contemplados en el marco legal.
La administración o liderazgo del Gobierno Electrónico se realizará a través del
Despacho de Gestión e Innovación Publica, este despacho es el encargado de las
mejoras relacionadas a la gestión integral de procesos de tecnologías de la
información.
Dentro de las facultades del Despacho de Gestión e Innovación Publica están:

 Impulsar la transformación Digital.

 Seguimiento integral de los objetivos.
 Coordinar el fácil acceso a la población a los servicios tecnológicos.
  Fomentar el uso de las herramientas digitales.
 Recomendar los cambios necesarios para el impulso y adopción de las
nuevas tecnologías.
 Representar al gobierno ante organismos internacionales
 Definir las estrategias a seguir para la transformación y adopción digital.
 Supervisar y aprobar todos los proyectos de transformación digital
como:
o Uso de correo electrónico
o Estándares de Ciberseguridad, calidad y diseño.
 Colaborar con el Instituto de acceso a la Información en todo lo
referente al acceso y protección de los datos.
 Crear reglamentos y normativas
 Proponer mejores prácticas en materia tecnológica.
 Investigar tecnologías emergentes
 Elaborar informes, análisis y estudios de procesos y metodologías que
permitan la mejora continua del Gobierno electrónico.
 Mantener el inventario de las Bases de datos
 Crear comités para la ejecución de los proyectos
 Impulsar la participación ciudadana.
Adicional a esto el despacho cuenta con una serie de funciones:

 Normativa: Le permite dictar reglamentos autónomos y normas de

aplicación general, además de la tipificación de infracciones a las
mismas.
 Supervisora: Verificar el cumplimiento por parte de las entidades
gubernamentales.
 Consultiva: Le permite aclarar dudas de consultas realizadas de las
instituciones públicas como de los usuarios.
También existe el Consejo Asesor de Gobierno electrónico, confirmado por
representantes públicos y privados el cual actuara como un consejero o asesor en
todos los temas relacionados al gobierno electrónico.
Es responsabilidad de las instituciones que conforman la administración pública
inscribir los tramites que las personas naturales o jurídicas pueden solicitar a las
mismas, dicha inscripción comprende los pasos, requisitos, costos, documentos
finales, plazos, sitios web y cualquier otra información relevante para el usuario.
Los cambios a los tramites deberán ser previamente justificados y amparados bajo el
marco legal, los cambios masivos deberán ser consensuados por todas las
instituciones involucradas.
En relación con el uso de las tecnologías para la gestión administrativa fomentan la
utilización del software libre, siempre y cuando se pueda tener toda la libertad de uso
incluyendo el acceso al código fuente para analizarlo y adaptarlo a las necesidades
requeridas. En cuento al software licenciado debe cumplir con los criterios de ser
actualizable, escalable y tener las mejores condiciones respecto a precios y calidad.
La plataforma o sistema SIN+FILAS es el utilizado para la gestión de trámites y
servicios por medios electrónicos y sistema de información, este sistema tiene como
fin la simplificación de las tareas administrativas y dar agilidad y eficiencia a la
prestación de los servicios públicos.
El Despacho de Gestión e Innovación es el ente encargado de la administración de la
plataforma SIN+FILAS, el cual tiene un departamento dedicado para realizar las
siguientes tareas:

 Administración de usuarios
 Mantenimiento de las plataformas y portales web
 Soporte y actualizaciones
 Incorporación de nuevos tramites
 Y cualquier otra tarea en pro del funcionamiento de la plataforma.
Con la plataforma SIN+FILAS las instituciones gubernamentales podrán comprender la
capacidad de sus procesos proporcionados en notación gráfica, con esto se mejorará
la comunicación entre las instituciones y los participantes.
Con dicha plataforma se pretende mejorar y fortalecer la capacidad de servicio de las
instituciones, fomentar su cooperación, automatizar y simplificar los procedimientos
administrativos, automatizar las solicitudes de los tramites, evaluación contante de los
procesos, creación de mecanismos seguros para la interoperabilidad de sistemas,
definir los tramites prioritarios, capacitar a los colaboradores en el manejo de la
plataforma, elaboración de los instrumentos de medición, mapear periódicamente
tramites que se deban registrar y evaluar el cumplimiento de las aplicaciones.
La administración pública podrá contratar servicios en la nube según las modalidades:

 Infraestructura como servicio (IaaS): Servicios de almacenamientos y

capacidades de cómputo.
 Plataforma como servicio (PaaS): Ofrece todo lo necesario para soportar el
ciclo de vida completo de las aplicaciones y servicios web.
 Software como servicio (SaaS): Aplicaciones completas, ofrecidas como
servicio bajo demanda.
 Soluciones Mixtas: soluciones que combinan modalidades anteriores.
Las instituciones contratantes del servicio en la nube deberán analizar los costos y
verificar las garantías respecto a escalabilidad y seguridad ante ataques cibernéticos,
además de ser los responsables por el presupuesto para el pago del servicio, ya que
la interrupción por falta de pago tendrá responsabilidad civil para el titular y los
administradores de la institución.
Cada institución que contrate los servicio en la nueve debe contemplar el riesgo
operativo implicado y mantener o ejecutar todos los controles necesarios para el
resguardo de los datos.
El Despacho de gestión e Innovación es el ente encargado de definir los criterios y
estándares para la contratación de servicios en la nube.
Las instituciones públicas deben utilizar medios electrónicos oficiales para realizar sus
comunicados y para la comunicación interna e interinstitucional es obligatorio el uso de
correo electrónico de esta forma se garantiza que la información sea oficial y con
posibilidad a ser verificada .
Los documentos convertidos a formatos electrónicos deben contener los metadatos
correspondientes para asegurar la validez y permitir el tratamiento automático.
En la plataforma y sistemas deben quedar registradas cada una de las transacciones
realizadas las cuales formaran parte de un expediente electrónico, los cuales deben
poder ser trazables y auditables.
El registro electrónico permite la presentación de documentos los 365 días del año,
cuando se presente en un día no hábil se entenderá realizada en la primera hora del
siguiente día hábil.
Un administrador deberá estar a cargo del mantenimiento, modificación y correcto uso
de las plataformas, adicionalmente debe garantizar el correcto funcionamiento de las
plataformas, la seguridad informática, mantenimiento de usuarios, disponibilidad de
herramientas de diseño y programación, respaldos y su monitoreo.
Los usuarios que se puede gestionar en las plataformas son los siguientes:

 Internos: Forman parte del personal de la institución

 Temporales: usuarios que por razones justificadas tienen acceso a
la plataforma por determinado tiempo.
 Externos: son los usuarios que presentan las peticiones o solicitudes
de servicios.
El plazo para la creación de un usuario y contraseña es de 24 horas, los cuales se
comunicarán mediante correo electrónico.
Es responsabilidad del servidor público el correcto uso de sus credenciales, el uso
indebido dará lugar a procedimientos disciplinarios ya sea civiles o penales.
Las instituciones son responsables de realizar los controles respecto a la seguridad de
la información según la ley de trasparencias y acceso a la información, cada institución
deberá contar con personal capacitado y equipo de respuesta que pueda resolver
incidentes de seguridad informática, así mismo deberán mantener un catálogo de la
infraestructura críticas de seguridad, amenazas, vulnerabilidades e impactos y los
controles aplicados.
Adicionalmente para evitar vulnerabilidades las instituciones implementaran los
siguientes elementos de seguridad:

 Directrices de Seguridad de la Información.

 Controles de seguridad en los acticos de TIC
 Evidencia auditable de borrado seguro
 Mecanismos de autenticación y cifrado
 Redes abiertas estarán aisladas de la red de datos
 Cifrado en los medios de almacenamiento
 Respaldos de información
Se fomenta el uso de la firma electrónica para los tramites realizados por los
solicitantes o sus apoderados legales.
En cuanto las auditorias es evidente que debe existir un departamento de auditoría
que vele por el cumplimiento de cada uno de los controles mencionados en el decreto,
con esto se fomentaría la mejora continua y el crecimiento y calidad del Gobierno
electrónico.
Actualmente el sistema SIN+FILAS está en operación ofreciendo 15 distintos tipos de
tramites.
 Normativa de la CNBS
Las normas de la CNBS están amparadas en el estándar internacional ISO/IEC
17799:2000, dichas disposiciones son obligatorias para las instituciones supervisadas.
Las instituciones financieras reguladas deben tener un área responsable en materia de
tecnología y seguridad informática, dicha área es la responsable de crear políticas y
procedimientos para asegurar la integridad u continuidad de las operaciones.
Es de suma importancia mantener los registros históricos de los datos los cuales
deberán tener un resguardo de 5 años para las transacciones y 6 para las consultas,
así mismo mantener las bitácoras internas y externas con el registro de todas las
actividades.
Las auditorías internas son las encargadas de verificar la integridad, disponibilidad y
confidencialidad de la información, para ello se debe contar con departamentos o
personal capacitado.
Dichas auditorias deben tener un enfoque basado en los riesgos, como ser riesgos
externos e internos y además un análisis de los factores de riesgo existentes para
poder mitigarlos mediante controles o procedimientos.
Es importante el involucramiento de la Gerencia General ya que de su correcto
liderazgo dependerá el correcto desempeño del Administrador de Seguridad, el cual
deberá velar por la seguridad Informática de forma integral.
Las evaluaciones de seguridad son una herramienta que permiten conocer las
vulnerabilidades y así poder mitigarlas, en cuento a la implementación de cambios es
necesario contar con sistemas de pruebas (Qas) en donde se realicen todas las
pruebas pertinentes antes de realizar los cambios en los ambientes de Producción.
En relación con los usuarios y sus accesos es importante mantener la autorización con
al menos 2 factores y es de suma importancia la correcta configuración de los roles y
permisos otorgados a los usuarios en cada una de las plataformas a utilizar, además
de contar con políticas y mecanismos de administración y monitoreo.
En cuanto a la encriptación y seguridad en la red la institución debe contar con sitios
certificados para el acceso de los clientes por lo general con HTTPS, es importante
capacitar o comunicar a los clientes la forma de ingreso e identificación del sitio
correcto.
Las operaciones en internet deben ser autorizadas por el Gerente General, la conexión
a internet debe ser limitada o controlada y se debe procurar tener la red interna
separada de la de producción.
Las instituciones supervisadas deben contar con planes de contingencia actualizados,
dicha actualización se debe hacer 2 veces al año, estos planes deben apoyar en las
tareas de recuperación de la información y restablecimiento de los servicios en caso
de algún siniestro.
Todo contrato con terceros deberá comunicarse previamente a la CNBS antes de
firmarse para que esta pueda realizar observaciones relevantes en materia de
seguridad, confiabilidad y eficiencia.
Los servicios ofrecidos por la banca de forma electrónica se conectan a los sistemas
de producción de la institución, existen 4 niveles de servicios, si se incluye la
actualización de datos la banca será responsable de verificar la información antes de
ser aplicada en la base de datos.
Las instituciones financieras deben tener la capacidad de crear los usuarios y
contraseñas para el acceso electrónico, así como la administración para la
recuperación de contraseñas y las políticas de bloqueos y desbloqueos de usuarios y
contraseñas.
1 ARTÍCULO 3.- Definiciones
2 ARTÍCUIJO 7.- Unidad
Responsable
3 ARTÍCULO 9.- Procedimientos
Formales
4 ARTÍCULO 10.- Mantenimiento
de Registros
5 ARTÍCULO 11.- Período de
Resguardo
6 ARTÍCULO 12.- Mantenimiento
de Bitácoras
7 ARTÍCULO 13.- Auditoría de
Sistemas
8 ARTÍCULO 15.- Factores de
Riesgo
9 ARTÍCULO 16.- Proceso de
Auditoría Basada en Riesgos
1 ARTÍCULO 20.- Evaluaciones
0 de Seguridad
1 ARTÍCULO 23.-Informe de
1 Seguridad
1 ARTÍCULO 24.- Identificación
2 de Acceso
1 ARTÍCULO 25.- Reglas y
3 Procedimientos para Acceso
1 ARTÍCULO 29.- Encriptación de
4 Información
1 ARTÍCULO 33.- Requisitos de
5 Conexión de
Internet
1 ARTICULO 36.- Plan de
6 Contingencias
1 ARTICULO 42.- Contrato de
7 Prestación de Servicios
1 ARTICULO 44.- Medios de
8 Identificación
1 ARTÍCULO 50.- Validaciones
9 procedimientos almacenados en las aplicaciones.
2 ARTICULO 53.- Separación
0 de Servidores
Es importante conocer las definiciones bajo la
perspectiva tecnológica de información.
Siempre debe haber un área responsable que se
encargue de los controles y procedimientos
adecuados.
Los procedimientos son esenciales estos son las pautas
para las tareas a realizar.
Es importante mantener los registros e históricos esto
apoya la integridad de los datos.
Es importante saber cuánto tiempo debe estar
resguardada la información.
Casi ninguna empresa menciona que todo lo que se
hace en los sistemas es rastreable, esto es algo
importante que se le debe comunicar a los empleados.
Las auditorias ayudan a los sistemas de gestión de
calidad a mejorar sus procesos.
Conocer los factores de riesgo y como mitigarlo es de
suma importancia.
Es importante tener el pensamiento basado en riesgos
más aun cuando se trata de tecnología.
Las evaluaciones de seguridad deben ser periódicas y
con el objetivo de encontrar vulnerabilidades.
Es importante que se revisen los informes de
seguridad e implementar las recomendaciones para
mitigar los riesgos.
Por lo general en la banca se utiliza usuario y
contraseña más otro factor de autenticación
Es importante mantener una política de accesos.
Ya que la información en los bancos es sensible lo
normal es tener mecanismo de encriptación
El correcto uso o configuración de las conexiones es
muy importante para mantener los sistemas sin
problemas.
Los planes de contingencia son necesarios para poder
levantar las plataformas en caso de un siniestro.
Los servicios electrónicos son cada vez más necesarios
y vitales en la banca.
Es importante manejar al menos 2 de los 3 requisitos
de los mecanismos de identificación.
Es importante sabes que se deben utilizar
Es una buena práctica en cuanto a seguridad.
 ISO 27799 – Seguridad de la Información del sector sanitario
Esta norma se trabajó desde el año 2003 por el grupo TC215 WG4 y se publicó a
finales del 2006 en la comunidad científica, en 2008 se acogió por el sector sanitario
teniendo muy buena respuesta.
La ISO 27799 se creó contemplando las mejores prácticas llevadas a cabo en diversos
centros de atención primaria, clínicas, equipos de atención domiciliaria, hospitales, etc
Su objetivo es proporcionar controles de seguridad para proteger la información
personal en cuanto a temas de salud mediante 3 conceptos:
Confidencialidad+Integridad+Disponibilidad

ISO 27701 – Gestión de la privacidad de la información

Publicada en agosto del 2019, es una extensión certificable de la ISO 27001 en
materia de privacidad de datos, con el objetivo de mejorar los Sistemas de Gestión de
Seguridad de la Información y el cumplimiento del Reglamento general de Protección
de Datos, permitiendo a las organizaciones gestionar y comprobar periódicamente el
estado de cumplimiento.
La norma ISO 27701 le ayudará a:

 Aclarar las funciones y responsabilidades dentro de su organización.

 Genera confianza en la capacidad de su empresa para gestionar la información
personal, tanto para los clientes como para los empleados.
 Apoyar el cumplimiento del GDPR y otras normas de privacidad aplicables.
 Facilitar los acuerdos con los socios comerciales cuando el tratamiento de la
información de identificación personal sea relevante para ambas partes.

ISO 27017 – Seguridad de los servicios Cloud

Esta norma es un complemento de la ISO 27002 y su objetivo es establecer buenas
prácticas de seguridad en el marco de los servicios Cloud.
Esta norma se centra tanto en los proveedores de los servicios cloud como en la
seguridad del conjunto de servicios y además toma en cuenta el punto de cita del
cliente.
Esta norma, aunque no tiene una certificación como tal, provee de un compendio de
buenas prácticas en las que se incluyen recomendaciones de seguridad del servicio,
dichas recomendaciones son fáciles de integrar en un sistema basado en ISO 27001.
Según Romain Coplo, director de Ventas y Marketing en OVH España:
“La norma ISO 27017 permite estandarizar las relaciones entre los
clientes y los proveedores de servicios cloud mediante un modelo de
análisis e intercambio común, facilitando así la gestión. Las empresas
que se ajustan a la norma ISO 27017, permiten que los usuarios de sus
servicios disfruten de unas mejores garantías de seguridad”
Actualmente Amazon uno de los proveedores más grandes de servicio Cloud cuenta
con la certificación ISO 27017:
Información extraída de su portal:
“ISO/IEC 27017:2015 proporciona orientación sobre los aspectos de seguridad de
la información de la informática en la nube y recomienda la implementación de
controles de seguridad de la información específicos de la nube que complementan
las directrices de las normas ISO/IEC 27002 e ISO/IEC 27001. Este código de
conducta proporciona orientación sobre implementación de controles de seguridad
de la información adicionales específica para proveedores de servicios de nube.”

Esta normativa es aplicable a cualquier proveedor de servicios Cloud que quiera

integrar buenas prácticas y controles de seguridad.

Diferencias entre ISO 31000 e ISO 27005 y magerit

ISO 27005 Gestión de riesgos en Magerit Metodología de Análisis
ISO 31000 Gestión del Riesgo
la seguridad de la información. y gestión de Riesgos de los SI
Directrices para cualquier tipo Centrada en tecnologías de Enfocada a las administraciones
de organización. Información. públicas.
Se enfoca en analizar el impacto
Se enfoca en 3 principios de que puede tener para la
Se basa en 11 principios
evaluación de riesgos empresa la violación de la
seguridad.
Comprende el tratamiento,
Implica integrar, diseñar,
aceptación, comunicación, Provee técnicas y ejemplos de
implementar, valorar y mejorar
consulta, monitoreo y revisión cómo realizar análisis de riesgos.
la gestión de riesgos.
de los riesgos.

Diferencia entre ISO 22301:2012 e ISO 22301:2019

Sistemas de Gestión de Continuidad del Negocio
Capitulo ISO 22301:2012 ISO 22301:2019
0.2 El Modelo PHVA 0.2 Beneficios de un sistema de gestión de
continuidad del negocio.
Introducción 0.3 Componentes de PHVA en 0.3 Ciclo PHVA
esta norma internacional
0.4 Contenido de este documento
5.2 Compromiso de gestión 5.3 Funciones responsabilidades y
autoridades.
Liderazgo 5.4 Funciones,
responsabilidades y autoridades
de la organización.
6.3 Planificación de cambios en el sistema
Planificación
de gestión de continuidad del negocio.
8.3 estrategia de continuidad del 8.3 Estrategias y soluciones de continuidad
negocio. del negocio
8.4 establecer e implementar 8.4 Planes y procedimientos de
procedimientos de continuidad continuidad del negocio.
Operación
del negocio
8.5 Ejercicios y pruebas 8.5 Programa de ejercicios
8.6 Evaluación de la documentación y
capacidades de continuidad del negocio.
 Comparación entre ISO 27035 e ISO 27001.
1. La norma ISO 27001 describe como gestionar la seguridad de la información
en una empresa, mientras que la ISO 27035 explica un enfoque de mejores
prácticas sobre la gestión incidentes de seguridad de la información.

2. La filosofía principal de la ISO 27001 es la gestión de riesgos: investigar y

luego tratarlos sistemáticamente, mientras que la ISO 27035 da lugar a que
existan controles de detección y correctivas que estarán destinadas a reducir
los impactos desfavorables.

3. ISO 27001 describe la implementación de un SGSI de modo general mientras

que la ISO 27035 proporciona mejoras al SGSI.

Indicar la importancia actual de GDPR en Honduras

La gestión de protección de datos en Honduras es una de las muchas necesidades
que tenemos los hondureños, si bien es cierto hay muchas empresas o instituciones
que tienen un alto grado de responsabilidad por la protección de los datos, pero hay
muchas que ni siquiera piden el consentimiento de los usuarios para utilizar datos
personales como, teléfonos, correos electrónicos, direcciones e incluso la misma
cedula de identidad.
Muchas empresas se dedican a vender este tipo de información a las empresas de
marketing o call centers para ofrecer servicios, lo cual genera una brecha en la
seguridad personal de cada ciudadano.
Por ello es de suma importancia que se aprueba una ley de GDPR que sea integral y
severa para quienes incumplan lo estipulado.

Firma Electrónica en Honduras

Según lo investigado la entidad que puede otorgar permisos para la emisión de firmas
electrónicas en Honduras es el Instituto de la propiedad.
Actualmente su página esta fuera de servicio:

ISO 27013 Integración del SGSI y SGS

ISO 27013 es una guía de implementación integrada de un SGSI (Sistema de Gestión
de Seguridad de la Información) y de un SGS (Sistema de Gestión de Servicios),
proporciona las directrices sobre ala aplicación integrada de las normas 27001 y
20000.
Básicamente lo que ayuda es a integrar sistemas ya implementados o a implementar
sistemas integrados.

DevSegOps
Significa desarrollo, seguridad y operaciones.
Se trata de un enfoque que aborda la cultura, la automatización y el diseño de
plataformas, e integra la seguridad como una responsabilidad compartida durante todo
el ciclo de vida de la TI.
Es una práctica que implica empezar a pensar en seguridad desde el inicio del
desarrollo de las aplicaciones o de la construcción de las infraestructuras de las TIC,
permitiendo la mejora integral de los sistemas.

Diferencia entre ITIL v4 e ITIL v3

ITIL 4 se focaliza en la gestión del servicio, no únicamente la gestión del
servicio TI (ITSM), y en la co-creación de valor conjuntamente entre el
proveedor del servicio y el consumidor del servicio.
Los procesos y funciones de ITIL 3 en ITIL 4 ahora se denominan Practices
(Prácticas) que pasan a ser 34 que se agrupan en tres grupos: Prácticas de
Gestión General, Prácticas de Gestión del Servicio y Prácticas de Gestión
Técnica
ITIL 4 además incorpora tres conceptos importantes:
 Los Guiding Principles (Principios Guía de ITIL)
 El Service Value System (Sistema de Valor del Servicio)
 El Service Value Chain (Cadena de Valor del Servicio)
 Las 4 dimensiones de la gestión del servicio mencionadas anteriormente

Conclusiones
Al finalizar esta investigación puedo mencionar que la auditoria de sistemas es un
punto clave para la mejora en los procesos internos de las instituciones, la correcta
planificación puede beneficiar a todas las partes involucradas y fomentar la cultura
basada en procesos.
 Bibliografía
Betancourt, C. (2021, enero 21). Honduras: La necesidad de una Ley de

Protección de Datos ante los efectos de la pandemia y el Reglamento

Europeo de Protección de Datos. Lexology; Consortium Legal.

https://www.lexology.com/library/detail.aspx?g=710f1bed-2388-4cb7-

a749-276ccbc21224

Ejecutivo, P., Sumario, A., & Decretos, S. A. (s/f). Gob.hn. Recuperado el 29 de

abril de 2022, de

https://gobiernodigital.gob.hn/sites/default/files/LaGaceta-26-

Septiembre-2020-Reglamento-Sobre-Gobierno-Electronico.pdf

Europe, O. (2017, mayo 26). La importancia de la normativa de seguridad ISO

27017. OpenExpo Europe 2022.

https://openexpoeurope.com/es/normativa-seguridad-iso-27017/

Internet Security Auditors, & Perfil, V. T. mi. (s/f). Diferencias entre la

ISO22301:2012 y la ISO22301:2019. Isecauditors.com. Recuperado el 29

de abril de 2022, de https://blog.isecauditors.com/2021/03/diferencias-

entre-iso22301-2012-y-iso22301-2019.html

Introducción a ITIL V4. (2020, febrero 17). ServiceTonic.

https://www.servicetonic.com/es/itil/diferencias-itil4-vs-itil-v3/

ISO 27035 Gestión de incidentes de seguridad de la información. (2014, mayo

2). PMG SSI - ISO 27001. https://www.pmg-ssi.com/2014/05/iso-

27035-gestion-de-incidentes-de-seguridad-de-la-informacion/
ISO 27799:2008 - Seguridad de la Información del sector sanitario (I). (s/f).

Segu-Info - Ciberseguridad Desde 2000. Recuperado el 29 de abril de

2022, de https://blog.segu-info.com.ar/2009/09/iso-277992008-

seguridad-de-la.html

ISO/IEC 27701 - Gestión de la privacidad de la información. (s/f). DNV.

Recuperado el 29 de abril de 2022, de https://www.dnv.es/services/iso-

iec-27701-gestion-de-la-privacidad-de-la-informacion-159186

Leguizamon, S., & García, D. (2017, septiembre 7). ISO 27005 para la Gestión

de Riesgos de Tecnologías de la Información. EALDE Business School.

https://www.ealde.es/iso-27005-gestion-de-riesgos/

MAGERIT: metodología práctica para gestionar riesgos. (2013, mayo 14).

WeLiveSecurity.

https://www.welivesecurity.com/la-es/2013/05/14/magerit-

metodologia-practica-para-gestionar-riesgos/

Paulo, P., EALDE, Bruno, F. A., & Caballero, R. (2020, junio 25). Qué es la

norma ISO 31000 y para qué sirve. EALDE Business School.

https://www.ealde.es/iso-31000-para-que-sirve/

Publicada ISO/IEC 27013:2012 – Integración de ISO 20000 e ISO 27001.

(2012, noviembre 12). Áudea. https://www.audea.com/publicada-isoiec-

270132012-integracion-de-iso-20000-e-iso-27001/

¿Qué es DevSecOps? (s/f). Redhat.com. Recuperado el 29 de abril de 2022, de

https://www.redhat.com/es/topics/devops/what-is-devsecops
¿Qué es norma ISO 27001? (s/f). 27001Academy. Recuperado el 29 de abril de

2022, de https://advisera.com/27001academy/es/que-es-iso-27001/

Toro, R. (2016, junio 15). ISO 27001 e ISO 27799 en el sector de la salud. PMG

SSI - ISO 27001. https://www.pmg-ssi.com/2016/06/norma-iso-27001-

iso-27799-sector-salud/

(S/f). Amazon.com. Recuperado el 29 de abril de 2022, de

https://aws.amazon.com/es/compliance/iso-27017-faqs/

(2015). Awsstatic.com.

https://d1.awsstatic.com/certifications/iso_27017_certification.pdf

Anexo
Se agrega la evidencia de las grabaciones, el formato es demasiado pesado y no me
da tiempo para editarlo, subiré el enlace en la próxima tarea.