Clase 2 Publicar

7/10/2023
ISO 17799
ISO 20000
SEMANA 02
ESTÁNDARES DE SEGURIDAD
Maestría
Maestría en
en Seguridad
Seguridad Informática
Informática –– Universidad
Universidad Mariano
Mariano Gálvez
Gálvez de
de Guatemala
Guatemala
Agenda
La ISO 17799, factores críticos
Apoyo de la ISO 17799
Estructura de la ISO 17799
Jerarquización de los Dominios
Cumplimiento
Implantación
Entendiendo la Norma ISO 20000
Estructura de la Norma ISO/IEC 20000
Proceso de la ISO 20000
Como alcanzar la norma
Maestría
Maestría en
en Seguridad
Universidad Mariano
Mariano Gálvez
Gálvez de
de Guatemala
Guatemala
1
7/10/2023
¿Qué es la norma ISO 17799?
• ISO 17799 es una norma internacional que ofrece recomendaciones

para realizar la gestión de la seguridad de la información dirigidas a
los responsables de iniciar, implantar o mantener la seguridad de una
organización.
• Existen multitud de estándares aplicables a diferentes niveles pero

ISO 17799 como estándar internacional, es el más extendido y
aceptado.
Maestría
Maestría en
en Seguridad
Universidad Mariano
Mariano Gálvez
Gálvez de
de Guatemala
Guatemala
ISO 17799
Cómo desarrollar políticas de seguridad
Factores Críticos de éxito:

Política de seguridad, objetivos y actividades que reflejen los
objetivos de la empresa.
Estrategia consecuente con la cultura organizacional.
Distribución de guías y normas. Entrenamiento adecuado.
Sistema integral y equilibrado de medición para evaluar la

gestión.
Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala
2
7/10/2023
ISO 17799
Cómo Elementos de apoyo a la Organización
Buenas prácticas:
Aumento de Mejora Aumento del

Incremento
la seguridad Correcta continua a valor
de los niveles
efectiva de planificación través del comercial de
de confianza
los sistemas y gestión de proceso de la imagen de
de clientes y
de la seguridad. auditoría la
partners.
información. interna. organización.
Nota: La norma no es certificable, si bien recoge una serie de controles que si pueden
ser objetivos de certificación.
3
7/10/2023
La ISO 17799 apoya en:
• Confidencialidad Establece lineamientos

apoyados en los controles
• Integridad desde la perspectiva de
normar políticas, EL QUE
• Disponibilidad HACER.
Tiene como objetivo proporcionar una base común para desarrollar

normas de seguridad dentro de la organización.
La Norma ISO 17799

Implementación
Va dirigida a cualquier tipo de organización o de compañía,

privada o pública. Si la organización utiliza sistemas internos o
externos que poseen informaciones confidenciales, si depende de
estos sistemas para el funcionamiento normal de sus operaciones
o si simplemente desea probar su nivel de seguridad de la
información conformándose a una norma reconocida
4
7/10/2023
Estructura de la ISO 17799

Establece diez dominios de control, que apoya la estructuración de la política de seguridad
de la información:
1. Política de Seguridad
2. Aspectos organizativos para la seguridad
3. Clasificación y control de activos
4. Seguridad ligada al personal
5. Seguridad física y del entorno
6. Gestión de la comunicación y operaciones
7. Control de Accesos
8. Desarrollo y mantenimiento de sistemas
9. Gestión de continuidad de negocio
10. Conformidad de la legislación
Jerarquización de los Dominios:
10
5
7/10/2023
Cumplimiento ISO 17799

Es necesario establecer por
cada dominio:
• Nivel mínimo aceptable:
Mínimas garantías de
seguridad necesarias para
trabajar con la información
corporativo.
• Nivel objetivo: Estado de
seguridad de referencia para
la organización, con un alto
grado de cumplimiento.
11
Implantación ISO 17799

No es una norma tecnológica operativa.
• Proporciona buenas prácticas neutrales con respecto a la tecnología y
la formar de resguardar la información.
• Teniendo este tipo de características ayuda la implementación en
todo tipo de organizaciones, sin importar el tamaño.
• Es necesario tener apoyo de expertos y poder entender:
• Cada dominio
• Establecer el Objetivo
• Desarrollar control
12
6
7/10/2023
ISO 17799 vs
ISO 27002
13
GESTIONANDO LA CALIDAD
DE SUS SERVICIOS TI
14
7
7/10/2023
ENTENDIENDO LA NORMA ISO 20,000

Esta norma se presenta como el estándar internacional (ISO)
para la gestión de servicios TI y que ha sido aceptado como un
referente en este campo por la mayoría de los países del mundo.
El objetivo de ISO 20000 es doble:
Ayudar a las Incorporar las

1
2
empresas a mejores prácticas
conseguir internacionales
servicios de TI en la Gestión de
más efectivos Servicios TI
(ITSM)
15
LA NORMA GRAFICAMENTE
16
8
7/10/2023
ESTRUCTURA DE LA NORMA ISO/IEC 20000

20000-1 REQUISITOS DEL SISTEMA DE GESTIÓN
DE SERVICIOS
20000-2 GUÍA PARA A APLICACIÓN DE SISTEMAS

DE GESTIÓN DE SERVICIOS
20000-3 GUÍA EN LA DEFINICIÓN DEL ALCANCE Y

LA APLICABILIDAD (INFORME TÉCNICO)
20000-4 MODELO DE REFERENCIA DE

PROCESOS
20000-5 EJEMPLO DE UN PLAN DE

IMPLEMENTACIÓN
17
La Norma
ISO 20000 13 procesos definidos.
consta de:
• Un proceso de planificación
e implementación de
servicios
Requisitos de un
sistema de gestión.
• Ciclo de mejora continua
(PDCA).
18
9
7/10/2023
Proceso de la Como Alcanzar la

ISO 20,000 ISO 20,000
• Provisión del Servicio • Es necesario establecer:
• Gestión de la Capacidad • Definir el alcance
• Gestión de la Continuidad y Disponibilidad
• Gestión del Nivel del Servicio • Nombra un responsable
• Gestión de la seguridad de la información documentar y cumplir con los
• Elaboración de Presupuestos y Contabilidad de TI procesos que apliquen
• Procesos de Control • Generar evidencias
• Gestión de la Configuración
• Gestión del Cambio • La implementación de la misma se lleva
• Procesos de Entrega
entre 12 y 24 meses, dependiendo del
• Gestión de la Entrega tamaño de la organización y alcance la
misma.
• Proceso de Resolución
• Gestión de Incidentes • Se necesita tiempo, esfuerzo y dinero,
• Gestión de Problemas para ejecutar dicha implementación.
• Procesos de relaciones
• Gestión de relaciones con el negocio
• Gestión de Proveedores
19
En que nos ayuda la ISO 20000:

• A Nivel Operativo … se consigue mayor eficiencia y eficacia.
… es un referente para recibir una presentación de servicios TI de calidad

• A Nivel de los Clientes y acorde a sus necesidades y expectativa.
… es una empresa que se certifica o que lleva las buenas practicas significa
• A nivel Estratégico que trabaja acorde a unos estándares conocidos y aceptados
globalmente.
Cómo funciona ISO/IEC 20000

• Para conseguir mejorar la rentabilidad de los servicios TI, ISO 20000 nos permite obtener servicios bien planificados,
diseñados, administrados y entregados.
• En definitiva, solo mediante una gestión de servicios de TI de alta calidad evitaremos que los proyectos de TI tengan
fallos reiterados o rebasan el presupuesto por costes mal calculados difíciles de administrar y que nos pueden
conducir a un fracaso en el negocio.
20
10
7/10/2023
ISO 20000 y
otros marcos
de referencia
21
SERVICIOS TI
Cuando nos referimos a servicios TI nos estamos refiriendo

a servicios cuya provisión depende de las tecnologías de la
información y que pueden ser tanto Servicios a Clientes
externos o servicios brindados a partes internas de la
organización y necesarios para el desarrollo de la actividad
de su negocio
• En el objetivo de mejorar la gestión de servicios TI ISO

20000 nos proporciona
• Un conjunto de procesos de administración de servicios
TI
• Un conjunto de buenas prácticas internacionales
22
11
7/10/2023
La iniciación
La mejora de
los servicios El diseño
de TI
QUE INCLUYE LA Gestión

GESTIÓN DE de los
servicios
SERVICIOS DE TI El Soporte
de TI
La
Organización
La Provisión El Control
23
COMO APOYA LA RENTABILIDAD DEL

SERVICIO
• Las inversiones en TI para la provisión de servicios tanto internos como

a clientes son de vital importancia en las organizaciones afectando
tanto a sus operaciones como a sus formas de comunicación, marketing
etc.
• Es por ello que la gestión de los servicios TI supone para muchas
organizaciones un elemento fundamental de cómo hacer negocios.
• En este escenario, cualquier organización basada en servicios TI para
alcanzar objetivos tales como, adelantar a sus competidores,
conseguir mayor cuota de mercado o conseguir mayor rentabilidad y
eficiencia, debo de un marco de referencia como ISO 20000.
24
12
7/10/2023
ESTRUCTURA DE LA NORMA ISO/IEC 20000
25
CASO DE ESTUDIO 02
Ver Documento de Caso de estudio entregado por el Catedrático.
Clase 1. Organigrama
Clase 2. caso de estudio
26
13
7/10/2023
27
Gracias!
Maestría
Maestría en
en Seguridad
Universidad Mariano
Mariano Gálvez
Gálvez de
de Guatemala
Guatemala
28
14

Clase 2 Publicar

Cargado por

Información del documento

Descripción original:

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Clase 2 Publicar

Cargado por

Copyright:

Formatos disponibles

7/10/2023

Apoyo de la ISO 17799

Estructura de la ISO 17799

Jerarquización de los Dominios

Entendiendo la Norma ISO 20000

Estructura de la Norma ISO/IEC 20000

Proceso de la ISO 20000

Como alcanzar la norma

¿Qué es la norma ISO 17799?

• ISO 17799 es una norma internacional que ofrece recomendaciones

• Existen multitud de estándares aplicables a diferentes niveles pero

Factores Críticos de éxito:

Estrategia consecuente con la cultura organizacional.

Distribución de guías y normas. Entrenamiento adecuado.

Sistema integral y equilibrado de medición para evaluar la

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

Aumento de Mejora Aumento del

La ISO 17799 apoya en:

• Confidencialidad Establece lineamientos

Tiene como objetivo proporcionar una base común para desarrollar

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

La Norma ISO 17799

Va dirigida a cualquier tipo de organización o de compañía,

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

Estructura de la ISO 17799

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

Jerarquización de los Dominios:

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

Cumplimiento ISO 17799

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

Implantación ISO 17799

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

ENTENDIENDO LA NORMA ISO 20,000

Ayudar a las Incorporar las

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

ESTRUCTURA DE LA NORMA ISO/IEC 20000

20000-2 GUÍA PARA A APLICACIÓN DE SISTEMAS

20000-3 GUÍA EN LA DEFINICIÓN DEL ALCANCE Y

20000-4 MODELO DE REFERENCIA DE

20000-5 EJEMPLO DE UN PLAN DE

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

Proceso de la Como Alcanzar la

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

En que nos ayuda la ISO 20000:

… es un referente para recibir una presentación de servicios TI de calidad

Cómo funciona ISO/IEC 20000

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

Cuando nos referimos a servicios TI nos estamos refiriendo

• En el objetivo de mejorar la gestión de servicios TI ISO

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

QUE INCLUYE LA Gestión

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

COMO APOYA LA RENTABILIDAD DEL

• Las inversiones en TI para la provisión de servicios tanto internos como

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

ESTRUCTURA DE LA NORMA ISO/IEC 20000

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala