• Like
Ensayo unidad4
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

Published

 

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
488
On SlideShare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
8
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Universidad Veracruzana Facultad de Administración de EmpresasExperiencia Educativa: Administración de las tecnologías de InformaciónTema: “Ensayo de estándares en el contexto mexicano”Realizado por: Flores Ruano Eva Patricia Mata Barradas Ana Emilia Ordoñez Lorenzo Gabriela Vidal Sánchez María del CarmenFecha de entrega: Jueves 1 de Diciembre del 2011
  • 2. Introducción:Se entiende por seguridad de la información a todas aquellas medidas preventivasy reactivas del hombre, de las organizaciones y de los sistemas tecnológicos quepermitan resguardar y proteger la información buscando mantener laconfidencialidad, la disponibilidad e Integridad de la misma.El concepto de seguridad de la información no debe ser confundido con el deseguridad informática, ya que este último sólo se encarga de la seguridad en elmedio informático, pudiendo encontrar información en diferentes medios o formas.Para el hombre como individuo, la seguridad de la información tiene un efectosignificativo respecto a su privacidad, la que puede cobrar distintas dimensionesdependiendo de la cultura del mismo.En la seguridad de la información es importante señalar que su manejo estábasado en la tecnología y debemos de saber que puede ser confidencial: lainformación está centralizada y puede tener un alto valor. Puede ser divulgada,mal utilizada, ser robada, borrada o saboteada. Esto afecta su disponibilidad y lapone en riesgo. La información es poder, y según las posibilidades estratégicasque ofrece tener a acceso a cierta información, ésta se clasifica como:Crítica: Es indispensable para la operación de la empresa.Valiosa: Es un activo de la empresa y muy valioso.Sensible: Debe de ser conocida por las personas autorizadas.Además, la seguridad de la información involucra la implementación de estrategiasque cubran los procesos en donde la información es el activo primordial. Estasestrategias deben tener como punto primordial el establecimiento de políticas,controles de seguridad, tecnologías y procedimientos para detectar amenazas quepuedan explotar vulnerabilidades y que pongan en riesgo dicho activo, es decir,que ayuden a proteger y salvaguardar tanto información como los sistemas que laalmacenan y administran. La seguridad de la información incumbe a gobiernos,entidades militares, instituciones financieras, los hospitales y las empresasprivadas con información confidencial sobre sus empleados, clientes, productos,investigación y su situación financiera.
  • 3. Contexto mexicano:¿Qué normas son usadas en nuestro país? Dentro de cualquier empresa la información es un recurso vital, producidopor los sistemas de información. Las organizaciones utilizan también otrosrecursos como materiales, materias primas, energía y recursos humanos, todosellos sujetos a cada vez mayores restricciones en su uso y crecimiento, debido aproblemas de escasez y, por tanto, de coste. Debe considerarse que un sistema de información no tiene porqué serasociado a los sistemas informáticos, con los que muchas veces se les confunde.Por el contrario, un sistema de información puede ser una persona, undepartamento, toda la empresa (o al menos toda parte o elemento de la empresa,o relación entre los mismos, que trate con información). El Sistema de Informacióncomprende, pues, planificación, recursos humanos y materiales, objetivosconcretos a corto, medio y largo plazo, etc., aunque también tecnología y técnicas. Con los adelantos tecnológicos actuales, sobre todo en las tecnologías deinformación, es casi imposible que una empresa no haga uso de la informaciónpara el desarrollo de sus actividades cotidianas; tan solo tener la informaciónadecuada de un estado financiero no necesariamente en computadorasdemuestra que es necesaria la información para todo tipo de actividades y si aesto le agregamos el uso de computadoras como herramientas junto con sistemascapaces de ofrecernos la información en forma rápida, ordenada, y concreta,además que la Internet se ha vuelto tan importante y popular para cualquier tipode persona como para cualquier tipo de empresa sabiendo de antemano que lainformación es vital en todos los aspectos, muchas empresas emplean Internetcomo medio de información con sus posibles consumidores, proveedores, socios. Es por ello que la información es de gran importancia para unaorganización, por lo cual debe ser protegida mediante un estándar denormas que regulen su seguridad. Una norma de seguridad define qué hay que proteger y en qué condiciones,pero para situaciones más concretas. Sirven para establecer unos requisitos quese sustentan en la política y que regulan determinados aspectos de seguridad.Una norma debe ser clara, concisa y no ambigua en su interpretación. Se puedenagrupar en base a las diferentes áreas de la seguridad dentro de la organización:normas de seguridad física, normas de control de acceso a sistemas, normas degestión de soportes, normas de clasificación de información, etc.
  • 4. A continuación se enlistan algunas normas que se encuentran en nuestropaís para regular la seguridad en los sistemas de la información: ISO/IEC 27001 El estándar para la seguridad de la información ISO/IEC 27001 (Informationtechnology - Security techniques - Information security management systems -Requirements) fue aprobado y publicado como estándar internacional en octubrede 2005 por International Organization for Standardization y por la comisiónInternational Electrotechnical Commission. Especifica los requisitos necesarios para establecer, implantar, mantener ymejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) según elconocido “Ciclo deDeming”: PDCA - acrónimo de Plan, Do, Check, Act (Planificar,Hacer, Verificar, Actuar). Es consistente con las mejores prácticas descritas enISO/IEC 17799 (actual ISO/IEC 27002) y tiene su origen en la norma BS 7799-2:2002, desarrollada por la entidad de normalización británica, la British StandardsInstitution (BSI). La certificación de un SGSI es un proceso mediante el cual una entidad decertificación externa, independiente y acreditada audita el sistema, determinandosu conformidad con ISO/IEC 27001, su grado de implantación real y su eficacia y,en caso positivo, emite el correspondiente certificado. Antes de la publicación del estándar ISO 27001, las organizacionesinteresadas eran certificadas según el estándar británico BS 7799-2. Desde finales de 2005, las organizaciones ya pueden obtener lacertificación ISO/IEC 27001 en su primera certificación con éxito o mediante surecertificación trienal, puesto que la certificación BS 7799-2 ha quedadoreemplazada. Su implantación ISO/IEC 27001 en una organización es un proyecto quesuele tener una duración entre 6 y 12 meses, dependiendo del grado de madurezen seguridad de la información y el alcance, entendiendo por alcance el ámbito dela organización que va a estar sometido al Sistema de Gestión de la Seguridad dela Información (en adelante SGSI) elegido. En general, es recomendable la ayudade consultores externos. Aquellas organizaciones que hayan adecuado previamente de formarigurosa sus sistemas de información y sus procesos de trabajo a las exigenciasde las normativas legales de protección de datos (p.ej., en España la conocidaLOPD y sus normas de desarrollo, siendo el más importante el Real Decreto
  • 5. 1720/2007, de 21 de diciembre de desarrollo de la Ley Orgánica de Protección deDatos) o que hayan realizado un acercamiento progresivo a la seguridad de lainformación mediante la aplicación de las buenas prácticas de ISO/IEC 27002,partirán de una posición más ventajosa a la hora de implantar ISO/IEC 27001. El equipo de proyecto de implantación debe estar formado porrepresentantes de todas las áreas de la organización que se vean afectadas por elSGSI, liderado por la dirección y asesorado por consultores externosespecializados en seguridad informática generalmente Ingenieros o IngenierosTécnicos en Informática, derecho de las nuevas tecnologías, protección de datos ysistemas de gestión de seguridad de la información (que hayan realizado un cursode implantador de SGSI). ISO 17799 La norma UNE/ISO/IEC 17799 es un código de buenas prácticas paragestionar la seguridad de la información de una organización, de tal forma que lepermita en todo momento la confidencialidad, integridad y disponibilidad de lainformación que maneja. La creación de esta norma responde a la necesidad deproporcionar una base común, a las organizaciones, de normas yrecomendaciones desde la triple óptica técnica, organizativa y jurídica, y cuyocumplimiento implique mediante una acreditación que dicha organizaciónmantiene una infraestructura y un esquema de funcionamiento que garantizan laseguridad de la información que manejan. Esta norma tiene su origen en el British Standard BS 7799. Esta normabritánica está constituida por un código de buenas prácticas y un conjunto decontroles o requerimientos que han sido adoptados por numerosas empresas anivel mundial con el objeto de conseguir una certificación en seguridad de lainformación por parte de BSI (British Standard Institute) a través de la cual puedenacreditar frente a terceros (clientes, proveedores...etc) que la empresa maneja suinformación de forma segura, fijándose de este modo un criterio que determina laconfianza en la entidad. La primera parte del BS 7799 (Part I) fue propuesta comoun estándar ISO en octubre de 1999. Su aprobación se produjo en octubre del añosiguiente, de forma tal que en diciembre del año 2000 fue publicado el ISO/IEC17799. Esta norma constituye un código de buenas prácticas sin que sea posibleobtener una certificación en base a sus disposiciones, puesto que todavía no hasido aprobado la segunda parte de esta norma ISO.
  • 6. En España se tomó la iniciativa de desarrollar una norma a través de lacual, las empresas españolas puedan obtener una certificado similar al del BSI. Eneste sentido, el organismo encargado de desarrollar una norma equivalente alISO/ IEC 17799 en nuestro país es AENOR a través del Subcomité 27 deSeguridad de la Información, dependiente del Comité Técnico de Normalización(CTN 71). De este modo, en diciembre del 2002 fue publicada la UNE 71501, estaprimera parte es el fiel reflejo de la BS 7799 (Parte 1) y de la ISO / IEC 17799(Parte I), constituyendo en sí misma un código de buenas prácticas cuyo objetivoes servir como instrumento a las empresas para gestionar la seguridad de lainformación. COSO El Committee of Sponsoring Organizations of Treadway Commission(COSO) es una iniciativa del sector privado estadounidense formada en 1985. Suobjetivo principal es identificar los factores que causan informes financierosfraudulentos y hacer recomendaciones para reducir su incidencia. COSO haestablecido una definición común de controles internos, normas y criterios contralos cuales las empresas y organizaciones pueden evaluar sus sistemas de control. COSO está patrocinado y financiado por cinco de las principalesasociaciones e institutos profesionales de contabilidad: American Institute ofCertified Public Accountants (AICPA), American Accounting Association (AAA),Financial Executives Institute (FEI), The Institute of Internal Auditors (IIA) y TheInstitute of Management Accountants (IMA). El modelo COSO ERM-Framework de 2004 introduce nuevos elementos amodelos anteriores (CoCo de 1995 y COSO de 1992/94). Existe una relación directa entre los objetivos que la entidad desea lograr ylos componentes de la gestión de riesgos corporativos, que representan lo quehace falta para lograr aquellos. La relación se representa con una matriztridimensional, en forma de cubo. Las cuatro categorías de objetivos (estrategia, operaciones, información yconformidad) están representadas por columnas verticales, los ocho componenteslo están por filas horizontales y las unidades de la entidad, por la terceradimensión del cubo.
  • 7. Desde este enlace se puede acceder a la lista completa de publicacionesque incorpora.Información adicional en el informe ejecutivo y marco general de lanorma. COSO se puede combinar con CobiT o con ITIL como modelo de controlpara procesos y gestión TI. COSO está teniendo una difusión muy importante en relación a la conocidacomo Ley Sarbanes-Oxley. No se trata de un marco o estándar específico deseguridad de la información pero, por el impacto que está teniendo en muchasempresas y por sus implicaciones indirectas en la seguridad de la información,conviene mencionarlo en esta sección. COBIT La evaluación de los requerimientos del negocio, los recursos y procesosIT, son puntos bastante importantes para el buen funcionamiento de unacompañía y para el aseguramiento de su supervivencia en el mercado. El COBIT es precisamente un modelo para auditar la gestión y control delos sistemas de información y tecnología, orientado a todos los sectores de unaorganización, es decir, administradores IT, usuarios y por supuesto, los auditoresinvolucrados en el proceso. Las siglas COBIT significan Objetivos de Control para Tecnología deInformación y Tecnologías relacionadas (Control Objectives for InformationSystems and related Technology). El modelo es el resultado de una investigacióncon expertos de varios países, desarrollado por ISACA (Information Systems Auditand Control Association). La estructura del modelo COBIT propone un marco de acción donde seevalúan los criterios de información, como por ejemplo la seguridad y calidad, seauditan los recursos que comprenden la tecnología de información, como porejemplo el recurso humano, instalaciones, sistemas, entre otros, y finalmente serealiza una evaluación sobre los procesos involucrados en la organización. El COBIT es un modelo de evaluación y monitoreo que enfatiza en elcontrol de negocios y la seguridad IT y que abarca controles específicos de ITdesde una perspectiva de negocios. “La adecuada implementación de un modelo COBIT en una organización,provee una herramienta automatizada, para evaluar de manera ágil y consistenteel cumplimiento de los objetivos de control y controles detallados, que aseguranque los procesos y recursos de información y tecnología contribuyen al logro de
  • 8. los objetivos del negocio en un mercado cada vez más exigente, complejo ydiversificado”, señaló un informe de ETEK. COBIT, lanzado en 1996, es una herramienta de gobierno de TI que hacambiado la forma en que trabajan los profesionales de tecnología. Vinculandotecnología informática y prácticas de control, el modelo COBIT consolida yarmoniza estándares de fuentes globales prominentes en un recurso crítico para lagerencia, los profesionales de control y los auditores. COBIT se aplica a los sistemas de información de toda la empresa,incluyendo los computadores personales y las redes. Está basado en la filosofíade que los recursos TI necesitan ser administrados por un conjunto de procesosnaturalmente agrupados para proveer la información pertinente y confiable querequiere una organización para lograr sus objetivos. El conjunto de lineamientos y estándares internacionales conocidos comoCOBIT, define un marco de referencia que clasifica los procesos de las unidadesde tecnología de información de las organizaciones en cuatro “dominios”principales, a saber: Planificación y organización Adquisición e implantación Soporte y Servicios Monitoreo Estos dominios agrupan objetivos de control de alto nivel, que cubren tantolos aspectos de información, como de la tecnología que la respalda. Estosdominios y objetivos de control facilitan que la generación y procesamiento de lainformación cumplan con las características de efectividad, eficiencia,confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad. Asimismo, se deben tomar en cuenta los recursos que proporciona latecnología de información, tales como: datos, aplicaciones, plataformastecnológicas, instalaciones y recurso humano. “Cualquier tipo de empresa puede adoptar una metodología COBIT, comoparte de un proceso de reingeniería en aras de reducir los índices deincertidumbre sobre vulnerabilidades y riesgos de los recursos IT yconsecuentemente, sobre la posibilidad de evaluar el logro de los objetivos delnegocio apalancado en procesos tecnológicos”, finalizó el informe de ETEK.
  • 9. ITIL ITIL (Information Technologies Infrastructure Library ); Biblioteca deInfraestructura de Tecnologías de la Información, es un conjunto de mejoresprácticas para la dirección y gestión de servicios de tecnologías de la informaciónen lo referente a Personas, Procesos y Tecnología, desarrollado por la OGC (Office of Government Commerce) del Reino Unido, que cumple ydesarrolla la norma BS15000 de la BSI (British Standards Institution). A través de las Mejores Prácticas especificadas en ITIL se hace posiblepara departamentos y organizaciones reducir costos, mejorar la calidad delservicio tanto a clientes externos como internos y aprovechar al máximo lashabilidades y experiencia del personal, mejorando su productividad. ITIL es un conjunto de libros, cuya referencia se da en la sección Bibliotecade este Sitio, que permiten mejorar notablemente la calidad de los servicios detecnologías de la información y que presta una organización a sus clientes o undepartamento a su organización. ►Existen tres niveles de certificación ITIL para profesionales: ► Foundation Certificate (Certificado Básico): acredita un conocimiento básico de ITIL en gestión de servicios detecnologías de la información y la comprensión de la terminología propia de ITIL.Está destinado a aquellas personas que deseen conocer las buenas prácticasespecificadas en ITIL. El examen para conseguir este certificado se puede haceren inglés, francés, español, alemán, portugués, chino, japonés y ruso. ► Practitioners Certificate (Certificado de Responsable): • Destinado a quienes tienen responsabilidad en el diseño de procesos deadministración de departamentos de tecnologías de la información y en laplanificación de las actividades asociadas a los procesos. Este examen sólo sepuede hacer en inglés. ► Managers Certificate (Certificado de Director): • Garantiza que quien lo posee dispone de profundos conocimientos entodas las materias relacionadas con la administración de departamentos detecnologías de la información, y lo habilita para dirigir la implantación desoluciones basadas en ITIL. Este examen se puede hacer en inglés, alemán yruso.
  • 10. • Pese a que los exámenes de los certificados Foundation y Managers sepueden hacer en idiomas distintos del inglés, para superarlos es necesarioconocer la terminología inglesa de ITIL. • Actualmente no existe certificación ITIL para empresas, sólo parapersonas. Esto es importante saberlo, ya que hay empresas que aseguran estaren posesión de tal certificado. A partir de 2006, se homologó la ISO 20000,basadaen ITIL que permite a las empresas obtener la certificación de calidad por losservicios de IT que ofrecen. • Grupo de usuarios ITIL itSMF es el único foro independiente reconocidointernacionalmente dedicado a la administración de servicios de tecnologías de lainformación, y además de permitir intercambio de ideas y experiencias, se haconvertido en un grupo influyente en desarrollos comerciales. • Además coopera con ISEB, EXIN, OGC y The Stationery Office para laelaboración de estándares en administración de servicios de las tecnologías de lainformación. Los miembros de itSMF tienen acceso a una revista bimensual,pueden participar en la especificación de nuevas buenas prácticas, participan engrupos de discusión y acceden a áreas restringidas de la web de itSMF. • Existe una organización internacional sin ánimo de lucro, integrada porgrupos de proveedores y usuarios, denominada itSMF (IT Service ManagementForum) que promueve y desarrolla el uso de buenas prácticas en administraciónde servicios de tecnologías de la información.ISO 20000La ISO 20000 fue publicada en diciembre de 2005 y es la primera norma en elmundo específicamente dirigida a la gestión de los servicios de TI. La ISO 20000fue desarrollada en respuesta a la necesidad de establecer procesos yprocedimientos para minimizar los riesgos en los negocios provenientes de uncolapso técnico del sistema de TI de las organizaciones.ISO20000 describe un conjunto integrado de procesos que permiten prestar enforma eficaz servicios de TI a las organizaciones y a sus clientes. La esperadapublicación de la ISO 20000 el 15 de diciembre de 2005 representa un gran pasoadelante hacia el reconocimiento internacional y el desarrollo de la certificación deITSM.Hoy en día la aparición de la norma ISO 20000 está causando un aumentoconsiderable del interés en aquellas organizaciones interesadas en implementar
  • 11. ITSM. Estudios revelan como dicho anhelo crecerá internacionalmente tomandocomo base la reconocida certificación ISO 20000.La implantación de la ISO 20000 le permitirá gestionar de forma óptima susservicios de TI, a través de la definición y el establecimiento de los procesos quedicta la norma. La norma ISO 20000 contempla las mejores prácticas descritas enITIL.La consultoría ISO 20000 incluye:• Auditoría inicial del cumplimiento con respecto a la norma• Análisis de procesos aplicables• Estudio de recursos necesarios / necesidades• Implantación de procesos ISO 20000• Auditoría interna ISO 20000• Formación ISO 20000La aparición de la serie 20000 ha supuesto el primer sistema de gestión enservicio de TI certificable bajo norma reconocida a nivel mundial. Hasta ahora, lasorganizaciones podían optar por aplicar el conjunto de mejoras prácticas dictadaspor ITIL o certificar su gestión contra el estándar local británico BS 15000.La parte 1 de la norma ISO 20000, ISO 20000-1:2005 representa el estándarcertificable. En Febrero de 2006, AENOR (organización delegada en España deISO/IEC) inició el mecanismo de adopción y conversión de la norma ISO 20000 anorma UNE. En Junio de 2006, itSMF hace entrega a AENOR de la versióntraducida de la norma. En el BOE del 25 de julio de 2007 ambas partes seratificaron como normas españolas con las referencias o partes de la ISO 20000mostradas en el punto anterior. Acceda a más información acerca del proceso decertificación ISO 20000.
  • 12. LEY SARBANES-OXLEYLa Ley Sarbanes–Oxley, la más importante regulación surgida después de losescándalos financieros en Estados Unidos, cumplió más de cinco años desdeaplicación.El SOX, abreviatura para Sarbanes-Oxley Act es una ley americana que ha sidoemitida en el 2002 en los Estados Unidos, para dar una respuesta firme a losrepetidos escándalos financieros que se habían producido en los añosinmediatamente anteriores. La confianza de los inversores en la informaciónfinanciera emitida por las empresas estaba muy mermada, con efectos negativossobre la eficiencia de los mercados de capitales. Asustados por las repercusioneseconómicas que el prolongarse de esta situación hubiese podido causar, lasautoridades americanas decidieron que la mejor solución para devolver laconfianza a los inversores pasaba por endurecer los controles impuestos a lasempresas. De hecho, veremos que el SOX endurece bastante los controles quedeben existir en una empresa para la formulacion de sus cuentas anuales y otrosinformes financieros que tenga que emitir.El cuerpo legal propuesto por el diputado Michael G. Oxley y el Senador Paul S.Sarbanes en el Congreso estadounidense tiene efectos que van mucho más alláde la auditoría financiera propiamente tal, y sus brazos son bastante largos.La SOX nació como respuesta a una serie de escándalos corporativos queafectaron a empresas estadounidenses a finales del 2001, producto de quiebras,fraudes y otros manejos administrativos no apropiados, que mermaron laconfianza de los inversionistas respecto de la información financiera emitida porlas empresas.Así, en Julio de 2002, el gobierno de Estados Unidos aprobó la ley Sarbanes-Oxley, como mecanismo para endurecer los controles de las empresas y devolverla confianza perdida. El texto legal abarca temas como el buen gobiernocorporativo, la responsabilidad de los administradores, la transparencia, y otrasimportantes limitaciones al trabajo de los auditores.Las principales novedades introducidas por la nueva ley son:El titulo 1 del SOX regula la creación y funcionamiento de un órgano que supervisela actividad de las empresas de auditoria (Public accounting firms). Es evidenteque los legisladores pretenden monitorear más de cerca la actividad de las firmasde auditoría.
  • 13. El titulo 2 del SOX establece algunas importantes limitaciones a la actividad de lasfirmas de auditoría. Se establece así, entre otros, el principio general en base alcual no se permite a las firmas de auditoría ofrecer a sus clientes de otrosservicios distintos al de auditoría de cuentas anuales. Se establece además laobligación de rotación del socio responsable del encargo cada 5 años. Muyinteresante es el llamado periodo del “Cooling-off” en base al cual una firma deauditoria no puede ofreces sus servicios de auditoría a una empresa en la que elDirector General o Administrador, Director Financiero, Controller, DirectorAdministrativo o Director de Contabilidad han sido miembros del equipo deauditoria en el año anterior.El titulo 3 y el titulo 4 contienen las novedades más impactantes y conflictivas detoda la ley, y será necesario analizarlos en profundidad. El titulo 3 introduce elnuevo concepto de “responsabilidad corporativa”, mientras que el titulo 4 contieneimportantes novedades en tema de emisión de información financiera.BASILEA IIBasilea II es el segundo de los Acuerdos de Basilea. Dichos acuerdos consistenen recomendaciones sobre la legislación y regulación bancaria y son emitidos porel Comité de supervisión bancaria de Basilea. El propósito de Basilea II, publicadoinicialmente en junio de 2004, es la creación de un estándar internacional quesirva de referencia a los reguladores bancarios, con objeto de establecer losrequerimientos de capital necesarios, para asegurar la protección de las entidadesfrente a los riesgos financieros y operativos.La principal limitación del acuerdo de Basilea I es que es insensible a lasvariaciones de riesgo y que ignora una dimensión esencial: la de la calidadcrediticia y, por lo tanto, la diversa probabilidad de incumplimiento de los distintosprestatarios. Es decir, consideraba que los créditos tenían la misma probabilidadde incumplir.El Nuevo Acuerdo de Capital o Basilea II brinda un conjunto de principios yrecomendaciones del Comité de Basilea sobre Supervisión Bancaria y tiene comoobjetivo propiciar la convergencia regulatoria hacia estándares más avanzadossobre medición y gestión de los principales riesgos en la industria bancaria. ElComité de Basilea forma parte del Banco Internacional de Pagos (BIS por sussiglas en inglés) y fue creado por acuerdo de los representantes de los BancosCentrales de los 10 países más industrializados con el propósito de formular unaserie principios y estándares de supervisión bancaria, los que han sido acogidosno solamente por los países miembros, sino por la mayoría de países en elmundo.
  • 14. El Perú, por medio de la SBS, es consciente de las ventajas en seguridad yestabilidad que genera un esquema como el propuesto en Basilea II y no está almargen de esta reforma internacional de la regulación bancaria. El cronograma deimplementación seguido en Perú se inició en el año 2007 con los estudios deimpacto y la emisión de la normativa necesaria para la implementación del NAC.Esta primera fase duró hasta junio del 2009 y a partir de julio del 2009 entró envigencia del método estandarizado para riesgo de crédito y riesgo de mercado, yel método básico y estándar alternativo para riesgo operacional. Asimismo, es apartir de esta fecha que las empresas pueden postular para el uso de modelosinternos.A raíz de la reciente crisis financiera internacional, que evidenció la necesidad defortalecer la regulación, supervisión y gestión de riesgos del sector bancario, elComité de Basilea inició en el 2009 la reforma de Basilea II, actualmente llamadaBasilea III. En este sentido, la SBS actualmente está evaluando la implementaciónde estos cambios de acuerdo a la realidad peruana.La SBS pone a su disposición esta página web donde podrá encontrar informaciónsobre los principales aspectos de Basilea II y Basilea III y la implementación estosestándares en el Perú.Acerca de las Pymes Mexicanas:¿Cuáles son los pasos para implantar una norma?¿Qué norma es viable implementar en una pymemexicana?Entre las normas a implementar en una PyME, asi como los pasos a seguir seencuentran las siguientes:Diseño e implementación de un S.G.S.I. ISO 27001La solución de Diseño e Implantación de Sistemas de Gestión de Seguridad de laInformación, rompe con la antigua visión de actuar de facto ante la seguridad, estoes, tener el mejor firewall del mercado por tenerlo o disponer un determinadoantivirus porque hay que tenerlo. AGEDUM enfoca su solución de seguridad haciala gestión. Alinea la Gestión de la Seguridad de la Información con los objetivos denegocio, optimizando las inversiones realizadas en controles o salvaguardas queprotejan los activos.
  • 15. Para ello, utilizamos como norma guía la ISO 27001:2005, la cual nos ayuda deforma solvente a enfrentarnos a los retos a los que nos somete el propio entorno.ISO 27001:2005 es reconocida como una de las mejores prácticas a nivel mundialpara gestionar la seguridad de la información, y es contemplada como su soluciónpor múltiples organizaciones de distinto tamaño, independientemente de suubicación geográfica.Beneficios que se alcanzan: Cambia la postura reactiva por la postura proactiva para la seguridad Dispone de políticas y objetivos para la seguridad de la información Asignación formal de responsabilidades al personal involucrado Orientación de la organización hacia la seguridad en sus tareas Gestiona la seguridad según los riesgos presentes en la actividad Se crea una estructura formal para la seguridad en la empresa Proporciona métricas de cómo se está desarrollando la seguridad Aplica controles de seguridad por áreas de influencia Permite optimizar costes vinculados con la búsqueda de la seguridad Otros beneficios inherentes al proyecto Nuestro equipo de profesionalesAGEDUM dispone de profesionales con contratada experiencia en la implantaciónde este tipo de soluciones profesionales. Nuestros consultores, vienen trabajandodesde hace años en soluciones de Gestión de la Seguridad de la Información yhan estado presentes en proyectos para acercar la gestión a las empresas denuestro entorno: como el Proyecto CAMERSEC, promovido por la Cámara deComercio de Málaga. Estamos avalados por nuestros clientes, experiencia ycualificación para llevar su proyecto a buen puerto. Asimismo, contamos conpartners tecnológicos para ofrecer aplicaciones relacionadas con el proyecto aprecios competitivos, caso de ser necesarias para la empresa cliente.
  • 16. Fases para la implantación de un S.G.S.I. ISO 270011.- Visita informativa Realizamos una visita totalmente sin compromiso a nuestros clientes parainformarle del proceso de ejecución del proyecto y emitir un presupuesto amedida.2.- Formalización del contrato Las condiciones de colaboración son llevadas al contrato que formaliza la relaciónentre partes para su firma3.- Equipo de trabajo Definimos el equipo de trabajo para la ejecución formal del proyecto. Se asignanlas responsabilidades a tal efecto y los objetivos de cada etapa.4.- Análisis de la organización Se realiza un profundo análisis diferencial de seguridad, comparando la situaciónactual de la empresa con los requisitos de ISO 27001, determinando también otrasmedidas de seguridad adicionales que puedan ponerse de manifiesto durante elproceso de análisis. Se actúa sobre dominios como:- Política de Seguridad- Organización de la seguridad- Gestión de los Activos- Seguridad vinculada al personal- Seguridad física y del entorno- Comunicaciones y operaciones- Control de accesos- Adquisición y mantenimiento de sistemas- Gestión de incidencias- Continuidad de negocio- Conformidad legal
  • 17. - Etc.5.- Documentación y formatos Proporcionando soporte a la organización, se trabaja en la elaboración de ladocumentación para el sistema de Gestión de Seguridad de la Información, asícomo los formatos para dejar registro de las prácticas en él incluidas.6.- Implantación y tutelaUna vez desarrollado el trabajo documental, se procede a implantar lasmetodologías creadas, tutelando el cumplimiento de la misma.7.- Auditoría interna Realizamos una auditoría para verificar el cumplimiento de los requisitos delsistema y detectar posibles desviaciones, de cara a solventarlas.8.- Auditoría de certificación La estructura que creamos es certificable. Por eso, si el cliente decide certificar susistema de seguridad, le damos soporte en la auditoría de certificación.LA NORMA ISO/IEC 1779910 dominios de control que cubren (casi) por completo la Gestión de laSeguridad de la Información:• Política de seguridad: Se necesita una política que refleje las expectativasde la organización en materia de seguridad a fin de suministrar administración condirección y soporte. La política también se puede utilizar como base para elestudio y evaluación en curso.• Organización de la seguridad: Sugiere diseñar una estructura deadministración dentro la organización que establezca la responsabilidad de losgrupos en ciertas áreas de la seguridad y un proceso para el manejo de respuestaa incidentes.• Control y clasificación de los recursos de información: Necesita uninventario de los recursos de información de la organización y con base en esteconocimiento, debe asegurar que se brinde un nivel adecuado de protección.• Seguridad del personal: Establece la necesidad de educar e informar a losempleados actuales y potenciales sobre lo que se espera de ellos en materia de
  • 18. seguridad y asuntos de confidencialidad. También determina cómo incide el papelque desempeñan los empleados en materia de seguridad en el funcionamientogeneral de la compañía. Se debe tener implementar un plan para reportar losincidentes.• Seguridad física y ambiental: Responde a la necesidad de proteger lasáreas, el equipo y los controles generales.• Manejo de las comunicaciones y las operaciones: Los objetivos de estasección son:1. Asegurar el funcionamiento correcto y seguro de las instalaciones deprocesamiento de la información.2. Minimizar el riesgo de falla de los sistemas.3. Proteger la integridad del software y la información.4. Conservar la integridad y disponibilidad del procesamiento y lacomunicación de la información.5. Garantizar la protección de la información en las redes y de lainfraestructura de soporte.6. Evitar daños a los recursos de información e interrupciones en lasactividades de la compañía.7. Evitar la pérdida, modificación o uso indebido de la información queintercambian las organizaciones.• Control de acceso: Establece la importancia de monitorear y controlar elacceso a la red y los recursos de aplicación para proteger contra los abusosinternos e intrusos externos.• Desarrollo y mantenimiento de los sistemas: Recuerda que en todalabor de la tecnología de la información, se debe implementar y mantener laseguridad mediante el uso de controles de seguridad en todas las etapas delproceso.• Manejo de la continuidad de la empresa: Aconseja estar preparado paracontrarrestar las interrupciones en las actividades de la empresa y para protegerlos procesos importantes de la empresa en caso de una falla grave o desastre.• Cumplimiento: Imparte instrucciones a las organizaciones para queverifiquen si el cumplimiento con la norma técnica ISO 17799 concuerda con otros
  • 19. requisitos jurídicos, como la Directiva de la Unión Europea que concierne laPrivacidad, la Ley de Responsabilidad y Transferibilidad del Seguro Médico(HIPAA por su sigla en Inglés) y la Ley Gramm-Leach-Billey (GLBA por su sigla eninglés). Esta sección también requiere una revisión a las políticas de seguridad, alcumplimiento y consideraciones técnicas que se deben hacer en relación con elproceso de auditoría del sistema a fin de garantizar que las empresas obtengan elmáximo beneficio.Beneficios de la norma técnica ISO 17799Una empresa certificada con la norma técnica ISO 17799 puede ganar frente a loscompetidores no certificados. Si un cliente potencial tiene que escoger entre dosservicios diferentes y la seguridad es un aspecto importante, por lo general optarápor la empresa certificada. Además una empresa certificada tendrá en cuenta losiguiente:• Mayor seguridad en la empresa.• Planeación y manejo de la seguridad más efectivos.• Alianzas comerciales y e-commerce más seguras.• Mayor confianza en el cliente.• Auditorías de seguridad más precisas y confiables.• Menor Responsabilidad civilLa norma técnica ISO 17799Actualmente ISO está revisando la norma técnica 17799 para que se adapte mejora su amplio público. ISO 17799 es la primera norma técnica y se harán yampliarán sus recomendaciones y sugerencias básicas en la medida en que seanecesario. Por ahora, ISO 17799 es la norma técnica a seguir.Si su organización no ha adoptado un programa de protección definido de lainformación, ISO 17799 puede servir de parámetro para que lo defina. Incluso sidecide no ser certificado, ISO 17799 le servirá de guía para configurar la políticade seguridad de su empresa. En todo caso, tenga en cuenta que ISO 17799 es unbuen esquema de seguridad que su empresa puede adoptar. No obstante, ustedpuede descubrir que la certificación ofrece más beneficios.
  • 20. COBITHacer uso de COBIT como marco de referencia en y tomar de ahí algunos puntospara aplicarlos a la pyme, ya que COBIT provee a la gerencia y a los propietariosde los procesos del negocio, un modelo de administración de TecnologíaInformática (TI) que ayude a comprender y administrar los riesgos asociados conTIEtapas para su implementación:1. Requerimientos del negocio. El departamento TI cuenta con los recursostecnológicos necesarios para cumplir los objetivos de la organización. Se tiene queplanear y organizar cuales son los requerimientos tecnológicos o informáticos quela organización requiere para lograr sus objetivos.La propuesta es verificar con que cuento, en infraestructura tecnológica y quenecesito para lograr mis objetivos como organización.Planear y organizar, tiene que ver con identificar la manera en que TI puedacontribuir de la mejor manera al logro de los objetivos del negocio. Además, larealización de la visión estratégica requiere ser planeada, comunicada yadministrada desde diferentes perspectivas. Finalmente, se debe implementar unaestructura organizacional y una estructura tecnológica apropiada. Este dominiocubre los siguientes cuestionamientos típicos de la gerencia:• ¿Están alineadas las estrategias de TI y del negocio?• ¿La empresa está alcanzando un uso óptimo de sus recursos?• ¿Entienden todas las personas dentro de la organización los objetivos de TI?• ¿Se entienden y administran los riesgos de TI?• ¿Es apropiada la calidad de los sistemas de TI para las necesidades delnegocio?  Definición de un Plan Estratégico de Tecnología de Información de acuerdo a sus necesidades  Definición de la Arquitectura de Información  Determinación de la dirección tecnológica  Definición de la Organización y de las Relaciones de TI  Manejo de la Inversión en Tecnología de Información  Comunicación de la dirección y aspiraciones de la gerencia  Administración de Recursos Humanos
  • 21.  Aseguramiento del Cumplimiento de Requerimientos Externos  Evaluación de Riesgos  Administración de proyectos2. Recursos TI. Una vez que contamos con los recursos se tiene que buscar laforma de administrar e implementarlosAdquirir e implementar. Para llevar a cabo la estrategia de TI, las soluciones de TInecesitan ser identificadas, desarrolladas o adquiridas así como la implementacióne integración en los procesos del negocio. Además, el cambio y el mantenimientode los sistemas existentes para garantizar que las soluciones sigan satisfaciendolos objetivos del negocio. Esta sección, por lo general, cubre los siguientescuestionamientos de la gerencia:• ¿Los nuevos proyectos generan soluciones que satisfagan las necesidades delnegocio?• ¿Los nuevos proyectos son entregados a tiempo y dentro del presupuesto?• ¿Trabajarán adecuadamente los nuevos sistemas una vez sean implementados?• ¿Los cambios afectarán las operaciones actuales del negocio?Las siguientes actividades son indispensables en adquisición e implementación.  Identificación de Soluciones  Adquisición y Mantenimiento de Software de Aplicación  Adquisición y Mantenimiento de Arquitectura de Tecnología  Desarrollo y Mantenimiento de Procedimientos relacionados con Tecnología de Información  Instalación y Acreditación de Sistemas  Administración de Cambios3. Procesos TI. Los procesos que se automatizan se entregan, se les da soportepero también se tienen que monitorear, para evaluar su desempeño y saber siestán dando resultados esperados o no.Entregar Y Dar Soporte se cubre la entrega en sí de los servicios requeridos, loque incluye la prestación del servicio, la administración de la seguridad y de lacontinuidad, el soporte del servicio a los usuarios, la administración de los datos y
  • 22. de las instalaciones operacionales. Por lo general aclara las siguientes preguntasde la gerencia:• ¿Se están entregando los servicios de TI de acuerdo con las prioridades delnegocio?• ¿Están optimizados los costos de TI?• ¿Es capaz la fuerza de trabajo de utilizar los sistemas de TI de maneraproductiva y segura?• ¿Están implantadas de forma adecuada la confidencialidad, la integridad y ladisponibilidad?  Definición de Niveles de Servicio  Administración de Servicios prestados por Terceros  Administración de Desempeño y Capacidad  Aseguramiento de Servicio Continuo  Garantizar la Seguridad de Sistemas  Identificación y Asignación de Costos  Educación y Entrenamiento de Usuarios  Apoyo y Asistencia a los Clientes de Tecnología de Información  Administración de la Configuración  Administración de Problemas e Incidentes  Administración de Datos  Administración de Instalaciones  Administración de OperacionesPara medir resultados del departamento TI, así como la optimización del trabajoautomatizado, la calidad y el desempeño de los sistemas implementados se tieneque realizar lo siguiente:MONITOREAR Y EVALUAR Todos los procesos de TI deben evaluarse de formaregular en el tiempo en cuanto a su calidad y cumplimiento de los requerimientosde control. La administración del desempeño, el monitoreo del control interno, elcumplimiento regulatorio y la aplicación del departamento TI. Por lo general abarcalas siguientes preguntas de la gerencia:• ¿Se mide el desempeño de TI para detectar los problemas antes de que seademasiado tarde?
  • 23. • ¿La Gerencia garantiza que los controles internos son efectivos y eficientes? •¿Puede vincularse el desempeño de lo que TI ha realizado con las metas delnegocio?• ¿Se miden y reportan los riesgos, el control, el cumplimiento y el desempeño?Como realizar el monitoreo: 1. Monitorear el marco de trabajo de control interno 2. Revisiones de Auditoria Monitorear y reportar la efectividad 3. Excepciones de control Registrar la información 4. Auto-evaluación de control Evaluar la completitud y efectividad de los controles internos 5. Aseguramiento del control interno 6. Acciones correctivas Identificar e iniciar medidas correctivas basadas en las evaluaciones y en los reportes de control.Esta información es obtenida de COBIT, cabe señalar que COBIT se implementacorporativos o empresas grandes y no por eso una pyme no pueda hacer uso deél solo que tenemos que adecuarlo a nuestras necesidades, nuestra capacidad yanalizar nuestras soluciones.Algunos de los beneficios que obtenemos al implementar COBIT son: Define claramente roles y quién rinde cuentas a nivel estratégico, táctico y operacional. Facilita la auto evaluación del estado de la TI en la organización. Es una herramienta de auditoria de los controles de TI de la organización. Permite la medición gerencial por medio de indicadores y del modelo de madurez.A nivel gerencial Tomar decisiones relacionadas con la inversión en TI Balancear los riesgos y los controles de las inversiones en TI Llevar a cabo un análisis comparativo del entorno para establecer el ambiente adecuado de tecnología y de personas en el futuro.
  • 24. A nivel usuarioObtener garantía del retorno de la inversión sobre la seguridad, los controles y losproductos y servicios que ellos adquieren interna y externamente.A nivel auditoriaSoportar ante la Gerencia su criterio acerca de los controles internos.IMPLEMENTACION DE ITILPaso 1: Definir el alcance del modelo de referencia. Definir el esfuerzo y costo deimplementación.Paso 2: Definición de la estructura de Servicios de TI y la CMDB.Paso 3: Determinar los procesos operativos básicos:Es clave la definición inicial del service desk y de los procesos que lo soportan, asítambién se implantara de las gestiones de incidencias, problemas, cambios,configuraciones, versiones y niveles de servicio. Este proceso en una empresa tiene que facilitar la integración de actividades deconfiguración a través de plataformas y tecnologías.Paso 4: Implantar los procesos tácticos requeridos por la organización:Permiten desde el inicio poner en práctica el nivel de servicio y garantizar elcumplimiento de los acuerdos con clientes, establecidos en el paso 3 como SLM;además se implantaran las gestiones de disponibilidad, capacidad y continuidad.Paso 5: Construir los procesos alineados con la estrategia del negocio y con laseguridad de la información.Paso 6: Definir métricas de calidad de servicio y desempeño de los procesos.Estos indicadores proveen el mecanismo de seguimiento, mejora continua yplanificación, primordiales tanto hacia dentro del departamento como de cara a losusuarios.Paso 7: Garantizar la calidad de la información en la CMDB:Mediante la definición de registros de información puntales y que permitan generarreportes de desempeño, así como formar la base para los procesos de auditoría ala información y controles de validación de datos en el cargue de los mismosPaso 8: Garantizar y monitorear la gestión de cambios.
  • 25. Este elemento es la base fundamental para disponer de procesos que generenauto-aprendizaje y mejora continua. Un aspecto clave para ir adaptando losnuevos procedimientos y capacidades a la cambiante y dinámica realidad de unaempresa moderna.Paso 9: Entrenar al personal y hacer partícipes del proceso al resto de laorganización.El éxito de la iniciativa dependerá en gran manera de la forma en que los nuevosprocedimientos se transformen una costumbre de trabajo, y que la alineación yparticipación del resto de la empresa en la definición y toma de decisiones sehayan hecho presentesPaso 10: Seleccionar una herramienta adecuada que permita gestionaradecuadamente la información asociada con los procesos definidosBeneficios de ITIL:• Mejora de la disponibilidad, fiabilidad y seguridad de los servicios de TI.• Aumento de la eficiencia de la entrega de proyectos de TI.• Reducción del coste total de propiedad de los activos de TI de infraestructura yaplicaciones de TI.• Aprovechar mejor los recursos, incluyendo niveles de disminución de lareanudación y la eliminación de actividades redundantes.• Provisión de servicios que satisfagan las empresas, clientes y las demandas delusuario, con un coste justificable de la calidad del servicio.• Más eficaz y mejor de tercera parte en las relaciones y los contratos.Dado que el marco de ITIL sólo proporciona la orientación necesaria sobre laestructura del proceso, muchos directores de sistemas no están viendo lasmejoras que se espera-a pesar de una fuerte inversión en ITIL. Implementación deITIL se establece en el contexto de un negocio o cambio de programa y, como tal,es más que un simple conjunto de procesos que pueden desplegarse en seguida ysin compromisos.
  • 26. Recomendaciones para una empresa:Se recomienda atender las siguientes actividades para implementar una norma deseguridad en un sistema de información:La Dirección deberá definir:a) Plan de Acción.b) Políticas de comunicación para con el personal referida a la implementación,sus implicancias y la necesidad del compromiso de todos los actores.c) Previsión de mecanismos de resolución de posibles situaciones conflictivasque pueden aparecer.d) Elaboración de la Política de Calidad.e) Monitorear permanentemente el desarrollo del Plan de Acción.f) Realizar reuniones formales de revisión.FormaciónDeberán desarrollarse cursos de sensibilización para todos los integrantes de laDirección y de quienes están directamente involucrados en el desarrollo del SGCproveyendo de los conocimientos necesarios sobre norma ISO 9000-2005, 9001-2008 y 19011-2002.A partir del Plan de Acción elaborado por la Dirección, se podrán detallar más lasactividades, conformando un Programa donde se tendrá en cuenta:a) Períodos.b) Actividades.c) Área Responsable.Se identificarán los procesos relevantes para la implementación, donde intervieneuna descripción donde se definen claramente las interfaces del proceso,identificación y definición de responsabilidades, los alcances de cada tarea.La precisión con que se realice esta etapa definirá la calidad, claridad y utilidad delos documentos elaborados que se generen. Toda la documentación deberá serrevisada con la finalidad de aclarar y corregir incoherencias o indefiniciones.En esta etapa se analizarán los procesos, tratando de detectar aspectos quepuedan ser optimizados con la finalidad de hacer más eficientes procesos o
  • 27. interfaces administrativos como para la gestión específica de la documentación,registros etc.Confección de la documentación del Sistema de Información. o Manual principal. o Manual de Procedimientos Generales (Procesos) y Específicos (auditorias, documentos, etc). o Formularios para Registro y archivos.Puesta en funcionamiento.Previo a la puesta en marcha el personal debe tomar conocimiento del mismo,mediante capacitación.
  • 28. CONCLUSIONLa correcta selección de los controles es una tarea que requiere del apoyo deespecialistas en seguridad informática, ya que cuando éstos se establecen deforma inadecuada pueden generar un marco de trabajo demasiado estricto y pocoadecuado para las operaciones de la organización.Como todo estándar, se proporciona un marco ordenado de trabajo al cual debensujetarse todos los integrantes de la organización, y aunque no elimina el cien porciento de los problemas de seguridad, sí establece una valoración de los riesgos alos que se enfrenta una organización en materia de seguridad de la información.Dicha valoración permite administrar los riesgos en función de los recursostecnológicos y humanos con los que cuenta la organización; adicionalmente,establece un entorno que identifica los problemas de seguridad en tiemposrazonables, situación que no es posible, la mayoría de las veces, si no se cuentacon controles de seguridad como los establecidos en el ISO 17799, es decir, laaplicación del estándar garantiza que se podrán detectar las violaciones a laseguridad de la información, situación que no necesariamente ocurre en caso deno aplicarse el estándar.Estos principios en la protección de los activos de información constituyen lasnormas básicas deseables en cualquier organización, sean instituciones degobierno, educativas e investigación; no obstante, dependiendo de la naturaleza ymetas de las organizaciones, éstas mostrarán especial énfasis en algún dominio oárea de cualquier estándar.El objetivo de la seguridad de los datos es asegurar la continuidad de lasoperaciones de la organización, reducir al mínimo los daños causados por unacontingencia, así como optimizar la inversión en tecnologías de seguridad.