Ensayo u4

511 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
511
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
11
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Ensayo u4

  1. 1. Universidad VeracruzanaAsignatura: Administración de las Tecnologías de Información Profesor: Carlos Arturo Torres Gastelú Ensayo Unidad 4 Equipo 6 Estrada Orozco Roberto Lara Pedroza Jorge Edwin Mora Pérez Sergio Francisco
  2. 2. INTRODUCCIÓNEn este ensayo podremos encontrar las diferentes normas que existen con susrespectivos orígenes, fechas de publicación, años en las que se establecieron, asicomo para que sirve cada una de ellas, las ventajas y desventajas con las quecuenta, unas recomendaciones de cada una de ellas, un paso a paso de cadanorma para establecerlas en las pymes mexicanas, y cuales están reglamentadasy las usan en las pymes de México.Se podrá ver cuáles son las normas que conviene más que se establezcan en laspymes mexicanas y cuales se usan en ellas para conseguir lo que quieren, elmotivo de porqué y las normas que menos convienen para las pymes mexicanas.Se tendrá una idea más extensa de cada norma y para qué sirve, ya que cada unade ellas tiene un objetivo específico con las que no cuenta otras, y he aquí dondeentra un debate y una comparación para ver cuál es la ideal para cada pyme.También se hablara de la gestión de cada una de las normas ISO, los pasos deCOBIT, ITIL, COSO, BASILEA, asi como en que se parecen y en qué sediferencian y de explicar de qué trata cada una de ellas.Con este trabajo se responderá a las preguntas de cuáles son las normas que seusan en las pymes mexicanas, asi como las normas que creemos que deberíanimplementarse en las pymes, como deben hacerlo teniendo una visión más afondo de lo que les ofrece cada una de ellas y tomar una decisión acertada.
  3. 3. ORIGEN DE NORMASNORMAS USADAS EN EL CONTEXTO MEXICANOISO 27001El estándar para la seguridad de la información ISO/IEC 27001 (Information technology - Securitytechniques - Information security management systems - Requirements) fue aprobado y publicadocomo estándar internacional en octubre de 2005 por International Organization forStandardization y por la comisión International Electrotechnical Commission.Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema deGestión de la Seguridad de la Información (SGSI) según el conocido “Ciclo de Deming”: PDCA -acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Es consistente con lasmejores prácticas descritas en ISO/IEC 17799 (actual ISO/IEC 27002) y tiene su origen en lanorma BS 7799-2:2002, desarrollada por la entidad de normalización británica, la British StandardsInstitution (BSI).ISO 17799La norma británica (BS 7799-1) fue elevada a norma ISO (International Standards Organization)por el procedimiento de fast track convirtiéndose en la norma ISO 17799:2000.En nuestro país la norma ISO 17799:2000 es traducida y adoptada como norma UNE publicándoseen 2002 como UNE ISO 17799:2002.COBIT 4.0COBIT al desarrollo y mantiene el IT Governance Institute (ITGI) desde 1998 con el objetivo decrear estándares internacionales para la Gobernabilidad TI en las empresas. Un impulsoimportante ha tenido la COBIT debido al Acta Sarbanes-Oxley, vigente desde el 2002, y que obligaa las empresas que tranzan sus acciones en USA a controlar exhaustivamente la generación desus estados financieros.NORMA UNE ISO/IEC 20000ISO/IEC está formada por dos partes, cuyo título general es el mismo, Tecnologías de laInformación – Gestión del Servicio, y que forma específica se denominan, Parte 1: Especificación(ISO/IEC 20000-1, 2006) y Parte 2: Código de Practicas (ISO/IEC 20000-2, 2006). Estas normaspueden ser utilizadas por organizaciones que desarrollen herramientas, productos y sistemas degestión del servicio.COSO & COBITCoso es un modelo general para la gestión de riesgos empresariales y el control interno, No es elúnico de los modelos y particularmente se han definido modelos específicos para el control ygestión de sistemas de información y comunicaciones, Uno de ellos, posiblemente el más popularjunto con ITIL7, es el modelo COBIT que se ha convertido es un estándar de referencia de lamisma para el gobierno y control de los sistemas de información y la tecnología. Se puede decirque COBIT completa a COSO en lo relativo a TSI. Con esto pretende ponerse de manifiesto que lafilosofía de gestión de riesgo y control contenida en COBIT es compatible con COSO.
  4. 4. Norma ISO/IEC 20000-1La norma internacional ISO/IEC 20000-1 fue elaborada por el British StandardsInstitution como BS150000-1 y posteriormente fue adoptada mediante el procedimiento especial de “fast-track” porISO/IEC. En España, Aenor es la entidad aprobada para desarrollar las tareas de normalización ycertificación. El comité encargado de la Tecnología de la Información se denomina AEN/CTN 71 yha sido el encargado de elaborar la presente norma que es igual que la norma internacionalISO/IEC 20000-1: 2005.¿Qué norma es viable de implementarse en una PYME mexicana?Las TSI constituyen en la actualidad, uno de los elementos clave para el mantenimiento ydesarrollo de la actividad de la mayoría de las organizaciones, sean estas entidades de actividadmercantil, o no, privadas o públicas.Las TSI constituyen un elemento más de dentro del universo de recursos con los que unaorganización desarrolla su actividad. Por lo tanto, es su gestión y su gobierno los que debenrealizarse adecuadamente y en coordinación con los demás recursos que tiene una organización.Unas de las normas que consideramos como viables para implementarse en una PyME mexicanaes la ISO 27001 Especifica los requisitos para la implantación de los controles de seguridadhechos a medida de las necesidades de organizaciones individuales o partes de las mismas.COBIT es un marco de referencia para profesionalizar el área informática de un compañía, quecuenta con capacidades propias o terciarias para la implementación de proyectos típicamentesoportados con ERP de clase mundial, que tiene un área de operación con varias decenas deservidores que dan servicios a más de una locación, y que cuenta con áreas de mantenimiento ysoporte. Y, más importante los Sistemas Informáticos son reconocidos por el directorio como uncomponente clave en el éxito comercial de la compañía y, por lo mismos que implican riesgos parael negocio. Con esto quiero de decir que si su área informática es pequeña la COBIT puederesultar muy cara en su implementación y por tanto no se justificaría.NORMA ISO 17799Se implementa como una herramienta para conseguir la seguridad definida de una empresa, yaque con esta es muy confiable y segura para dicha empresa, lo único malo que tiene esta normaes que no es certificable.La norma ISO 17799 es un conjunto de las recomendaciones sobre lasmedidas tomar en la empresa para asegurar los Sistemas de Información. Esta norma surge de lanecesidad que tienen las empresas de garantizar el funcionamiento seguro de los Sistemas deInformación. Esto no es más que gestionar los riesgos de la empresa. Cuando se recogenrecomendaciones en una norma como la ISO 17799, realmente se están mostrando los objetivosde seguridad que debe tener en cuenta una organización para tener sus riesgos dentro de unosniveles aceptables.La norma ISO 17799:2005 es una norma aplicable a cualquier sector, cualquiertamaño de empresa y cualquier país. Gracias a esto es por lo cual es muy fácil porque se puedeintroducir en cualquier sector y con cualquier pyme.Tiene controles recomendados, los cuales son: El registro de usuarios, la gestión de privilegios, lagestión de contraseñas de usuario, la revisión de los derechos de acceso de los usuarios.
  5. 5. COSOCOSO se define como el control interno de la siguiente forma: “El control interno es un proceso,ejercido por el consejo de administración de la entidad, los gestores y otro personal de laorganización, diseñado para proporcionar seguridad razonable respecto a la consecución de losobjetivos en las siguientes categorías: Efectividad y eficiencia de las operaciones, Confiabilidad dela información financiera, Cumplimiento con leyes y regulaciones.En conclusión COSO se define formalmente como la gestión de riesgos empresariales en unproceso, ejercido por el consejo de administración de la entidad, los gestores y otro personal de laorganización.COSO cuenta con cuatro objetivos de alto nivel que normalmente tendrán sentido en todas lasorganizaciones, organismos o compañías, sin embargo el modelo COSO no es cerrado y admiteperfectamente su modificación. Gracias a esto es muy viable tomarlo en cuanta para su pyme. Soloque COSO es un modelo muy costoso de implementar estando al alcance grandes organizaciones.Algunos de los beneficios con los que se tendría por usar COSO serian: Que ofrece un sistema por el cual los resultados de una auditoria son infalibles. ERM versa sobre asuntos financieros y seguros. Se trata un proceso independiente y aislado del resto de la organización. Respecto a los beneficios, COSO promete las siguientes mejoras: Alinea la tolerancia al riesgo y la estrategia. Relaciona crecimiento, riesgo y retorno de la inversión.ITILBENEFICIOS DE ITILLos beneficios de la Gestión de Servicio de TSI deben identificarse para justificar laimplementación de los procesos correspondiente.Ventajas de ITIL para el cliente/usuario: La provisión de servicios TSI se orienta más al cliente y los acuerdos sobre la calidad del servicio mejoran la relación entre el departamento TSI y el cliente. Se describen mejor los servicios, en el lenguaje máscómodo para el cliente y con mejores detalles. Se manejan mejor la calidad y el coste del servicio. Mejora la comunicación con la organización TSI al acordar los puntos de contacto. Ventajas de ITIL para la organización: La organización TSI desarrolla una estructura más clara, se vuelve más eficaz y se centra más en los objetivos corporativos.
  6. 6. NORMA UNE-ISO/IEC 20000Pasos para su implementaciónEn el caso de la seguridad informática, es una opinión generalizada que la seguridad mediaalcanzada por la mayoría de las organizaciones está por debajo de las expectativas, hecho queencuentra un motivo fundamental en la aplicación individual de estos productos y su baja o escasaintegración con el resto de medidas de gestión de la organización.La gran variedad de personas que participan en los procesos de una entidad junto con los fallosreiterados en la transmisión de información en las distintas fases pueden encontrarse entre losprincipales causantes de la baja respuesta a las expectativas creadas.Importantes barreras para comenzar a implantar una política real de gestión de la seguridad de lainformación son la inercia y la cultura, barreras que son imprescindibles considerar en cadadecisión que se tome.A estas alturas, y a partir de la experiencia en la implantación de otros sistemas de gestión quecomenzaron antes su aceptación por la industria, ya no es cuestionable que aportan, entre otros,los siguientes beneficios:Ante el mercado: Favorece su desarrollo Afianza la posición de la organización. Potencia la imagen de marca. Constituye un factor competitivo respecto a la competencia. Permite superar barreras técnicas.Ante los clientes: Fidelización y captación de nuevos clientes gracias a la garantía que se ofrece en la prestación de servicios que satisfacen sus necesidades y expectativas. Se mejora la comunicación con el cliente (empresas, particulares, etc.) Mayor confianza al cliente (empresas, particulares, etc.) Aumento de la satisfacción del cliente (empresas, particulares, etc.)Ante la gestión de la organización: Conocimiento y depuración de los procesos internos. Mejora de los procesos y de los servicios prestados. Ahorro de tiempo y de recursos necesarios. Mejor gestión de los recursos. Estímulo para entrar en un proceso de mejora continúa.Todos estos beneficios se obtienen en la implantación de un sistema de gestión de la seguridad yla información que, como veremos más adelante, conforma aumenta la madurez de laorganización, estará totalmente integrado con otros sistemas de gestión que tenga implantados ycon los procesos de negocio de la misma; no debe entenderse a medio plazo como algo adicionalsino algo embebido y propio de la forma de trabajo de cada entidad.
  7. 7. En los procesos de negocio de una organización intervienen multitud de agentes con funciones claramente diferenciadas pero interrelacionadas entre sí; resulta fundamental identificarlas con el fin de valorar su aportación a las características deseadas del producto o servicio final entre ellas las relativas a la seguridad de la información. Un sistema de calidad implica la creación continua de valor para el cliente, la optimización de los procesos y el desarrollo del potencial humano de la organización. NORMA ISO/IEC 27001 Primero vamos a concretar el objeto y el campo de aplicación de la misma: “Esta norma internacional especifica los requisitos para establecer, implantar, poner en funcionamiento, controlar revisar, mantener y mejorar un SGSI documentado dentro del contexto global de los riesgos de negocio de la organización. Especifica los requisitos para la implantación de los controles de seguridad hechos a medida de las necesidades de organizaciones individuales o partes de las mismas”. El concepto de gestión del sistema cubre comenzando por el establecimiento, la implantación, la puesta en funcionamiento, la revisión, el mantenimiento y la mejora de dicho sistema. Para poder estructurar los procesos del SGSI, esta norma adopta el modelo PDCA “Plan-Do- Check-Act” o “Planificar-Hacer-Comprobar y Actuar”.-Definir política de seguridad. -Implantar plan de gestión de riesgos.-Establecer el alcance del al SGSI -Implantar el SGSI-Realizar análisis de riesgos. -Implantar a los controles.-Seleccionar los controles. ISO/IEC 17799:2905 “D” “P”-Adoptar las acciones correctivas. -Revisar Internamente el SGSI.-Adoptar las acciones preventivas. -Realizar auditorías internas del SGSI. “A” “C”
  8. 8. Establecimiento y gestión del SGSILa organización debe comenzar por definir el alcance del sistema de gestión, es decir, a que partesdel negocio de la organización aplica, derivado de esta definición los emplazamientos de laorganización a los que incluye, los activos, la tecnología, las áreas, el personal, asi como lasexclusiones que admite.Definir la política de SGSI, que será el marco para el establecimiento de los objetivos de ladirección de la organización y los principios de actuación para proteger la información. Unos de losfactores clave para que esta política se pueda hacer realidad es el que refleje los objetivos delnegocio, asi como el que este en línea con la estrategia de gestión global de la organización.Después de esto se tiene que hacer una serie de actividades relacionadas con los riesgos. Secomienza por definir la metodología para la valoración de riesgo conforme al alcance y políticadel SGSI y que será la que se utilice como criterio para establecer el nivel aceptable del riesgo. Lasiguiente fase es la identificación de los riesgos, en los que a activo, amenaza, vulnerabilidad eimpacto se refiere, para después elaborar un análisis y evaluación de dichos riesgos, quedesembocara en la identificación de los diferentes tratamiento del riesgo para llegar al objetivoperseguido en esta primera etapa de selección de los controles y objetivos de los mismos queposibilitaran dicho tratamiento.Implantación y puesta en marcha del SGSIEl primer paso es elaborar un plan de tratamiento del riesgo, después hay que implementarlo, através de la implantación de los controles que se hayan seleccionado.Una importante labor a llevar a cabo es el poder medir la eficacia de dichos controles, queposibilitara conocer la eficacia de cada control y obtener unos resultados comparables yreproducibles.Es vital crear programas de formación y concienciación en todas estas acciones para elpersonal de la organización, tanto el personal interno como el subcontratado. Estos programasposibilitaran la integración de la cultura de la seguridad en la actividad cotidiana de cadatrabajador.Conclusión: Es en esta fase donde hay que implantar procedimientos y controles que haganposible la detección de incidencia de seguridad y la respuesta “rápida” a estos incidentes.Control y evaluación del SGSIDespués de pasar por las fases anteriores se podría decir que ya se cuenta con el núcleo delSGSI, pero no podrá aprovechar los beneficios que este sistema va a proporcionar a su negocio ano ser que implante una serie de procedimientos para el control y revisión de lo hecho hastaahora. Esto derivará en la puesta en marcha de una serie de revisiones regulares sobre la eficaciadel SGSI, a partir de los resultados de las auditorias de seguridad y de las mediciones, quetienen como fin el verificar que se están cumpliendo los requisitos de seguridad.
  9. 9. Objetivos Planificar Mejora continua Verificar Ejecutar Proceso de MejoraLa COBIT es un marco de referencia que entrega un modelo de procesos y un lenguaje comúnpara que cada quién en la organización pueda visualizar y gestionar las actividades de la TI:Planificar y Organizar (PO)Este dominio abarca la estrategia y la táctica, y su preocupación es identificar las maneras comolas TI muden contribuir, de la mejor forma posible, al logro de los objetivos de negocios de laempresa. La ejecución de la visión estratégica requiere de planificación, difusión y gestión paradiferentes perspectivas. Una organización adecuada y una plataforma tecnológica acorde sonnecesarias.De modo que en este dominio típicamente se tratan las siguientes interrogantes. ¿Están las TI alineadas con la estrategia de negocios? ¿Está la empresa utilizando a un nivel óptimo sus recursos informáticos? ¿Entiende todo el mundo de la empresa los objetivos de las TI? ¿Son comprendidos los riesgos TI y son debidamente gestionados? ¿Es la calidad de los sistemas informáticos adecuados a las necesidades del negocio?Este dominio considera los procesos: PO1 Define a strategic IT plan. PO2 Define the information architecture. PO3 Determine technological direction. PO4 Define the IT processes, organisation and relationships. PO5 Manage the IT investment. PO6 Communicate management aims and direction. PO7 Manage IT human resources. PO8 Manage quality. PO9 Assess and manage IT risks.
  10. 10. PO10 Manage projects.Adquirir e Implementar (AI)Para materializar la estrategia TI, las soluciones TI necesitan ser identificadas, desarrolladas oadquiridas, como asimismo es necesario implementarlas e integrarlas a las procesos de negocios.Adicionalmente, todo sistema requiere de cambios y mantenimiento para asegurarse que durantesu operación continua satisfaciendo los requerimientos del negocio. Para este dominio surgen laspreguntas: ¿Los nuevos proyectos tienen el potencial para entregar soluciones que satisfagan las necesidades del negocio? ¿Es factible que los nuevos proyectos se ejecuten de acuerdo a los plazos y presupuestos convenidos? ¿Los nuevos sistemas operaran adecuadamente una vez implementados? ¿Los cambios podrán hacerse sin poner en riesgo la operación del negocio?Este dominio considera los procesos: AI1 Identify automated solutions. AI2 Acquire and maintain application software. AI3 Acquire and maintain technology infrastructure. AI4 Enable operation and use. AI5 Procure IT resources. AI6 Manage changes. AI7 Install and accredit solutions and changes.Proveer y Soportar (DS)Este dominio tiene que ver con la entrega de los servicios que son requeridos, esto incluye: laprovisión del servicio, la gestión de seguridad y continuidad, el soporte a los usuarios, laadministración de los datos y la gestión de las instalaciones de plataforma tecnológica. Para estosefectos es necesario formularse las preguntas siguientes: ¿Se están proveyendo los servicios TI de acuerdo con las prioridades del negocio? ¿Están los costos de TI optimizados? ¿Está en condiciones la fuerza de trabajo de utilizar los sistemas TI productivamente y con seguridad? ¿Se maneja adecuadamente la confidencialidad, integridad y disponibilidad de los sistemas TI? Este dominio considera los procesos: DS1 Define and manage service levels. DS2 Manage third-party services. DS3 Manage performance and capacity.
  11. 11. DS4 Ensure continuous service. DS5 Ensure systems security. DS6 Identify and allocate costs. DS7 Educate and train users. DS8 Manage service desk and incidents. DS9 Manage the configuration. DS10 Manage problems. DS11 Manage data. DS12 Manage the physical environment. DS13 Manage operations.Monitorear y Evaluar (ME)Todos los procesos TI necesitan periódicamente que se verifique mediante controles su calidad yconformidad. En este dominio se tratan la gestión de performance, el monitoreo de los controlesinternos, la regulaciones que tiene que ver la conformidad y la gobernabilidad. Las preguntastípicas de este dominio son: ¿Los sistemas de medición de performance TI permiten detectar a tiempo los problemas? ¿La gestión asegura que los controles internos son efectivos y eficientes? ¿Puede la performance TI relacionarse con los objetivos de negocios? ¿Están siendo medidos e informados los riesgos, el control, la conformidad y la performance?Este dominio considera los procesos: ME1 Monitor and evaluate IT performance. ME2 Monitor and evaluate internal control. ME3 Ensure regulatory compliance. ME4 Provide IT governance.ISO 17799:2000La norma británica (BS 7799-1) fue elevada a norma ISO (International Standards Organization)por el procedimiento de fast track convirtiéndose en la norma ISO 17799:2000.En nuestro país la norma ISO 17799:2000 es traducida y adoptada como norma UNE publicándoseen 2002 como UNE ISO 17799:2002.Cuando se habla de información en el entorno de la seguridad nos referimos a aquellos activos deinformación que la empresa utiliza para sus funciones y necesita proteger. La información de laempresa debe protegerse tanto en su generación, entrada, tratamiento, modificación,almacenamiento, comunicación y destrucción. La información se puede encontrar en formatodigital, pero también en soporte de papel, imágenes, etc. Todos esos aspectos tienen que vigilarsecuando hablamos de seguridad de la información.Realmente un SGSI es una estructura organizativa, técnica y procedimental que persigue laseguridad de la información a través de un ciclo de análisis de la situación, aplicación de controles,revisión del funcionamiento y la aplicación permanente de mejoras o correcciones. Es lo quecomúnmente se conoce como el ciclo PDCA (Plan, Do, Check, Act) aplicado a la seguridad de lainformación, que permite adaptarse a los cambios en la organización y la mejora continua.
  12. 12. Habitualmente se relaciona la norma ISO 17799 con los SGSI, la norma ISO 27001:2005 que dalas especificaciones para los SGSI. Esta norma se dirige hacia la ISO 17799:2005 para seleccionarlos controles adecuados para alcanzar los niveles de seguridad exigidos, por lo que ambas estánrelacionadas.Como conclusión los SGSI utilizan la norma ISO 17799:2005 como herramientas para conseguir laseguridad definida en la empresa, pero no es en si misma una norma certificable.La norma ISO 17799 es un conjunto de las recomendaciones sobre qué medidas tomar en laempresa para asegurar los Sistemas de Información. La norma surge de la necesidad de lasempresas de garantizar el funcionamiento seguro de los Sistemas de Información garantizado laconfidencialidad, integridad y disponibilidad de la información. Esto no es más que gestionar losriesgos de la empresa. Cuando se recogen recomendaciones en una norma como la ISO 17799,realmente se están mostrando los objetivos de seguridad que debe tener en cuenta unaorganización para tener sus riesgos dentro de unos niveles aceptables.La norma ISO 17799:2005 es una norma aplicable a cualquier sector, cualquier tamaño deempresa y cualquier país.Las 12 secciones de la norma agrupadas por temáticas o campos sobre los que enfocan susobjetivos: Análisis de Riesgos, Política de Seguridad, Seguridad de R.H., Seguridad física,Organización de la seguridad, Gestión de activos, Comunicaciones y operaciones, Control deacceso, Compras Desarrollo y Mantenimiento de sistemas, Conformidad legal, Plan de Continuidadde Negocio, Gestión de incidentes de seguridad.Recomendaciones: Realizar un análisis de riesgos formal en la organización. Realizar el análisis de riesgos en base a una metodología documentada y aprobada formalmente. El análisis de riesgos debe contemplar los activos, vulnerabilidad, las amenazas, los impactos y la evaluación del riesgo. Incluir en el análisis de riesgos todos los activos incluidos en el alcance del SGSI y considerar las relaciones externas. Aprobar por la dirección los riesgos residuales Establecer criterios formales para clasificar el riesgo. Establecer una clasificación de riesgos y aprobar por la dirección las decisiones sobre cada uno de ellos (asumir, reducir, eliminar o transferir). Los riesgos deben quedar a un nivel aceptado por la dirección. Tener en cuenta principios de proporcionalidad en la selección de controles considerando todos los costes asociados. Cada control debe tener asociada una forma objetiva de verificar su eficacia.Las políticas de seguridad dan el marco sobre el que debe desarrollarse el Sistema de Gestión deSeguridad de la Información y debe ser coherente con la gestión del riesgo aprobada por ladirección en la sección anterior.Además de los controles técnicos que se presentan en la sección anterior, la norma prestaatención de forma particular al control de acceso lógico a la red. Hay que establecer
  13. 13. procedimientos formales para controlar la asignación de derechos de acceso a los sistemas yservicios informáticos.Controles recomendados: Registro de usuarios, gestión de privilegios, gestión de contraseñas deusuario, revisión de los derechos de acceso de los usuarios.Es imprescindible analizar las necesidades respecto a la seguridad de los sistemas de información.La seguridad de las aplicaciones que dan soporte al negocio puede ser crucial para su éxito, por lotanto las necesidades de seguridad deben identificarse y acordarse previamente al desarrollo delos sistemas informáticos.COSOEn la primera versión de COSO se definía el control interno de la siguiente forma: “El controlinterno es un proceso, ejercido por el consejo de administración de la entidad, los gestores y otropersonal de la organización, diseñado para proporcionar seguridad razonable respecto a laconsecución de los objetivos en las siguientes categorías: Efectividad y eficiencia de lasoperaciones, Confiabilidad de la información financiera, Cumplimiento con leyes y regulaciones.COSO se define formalmente como la gestión de riesgos empresariales es un proceso, ejercido porel consejo de administración de la entidad, los gestores y otro personal de la organización, comouna disposición estratégica en toda la organización, diseñada para identificar potenciales eventosque puedan afectar a la entidad y proporcionar una seguridad razonable respecto a la consecuciónde los objetos de la entidad.La consecución de objetivos de ERM se cataloga en cuatro líneas o categorías principales: Estratégica (Strategic): Comprende los objetivos más generales de la organización que soportan o están alineados con la misión de la misma. Operativa (Operational): Comprende el uso eficiente y eficaz de los recursos y activos. Reporte (Reporting): Relativa a la confiabilidad de los flujos de información y el reporte. Cumplimiento (Compliance): Comprende el cumplimiento con la legislación y regulación.Estos cuatro objetivos de alto nivel normalmente tendrán sentido en todas las organizaciones,organismos o compañías, sin embargo el modelo COSO no es cerrado y admite perfectamente sumodificación.Adicionalmente a estos objetivos COSO establece un conjunto de siete componentes que seenumeran a continuación: Ambiente interno (Internal Environment) Establecimiento de objetivos (Objetive setting) Evaluación del riesgo (Risk Assesment) Respuesta al riesgo (Risk Response) Actividades de control (Control activities) Información y Comunicación (Information & Comunication) Supervisión (Monitoring)El informe COSO no establece que los diferentes componentes tengan que ser aplicados en unorden de concreto, sin embargo como guía de referencia se establece un orden lógico en lasecuenciación de los componentes:
  14. 14. Ambiente interno Establecimiento de objetivos Evaluación de riesgo Actividades de control Información y comunicación SupervisiónPara completar en modelo COSO existe una tercera dimensión referida al ámbito de aplicación.Según el modelo de referencia esta tiene cuatro niveles: Entidad (Entity-Level): Relativo a una organización concreta en su conjunto siendo el más alto nivel) División (División): Comprende un conjunto de actividades relacionadas como negocios, líneas de producto, etc. Unidad (Bussines unit): Elemento considerado unitario en la organización empresarial encargado de una función de una función producto o misión concreta. Subsidiaria (Subsidiary): Organización dependiente de la organización principal. Esta separación cobra especial importancia en el reporte financiero.Además del modelo y los conceptos presentados en las secciones anteriores COSO ofrece de unavisión detallada de los siete componentes de ERM con recomendaciones y sugerencias paragestión el ERM.El informe COSO establece que la responsabilidad de la gestión de riesgos empresariales y controlinterno es responsabilidad de todos los miembros de la organización. Se recomienda el uso delinforme de diferentes formas por las distintas posiciones, cargos y funciones que las personas ogrupos desempeñan en la organización o fuera de ella.A continuación se presentan los beneficios que la experiencia en la implantación del modelo hatraído a las organizaciones. También se comentaras algunos mitos existentes en torno a suaplicación:Es un “cúralo-todo” con el que se pueden tomar decisiones basados en información 100%confiable y basada en información sin margen de error. Solo sirve para catalogar o tomar inventario de todos los riesgos que afectan a una organización. Ofrece un sistema por el cual los resultados de una auditoria son infalibles. ERM versa sobre asuntos financieros y seguros. Se trata un proceso independiente y aislado del resto de la organización. Es un modelo muy costoso de implementar estando solo al alcance de grandes organizaciones. Respecto a los beneficios, COSO promete las siguientes mejoras:
  15. 15. Alinea la tolerancia al riesgo y la estrategia. Relaciona crecimiento, riesgo y retorno de la inversión. Amplía las decisiones de respuesta al riesgo. Identifica y gestiona riesgos en los distintos niveles de la entidad. Proporciona respuestas integradas a los múltiples riesgos. Tiene en cuenta las oportunidades para aprovecharlas estratégicamente. Es garante del gobierno corporativo informando al consejo y a los gestores sobre los riesgos estableciendo supervisión. Ayuda a organizaciones a lograr objetivos y evitar pérdidas. Mejora los sistemas de reporte. Ayuda a asegurar el cumplimiento con leyes y reglamentos.COSO & COBITLa versión más reciente de COBIT está enfocada al gobierno de TSI desde los siguientes focos deactuación: Alineamiento estratégico: Centrado en asegurar la ligación entre los planes y operaciones de TSI con los de la entidad. Entrega de valor: Comprende la ejecución del valor aportado por las TSI respondiendo con beneficios a las expectativas reduciendo costes y aportando un valor intrínseco. Gestión de recursos: Atiende a la utilización eficiente y efectiva de los recursos de TSI. Gestión del riesgo: Requiere la concienciación del riesgo por parte de los gestores, la comprensión de la tolerancia al riesgo y las acciones para su gestión de forma transparente. Medición de desempeño: Comprende todos los procesos de medición realizados para realizar seguimiento de los objetivos y del alineamiento estratégico.ITIL & LA NORMA UNE-ISO/IEC 20000ITIL consta de un conjunto de libros publicados por la OGC, que permiten mejorar la calidad de losservicios de TSI que presta una organización a sus clientes.Gestión de la Infraestructura TSI: En las organizaciones actuales, las infraestructuras de TSI son labase sobre las que se construyen los servicios del negocio. Los principales procesos de laInfraestructura TSI son: Diseño y Planificación: Interesado en la creación y/o mejora de la solución de TSI. Despliegue: Interesado en la implementación y extensión del negocio y/o solución de TSI según se diseñó y planifico, con mínima interrupción en los procesos del negocio. Operaciones: Interesado en el mantenimiento diario de la infraestructura de TSI. Tiene en cuenta en todas las actividades y medidas para permitir y/o mantener el uso pretendiendo de la infraestructura TSI. Soporte Técnico: Interesado con la estructura y apuntalamiento de otros procesos para garantizar los servicios entregados por la gestión de la infraestructura de TSI.
  16. 16. TIL define los objetivos, las actividades y las entradas y salidas de los procesos de la organizaciónTSI. Sin embargo, ITIL no brinda una descripción específica de la forma en la que se debenimplantar estas actividades. ITIL ofrece un marco de trabajo para planificar los proceso, los roles ylas actividades más comunes, indicando los nexos entre ellos y los flujos de comunicaciónnecesarios.Los objetivos de Gestión de Configuración son; Contabilizar todos los activos y configuraciones de TSI dentro de la organización y sus servicios. Proporcionar información exacta de las configuraciones y su documentación para soportar el resto de procesos de Gestión del Servicios. Proporcionar una base sólida para la Gestión del Incidente, la Gestión del Problema, la Gestión del Cambio y la Gestión de la Entrega, Verificar los registros de configuración frente la infraestructura y corregir cualquier excepción.Las actividades básicas de gestión de configuración son: la selección e identificación de lasestructuras de configuración para todos los elementos de configuración; el control que asegura quesolo los elementos de configuración autorizados e identificables se aceptan y registran; lacontabilidad del estado que informa de todos los datos históricos y reales relativos a cada elementode configuración.Los objetivos de la Gestión de la Entrega son: Planificar y supervisar el despliegue satisfactorio del software y del hardware relacionado. Diseñar e implementar procedimientos eficientes para distribuir e instalar los cambios a los sistemas TSI. Comunicar y gestionar las expectativas del cliente durante la planificación y despliegue de las nuevas versiones. Implantar nuevas versiones de software y hardware en el entorno operativo, utilizando los procesos de Gestión de Configuración y Gestión del Cambio.Se define un servicio como uno o más sistemas de TSI que permiten un proceso del negocio.Puede ser una buena idea definir una jerarquía de servicios dentro del Catálogo de Servicios.BENEFICIOS DE ITILLos beneficios de la Gestión de Servicio de TSI deben identificarse para justificar laimplementación de los procesos correspondiente.Ventajas de ITIL para el cliente/usuario: La provisión de servicios TSI se orienta más al cliente y los acuerdos sobre la calidad del servicio mejoran la relación entre el departamento TSI y el cliente. Se describen mejor los servicios, en el lenguaje más cómodo para el cliente y con mejores detalles. Se manejan mejor la calidad y el coste del servicio. Mejora la comunicación con la organización TSI al acordar los puntos de contacto.
  17. 17. Ventajas de ITIL para la organización: La organización TSI desarrolla una estructura más clara, se vuelve más eficaz y se centra más en los objetivos corporativos. La dirección tiene más control y los cambios resultan más fáciles de manejar.Una estructura de proceso eficaz brinda un marco para concretar de manera más adecuada laexternalización de algunos de los elementos de los servicios TSI.NORMA UNE-ISO/IEC 20000ISO/IEC está formada por dos partes, cuyo título general es el mismo, Tecnologías de laInformación – Gestión del Servicio, y que forma específica se denominan, Parte 1: Especificación(ISO/IEC 20000-1, 2006) y Parte 2: Código de Practicas (ISO/IEC 20000-2, 2006). Estas normaspueden ser utilizadas por organizaciones que desarrollen herramientas, productos y sistemas degestión del servicio.UNE-ISO/IEC 20000-1La norma UNE-ISO/IEC 20000 proporciona una lista de objetivos y controles para cada uno deestos procesos, pero no es exhaustiva, por lo que una organización podría considerar el añadirobjetivos y controles adicionales para cumplir con sus necesidades de negocio.Se aplica la metodología Planificar, Realizar, Comprobar y Actuar: Planificar: Establecer la planificación de la gestión del servicio, incluyendo los objetivos que debe alcanzar la gestión de servicio. Realizar: Implementar los objetivos y el plan de gestión del servicio para proveer y gestionar los servicios. Comprobar: Monitorizar, medir y revisar que los objetivos de gestión del servicio y la ejecución del cumplimiento del plan cumplen con el plan de gestión del servicio, incluyendo el programa de auditorías. Actuar: Mejorar la eficacia y eficiencia de la entrega y la gestión del servicio.
  18. 18. CONCLUSIÓNEsperamos que con este trabajo se haya logrado el objetivo que era que lequedara claro para que sirve cada una de las norma, cual es mas viable paraimplementarse en cada pyme, los beneficios que tienen, asi como las ventajas ydesventajas que da cada una de las normas, cual debería de implementarse y cualno, cual le convienen a las pymes para lograr un objetivo planteado.En conclusión:ISO 27001 es una norma donde viene desglosado y estructurado correctamentepero esta específicamente diseñada para los riesgos de los sistemas deinformación por el contrario COBIT 4.0 no solo toma el tema de los riesgos sinoque estámás compleja su formulación hacia los sistemas de información.ITIL es una biblioteca que sirve para mejorar los servicios de las tecnologías desistemas de información que tiene una organización a sus clientes. Por su parteCOSO se define formalmente como la gestión de riesgos empresariales en unproceso, ejercido por el consejo de administración de la entidad, los gestores yotro personal de la organización, como una disposición estratégica en toda laorganización, diseñada para identificar potenciales eventos que puedan afectar ala entidad y proporcionar una seguridad razonable respecto a la consecución delos objetos de la entidad.NORMA UNE-ISO/IEC 20000muy en el caso de la seguridad informática, es unaopinión generalizada que la seguridad media alcanzada por la mayoría de lasorganizaciones está por debajo de las expectativas, hecho que encuentra unmotivo fundamental en la aplicación individual de estos productos y su baja oescasa integración con el resto de medidas de gestión de la organización.Legamos a la conclusión de que las mejores normas para implantarse en unapyme son la ISO 27001, COBIT, ISO 17799 y la UNE-ISO/IEC 20000.

×