NOMBRE DE LA ACTIVIDAD

Fase 1. Reconocimiento de conceptos y aula virtual

NOMBRE DEL ESTUDIANTE

Yeimar Alonso Castro Maturana

TITULO

Esp. Seguridad informática

CURSO – GRUPO

Modelos y estándares de seguridad informática (posgrado)

233002a_474

Apartado-04 septiembre
 CUADRO COMPARATIVO

Seguridad la información Normas ISO 27001 y Cobit e ITIL

y seguridad Informática. 2002

Definición Consiste en asegurar que los Esta norma específica los COBIT: es un modelo de
recursos del sistema de requisitos para la creación, evaluación y monitoreo que
información (material implementación, enfatiza en el control de
informático o programas) de funcionamiento, supervisión, negocios y la seguridad IT y
una organización sean revisión, mantenimiento y que abarca controles
utilizados de la manera que se mejora de un SGSI específicos de IT desde una
decidió y que el acceso a la documentado, teniendo en perspectiva de negocios.
información allí contenida, así cuenta los riesgos
como su modificación, sólo empresariales generales de  ITIL: corresponde a una
sea posible a las personas que la organización. Es decir, metodología de gestión que
se encuentren acreditadas y explica cómo diseñar un propone una serie de prácticas
dentro de los límites de su SGSI y establecer los estandarizadas que nos
autorización. controles de seguridad, de ayudan a mejorar la prestación
acuerdo con las necesidades de un servicio, reorganizando
de una organización o de la manera que tiene la
partes de la misma empresa de trabajar y en
particular, la del departamento
de TI.

Características Confidencialidad: Es decir, Análisis de riesgo: La COBIT es que está orientado

no desvelar datos a usuarios norma exige que la empresa al negocio, vinculando las
no autorizados; que haga un análisis de riesgos metas de negocio con las
comprende también la de seguridad periódicamente metas de TI, proporcionando
privacidad (la protección de y siempre que se propongan métricas y modelos de
datos personales). o se establezcan cambios madurez para medir sus
Integridad: Permite asegurar significativos. Para que este logros, e identificando las
que los datos no se han análisis se haga de la responsabilidades asociadas
falseado. manera correcta, es de los propietarios de los
Disponibilidad: Esto es, que necesario establecer criterios procesos de negocio y de TI.
la información se encuentre de aceptación de riesgo así
accesible en todo momento a como la definición de cómo Su enfoque hacia procesos,
los distintos usuarios esos riesgos serán medidos. mediante un modelo que
autorizados. subdivide TI en 34 procesos
Autenticación: Es la situación Compromiso de alta de acuerdo a cuatro áreas de
en la cual se puede verificar dirección: La norma también responsabilidad (Planear,
que un documento ha sido exige que la alta dirección Construir, Ejecutar y
elaborado (o pertenece) a demuestre compromiso con Monitorizar) que básicamente
quien el documento dice. el SGSI, además de ser esa coincide con el conocido ciclo
parte de la empresa ella de Deming (Plan-Do-Check-
misma la responsable por la Act).
 seguridad de la información.
Los líderes son también COBIT: es su dualidad de
responsables de asegurar orientación hacia el Negocio y
que todos los recursos para hacía las TIC, estableciendo
la implantación del sistema un puente de enlace entre
estén disponibles y ambos mundos y definiendo
asignados correctamente, y un lenguaje común que ha
además tienen la obligación permitido a los gestores
de orientar a los entender el valor estratégico
colaboradores para que el de las TIC y a los
sistema sea verdaderamente responsables de los sistemas
eficiente de la información, la
Definición de objetivos y importancia de conducir sus
estrategias: Durante la acciones hacia el aporte del
planificación, la empresa valor al negocio.
necesita tener muy claro ITIL
cuáles son sus objetivos de Administra la infraestructura
seguridad y cuáles serán las de TI mediante un inventario
estrategias establecidas para de la infraestructura actual
alcanzar esos objetivos. Los para mejorar su administración
objetivos, sin embargo, no y desarrollo.
pueden ser genéricos, deben Mejora la detección de
ser mensurables y tener en incidentes; mejora el plazo de
cuenta los requisitos de recuperación de incidentes en
seguridad. función de la importancia para
Recursos y competencias: la operación de la empresa.
La organización también
debe garantizar que todos los Mejora la administración de
recursos necesarios no sólo problemas recurrentes e
para la implementación, sino implementa soluciones
que también para el preventivas con el objetivo de
mantenimiento del sistema reducir o incluso eliminar su
estén disponibles. Además, ocurrencia.
es necesario establecer
cuáles son las competencias Mantiene un nivel de calidad
necesarias y garantizar que de servicio específico
las personas responsables usando contratos de servicio
sean suficientemente renegociados periódicamente.
calificadas, incluso con
documentación Administra la rentabilidad de
comprobatoria. los medios adoptados para
proporcionar el servicio
Diferencias Seguridad de la información: ISO 27001 está diseñada con COBIT: sirve para planear,
son medidas y actividades que un enfoque preciso: si desea organizar, dirigir y controlar
procuran proteger los activos crear la estructura de la toda la función informática
de información, entendiéndose seguridad de la información dentro de una empresa. Actúa
éstos como los conocimientos en su organización y definir sobre la dirigencia y ayuda a
o datos que tienen valor para su encuadre, debería usar la estandarizar la organización.
una organización, en sus ISO 27001; si desea ITIL: actúa sobre los procesos
diferentes formas y estados, a implementar controles, y, a través del conjunto de
través de la reducción de debería usar la ISO 27002. buenas prácticas que lo
riesgos a un nivel aceptable, conforman, mejorar el servicio
mitigando las amenazas Otra diferencia está en que la que ofrece la empresa y
latentes. ISO 27002 no distingue entre medirlos (para una mejora
Seguridad informática: los controles que son continua).
Conjunto de métodos, aplicables a una organización COBIT: Va dirigido a personal
procesos o técnicas para la determinada y los que no lo directivo, gerencial y operativo
protección de los sistemas son. Por otro lado, la ISO de los departamentos de TI
informáticos (redes e 27001 exige la realización de que estén directa o
infraestructura) y la una evaluación de riesgos indirectamente involucrados
información en formato digital sobre cada control para con la prestación y soporte de
que éstos almacenen. identificar si es necesario servicios de TI.
Dentro de esta categoría, se disminuir los riesgos y, en ITIL: Va dirigido a Auditores,
puede mencionar la seguridad caso que sea necesario, Administradores, personal del
computacional, la cual se ciñe hasta qué punto deben negocio, Consultores,
a la protección de los sistemas aplicarse Ingenieros y en general a
y equipos para el todos los niveles de una
procesamiento de datos de ISO 27002 no es una norma organización donde se
una empresa por ejemplo. de gestión. ¿Qué significa requiera implantar un Gobierno
La seguridad de la una norma de gestión? de TI utilizando el marco de
información: se orienta a Significa que este tipo de COBIT.
proteger los activos de norma define cómo ejecutar
información sin importar su un sistema; y en el caso de la
forma o estado, valiéndose de ISO 27001, esta norma
metodologías, normas, define el sistema de gestión
técnicas, herramientas, de seguridad de la
estructuras organizacionales, información (SGSI). Por lo
tecnología y otros elementos, tanto, la certificación en ISO
para la aplicación y gestión de 27001 sí es posible.
las medidas de seguridad
apropiadas en cada caso.

La seguridad informática: se
limita a proteger activos de
información en formato digital
y los sistemas informáticos
que los procesan y
almacenan, indistintamente si
están interconectados o no
 Controles y Políticas. Gobierno TI y Gestión de la seguridad.
Definición Las políticas de TI: Son directrices u Gobierno de tecnologías de información (TI)
orientaciones que debe generar la Dirección es un concepto que explica Verhoef (2007)
de tecnología o quien haga sus veces, con como una estructura de relaciones y procesos
el propósito de establecer pautas para para dirigir y controlar la función de dichas
lograr los objetivos propuestos en la tecnologías de una organización con el fin de
Estrategia de TI. Las políticas también son alcanzar sus objetivos mediante la agregación
el medio a través del cual los principios de la de valor y el equilibrio del riesgo y la
institución, y en este caso los de TI, se consideración del retorno sobre TI y sus
convierten en acciones. procesos.
Sistema de Gestión de Seguridad de la
Información (SGSI), según la Norma UNE-
ISO/IEC 27001 , es una parte del sistema de
gestión general, basada en un enfoque de
riesgo empresarial, que se establece para crear,
implementar, operar, supervisar, revisar,
mantener y mejorar la seguridad de la
información. Según Brandis et al. (2014), la
gestión de TI es responsabilidad de los
ejecutivos y de la junta directiva y hacen parte
de ella el liderazgo, las estructuras organizativas
y los procesos para garantizar que las
mencionadas tecnologías de la empresa
sustenten y extiendan las estrategias y objetivos
de la empresa.
Características Responsabilidad: Todos los grupos e
Política: la dirección de tecnología es individuos de la organización deben
la encargada de garantizar la comprender y aceptar sus responsabilidades
confidencialidad, integridad y disponibilidad de tanto en el uso (demanda) como en la provisión
la información de la institución. de los servicios de TI. La responsabilidad sobre
una acción lleva aparejada la autoridad para su
Estándar: Todos los sistemas de realización.
información tendrán adecuados controles de
seguridad de la información acorde a la Estrategia: La estrategia de negocio de la
recomendación ISO/IEC 27002:2013. organización tiene en cuenta las capacidades
actuales y futuras de las TIC.  Los planes
estratégicos de TIC satisfacen las necesidades
actuales y previstas derivadas de la estrategia
de negocio.
 Adquisición: Las adquisiciones de TI se hacen
por razones válidas, en base a un análisis
apropiado y continuo, con decisiones claras y
transparentes. Hay un equilibrio adecuado entre
beneficios, oportunidades, costes y riesgos
tanto a corto como a largo plazo.
Rendimiento: La TI está dimensionada para dar
soporte a la organización, proporcionando los
servicios con la calidad adecuada para cumplir
con las necesidades actuales y futuras.
 Conformidad: La función de TI cumple todas
las legislaciones y normas aplicables. Las
políticas y prácticas al respecto están
claramente definidas, implementadas y exigidas.
Factor humano: Las políticas de TIC, prácticas
y decisiones demuestran respeto al factor
humano, incluyendo las necesidades actuales y
emergentes de toda la gente  involucrada.

Diferencias El SGSI (Sistema de Gestión de Seguridad de

El control en la informática se puede dar de la Información) es el concepto central sobre el
diversas formas. que se construye ISO 27001.
Controles de seguridad
La gestión de la seguridad de la información
La seguridad computacional a menudo se debe realizarse mediante un proceso
divide en tres categorías maestras distintas, sistemático, documentado y conocido por toda
comúnmente llamadas controles: la organización.
 Físico
Contar con un modelo de gestión de TI para el
 Técnico
Estado, articulado, que incorpore aspectos de
 Administrativo seguridad y privacidad de la información.
Controles físicos
Generar confianza en las entidades y en los
El control físico es la implementación de ciudadanos respecto al uso y apropiación de TI
medidas de seguridad en una estructura en el Estado.
definida usada para prevenir o detener el
acceso no autorizado a material confidencial. Gobierno TI es fundamental desarrollar un plan
 Cámaras de circuito cerrado normativo y legal, las políticas organizacionales,
los procesos, el modelo de gobierno y los
 Sistemas de alarmas térmicos o de
mecanismos de compras y contratación de la
movimiento
entidad. Para que las TIC cumplan su papel es
 Guardias de seguridad
necesario contar con un modelo de gobierno de
 Identificación con fotos TI que contemple los siguientes aspectos:
 Puertas de acero con seguros
especiales  Marco legal y normativo
 Biométrica  Estructura de TI y procesos
Controles técnicos  Toma de decisiones
 Gestión de relaciones con otras áreas y
Los controles técnicos utilizan la tecnología entidades
como una base para controlar el acceso y uso  Gestión de proveedores
de datos confidenciales a través de una
 Acuerdos de servicios y de desarrollos
estructura física y sobre la red. Los controles
 Alineación con los procesos
técnicos son mucho más extensos en su
ámbito e incluyen tecnologías tales como:
 Encriptación
 Tarjetas inteligentes
 Autenticación a nivel de la red
  Listas de control de acceso (ACLs)
 Software de auditoría de integridad de
archivo

Metodologías de riesgos: Cada estudiante debe desarrollar un vídeo educativo de 10

minutos en donde se expliquen las siguientes temáticas (7 puntos):

 Situación de la seguridad de la información en Colombia.

La seguridad de la información es el conjunto de medidas técnicas, operativas,

organizativas, y legales que permiten a las organizaciones resguardar y proteger la
información buscando mantener la confidencialidad, la disponibilidad e integridad de
la misma.

El concepto de seguridad de la información no debe ser confundido con el de

seguridad informática, ya que este último sólo se encarga de la seguridad en el
medio informático, pero la información puede encontrarse en diferentes medios o
formas, y no solo en medios informáticos.

La seguridad de la información se encarga de garantizar la integridad,

confidencialidad, disponibilidad de nuestra información.

Integridad: Propiedad de salvaguardar la exactitud y estado completo de los activos

de información. [NTC 5411-1:2006].

Disponibilidad: Propiedad de que la información sea accesible y utilizable por

solicitud de una entidad autorizada. [NTC 5411-1:2006].

Confidencialidad: Propiedad que determina que la información no esté disponible

ni sea revelada a individuos entidades o procesos no autorizados. [NTC5411-
1:2006].
 Componentes de un análisis de riesgos.

Contexto estratégico.

Identificación de riesgos.

Análisis de riesgos.

Valoración de riesgos.

Políticas de administración de riesgos.

 Metodologías para la gestión de riesgos.

La norma ISO 31000:2009 establece un conjunto de principios que se deben

satisfacer para que la gestión del riesgo sea eficaz; recomienda que las
organizaciones desarrollen, implementen y mejoren de manera continuada un
marco de trabajo cuyo objetivo sea integrar el proceso de gestión del riesgo en
los procesos de gobierno, de estrategia y de planificación, de gestión y de
elaboración de informes, así como en las políticas, los valores y en la cultura de
toda la organización. Esta norma puede ser utilizada por cualquier entidad
pública o privada, organizaciones sin ánimo de lucro, asociaciones, grupos o
individuos.

Los principios básicos de la gestión del riesgo que se describen en la norma ISO
31000 corresponden a: crear y proteger el valor, es una parte integral de todos
los procesos de la organización, es parte de la toma de decisiones, trata
explícitamente la incertidumbre, es sistémica, estructurada y oportuna, se basa
en la mejor información disponible, es adaptable, integra los factores humanos y
culturales, es transparente y participativa, es dinámica, iterativa, responde a los
cambios y facilita la mejora continua de la organización.

Es así, como el análisis de riesgos informáticos pasa a ser una parte

fundamental en la administración de la seguridad, permitiendo algunos
beneficios, tal como, identificar los puntos más débiles de la estructura de TI que
da soporte a los procesos críticos de la organización. Igualmente, además de ser
una guía de selección de medidas de protección de costo adecuado, determina
dónde es necesario contar con esquemas de recuperación de desastres y
continuidad de negocio y permite realizar políticas de seguridad mejor adaptadas
a las necesidades de la organización.

Octave (Operationally Critical Threat, Asset, and Vulnerability Evaluation).

Es una de las metodologías de análisis de riesgos más utilizada por las
empresas. Esta describe un conjunto de criterios para desarrollar métodos que
se adhieran a guías específicas de evaluación y administración de riesgos [4].
Octave evalúa los riesgos de seguridad de la información y propone un plan de
mitigación de los mismos dentro de una organización. Sus objetivos se
encuentran enfocados básicamente en concientizar a la organización en cuanto
a que la seguridad informática no es un asunto solamente técnico, y presentar
los estándares internacionales que guían la implementación de seguridad de
aquellos aspectos no técnicos.

Magerit. Es la metodología de análisis y gestión de riesgos de la información

desarrollada por el Consejo Superior de Administración Electrónica. [16]. En la
introducción de esta metodología sobresalen dos objetivos principales, uno de
los cuales es estudiar los riesgos que soporta un sistema de información y el
entorno asociado a este, entendiendo por riesgo la posibilidad de que suceda un
daño o perjuicio, en una primera aproximación que se atiene a la aceptación
habitual del término, y otro relacionado con recomendar las medidas apropiadas
que deberían adoptarse para conocer, prevenir impedir, reducir o controlar los
riesgos investigados.

Mehari. Método Armonizado de Análisis de Riesgos. Esta metodología fue

propuesta y desarrollada por el Club Francés de la Seguridad de la Información
CLUSIF en el año 1996; es de acceso público y para todo tipo de
organizaciones. Se diseñó inicialmente y se actualiza continuamente para
ayudar a los CISO (Chief Information Security Officers) en la gestión de las
actividades de la seguridad informática, pero también está concebida para
 auditores CIO o gestores de riesgos [25]. Es una metodología utilizada para
apoyar a los responsables de la seguridad informática de una empresa mediante
un análisis riguroso de los principales factores de riesgo, evaluando
cuantitativamente, de acuerdo con la situación de la organización, dónde se
requiere el análisis; acopla los objetivos estratégicos existentes con los nuevos
métodos de funcionamiento de la empresa mediante una política de seguridad y
mantenimiento de los riesgos a un nivel convenido. Mehari propone un módulo
para analizar los intereses implicados por la seguridad y un método de análisis
de riesgos con herramientas de apoyo

 Importancia de un Sistema de Gestión de seguridad de la información

(SGSI) en la organización.

Un SGSI es, tal como su nombre lo indica, un elemento para administración

relacionado con la seguridad de la información, aspecto fundamental de
cualquier empresa. Un SGSI implica crear un plan de diseño, implementación, y
mantenimiento de una serie de procesos que permitan gestionar de manera
eficiente la información, para asegurar la integridad, confidencialidad y
disponibilidad de la información.

Toda organización tiene objetivos, por lo general relacionados con el mercado y

los negocios, y requiere que desde los procesos de operaciones hasta las
políticas de uso de recursos, sean definidos a un nivel general, de manera
confiable. Si bien gran parte de la información se vincula con computadoras y
redes, hay otra parte que no se representa en forma de bits, sino por ejemplo en
papeles, en la memoria de las personas, en el conocimiento y experiencia de la
organización misma, en la madurez de sus procesos, etc. En ambos casos, la
información debe ser protegida de manera diferente, y aquí entra en juego un
SGSI.
 Por lo general es posible disminuir el impacto de los riesgos potenciales sin
necesidad de grandes cambios, pero a la vez es necesaria la planificación e
implantación de ciertos controles basados en un cuidadoso análisis de riesgo.
Un SGSI ayuda a mantener este riesgo por debajo del nivel aceptable que se
haya determinado a nivel directivo.

Un SGSI permite obtener una visión global del estado de los sistemas de
información sin caer en detalles técnicos, además de poder observar las
medidas de seguridad aplicadas y los resultados obtenidos, para poder con
todos estos elementos tomar mejores decisiones estratégicas. Otro punto
importante es que un SGSI debe estar documentado y ser conocido a distintos
niveles por todo el personal, y estar incluido en un proceso global que permita la
mejora continua. Finalmente, no está de más considerar la norma ISO 27001,
que especifica los requisitos necesarios para establecer para certificar un SGSI,
aunque es posible también basarse en otros estándares como ISM3.

 Entes certificadores de la norma ISO 27001.

Video

https://www.youtube.com/watch?v=UtlIk08Fjrg&feature=youtu.be
 Bibliografía

[1] C. Cerra, ISO 31000:2009. Herramienta para evaluar la gestión de riesgo, Uruguay.
[On Line]. Disponible en: http://www.isaca.org/chapters8/Montevideo/cigras/
Documents/cigras2011-cserra-presentacion1%20 modo%20de%20compatibilidad.pdf.

[2] M. Castro, El Nuevo Estándar para la Gestión del Riesgo. [On Line]. Disponible en:
http://www.surlatina.cl/contenidos/archivos_articulos/13-el%20 nuevo%20estandar
%20iso%20para%20la%20gestion%20del%20riesgo.pdf

[3] ISO 31000:2009-Setting a New Standard for Risk Management, Risk Analysis, Vol.
30, No. 6, 2010 [On Line]. Disponible en: http://esvc001356.wic015u. server-
web.com/pdfs/articles/art_riskanalysis_ iso31000.pdf

[4] E. Daltabuit, L. Hernández, J. Vázquez. La Seguridad de la Información, México:

Limusa Noriega Editores S.A., 2009.

[5] M. Doris. Metodologías de la seguridad informática. [On line]. Disponible en:

http://seguridadinformatica.
bligoo.ec/media/users/22/1142179/files/312461/Metodologia_de_la_Seguridad_Ing.pdf

[6] J. Eterovic y G. Pagliari, Metodología de Análisis de Riesgos Informáticos. [Online].

Disponible en: http:// www.cyta.com.ar/ta1001/v10n1a3.htm.
[7] E. José (2013, Septiembre), Octave, Metodología para el análisis de riesgos de TI,
Periódico de los universitarios Universo, [On line]. Disponible en:
http://www.uv.mx/universo/535/infgral/infgral_08.html

[8] G. Camilo (2013, Mayo) Magerit: metodología práctica para gestionar riesgos,
welivesecurity en español [On line]. Disponible en: http://www.welivesecurity. Com/la-
es/2013/05/14/magerit-metodologia-practicapara-gestionar-riesgos/

ftp://backups.senado.gov.co/meci/Manual_MECI/Unidad_2/A_control
%20estrategico/A3_admon%20riesgos/A_3_lectura.htm

https://www.welivesecurity.com/la-es/2010/09/10/la-importancia-de-un-sgsi/

Federico Pacheco Education & Research Manager

La seguridad informática Costas, Santos, Jesús. Seguridad informática, RA-MA

Editorial, 2014.

http://hemeroteca.unad.edu.co/index.php/publicaciones-e