Profesor: Fernando Alberto Lpez Ocaa

Nombre del Alumno: Jess Guadalupe Trujillo Ramrez

Materia: Seguridad de la Informacin

Cuatrimestre: 10

Grupo: D

Tema: NORMATIVIDAD EN MATERIA DE SEGURIDAD.

TECNOLOGA DE LA INFORMACIN Y COMUNICACIN

Ocosingo, Chiapas a; 09 de Octubre de 2014

ndice
INTRODUCCIN ........................................................................................................................ 1
TABLA COMPARATIVA ............................................................................................................. 2
CONCLUSIN........................................................................................................................... 10
BIBLIOGRAFA.......................................................................................................................... 11

INTRODUCCIN
En la actualidad, la seguridad informtica ha adquirido gran auge, dadas las
cambiantes condiciones y las nuevas plataformas de computacin disponibles. La
posibilidad de interconectarse a travs de redes, ha abierto nuevos horizontes que
permiten explorar ms all de las fronteras de la organizacin. Esta situacin ha
llevado a la aparicin de nuevas amenazas en los sistemas computarizados.
Consecuentemente,

muchas

organizaciones

gubernamentales

no

gubernamentales internacionales han desarrollado documentos y directrices que

orientan en el uso adecuado de estas destrezas tecnolgicas y recomendaciones
con el objeto de obtener el mayor provecho de estas ventajas, y evitar el uso
indebido de la mismas. Esto puede ocasionar serios problemas en los bienes y
servicios de las empresas en el mundo. En este sentido, las polticas de seguridad
informtica (PSI) surgen como una herramienta organizacional para concientizar a
cada uno de los miembros de una organizacin sobre la importancia y la
sensibilidad de la informacin y servicios crticos que favorecen el desarrollo de la
organizacin y su buen funcionamiento.

TABLA COMPARATIVA
Norma

ISO 27001

Descripcin

ISO 27001 es una norma

internacional emitida por
la
Organizacin
Internacional
de
Normalizacin (ISO) y
describe cmo gestionar
la seguridad
de la
informacin
en
una
empresa. La revisin ms
reciente de esta norma
fue publicada en 2013 y
ahora
su
nombre
completo es ISO/IEC
27001:2013. La primera
revisin se public en
2005 y fue desarrollada
en base a la norma
britnica BS 7799-2.
ISO 27001 puede ser
implementada
en
cualquier
tipo
de
organizacin, con o sin
fines de lucro, privada o
pblica,
pequea
o
grande. Est redactada
por
los
mejores
especialistas del mundo
en el tema y proporciona
una metodologa para
implementar la gestin de
la seguridad
de la
informacin
en
una
organizacin.
Tambin
permite que una empresa
sea
certificada;
esto
significa que una entidad
de
certificacin
independiente confirma

Caractersticas
ISO 27001 est armonizada
con normas de sistemas de
gestin como ISO 9001 e ISO
14001.
ISO 27001 pone nfasis en la
mejora continua de procesos
de su sistema de gestin de
seguridad de la informacin.
Clarifica requerimientos de
documentacin y registros
Involucra
evaluacin
de
riesgos y gestin de procesos
mediante la uso de un
modelo de procesos PDCA Planificar, Hacer, Verificar,
Actuar (PDCA, por sus siglas
en ingls).

Qu es? o como
funciona
El eje central de ISO 27001 es
proteger
la
confidencialidad,
integridad y disponibilidad de la
informacin en una empresa. Esto
lo hace investigando cules son los
potenciales problemas que podran
afectar la informacin (es decir, la
evaluacin de riesgos) y luego
definiendo lo que es necesario
hacer para evitar que estos
problemas se produzcan (es decir,
mitigacin o tratamiento del riesgo).
Por lo tanto, la filosofa principal de
la norma ISO 27001 se basa en la
gestin de riesgos: investigar
dnde estn los riesgos y luego
tratarlos sistemticamente.

Beneficios
Hay
4
ventajas
comerciales esenciales
que
una
empresa
puede obtener con la
implementacin
de
esta norma para la
seguridad
de
la
informacin:
Cumplir
con
los
requerimientos
legales cada vez
hay ms y ms leyes,
normativas
y
requerimientos
contractuales
relacionados con la
seguridad
de
la
informacin. La buena
noticia es que la
mayora de ellos se
pueden
resolver
implementando
ISO
27001 ya que esta
norma le proporciona
una
metodologa
perfecta para cumplir
con todos ellos.
Obtener una ventaja
comercial si su
empresa obtiene la
certificacin
y
sus
competidores no, es
posible
que
usted
obtenga una ventaja
sobre ellos ante los
ojos de los clientes a

Dnde
aplica? o
Interviene
Bsicamente,
la
seguridad
de
la
informacin es parte
de la gestin global
del riesgo en una
empresa,
hay
aspectos
que
se
superponen con la
ciberseguridad, con la
gestin
de
la
continuidad
del
negocio y con la
tecnologa
de
la
informacin:

que la seguridad de la
informacin
ha
sido
implementada en esa
organizacin
en
cumplimiento
con
la
norma ISO 27001.

los que les interesa

mantener en forma
segura su informacin.
Menores costos la
filosofa principal de
ISO 27001 es evitar
que
se
produzcan
incidentes
de
seguridad,
y
cada
incidente,
ya
sea
grande o pequeo,
cuesta dinero; por lo
tanto, evitndolos su
empresa va a ahorrar
mucho dinero. Y lo
mejor de todo es que la
inversin en ISO 27001
es mucho menor que el
ahorro que obtendr.
Una
mejor
organizacin en
general, las empresas
de rpido crecimiento
no tienen tiempo para
hacer una pausa y
definir sus procesos y
procedimientos; como
consecuencia, muchas
veces los empleados
no saben qu hay que
hacer, cundo y quin
debe
hacerlo.
La
implementacin de ISO
27001 ayuda a resolver
este tipo de situaciones
ya que alienta a las
empresas a escribir
sus
principales
procesos (incluso los
que
no
estn
relacionados con la
seguridad), lo que les
permite
reducir
el
tiempo perdido de sus
empleados.

ISO 17799

ISO 17799 es una norma

internacional que ofrece
recomendaciones
para
realizar la gestin de la
seguridad
de
la
informacin dirigidas a
los
responsables
de
iniciar,
implantar
o
mantener la seguridad de
una organizacin.
ISO 17799 define la
informacin como un
activo que posee valor
para la organizacin y
requiere por tanto de una
proteccin adecuada. El
objetivo de la seguridad
de la informacin es
proteger adecuadamente
este activo para asegurar
la
continuidad
del
negocio, minimizar los
daos a la organizacin y
maximizar el retorno de
las inversiones y las
oportunidades
de
negocio.

Confidencialidad.
La
informacin slo debe ser
vista por aquellos que tienen
permiso para ello, no debe
poder ser accedida por
alguien
sin
el
permiso
correspondiente.
Integridad. La informacin
podr ser modificada solo por
aquellos con derecho a
cambiarla.
Disponibilidad.
La
informacin deber estar
disponible en el momento en
que los usuarios autorizados
requieren acceder a ella.

ISO 17799
es
una
norma
internacional
que
ofrece
recomendaciones para realizar la
gestin de la seguridad de la
informacin, adoptada en Espaa
como norma UNE-ISO/IEC 17799.

Aumento
de
la
seguridad efectiva de
los
sistemas
de
informacin.
Correcta planificacin y
gestin
de
la
seguridad.
Garantas
de
continuidad
del
negocio.
Alianzas comerciales
y e-commerce ms
seguras.
Mejora contnua a
travs del proceso de
auditora interna.
Incremento de los
niveles de confianza de
nuestros clientes y
partners.
Aumento del valor
comercial y mejora de
la
imagen
de
la
organizacin.
Auditoras
de
seguridad
ms
precisas y fiables.
Menor
Responsabilidad Civil.

Auditora.
Un
trabajo
de
auditora ISO 17799
consiste
en
la
valoracin del nivel de
adecuacin,
implantacin y gestin
de cada control de la
norma
en
la
organizacin. Valora
la seguridad desde 4
puntos de vista:
Seguridad lgica.
Seguridad fsica.

Seguridad
organizativa.
Seguridad legal.
Se trata de una
referencia
de
la
seguridad
de
la
informacin estndar y
aceptada
internacionalmente.
Una vez conocemos el
estado actual de la
seguridad
de
la
informacin
en
la
organizacin,
podemos
planificar
correctamente
su
mejora
o
su
mantenimiento.
Una
auditora ISO 17799
proporciona
informacin
precisa
acerca del nivel de
cumplimiento de la
norma a diferentes
niveles: global, por
dominios,
por
objetivos
y
por
controles.

Consultora.
Conociendo el nivel de
cumplimiento actual,
es posible determinar
el
nivel
mnimo
aceptable y el nivel
objetivo
en
la
organizacin:
Nivel
mnimo
aceptable. Estado con
las mnimas garantas
de
seguridad
necesarias
para
trabajar
con
la
informacin
corporativa.
Nivel
objetivo.
Estado de seguridad
de referencia para la
organizacin, con un
alto
grado
de
cumplimiento
ISO
17799.
A partir del nivel
mnimo aceptable y el
nivel
objetivo,
podemos definir un
plan de trabajo para
alcanzar ambos a
partir
del
estado
actual.
Nivel
mnimo
aceptable.
Implantacin de los
controles
tcnicos
ms urgentes, a muy
corto plazo.
Nivel objetivo. Se
desarrolla en el tiempo
dentro
del
Plan
Director de
Seguridad
corporativo, y es el
paso previo a la
certificacin
UNE
71502.

COBIT

COBIT es un framework
de Gobierno de TI y un
conjunto de herramientas
de soporte
para el
gobierno de T.I. que les
permite a los gerentes
cubrir la brecha entre los
requerimientos
de
control, los aspectos
tcnicos y riesgos de
negocio. COBIT hace
posible el desarrollo de
una poltica clara y las

Ha sido diseado como un

estndar
habitualmente
aceptado y ajustable a las
buenas
prcticas
de
seguridad y control en TIC.
Suministra herramientas al
responsable de los procesos
que facilitan el cumplimiento
de esta tarea.
Tiene una premisa prctica y
simple: con el fin de facilitar
la
informacin
que
la
organizacin requiere para

COBIT (Control Objectives Control

Objectives for Information and
related Technology) es el marco
aceptado internacionalmente como
una buena prctica para el control
de la informacin, TI y los riesgos
que conllevan. COBIT se utiliza
para implementar el gobierno de IT
y mejorar los controles de IT.
Contiene objetivos de control,
directivas
de
aseguramiento,
medidas
de
desempeo
y
resultados, factores crticos de xito

COBIT 5 ayuda a
empresas de todos los
tamaos a:
Optimizar
los
servicios el coste de
las TI y la tecnologa
Apoyar
el
cumplimiento de las
leyes, reglamentos,
acuerdos
contractuales y las
polticas

Implantacin.
ISO 17799 no es una
norma tecnolgica.
10
Ha sido redactada de
forma
flexible
e
independiente
de
cualquier solucin de
seguridad especfica.
Proporciona buenas
prcticas
neutrales
con respecto a la
tecnologa y a las
soluciones disponibles
en el mercado.
Estas caractersticas
posibilitan
su
implantacin en todo
tipo
de
organizaciones,
sin
importar su tamao o
sector de negocio,
pero al mismo tiempo
son un argumento
para los detractores
de la norma. Cmo
traducir
especificaciones
de
alto nivel a soluciones
concretas, para poder
implantar ISO 17799?
Con un trabajo de
consultora, interna o
externa.
COBIT se aplica a los
Sistemas
de
informacin de
toda
la
empresa,
incluyendo
los
computadores
personales
y las redes. Est
basado en
la filosofa de que los
recursos TI necesitan
ser administrados por
un
conjunto
de

buenas prcticas para los

controles de T.I. a travs
de las organizaciones.
COBIT enfatiza en la
conformidad
a
regulaciones, ayuda a las
organizaciones
a
incrementar
el
valor
alcanzado desde la TI,
permite el alineamiento y
simplifica
la
implementacin de la
estructura COBIT.

NIST

El Instituto Nacional de
Normas y Tecnologa
(NIST por sus siglas en
ingls, National Institute
of
Standards
and
Technology)
es
una
agencia
de
la
Administracin
de

alcanzar
sus
objetivos,
seala que los recursos de
TIC deben ser administrados
por un conjunto de procesos
de TIC agrupados en forma
natural.
Es la herramienta innovadora
para el manejo de TIC que
ayuda a la gerencia a
comprender y administrar los
riesgos asociados con TIC
Ayuda a proteger las brechas
existentes entre necesidades
de
control,
riesgos
de
negocio y aspectos tcnicos.
Proporciona prcticas sanas
por medio de un Marco
Referencial de dominios y
procesos;
presenta
actividades en una estructura
manejable y lgica.
Las prcticas sanas de
COBIT
representan
el
consenso de los expertos.
Est desarrollado no solo
para
ser
utilizado
por
usuarios y auditores, sino que
en forma ms importante,
est diseado para ser
utilizado como un Check List
detallado
para
los
responsables
de
cada
proceso.

Caracterizacin
Identificacin
de
Amenazas
Identificacin
Vulnerabilidades
Analisis de Control
Determinacin
de
probabilidad

las

la

y modelos de madurez.

Gestin de nuevas
tecnologas
de
informacin.
COBIT
para
la
seguridad
de
la
informacin.
En el mes de junio del
2012, ISACA lanz
"COBIT 5 para la
seguridad
de
la
informacin",
actualizando la ltima
versin de su marco a
fin de proporcionar una
gua prctica en la
seguridad
de
la
empresa, en todos sus
niveles prcticos.

Son innumerables los productos y

servicios,
desde
los
cajeros
automticos y relojes atmicos
hasta
los
mamogramas
y
semiconductores, que de una y otra
forma dependen de la tecnologa, la
medicin y los estndares del
Instituto Nacional de Normas y

COBIT
5
para
seguridad
de
la
informacin
puede
ayudar a las empresas
a reducir sus perfiles
de riesgo a travs de la
adecuada
administracin de la
seguridad.
La
informacin especfica
y
las
tecnologas
relacionadas son cada
vez ms esenciales
para
las
organizaciones, pero la
seguridad
de
la
informacin es esencial
para la confianza de
los accionistas
El NIST proporciona la
industria, la academia,
el gobierno y otros
usuarios, con ms de
1300 materiales de
referencia
estndar.
Estos artefactos estn
certificados como de

procesos
naturalmente
agrupados
para
proveer la informacin
pertinente y confiable
que
requiere
una
organizacin
para
lograr sus objetivos.

Bio-ciencias
y
Salud
Construccin
e
Incendios
(Investigacin)
Qumica
Electrnica
y
telecomunicacione

Tecnologa
del
Departamento
de
Comercio de los Estados
Unidos. La misin de
este instituto es promover
la
innovacin
y
la
competencia
industrial
mediante avances en
metrologa, normas y
tecnologa de forma que
mejoren la estabilidad
econmica y la calidad
de vida.

Systrust

El
servicio
SysTrust
tambin se compone de
una "familia" de servicios
de garanta diseado
para una amplia variedad
de sistemas basados en
TI como puede ser
definido por la entidad y,

Analisis del Impacto

Determinacin del riesg
Recomendaciones de Control
Resultados Documentacin

Disponibilidad. El sistema
est disponible para la
operacin y el uso a veces
expuestos
en
las
declaraciones o acuerdos de
nivel de servicio.

Tecnologa.NIST, fundado en 1901,

es un organismo federal no
regulador que forma parte de la
Administracin de Tecnologa del
Departamento de Comercio de los
Estados Unidos (United States
Department
of
Commerce
Technology Administration). La
misin del NIST consiste en
elaborar y promover patrones de
medicin, normas y tecnologa con
el fin de realzar la productividad,
facilitar el comercio y mejorar la
calidad de vida. NIST lleva acabo
su misin a travs de cuatro
programas
cooperativos:Los
laboratorios
del
NIST
(NIST
Laboratories),
que
realizan
investigaciones para mejorar la
infraestructura del pas en materia
de tecnologa y que la industria
Estadounidense
necesita
para
seguir mejorando los productos y
servicios.- El Programa de Calidad
Nacional
Baldrige
(Baldrige
National Quality Program) que
promueve la excelencia en el
desempeo entre los proveedores
de atencin de salud, los centros
docentes,
las
sociedades
prestatarias de servicios y los
fabricantes
Estadounidenses
dirige programas de extensin y
administra el Premio de Calidad
Nacional Malcolm Baldrige. Este se
concede
anualmente
para
reconocer la excelencia en el
desempeo y el progreso en
materia de calidad
El servicio SysTrust es un servicio
de garanta de que fue desarrollado
conjuntamente por el Instituto
Americano de Contadores Pblicos
Certificados (AICPA) y el Instituto
Canadiense
de
Contadores
Certificados (CICA) . Est diseado
para aumentar la comodidad de

las
caractersticas
especficas
o
contenidos
componente, utilizados
como
patrones
de
calibracin de equipos
de medicin y los
procedimientos,
los
puntos de referencia
de control de calidad
para
los
procesos
industriales,
y
las
muestras de control
experimental.

Proporciona
un
informe sobre la
fiabilidad del sistema
mediante principios y
criterios
uniformes
para
todos
los
compromisos.

s
Energa
Medio
Ambiente/Clima
Tecnologa de la
Informacin
Fabricacin
Ciencia de los
Materiales
Matemticas
Nanotecnologa
Fsica
Seguridad Pblica
y Seguridad
Calidad
Transporte

Este modelo persigue

determinar
si
un
sistema
de
informacin
es
confiable, es as que
en un trabajo de
SysTrust, el auditor
evala y comprueba si

al logro de un informe de
verificacin sin reservas,
dara derecho a la
entidad a mostrar un
sello SysTrust y que
acompaa el informe de
auditor.
La
familia
SysTrust de servicios de
garanta de la marca
incluye
lo
siguiente,
aplicado en el contexto
del sistema definido de
una entidad:

Seguridad. El sistema est

protegido contra el acceso
fsico y lgico no autorizado.
Integridad. Procesamiento del
sistema es completa, exacta,
oportuna y autorizada.

gestin, clientes y socios de

negocios con los sistemas que
soportan un negocio o actividad en
particular. En un trabajo de
SysTrust, el mdico evala y
comprueba si o no un sistema
especfico es fiable si se compara
con los tres principios esenciales: la
disponibilidad, la seguridad y la
integridad. SysTrust se basa en el
marco comn de los Servicios
Fiduciarios Principios y Criterios.

SysTrust-Sistemas de
Confiabilidad.
El
alcance
del
trabajo
incluye la garanta de la
seguridad,
la
disponibilidad, el proceso
de integridad o principios
de confidencialidad y
Criterios.
SOC 3 SysTrust para
organizaciones
de
servicio. El alcance del
trabajo de aseguramiento
incluye una o ms
combinaciones de la
seguridad,
la
disponibilidad, el proceso
de
integridad,
confidencialidad
o
Principios
y Criterios
nicos
para
las
organizaciones
de
servicios de privacidad.

Aseguramiento
en
un sistema. No se
proporciona ningn
detalle sobre los
procedimientos
de
control subyacentes.

o no un sistema
especfico es fiable, si
la
respuesta
es
afirmativa, entonces el
sistema de tener en
cuenta
los
tres
principios esenciales:
la disponibilidad, la
seguridad
y
la
integridad.
Es por ello que las
empresas
deben
contar con estndares
que
regulen
sus
proyectos de TI, como
por ejemplo Systrust,
la cual hace que las
empresas de servicios
tengan la capacidad
de
establecer
la
credibilidad y generar
confianza
con
importantes usuarios
finales.

CONCLUSIN
ISO 17799 es una norma internacional que ofrece recomendaciones para realizar
la gestin de la seguridad de la informacin, adoptada en Espaa como norma
UNE-ISO/IEC 17799.
La norma se estructura en diez dominios de control que cubren por completo todos
los aspectos relativos a la seguridad de la informacin. Implantar ISO 17799
requiere de un trabajo de consultora que adapte los requerimientos de la norma a
las necesidades de cada organizacin concreta. La adopcin de ISO 17799
presenta diferentes ventajas para la organizacin, entre ellas el primer paso para
la certificacin segn UNE 71502.
Si bien COBIT es un marco general, su flexibilidad y versatilidad nos permite
adaptarlo a cualquier tipo y tamao de empresa, realizando una implementacin
gradual y progresiva acorde a los recursos disponibles y acompasando la
estrategia empresarial. Si bien an no es requerido formalmente en forma
regulatoria, es un estndar de facto en toda Latinoamrica y es una fuerte
recomendacin en los mbitos financieros. Es parte de la misin de ISACA, la
divulgacin de COBIT y apoyo en la implementacin como forma de promover la
eficiencia y buena gestin de los procesos de tecnologa que nos permita
compararnos y mejorar da a da en pos de la concrecin de los Objetivos de
Negocio.

10

BIBLIOGRAFA
(S.F). Qu es norma ISO 27001?. Recuperado el 9 de octubre de 2014, de
http://www.iso27001standard.com/es/que-es-iso-27001/
(S.F). ISO 27001. Recuperado el 9 de octubre de 2014,
http://www.dnvba.com/mx/Certificacion/Sistema-de-Gestion/Seguridad-de-laInformacion/Pages/ISO-27001.aspx

de

(S.F). Documentacion ISO 17799. Recuperado el 9 de octubre de 2014, de

https://es.scribd.com/doc/33420497/Documentacion-ISO-17799
(S.F). Qu es COBIT?. Recuperado el 9 de octubre de
http://www.cibertec.edu.pe/formacion-continua/certificaciones
internacionales/cursos-cobit/que-es-cobit/

2014, de

(S.F). Control Objectives for Information and related Technology. Recuperado el 9

de octubre de2014, de http://cobitsosw.blogspot.mx/2010/09/caracteristicas-decobit.html
Gomez Vanessa. (2010). Tabla Comparativa Magerit Nist. Recuperado el 9 de
octubre de 2014, de https://es.scribd.com/doc/36343741/Tabla-ComparativaMagerit-Nist
(S.F). Qu es NIST?. Recuperado el
http://www.actiweb.es/acscalibration/nist.html

de

octubre

de

2014,

de

(S.F). Descripcin general de Servicios de Confianza. Recuperado el 9 de 2014,

de http://www.webtrust.org/overview-of-trust-services/item64420.aspx
(S.F). Servicio de Confianza. Recuperado el 9 de octubre de 2014, de
http://sas70.com/FAQRetrieve.aspx?ID=33287

11