Академический Документы
Профессиональный Документы
Культура Документы
MARCO TERICO.............................................................................................. 2
ITIL V3 2011.................................................................................................. 2
COBIT 5........................................................................................................... 2
ISO 38,500....................................................................................................... 3
ISO 22301........................................................................................................ 3
BS 25999......................................................................................................... 4
ISO 27001........................................................................................................ 4
ISO 27002........................................................................................................ 5
ISO 20000........................................................................................................ 6
ISO 27005........................................................................................................ 6
ISO 27035........................................................................................................ 6
ISO27003......................................................................................................... 7
ISO 27006........................................................................................................ 7
ISO 27007........................................................................................................ 8
ISO 15504........................................................................................................ 8
ISO 19770........................................................................................................ 8
PMI Y Certificacin PMP.................................................................................... 9
OWASP............................................................................................................. 9
CONTROLES SOX.............................................................................................. 9
MAGERIT........................................................................................................ 10
TOGAF............................................................................................................ 10
ISO 29119-2................................................................................................... 11
ISO 8583........................................................................................................ 11
SCRUM........................................................................................................... 12
ISO 27002...................................................................................................... 12
ISO 21500...................................................................................................... 13
ISO 27032...................................................................................................... 13
ISO 27034...................................................................................................... 13
ISO 22313...................................................................................................... 14
AENOR........................................................................................................... 14
ICONTEC........................................................................................................ 15
SGS................................................................................................................ 16
UKAS.............................................................................................................. 16
MARCO TERICO
ITIL V3 2011
En ITIL v3 reestructura el manejo de los temas para consolidar el modelo de
"ciclo de vida del servicio" separando y ampliando algunos subprocesos hasta
convertirlos en procesos especializados. Esta modificacin responde a un
Revisin de procesos
COBIT 5
COBIT fue creado para ayudar a las organizaciones a obtener el valor ptimo
de TI manteniendo un balance entre la realizacin de beneficios, la utilizacin
de recursos y los niveles de riesgo asumidos. COBIT 5 posibilita que TI sea
gobernada y gestionada en forma holstica para toda la organizacin, tomando
en consideracin el negocio y reas funcionales de punta a punta as como los
interesados internos y externos. COBIT 5 se puede aplicar a organizaciones de
todos los tamaos, tanto en el sector privado, pblico o entidades sin fines de
lucro.
COBIT es empleado en todo el mundo por quienes tienen como responsabilidad
primaria los procesos de negocio y la tecnologa, aquellos de quien depende la
tecnologa y la informacin confiable, y los que proveen calidad, confiabilidad y
control de TI.
Los 5 Principios de COBIT
Satisfacer las necesidades del accionista
Considerar la empresa de punta a punta
Aplicar un nico modelo de referencia integrado
ISO 38,500
La norma ISO/IEC 38500:2008 se public en junio de 2008, basndose en la
norma australiana AS8015:2005. Es la primera de una serie sobre el Gobierno
de TI.
Su objetivo es proporcionar un marco de principios para que la direccin de las
organizaciones los utilicen al evaluar, dirigir y monitorear el uso de las
tecnologas de la informacin (TI's).
Est alineada con los principios de gobierno corporativo recogidos en el
"Informe Cadbury" y en los "Principios de Gobierno Corporativo de la OCDE".
La norma define 6 principios de un buen gobierno corporativo de TI:
Responsabilidad: Todo el mundo debe comprender y aceptar sus
responsabilidades en la oferta o demanda de TI. La responsabilidad
sobre una accin lleva aparejada la autoridad para su realizacin.
Estrategia: La estrategia de negocio de la organizacin tiene en cuenta
las capacidades actuales y futuras de las TI. Los planes estratgicos de
TI satisfacen las necesidades actuales y previstas derivadas de la
estrategia de negocio.
Adquisicin: Las adquisiciones de TI se hacen por razones vlidas,
basndose en un anlisis apropiado y continuo, con decisiones claras y
transparentes. Hay un equilibrio adecuado entre beneficios,
oportunidades, costes y riesgos tanto a corto como a largo plazo.
Rendimiento: La TI est dimensionada para dar soporte a la
organizacin, proporcionando los servicios con la calidad adecuada para
cumplir con las necesidades actuales y futuras.
Conformidad: La funcin de TI cumple todas las legislaciones y normas
aplicables. Las polticas y prcticas al respecto estn claramente
definidas, implementadas y exigidas.
Conducta humana: Las polticas de TI, prcticas y decisiones demuestran
respeto por la conducta humana, incluyendo las necesidades actuales y
emergentes de toda la gente involucrada.
ISO 22301
La certificacin AENOR conforme con la norma ISO 22301 supone la puesta en
marcha y aplicacin de controles y medidas para gestionar los riesgos
Una adecuada
organizaciones:
gestin
de
la
continuidad
del
negocio
permite
las
BS 25999
La BS 25999-2 es una norma britnica emitida en 2007 que rpidamente se ha
convertido en la principal norma para gestin de la continuidad del negocio;
aunque se trata de una norma nacional britnica, se utiliza tambin en muchos
otros pases y se predice que pronto ser aceptada como una norma
internacional (ISO 22301).
Igual que las normas ISO 27001, ISO 9001, ISO 14001 y otras normas que
definen los sistemas de gestin, la BS 25999-2 tambin define un sistema de
gestin de la continuidad del negocio que contiene las mismas cuatro fases de
ISO 27001
Es una norma internacional emitida por la Organizacin Internacional de
Normalizacin (ISO) y describe cmo gestionar la seguridad de la informacin
en una empresa. La revisin ms reciente de esta norma fue publicada en 2013
y ahora su nombre completo es ISO/IEC 27001:2013. La primera revisin se
public en 2005 y fue desarrollada en base a la norma britnica BS 7799-2. ISO
27001 puede ser implementada en cualquier tipo de organizacin, con o sin
fines de lucro, privada o pblica, pequea o grande.
Tambin permite que una empresa sea certificada; esto significa que una
entidad de certificacin independiente confirma que la seguridad de la
informacin ha sido implementada en esa organizacin en cumplimiento con la
norma ISO 27001.
ISO 27002
Anteriormente denominada ISO 17799, es un estndar para la seguridad de la
informacin publicado por la Organizacin Internacional de Normalizacin y la
Comisin Electrotcnica Internacional. La versin ms reciente es la ISO/IEC
27002:2013.
La versin de 2013 del estndar describe los siguientes catorce dominios
principales:
1. Organizacin de la Seguridad de la Informacin.
2. Seguridad de los Recursos Humanos.
3. Gestin de los Activos.
4. Control de Accesos.
5. Criptografa.
6. Seguridad Fsica y Ambiental.
7. Seguridad de las Operaciones: procedimientos y responsabilidades;
proteccin contra malware; resguardo; registro de actividad y monitorizacin;
control del software operativo; gestin de las vulnerabilidades tcnicas;
coordinacin de la auditora de sistemas de informacin.
legales
contractuales;
ISO 20000
ISO (International Organization for Standardization) e IEC (International
Electrotechnical Commission) el 14 de diciembre de 2005, es el estndar
reconocido internacionalmente en gestin de servicios de TI (Tecnologas de la
Informacin). La serie 20000 proviene de la adopcin de la serie BS 15000
desarrollada por la entidad de normalizacin britnica, la British Standards
Institution (BSI).
La ISO/IEC 20000 est dividida en las siguientes secciones que definen los
requisitos que debe cumplir una organizacin, la cual proporciona servicios a
sus clientes con un nivel aceptable de calidad:
Procesos relacionales.
Procesos de control.
Procesos de emisin.
ISO 27005
La norma suministra las directrices para la gestin de riesgos de seguridad de
la informacin en una empresa, apoyando particularmente los requisitos del
sistema de gestin de seguridad de la informacin definidos en ISO 27001.
ISO 27035
ISO 27035 explica un enfoque de mejores prcticas destinado a la gestin de la
informacin de incidentes de la seguridad.Los controles de la seguridad de la
informacin no son perfectos debido a que pueden fallar, pueden trabajar solo
parcialmente o incluso, a veces, estn ausentes, es decir, no estn en
funcionamiento. Debido a esto, los incidentes pasan debido que los controles
preventivos no son totalmente eficaces o fiables.
La gestin de incidentes da lugar a que existan controles de deteccin y
correctivas que estarn destinadas a reducir los impactos desfavorables y
aprender las lecciones sobre mejoras en el SGSI.
La norma proporciona un enfoque estructurado para:
ISO27003
El estndar internacional ISO27003 establece una gua con la finalidad de
implantar un Sistema de Gestin de Seguridad de la Informacin.
Esta norma puede ser adoptada por aquellos que quieran implantar un SGSI y
para los consultores en su trabajo habitual, ya que se da solucin o respuestas
a ciertos aspectos insuficientes de un criterio normalizado.
La norma ISO 27003 presta su inters en aquellos elementos necesarios para
un buen diseo e implementacin del SGSI, segn el estndar de ISO 27001
que abarca la definicin del procedimiento de acotacin del SGSI, adems de la
ejecucin y el diseo de diferentes planes de implantacin.
El contenido de la norma es el siguiente:
Repercusin
Reseas normativas
Definiciones y trminos
Configuracin de la norma
Logro del consentimiento de la alta direccin para empezar con el SGSI.
Descripcin del alcance del SGSI, polticas y lmites.
Valoracin de los requisitos de seguridad para la informacin.
ISO 27006
ISO 27006 tiene como ttulo oficial Tecnologa de la informacin -. Tcnicas de
seguridad Requisitos para los organismos que realizan la auditora y
certificacin de sistemas de informacin de gestin de la seguridad, se
compone de 10 captulos y 4 anexos.
El estndar ISO 27006 responde a una gua para los organismos de
certificacin en los procesos formales que hay que seguir al auditar SGSI. Los
procedimientos descritos en dicha norma dan la garanta de que el certificado
emitido de acuerdo a ISO 27001 es vlido
ISO-27006 est pensada para apoyar la acreditacin de organismos de
certificacin que ofrecen la certificacin del Sistema de Gestin de Seguridad
de la Informacin. Se encarga de especificar los requisitos y suministrar una
gua para la auditora y la certificacin del sistema.
Cualquier organizacin certificada en ISO27001 debe cumplir tambin con los
requisitos de la norma ISO27006.
ISO 27007
ISO 27007 forma parte de la familia de normas del Sistema de Gestin de
Seguridad de la Informacin SGSI .
La norma suministra una gua para las entidades acreditadas de certificacin
para auditar SGSI.ISO-27007 refleja en gran parte a la norma ISO 19001
(estndar de auditora para sistemas de gestin de la calidad y
medioambiental). Se encarga de aportar orientacin adicional al SGSI.
Por otro lado tambin se basa en ISO 17021, Evaluacin de la conformidad.
El estndar acoge:
ISO 15504
El ISO/IEC 15504, tambin conocido como Software Process Improvement
Capability Determination, abreviado SPICE, en espaol, Determinacin de la
Capacidad de Mejora del Proceso de Software es un modelo para la mejora,
evaluacin de los procesos de desarrollo, mantenimiento de sistemas de
informacin y productos de software.
En 1991, dado el nmero creciente dre). Por tanto, el proyecto SPICE fue
creado bajo los auspicios del Comit Internacional de estndares de Ingeniera
de Software y Sistemas a travs de su Grupo de Trabajo sobre Evaluacin de
proceso (WG10).
ISO 19770
ISO/IEC 19770 es un estndar internacional relacionado con la gestin de
activos de software (SAM). La familia est constituida por tres partes:
OWASP
OWASP se inici el 9 de septiembre de 2001 por Marcos Curphey. Jeff Williams
sirvi como el Presidente de voluntarios de OWASP desde finales de 2003 hasta
septiembre de 2011. El actual presidente es Tobias Gondrom y el
vicepresidente es Josh Sokol.
La Fundacin OWASP, una organizacin 501 (c) sin fines de lucro (en los
EE.UU.), fue establecida en 2004 y es compatible con la infraestructura y los
proyectos de OWASP. Desde 2011, OWASP tambin est registrada como una
organizacin sin nimo de lucro en Blgica bajo el nombre de OWASP Europa
VZW.
CONTROLES SOX
La Ley Sarbanes Oxley nace en Estados Unidos con el fin de monitorizar a las
empresas que cotizan en bolsa de valores, evitando que la valorizacin de las
acciones de las mismas sean alteradas de manera dudosa, mientras que su
valor es menor. Su finalidad es evitar fraudes y riesgo de bancarrota,
protegiendo al inversor.
Esta ley, ms all del mbito nacional, involucra a todas las empresas que
cotizan en NYSE (Bolsa de Valores de Nueva York), as como a sus filiales.
Ambiente de Control.
2.
Evaluacin de Riesgos.
3.
Actividades de Control.
4.
Informacin y Comunicacin.
5.
Supervisin y Monitoreo.
MAGERIT
Es una metodologa de anlisis y gestin de riesgos de los Sistemas de
Informacin elaborada por el Consejo Superior de Administracin Electrnica
para minimizar los riesgos de la implantacin y uso de las Tecnologas de la
Informacin, enfocada a las Administraciones Pblicas.
TOGAF
De las siglas en ingls 'The Open Group Architecture Framework', es una de las
metodologas ms populares para desarrollar AE. "TOGAF es una herramienta
para asistir en la aceptacin, creacin, uso, y mantenimiento de arquitecturas.
Est basado en un modelo iterativo de procesos apoyado por las mejores
prcticas y un conjunto reutilizable de activos arquitectnicos existentes",
segn lo define la 'Gua de bolsillo TOGAF V. 9.1.1'.
ISO 29119-2
Normas ISO / IEC / IEEE 29119 de pruebas de software son un conjunto de
documentos definidos internacionalmente que abordan los conceptos de
pruebas de software, procesos, tcnicas, documentos, tecnologas y trminos .
Actualmente la norma ISO / IEC / IEEE 29119 consta de cinco partes. El
conjunto de normas de uso de un enfoque por capas a la definicin de las
pruebas de software, que es comn a muchas de las normas ISO. Este conjunto
de normas presenta: definiciones y conceptos (parte 1) de ensayo; procesos de
prueba (parte 2); documentacin de prueba (parte 3); tcnicas de prueba
(parte 4); y el ensayo basado en palabras clave (parte 5).
ISO / IEC / IEEE29119 es parte de un conjunto ms amplio de normas ISO / IEEE
compuestos de 153 normas ISO dentro SC7, incluyendo los procesos del ciclo
de vida del software ISO12207 e ingeniera de sistemas 15288.
ISO 8583
Una transaccin basada en una tarjeta usualmente sale desde un dispositivo
de compra, tal como un POS o un cajero automtico ATM, a travs de una red
(o redes) hacia un sistema del emisor de la tarjeta para obtener una
autorizacin en funcin de la cuenta del titular de la tarjeta.
La transaccin contiene informacin que se obtiene de la tarjeta (ej. nmero de
cuenta), la terminal (ej. nro. de comercio), la transaccin (ej. importe) en
conjunto con otra informacin que se puede generar o agregar dinmicamente
por los sistemas intervinientes. El sistema emisor de la tarjeta podr autorizar
o rechazar la transaccin, y genera un mensaje de respuesta que debe ser
devuelto a la terminal en un tiempo breve.
ISO 8583 define un formato de mensaje y un flujo de comunicacin para que
diferentes sistemas puedan intercambiar estas transacciones. La mayora de
las operaciones realizadas en ATM usan
ISO 8583 en algunos puntos de la cadena de comunicacin, as como tambin
las transacciones que realiza un cliente que usa una tarjeta para hacer un pago
en un local. En particular, todas las redes de tarjetas basan sus transacciones
en el standard ISO 8583.
Las transacciones incluyen compras, extracciones, depsitos, reintegros,
reversos, consultas de saldo, pagos y transferencias entre cuentas. ISO 8583
tambin define mensajes entre sistemas para intercambios seguros de claves,
conciliacin de totales y otros propsitos administrativos.
Aunque el ISO 8583 define un standard comn, no se usa normalmente en
forma directa por sistemas o redes. En lugar de eso cada red adapta el
standard para su propio uso con campos adaptados a sus necesidades
particulares.
La ubicacin de los cambios en diferentes versiones del standard varia, por
ejemplo, los elementos que definen la moneda (currency elements) de las
versiones 1987 y 1993 no se usan ms en la versin 2003, lo que hace que la
moneda sea un sub-elemento de cualquier elemento monto. LA ISO 8583:2003
todava tiene que obtener aceptacin.
SCRUM
Scrum es el nombre con el que se denomina a los marcos de desarrollo giles
caracterizados por:
Adoptar una estrategia de desarrollo incremental, en lugar de la planificacin
y ejecucin completa del producto.
Basar la calidad del resultado ms en el conocimiento tcito de las personas
en equipos auto organizados, que en la calidad de los procesos empleados.
Solapamiento de las diferentes fases del desarrollo, en lugar de realizar una
tras otra en un ciclo secuencial o en cascada.
Flexibilidad a cambios. Gran capacidad de reaccin ante los cambiantes
requerimientos generados por las necesidades del cliente o la evolucin del
mercado. El marco de trabajo est diseado para adecuarse a las nuevas
exigencias que implican proyectos complejos.
Reduccin del Time to Market. El cliente puede empezar a utilizar las
caractersticas ms importantes del proyecto antes de que est
completamente terminado.
Mayor calidad del software. El trabajo metdico y la necesidad de obtener
una versin de trabajo funcional despus de cada iteracin, ayuda a la
obtencin de un software de alta calidad.
Mayor productividad. Se logra, entre otras razones, debido a la eliminacin de
la burocracia y la motivacin del equipo proporcionado por el hecho de que
pueden estructurarse de manera autnoma.
Maximiza el retorno de la inversin (ROI). Creacin de software solamente
con las prestaciones que contribuyen a un mayor valor de negocio gracias a la
priorizacin por retorno de inversin.
Predicciones de tiempos. A travs de este marco de trabajo se conoce la
velocidad media del equipo por sprint, con lo que es posible estimar de manera
fcil cuando se podr hacer uso de una determinada funcionalidad que todava
est en el Backlog.
Reduccin de riesgos El hecho de desarrollar, en primer lugar, las
funcionalidades de mayor valor y de saber la velocidad a la que el equipo
avanza en el proyecto, permite despejar riesgos efectivamente de manera
anticipada.
ISO 27002
ISO 21500
La norma UNE-ISO 21500:2012 "Orientacin sobre la gestin de proyectos",
proporciona una gua para la gestin de proyectos y puede ser utilizado por
cualquier tipo de organizacin, incluidas las organizaciones pblicas, privadas u
organizaciones comunitarias, y para cualquier tipo de proyecto,
independientemente de la complejidad, tamao o duracin.
UNE-ISO 21500 proporciona un alto nivel de descripcin de los conceptos y
procesos que se consideran para formar buenas prcticas en la gestin de
proyectos. Los nuevos gerentes del proyecto, as como los gestores
experimentados podrn utilizar la gua de gestin de proyectos en esta norma
para mejorar el xito del proyecto y lograr resultados de negocio.
ISO 27032
La norma (ISO/IEC 27032) facilita la colaboracin segura y fiable para proteger
la privacidad de las personas en todo el mundo. De esta manera, puede ayudar
a prepararse, detectar, monitorizar y responder a los ataques, han explicado
desde ISO. La organizacin espera que ISO/IEC 27032 permita luchar contra
ataques de ingeniera social, hackers, malware, spyware y otros tipos de
software no deseado.
ISO 27034
ISO 27034 proporciona una gua de seguridad de la informacin dirigida a los
agentes de negocio y de TI, auditores y desarrolladores y los usuarios finales
de las TIC, es decir, sirve para aquellas personas que llevan a cabo el diseo,
programacin, adquisicin y uso de los sistemas de aplicacin.
ISO 22313
ISO 22313: 2012 para sistemas de gestin de continuidad de negocio
proporciona orientacin sobre la base de las buenas prcticas internacionales
para planificar, establecer, implementar, operar, supervisar, revisar, mantener
y mejorar continuamente un sistema de gestin documentado que permite a
las organizaciones prepararse, responder y recuperarse de disruptiva
incidentes que puedan surgir.
ISO 22313 es genrico y aplicable a todos los tamaos y tipos de
organizaciones, incluidas las pequeas organizaciones que operan en los
sectores industriales, comerciales, pblicos y sin fines de lucro que deseen
grandes, medianas y:
AENOR
Es una institucin espaola, privada, independiente, sin nimo de lucro, que
contribuye, mediante la normalizacin y certificacin (N+C) a mejorar el
bienestar de la sociedad a travs de la mejora de la tecnologa que producen
las empresas.
ICONTEC
Es una organizacin privada, sin nimo de lucro, con amplia cobertura
internacional; creada en 1963 con el objetivo de responder a las necesidades
de los diferentes sectores econmicos, a travs de servicios que contribuyen al
desarrollo y competitividad de las organizaciones, mediante la confianza que
se genera en sus productos y servicios.
SGS
UKAS
El Servicio de Acreditacin del Reino Unido (en ingls: United Kingdom
Accreditation Service o UKAS) es el nico organismo nacional de acreditacin
reconocido por el gobierno para evaluar, en contra de las normas, las
organizaciones que ofrecen la certificacin, ensayo, inspeccin y calibracin de
los servicios convenidos internacionalmente.