Академический Документы
Профессиональный Документы
Культура Документы
Rectora de Telecomunicaciones
2011
Crditos
Hannia Vega
Viceministra de Telecomunicaciones
Citacin Recomendada
Pgina 2
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
ndice
Pgina 3
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
Spyware: Cualquier tipo de software que utiliza la conexin a Internet del usuario
para enviar informacin sobre su actividad, misma que es utilizada por las empresas
publicitarias para enviar propaganda de acuerdo a su actividad en la red.
Equipo Terminal: Representa el equipo de acceso del cliente utilizado para solicitar
y terminar servicios de conectividad asociados a la red.
Pgina 4
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
Plan de Continuidad de la Operacin: Plan proactivo que busca asegurar que los
productos o servicios continen siendo entregados durante una interrupcin no
planeada.
Pgina 5
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
Pgina 6
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
1. Introduccin
Por otra parte, el avance y uso cada vez mayor de las tecnologas de la informacin y
comunicacin, requiere el desarrollo de medidas que permitan aprovecharlas al
mximo, as como garantizar su utilizacin de forma segura por parte de los usuarios.
De ah que la seguridad de la informacin que transita por los medios electrnicos, se
ha convertido en uno de los principales retos de las autoridad pblicas en esta
materia.
Pgina 7
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
1.1 Objetivos
Pgina 8
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
2. Marco Terico
Pgina 9
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
concreto es el estndar ISO/IEC 17799 que est siendo utilizado como base para el
desarrollo de las normas: [2]
Los SGSI ayudan a la organizacin a conocer los riesgos a los que est sometida su
informacin y los gestiona mediante una sistemtica metodologa definida,
documentada y conocida por todos; que se revisa y mejora constantemente.
Pgina 10
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
Pgina 11
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
ISO/IEC
COBIT ISACA/ITGI
ITIL Certification Management Board (ICMB)
NIST
UIT Serie X
En el anexo 1, se analizan con ms detalle los estndares de seguridad de la
informacin mencionados.
Con el fin de que cada institucin pblica del pas, bajo la supervisin de la CGR,
considere dentro de su organizacin estratgica, una adecuada administracin de TIC
que ayude a alcanzar sus metas y objetivos, el rgano fiscalizador elabor y public la
resolucin "Normas Tcnicas para la Gestin y Control de las Tecnologas de
Informacin (N-2-2007-CO-DFOE)", emitida el 7 de junio del 2007 en el diario oficial
La Gaceta No. 119 del 21 de junio 2007. [5].
Pgina 13
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
Pgina 14
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
3. Metodologa
1
Disponible en lnea en http://www.telecom.go.cr/index.php/publicaciones2/doc_download/277-
ipv6--costa--rica
2
Disponible en lnea en http://www.telecom.go.cr/index.php/en--contacto--con--el-
usuario/documentos/doc_download/330--conectividad--a--internet--en--instituciones--publicas
3 Ver Anexo 2: Instituciones Participantes.
Pgina 15
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
Universidades 75%
Adscritas 92%
Autnomas 95%
Ministerios 100%
Otras 100%
Porcentaje de respuesta
Fuente: Elaboracin propia, basado en resultados de la Encuesta: Conexin de las
Instituciones Pblicas a Internet por medio de banda ancha y disposicin de acceso
inalmbrico a Internet para los usuarios de los servicios. Marzo 2011 [6].
Ficha Tcnica
El grfico 3.2 muestra el porcentaje por tipo de institucin pblica, de las 74 que
participaron en la encuesta.
Pgina 16
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
Adscritas
16%
Ministerios
24%
Otras
19%
Autnomas
29%
Universidades
4%
Sistema Bancario
8%
Pgina 17
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
7%
Jefaturas
Otros
93%
Pgina 18
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
30%
Menos de 2 aos
De 2 aos a menos 5 aos
53% Ms de cinco aos
17%
Pgina 19
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
Pgina 20
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
Los grficos e informacin presentada a continuacin dan cuenta del estado actual de
la seguridad informtica en el sector pblico costarricense. En ellos se evidencia,
entre otros aspectos, cul ha sido el ataque o incidente informtico que ha ocurrido
con mayor frecuencia en las instituciones pblicas.
Pgina 21
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
100%
Empleados robando
informacin digital o
permitiendo accesos a
dicha informacin sin
80% autorizacin.
Presencia de virus,
troyanos, malware,
spyware y dems en su
red.
60%
Sus sistemas siendo
atacados por parte de
hackers.
40%
Prdida accidental o
robo de los sistemas de
respaldo.
20%
Prdida accidental o
robo de equipos
terminales.
0%
Ninguna de las
anteriores.
Pgina 22
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
Grfico 4.1.2. Presencia de virus, troyanos, malware, spyware dentro las Redes de las
Instituciones Pblicas.
Promedio 80%
Universidades 100%
Otras 86%
Ministerios 83%
Adscritas 75%
Autnomas 71%
Los grficos 4.1.3, 4.1.4, 4.1.5 y 4.1.6 que se muestran a continuacin, presentan un
mayor detalle de la informacin. Concretamente, se muestran los porcentajes de
incidencia de eventos en cada tipo de institucin pblica. De los grficos se destaca
que en las universidades, se encuentran los mayores porcentajes de incidencia de
eventos informticos.
Pgina 23
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
33%
17%
14%
9%
7%
0%
Grfico 4.1.4. Porcentaje del incidente sistemas atacados por hackers, en cada tipo
de institucin pblica.
67%
22%
17%
14% 15%
10%
0%
Pgina 24
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
Grfico 4.1.5. Porcentaje del incidente prdida accidental o robo de los sistemas de
respaldo, en cada tipo de institucin pblica.
19%
17% 17%
12%
0% 0% 0%
Pgina 25
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
66,7%
50,0%
37,8%
42,9%
41,7%
17%
14%
Pgina 26
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
Pgina 27
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
Los buenos resultados podran atribuirse a que a nivel financiero, la SUGEF emiti el
Reglamento sobre la gestin de la Tecnologa de la Informacin, publicado en el
diario oficial La Gaceta N50 del jueves 12 de marzo del 2009, donde faculta al
Superintendente General de Entidades Financieras para emitir lineamientos
Pgina 28
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
Pgina 29
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
Pgina 30
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
Pgina 31
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
Pgina 32
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
100%
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%
Plan de continuidad Polticas de uso de Administracin Polticas de
de la operacin. red para los automtica de la administracin de
empleados seguridad contraseas y
nombres de usuario.
Pgina 33
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
100%
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%
Control de spam Proteccin contra Muro de Fuego Sistemas de
(correo no spyware, maleware, Deteccin de
deseado). viruses etc intrusos (IDS )
Pgina 34
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
96% 96%
95% 95%
94% 94%
93% 93%
Los grficos 4.2.4, 4.2.5, 4.2.6, 4.2.7, 4.2.8 y 4.2.9 mostrados a continuacin, presentan
el porcentaje de las instituciones que implementaron polticas para la proteccin de
sus redes de datos. Resalta el hecho de que el 59% de las instituciones pblicas
cuentan con un plan de continuidad de las operaciones, que las universidades no
cuentan con polticas de uso de red para sus funcionarios y que las polticas de
administracin de nombres de usuarios y contraseas constituyen una de las
polticas ms extendidas.
Pgina 35
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
100%
64%
61%
52% 59%
50%
33%
100%
86%
83%
77%
75%
64%
0%
Pgina 36
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
83%
67%
67%
61%
50% 50%
33%
Pgina 37
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
100% 95%
92%
86% 88%
78%
67%
Pgina 38
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
100%
78%
76% 73%
67% 64%
33%
El grfico 4.2.10, muestra el porcentaje de los ministerios que cuentan con diferentes
tipos de herramientas informticas, segn la encuesta. Del grfico se obtiene que en
la mayora de los ministerios, para proteger sus redes de informacin, se estn
Pgina 39
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
Pgina 40
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
Pgina 41
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
Grfico 4.2.12. Porcentaje del Sistema Bancario, con diferentes tipos de herramientas
informticas.
Pgina 42
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
Pgina 43
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
Pgina 44
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
Pgina 45
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
100%
Se cuenta con un plan de
90%
seguridad
80%
70% Existe un responsable que
coordine las medidas de
60% seguridad establecidas
Pgina 46
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
67%
44%
38% 35%
33%
21%
17%
100%
Pgina 47
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
100%
67%
57%
43% 47%
33%
28%
50%
48%
33%
30%
14%
8%
0%
Pgina 48
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
Pgina 49
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
El grfico 4.3.7, muestra que en las instituciones autnomas, las medidas que ms
se implementan son las referidas a la existencia del plan de manejo de contingencias
y un responsable que coordine las medidas de seguridad establecidas. Cabe resaltar
que el 33% de las instituciones no cuenta con ninguna medida de gestin.
Pgina 50
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
Pgina 51
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
Pgina 52
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
Pgina 53
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
Grfico 4.4.1. Porcentaje de Instituciones que cuentan en sus redes sistemas seguridad
fsica.
100%
20%
Sistemas de monitoreo para
10% el consumo y la continuidad
del servicio elctrico.
0%
El grfico 4.4.2, muestra que los sistemas de alimentacin ininterrumpida son las
medidas de seguridad fsica que mayormente se tienen implementadas en las
instituciones pblicas (86%), encabezando la lista las del sector bancario y las
universidades con 100%, segn la encuesta.
Pgina 54
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
100% 100%
93%
86% 83% 86%
78%
Pgina 55
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
100%
86%
67% 70%
64%
58%
0%
100% 100%
81%
70%
64% 61%
50%
Pgina 56
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
50%
29%
24%
19%
8%
6%
0%
Pgina 57
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
100%
Pgina 58
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
Autnomas Ministerios
El grfico 4.4.8, muestra que las instituciones del sistema bancario encuestadas
presentan el mayor porcentaje de implementacin de medidas de seguridad fsica.
Sin embrago, resalta el hecho de que el monitoreo sigue siendo la medida menos
implementada en las instituciones pblicas.
Grfico 4.4.8. Porcentaje del Sistema Bancario que implement sistemas de seguridad
fsica.
Pgina 59
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
Pgina 60
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
Pgina 61
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
Pgina 62
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
El grfico 4.5.1 seala el porcentaje del monto del presupuesto anual que destinan las
instituciones pblicas, en el tema de seguridad informtica, para el ao 2010.
80%
70%
60%
50%
30% Ms de 5 a 20 millones
20% Ms de 20 a 50 millones
Ms de 50 millones
10%
0%
Pgina 63
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
Los grficos 4.5.2, 4.5.3, 4.5.4, 4.5.5, muestran el porcentaje por tipo de instituciones
pblicas, que destinaron cierto monto de su presupuesto en colones a la seguridad
informtica. Las instituciones adscritas se ubican mayoritariamente en la franja de
menos de 5 millones. En las que invierten entre 5 y 20 millones se encuentran los
ministerios y las universidades. En el rango de 20 a 50 millones y en el de ms de 50
millones de colones, el mayor porcentaje se presenta en las instituciones autnomas
y las instituciones del sistema bancario, respectivamente.
50%
33%
21%
14%
0% 0%
Pgina 64
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
33% 33%
29%
25% 24%
0%
19%
11%
8% 7%
0% 0%
Pgina 65
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
67%
39% 33%
36% 33%
8%
Pgina 66
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
No
Ms de 20 a 50
informa,
millones, 11%
11%
Ms de 50
millones, 34%
Menos de 5
millones,
19%
Ms de 5 a 20
millones, 26%
Pgina 67
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
Grfico 4.5.7. Porcentaje de ministerios con montos del presupuesto en colones que se
destina a seguridad informtica.
No
informa,
Ms de 50 17% Ms de 20 a
millones, 50 millones,
39% 11%
Ms de 5 a
20 millones,
33%
Pgina 68
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
No informa,
10%
Menos de 5
millones, 14%
Ms de 50
millones, 33%
Ms de 20 a 50
millones, 19%
Ms de 5 a 20
millones, 24%
Pgina 69
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
Grfico 4.5.9. Porcentaje de instituciones del sistema bancario con montos del
presupuesto en colones que se destina a seguridad informtica.
Menos de 5
millones, 33%
Ms de 50
millones, 67%
Pgina 70
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
Ms de 50 No
millones, 33% informa,
33%
Ms de 5 a 20
millones, 33%
Los grficos 4.5.11 y 4.5.12 muestran los porcentajes de las instituciones adscritas y
otras instituciones que destinan diferentes montos de su presupuesto para la
seguridad informtica de su institucin. Segn el grfico, el 50% de las instituciones
adscritas invierten menos de 5 millones de colones en seguridad. Y, en el caso de la
mayora de otras instituciones encuestadas, se destinan ms de 50 millones de
colones a seguridad.
Pgina 71
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
No informa,
8%
Ms de 20 a 50
millones, 8%
Ms de 50
Menos de 5 millones, 8%
millones, 50%
Ms de 5 a 20
millones, 25%
No informa, 7%
Ms de 20 a 50
millones, 7%
Ms de 50
millones, 36% Menos de 5
millones, 21%
Ms de 5 a 20
millones, 29%
Pgina 72
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
Pgina 73
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
Pgina 74
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
Pgina 75
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
5. Conclusiones y Recomendaciones
5.1 Conclusiones
3. Las instituciones autnomas y las universidades son los entes pblicos que
han presentado mayores problemas de seguridad informtica en el perodo
comprendido entre enero 2010 enero 2011. Los ataques que ms destacan
son: la presencia de virus y la prdida o robos de terminales.
Pgina 76
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
6. A nivel pblico, las instituciones del sistema bancario utilizan las mejores
medidas de gestin de la seguridad, comunicaciones y manejo de
contingencias.
Pgina 77
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
5. 2 Recomendaciones
Pgina 78
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
6. Referencias Bibliogrficas
Pgina 79
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
Pgina 80
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
7. Anexos
7.1 Estndares de seguridad informtica
Pgina 81
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
Pgina 82
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
El ISO 27001 est pensado para ser implementado en conjunto con el 27002, de
modo que ste sirva como base en el diseo de un Sistema de Gestin de Seguridad
de la Informacin y el primero funja como certificacin de que el sistema implantado
cumple con las normas requeridas por el estndar.
Pgina 83
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
tratamiento de exclusiones.
Referencias normativas Normas que sirven de referencia.
Trminos y definiciones Descripcin de los trminos ms usados en la
norma.
Sistema de gestin de la Cmo establecer, implementar, monitorizar,
seguridad de la informacin revisar, mantener y mejorar el SGSI;
requerimientos de documentacin y su control.
Responsabilidad de la En cuanto a compromiso con el SGSI, provisin de
direccin/gerencia recursos y formacin y concienciacin del personal.
Auditoras internas del SGSI Cmo realizar las auditoras internas de control.
Revisin gerencial del SGSI Cmo gestionar el proceso de revisin constante
del SGSI
Mejoramiento del SGSI Mejora continua, acciones correctoras y acciones
preventivas.
Fuente: [2].
Pgina 84
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
Pgina 85
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
2. COBIT
Otros de los modelos internacionales adoptados por organizaciones y empresas
aplicados a la seguridad de la informacin, es el estndar de Objetivos de Control
para la Informacin y Tecnologas Relacionadas (COBIT por sus siglas en ingls,
Control Objectives for Information and related Technology). El modelo es un conjunto
de mejores prcticas para el manejo de la informacin y fue creado por la Asociacin
para la Auditora y Control de Sistemas de Informacin (ISACA por sus siglas en
ingls, Information Systems Audit and Control Association) y el Instituto de
Administracin de las Tecnologas de la informacin (ITGI por sus siglas en ingls, IT
Governance Institute) en 1992. A partir del ao 2000 el desarrollo y las
actualizaciones del modelo COBIT ha sido responsabilidad del ITGI. [2].
Pgina 86
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
3. ITIL
La OGC (Office of Goverment Commerce) del Gobierno Britnico Unido, ha
desarrollado desde el ao 1980, el modelo de seguridad de la Biblioteca de
Infraestructura de Tecnologas de Informacin conocida como ITIL por sus siglas en
ingls. El ITIL fue utilizado inicialmente como una gua para el Gobierno Britnico,
pero es aplicable a cualquier tipo de organizacin.
Los procedimientos del ITIL son independientes del proveedor y han sido
desarrollados para servir como gua que abarque toda infraestructura, desarrollo y
operaciones de TI.
Pgina 87
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
Es prctica usual que se haga uso de ITIL en compaa de algn otro modelo ms
amplio (como COBIT), con el fin de fortalecer la funcin de servicio de TI en la que
ITIL sin duda, cuenta con una mayor profundidad.
4. NIST [2].
El Instituto Nacional de Normas y Tecnologa (NIST por sus siglas en ingls, National
Institute of Standards) es una agencia de la Administracin de Tecnologa del
Departamento de Comercio de los Estados Unidos, cuya misin es promover la
innovacin y la competencia industrial en Estados Unidos mediante avances en
mediciones, normas y tecnologa de forma que mejoren la estabilidad econmica.
Unas de las reas que ha desarrollado el NIST es la de tecnologas de la informacin,
principalmente en el nfasis de la seguridad de la informacin, creando la serie 800
en el ao 1990.
La serie 800 del NIST desarrolla una serie de documentos de inters general sobre
Seguridad de la Informacin, y es resultado del esfuerzo de industrias, gobiernos y
organizaciones acadmicas para todos los interesados en la seguridad.
La serie 800 presenta alrededor de 131 documentos publicados desde 1995 hasta la
fecha. Entre los principales contenidos referidos a la seguridad se tienen:
Control de Accesos.
Auditora y Responsabilidades.
Concienciacin y Formacin.
Certificacin, Acreditacin y Evaluacin de la Seguridad.
Gestin de configuraciones.
Planes de Contingencia.
Identificacin y Autenticacin.
Respuesta ante incidentes.
Mantenimiento.
Pgina 88
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
Proteccin de dispositivos.
Seguridad del Personal.
Proteccin fsica y medioambiental.
Planificacin.
Evaluacin del Riesgo.
Proteccin de Sistemas y Comunicaciones.
Integridad de Sistemas e Informacin.
Adquisicin de Servicios y Sistemas.
Pgina 89
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
Pgina 90
Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
Pgina 91