ITIL

La Biblioteca de Infraestructura de Tecnologas de Informacin (o ITIL, por sus siglas en

ingls) es un conjunto de conceptos y buenas prcticas usadas para la gestin de servicios de
tecnologas de la informacin, el desarrollo de tecnologas de la informacin y las operaciones
relacionadas con la misma en general. ITIL da descripciones detalladas de un extenso conjunto de
procedimientos de gestin ideados para ayudar a las organizaciones a lograr calidad y eficiencia en las
operaciones de TI. Estos procedimientos son independientes del proveedor y han sido desarrollados
para servir como gua que abarque toda infraestructura, desarrollo y operaciones de TI.

COBIT

Objetivos de Control para Informacin y Tecnologas Relacionadas (COBIT, en

ingls: Control Objectives for Information and related Technology) es una gua de mejores
prcticas presentado como framework, dirigida al control y supervisin de tecnologa de la informacin
(TI). Mantenido por ISACA (en ingls: Information Systems Audit and Control Association) y el IT GI
(en ingls: IT Governance Institute), tiene una serie de recursos que pueden servir de modelo de
referencia para la gestin de TI, incluyendo un resumen ejecutivo, un framework, objetivos de control,
mapas de auditora, herramientas para su implementacin y principalmente, una gua de tcnicas de
gestin.

A)Analizar modelos y buenas practicas de seguridad que contemplen los sig conceptos:

Qu es ITIL?

Desarrollada a finales de 1980, la Biblioteca de Infraestructura de Tecnologas de la Informacin

(ITIL) se ha convertido en el estndar mundial de de facto en la Gestin de Servicios Informticos.
Iniciado como una gua para el gobierno de UK, la estructura base ha demostrado ser til para las
organizaciones en todos los sectores a travs de su adopcin por innumerables compaas como
base para consulta, educacin y soporte de herramientas de software. Hoy, ITIL es conocido y
utilizado mundialmente. Pertenece a la OGC, pero es de libre utilizacin.
ITIL fue desarrollada al reconocer que las organizaciones dependen cada vez ms de la
Informtica para alcanzar sus objetivos corporativos. Esta dependencia en aumento ha dado como
resultado una necesidad creciente de servicios informticos de calidad que se correspondan con
los objetivos del negocio, y que satisfagan los requisitos y las expectativas del cliente. A travs de
los aos, el nfasis pas de estar sobre el desarrollo de las aplicaciones TI a la gestin de servicios
TI. La aplicacin TI (a veces nombrada como un sistema de informacin) slo contribuye a realizar
los objetivos corporativos si el sistema est a disposicin de los usuarios y, en caso de fallos o
modificaciones necesarias, es soportado por los procesos de mantenimiento y operaciones.
A lo largo de todo el ciclo de los productos TI, la fase de operaciones alcanza cerca del 70-80%
del total del tiempo y del coste, y el resto se invierte en el desarrollo del producto (u obtencin).
De esta manera, los procesos eficaces y eficientes de la Gestin de Servicios TI se convierten en
esenciales para el xito de los departamentos de TI. Esto se aplica a cualquier tipo de
organizacin, grande o pequea, pblica o privada, con servicios TI centralizados o
descentralizados, con servicios TI internos o suministrados por terceros. En todos los casos, el
servicio debe ser fiable, consistente, de alta calidad, y de coste aceptable.
ITIL fue producido originalmente a finales de 1980 y constaba de 10 libros centrales cubriendo las
dos principales reas de Soporte del Servicio y Prestacin del Servicio. Estos libros centrales fueron
ms tarde soportados por 30 libros complementarios que cubran una numerosa variedad de
temas, desde el cableado hasta la gestin de la continuidad del negocio. A partir del ao 2000, se
acometi una revisin de la biblioteca. En esta revisin, ITIL ha sido reestructurado para hacer
ms simple el acceder a la informacin necesaria para administrar sus servicios. Los libros
centrales se han agrupado en dos, cubriendo las reas de Soporte del Servicio y Prestacin del
Servicio, en aras de eliminar la duplicidad y mejorar la navegacin. El material ha sido tambin
actualizado y revisado para un enfoque conciso y claro.

COBIT para la seguridad de la informacin

En el mes de junio del 2012, ISACA lanz "COBIT 5 para la seguridad de la informacin",
actualizando la ltima versin de su marco a fin de proporcionar una gua prctica en la seguridad
de la empresa, en todos sus niveles.
COBIT 5 para seguridad de la informacin puede ayudar a las empresas a reducir sus perfiles de
riesgo a travs de la adecuada administracin de la seguridad. La informacin especfica y las
tecnologas relacionadas son cada vez ms esenciales para las organizaciones, pero la seguridad
de la informacin es esencial para la confianza de los accionistas

ISM3

La publicacin del ISM3 (Information Security Management Maturity Model) ofrece un nuevo
enfoque de los sistemas de gestin de seguridad de la informacin (ISM). ISM3 nace de la
observacin del contraste existente entre el nmero de organizaciones certificadas ISO9000 (unas
350,000), y las certificadas BS7799-2:2002 (unos cientos en todo el mundo). ISM3 pretende cubrir
la necesidad de un estndar simple y aplicable de calidad para sistemas de gestin de la seguridad
de la informacin. ISM3 proporciona un marco para ISM que puede utilizarse tanto por pequeas
organizaciones que realizan sus primeros esfuerzos, como a un nivel alto de sofisticacin por
grandes organizaciones como parte de sus procesos de seguridad de la informacin...
Al igual que otros estndares del ISECOM, ISM3 se proporciona con una licencia de cdigo libre,
tiene una curva de aprendizaje suave, y puede utilizarse para fortalecer sistemas ISM en
organizaciones que utilicen estndares como COBIT, ITIL, CMMI y ISO17799. Est estructurado en
niveles de madurez, de modo que cada organizacin puede elegir un nivel adecuado para su
negocio, y cubrir ese objetivo en varias etapas.
En lugar de depender exclusivamente de mtodos caros de anlisis de riesgos, que suponen una
barrera a la implantacin de sistemas de ISM, ISM3 sigue un punto de vista cualitativo,
empezando por analizar los requerimientos de seguridad del negocio. Permite a la empresa
aprovechar la infraestructura actual, fortalecindola mediante un sistema de calidad, y alcanzado
niveles de madurez certificables segn el sistema de ISM evoluciona.
Utiliza un modelo de gestin para diferenciar las tareas de seguridad operativa que previenen y
mitigan incidentes del tareas estratgicas y tcticas que identifican los activos a proteger, las
medidas de seguridad a emplear, y los recursos que han de dedicarse a estas. Se describe un
proceso de certificacin que permite a una organizacin autoevaluar su madurez, o bien obtener
una certificacin de un auditor independiente.

B) Analiza los estandares internacionales de seguridad informatica de los sig. conceptos:

* * BS 17799 * *

BS 17799 es un cdigo de prcticas o de orientacin o documento de referencia se basa en las

mejores prcticas de seguridad de la informacin, esto define un proceso para evaluar,
implementar, mantener y administrar la seguridad de la informacin.

Caractersticas
BS 17799 se basa en BS 7799-1 de control consta de 11 secciones, 39 objetivos de control y
controles de 134 no se utiliza para la evaluacin y el registro de esta tarde fue rebautizado con la
norma ISO 27002OBJETIVO.

Objetivo
El objetivo es proporcionar una base comn para desarrollar normas de seguridad dentro de las
organizaciones, un mtodo de gestin eficaz de la seguridad y para establecer transacciones y
relaciones de confianza entre las empresas.

Alcance
-Aumento de la seguridad efectiva de los Sistemas de informacin.
- Correcta planificacin y gestin de la Seguridad
- Garantas de continuidad del negocio.Auditora interna
- Incremento de los niveles de confianza de los clientes y socios de negocios.
- Aumento del valor comercial y mejora de la imagen de la organizacin.
Enfoque
* Responsabilidad de la direccin.
* Enfoque al cliente en las organizaciones educativas.
* La poltica de calidad en las organizaciones educativas.
* Planificacin: Definir los objetivos de calidad y las actividades y recursos necesarios .

Para alcanzar los objetivos

* Responsabilidad, autoridad y comunicacin.
* Provisin y gestin de los recursos.
* Recursos humanos competentes.
* Infraestructura y ambiente de trabajo de conformidad con los requisitos del proceso.

Educativo
* Planificacin y realizacin del producto.
* Diseo y desarrollo.
* Proceso de compras.
* Control de los dispositivos de seguimiento y medicin.
* Satisfaccin del cliente.
* Auditoria Interna ISO.
* Revisin y disposicin de las no conformidades.
* Anlisis de datos.
* Proceso de mejora.

ISO 27000

La informacin es un activo vital para el xito y la continuidad en el mercado de cualquier

organizacin. El aseguramiento de dicha informacin y de los sistemas que la procesan es, por
tanto, un objetivo de primer nivel para la organizacin.
Para la adecuada gestin de la seguridad de la informacin, es necesario implantar un sistema que
aborde esta tarea de una forma metdica, documentada y basada en unos objetivos claros de
seguridad y una evaluacin de los riesgos a los que est sometida la informacin de la
organizacin.
ISO/IEC 27000 es un conjunto de estndares desarrollados -o en fase de desarrollo- por ISO
(International Organization for Standardization) e IEC (International Electrotechnical Commission),
que proporcionan un marco de gestin de la seguridad de la informacin utilizable por cualquier
tipo de organizacin, pblica o privada, grande o pequea.
En este apartado se resumen las distintas normas que componen la serie ISO 27000 y se indica
cmo puede una organizacin implantar un sistema de gestin de seguridad de la informacin
(SGSI) basado en ISO 27001.
Acceda directamente a las secciones de su inters a travs del submen de la izquierda o
siguiendo los marcadores de final de pgina.

Origen

Desde 1901, y como primera entidad de normalizacin a nivel mundial, BSI (British Standards
Institution, la organizacin britnica equivalente a AENOR en Espaa) es responsable de la
publicacin de importantes normas como:
- BS 5750. Publicada en 1979. Origen de ISO 9001
- BS 7750. Publicada en 1992. Origen de ISO 14001 - BS 8800. Publicada en 1996. Origen de
OHSAS 18001 La norma BS 7799 de BSI apareci por primera vez en 1995, con objeto de
proporcionar a cualquier empresa -britnica o no- un conjunto de buenas prcticas para la gestin
de la seguridad de su informacin.
La primera parte de la norma (BS 7799-1) fue una gua de buenas prcticas, para la que no se
estableca un esquema de certificacin. Es la segunda parte (BS 7799-2), publicada por primera
vez en 1998, la que estableci los requisitos de un sistema de seguridad de la informacin (SGSI)
para ser certificable por una entidad independiente.
Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adopt por ISO,
sin cambios sustanciales, como ISO 17799 en el ao 2000.
En 2002, se revis BS 7799-2 para adecuarse a la filosofa de normas ISO de sistemas de gestin.
En 2005, con ms de 1700 empresas certificadas en BS 7799-2, esta norma se public por ISO,
con algunos cambios, como estndar ISO 27001. Al tiempo se revis y actualiz ISO 17799. Esta
ltima norma se renombr como ISO 27002:2005 el 1 de Julio de 2007, manteniendo el contenido
as como el ao de publicacin formal de la revisin.

En Marzo de 2006, posteriormente a la publicacin de ISO 27001:2005, BSI public la BS 7799-

3:2006, centrada en la gestin del riesgo de los sistemas de informacin.
Asimismo, ISO ha continuado, y contina an, desarrollando otras normas dentro de la serie
27000 que sirvan de apoyo a las organizaciones en la interpretacin e implementacin de ISO/IEC
27001, que es la norma principal y nica certificable dentro de la serie.
En la seccin de Artculos y Podcasts encontrar un archivo grfico y sonoro con la historia de ISO
27001 e ISO 17799.

ISO/IEC 27001:

Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y contiene los requisitos del
sistema de gestin de seguridad de la informacin. Tiene su origen en la BS 7799-2:2002 (que ya
qued anulada) y es la norma con arreglo a la cual se certifican por auditores externos los SGSIs
de las organizaciones. En su Anexo A, enumera en forma de resumen los objetivos de control y
controles que desarrolla la ISO 27002:2005, para que sean seleccionados por las organizaciones
en el desarrollo de sus SGSI; a pesar de no ser obligatoria la implementacin de todos los
controles enumerados en dicho anexo, la organizacin deber argumentar slidamente la no
aplicabilidad de los controles no implementados. Desde el 28 de Noviembre de 2007, esta norma
est publicada en Espaa como UNE-ISO/IEC 27001:2007 y puede adquirirse online
en AENOR (tambin en lengua gallega). En 2009, se public un documento adicional de
modificaciones (UNE-ISO/IEC 27001:2007/1M:2009). Otros pases donde tambin est publicada
en espaol son, por ejemplo,Colombia (NTC-ISO-IEC 27001), Venezuela (Fondonorma ISO/IEC
27001), Argentina (IRAM-ISO IEC 27001), Chile (NCh-ISO27001), Mxico (NMX-I-041/02-NYCE)
o Uruguay (UNIT-ISO/IEC 27001). El original en ingls y la traduccin al francs pueden adquirirse
en iso.org. Actualmente, este estndar se encuentra en periodo de revisin en el subcomit ISO
SC27, con fecha prevista de publicacin de segunda edicin en Mayo de 2013.

ISO/IEC 27002:

Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005 como
ao de edicin. Es una gua de buenas prcticas que describe los objetivos de control y controles
recomendables en cuanto a seguridad de la informacin. No es certificable. Contiene 39 objetivos
de control y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su apartado
correspondiente, la norma ISO 27001 contiene un anexo que resume los controles de ISO
27002:2005. Publicada en Espaa como UNE-ISO/IEC 27002:2009 desde el 9 de Diciembre de
2009 (a la venta en AENOR). Otros pases donde tambin est publicada en espaol son, por
ejemplo,Colombia (NTC-ISO-IEC 27002), Venezuela (Fondonorma ISO/IEC
27002), Argentina (IRAM-ISO-IEC 27002), Chile (NCh-ISO27002), Uruguay (UNIT-ISO/IEC 27002)
o Per (como ISO 17799; descarga gratuita). El original en ingls y su traduccin al francs
pueden adquirirse en iso.org. Actualmente, este estndar se encuentra en periodo de revisin en
el subcomit ISO SC27, con fecha prevista de publicacin de la segunda edicin en Mayo de 2014.

ISO 20000

ISO 20000 y la Gestin de Servicios TI

La ISO 20000 fue publicada en diciembre de 2005 y es la primera norma en el mundo

especficamente dirigida a la gestin de los servicios de TI. La ISO 20000 fue desarrollada en
respuesta a la necesidad de establecer procesos y procedimientos para minimizar los riesgos en los
negocios provenientes de un colapso tcnico del sistema de TI de las organizaciones.
ISO20000 describe un conjunto integrado de procesos que permiten prestar en forma eficaz
servicios de TI a las organizaciones y a sus clientes. La esperada publicacin de la ISO 20000 el 15
de diciembre de 2005 representa un gran paso adelante hacia el reconocimiento internacional y el
desarrollo de la certificacin de ITSM.
Hoy en da la aparicin de la norma ISO 20000 est causando un aumento considerable del inters
en aquellas organizaciones interesadas en implementar ITSM. Estudios revelan como dicho anhelo
crecer internacionalmente tomando como base la reconocida certificacin ISO 20000

Ventajas Norma ISO 20000

La norma ISO/IEC 20000 est formada por tres partes bajo el mismo ttulo Tecnologa de la
informacin. Gestin del servicio:

ISO 20000-1: Especificaciones

Esta parte de la norma ISO 20000 establece los requisitos que necesitan las empresas para
disear, implementar y mantener la gestin de servicios TI. Esta norma ISO 20000 plantea un
mapa de procesos que permite ofrecer servicios de TI con una calidad aceptable para los clientes.

ISO 20000-2: Cdigo de buenas prcticas

Describe las mejoras prcticas adoptadas por la industria en relacin con los procesos de gestin
del servicio TI, que permite cubrir las necesidades de negocio del cliente, con los recursos
acordados, as como asumir un riesgo entendido y aceptable.

ISO 20000-3: Gua sobre la deficin del alcance y aplicabilidad de la norma ISO/IEC 20000-1

Proporciona orientacin sobre la definicin del alcance, aplicabilidad y la demostracin de la

conformidad con los proveedores de servicios orientados a satisfacer los requisitos de la norma
ISO 20000-1, as como los proveedores de servicios que estn planeando mejoras en el servicio
con la intencin de utilizar la norma como un objetivo de negocio.

Si desea obtener ms informacin sobre el desarrollo de nuevas partes que buscan una mejor
alineacin con ITSM y con otros estndares ISO, visite la seccin de la norma iso 20000.
Consultoria ISO 20000

La implantacin de la ISO 20000 le permitir gestionar de forma ptima sus servicios de TI, a
travs de la definicin y el establecimiento de los procesos que dicta la norma. La norma ISO
20000 contempla las mejores prcticas descritas en Gestin de servicios TI.
La consultoria ISO 20000 incluye:

Auditora inicial del cumplimiento con respecto a la norma

Anlisis de procesos aplicables

Estudio de recurosos necesarios / necesidades

Implantacin de procesos ISO 20000

Auditora interna ISO 20000

Formacin ISO 20000

Certificacin

C) Definicion de plan de seuridad informtica

En esta Unidad deberemos de realizar la elaboracion de un plan de seguridad informtica basado en

los estndares internacionales estableciendo mecanismos de proteccin de la informacin y metricas
de evaluacin.
A) Analizar modelos y buenas practicas de seguridad que contemple los siguientes conceptos:

ITIL: Creado a finales de la dcada de los 80's por central Computer and Telecommunication Agency (CCTA)
del reino unido. hoy regulado y patentado por el Ministerio del Comercio (OGC) del reino unido y dos organizaciones
certificadoras: ISEB y EXIN. Mejorado por itSMF. Destinado originalmente al Sector Publico.
Desarrollo:
1981 IBM Yelow Books
1986 Inicia el desarrollo del ITIL
1989 Primeras publicaciones del ITIL
1991 fundacin del Grupo de Usuarios (itSMF) en Reino Unido
2000 Publicacin de ITIL Versin 2 (primera versin)
2005 Inicia el desarrollo de ITIL Versin 3
2007 Publicacin de ITIL V3 (segunda versin)
Esta metodologa es la aproximacin ms globalmente aceptada para la gestin de servicios de Tecnologas de
Informacin en todo el mundo, ya que es una recopilacin de las mejores prcticas tanto del sector pblico como del
sector privado. Estas mejores prcticas se dan en base a toda la experiencia adquirida con el tiempo en determinada
actividad, y son soportadas bajo esquemas organizacionales complejos, pero a su vez bien definidos, y que se apoyan
en herramientas de evaluacin e implementacin. ITIL como metodologa propone el establecimiento de estndares que
nos ayuden en el control, operacin y administracin de los recursos (ya sean propios o de los clientes). Plantea hacer
una revisin y reestructuracin de los procesos existentes en caso de que estos lo necesiten (si el nivel de eficiencia es
bajo o que haya una forma ms eficiente de hacer las cosas), lo que nos lleva a una mejora continua. Otra de las cosas
que propone es que para cada actividad que se realice se debe de hacer la documentacin pertinente, ya que esta puede
ser de gran utilidad para otros miembros del rea, adems de que quedan asentados todos los movimientos realizados,
permitiendo que toda la gente est al tanto de los cambios y no se tome a nadie por sorpresa. En la documentacin se
pone la fecha en la que se hace el cambio, una breve descripcin de los cambios que se hicieron, quien fue
la persona que hizo el cambio, as como quien es el que autorizo el cambio, para que as se lleve todo un seguimiento de
lo que pasa en el entorno. Esto es ms que nada como mtodo con el que se puede establecer cierto control en
el sistema de cambios, y as siempre va a haber un responsable y se van a decir los procedimientos y cambios
efectuados
Forma de uso de ITIL en Managed Servicies.
ITIL postula que el servicio de soporte, la administracin y la operacin se realiza a travs de cinco procesos:
1. Manejo de Incidentes: Su objetivo primordial es restablecer el servicio lo ms rpido posible para evitar que
el cliente se vea afectado, esto se hace con la finalidad de que se minimicen los efectos de la operacin. Se dice que el
proveedor de debe de encargar de que el cliente no debe percibir todas aquellas pequeas o grandes fallas que llegue a
presentar el sistema. A este concepto se le llama disponibilidad (que el usuario pueda tener acceso al servicio y que
nunca se vea interrumpido). Para este proceso se tiene un diagrama que en cada una de sus fases maneja cuatro pasos
bsicos que son: propiedad, monitoreo, manejo de secuencias y comunicacin.
2. Manejo de problemas: El Objetivo de este proceso es prevenir y reducir al mximo los incidentes, y esto nos lleva a
una reduccin en el nivel de incidencia. Por otro lado nos ayuda a proporcionar soluciones rpidas y efectivas para
asegurar el uso estructurado de recursos. En este proceso lo que se busca es que se pueda tener pleno control del
problema, esto se logra dndole un seguimiento y un monitoreo al problema. El diagrama de este proceso es muy
particular, ya que se maneja en dos fases: la primera est relacionada con lo que es el control del problema y la segunda
es con el control del error.
3. Manejo de configuraciones: su objetivo es proveer con informacin real y actualizada de lo que se tiene
configurado e instalado en cada sistema del cliente. Este proceso es de los mas complejos, ya que se mueve bajo
cuatro vrtices que son: administracin de cambios, administracin de liberaciones administracin de configuraciones y
la administracin de procesos diversos. El nivel de complejidad de este modelo es alto, ya que influyen muchas
variables y muchas de ellas son dinmicas, entonces al cambiar una o varias de ellas se afecta el sistema en general. lo
que hace que sea muy difcil de manipular. aunque es lo mas parecido a la realidad, porque nuestro entorno
es dinmico y las decisiones de uno afectan a otros.
4. Manejo de cambios: El objetivo de este proceso es deducir los riesgos tanto tcnicos, econmicos, y de tiempo al
momento de la realizacin de los cambios.
5. Manejo de entregas: Su objetivo es planear y controlar exitosamente la instalacin del software y hardware bajo tres
ambientes: ambiente de desarrollo, ambiente de pruebas controladas y ambiente real. En lo que respecta al ambiente de
desarrollo vemos que se tiene que hacer la liberacin de las polticas, la liberacin de la planeacin, el diseo lgico de
la infraestructura que se va a implementar y la adquisicin de software y hardware estn entre los ambientes de
desarrollo y de pruebas controladas; ya que se requiere que ambos hagan pruebas sobre ellos; en el ambiente de
pruebas controladas vemos que se hace la construccin y liberacin de las configuraciones (nivel lgico), se hacen
pruebas para establecer los acuerdos de aceptacin; se da la aceptacin total de versiones y de modelos, se arranca
la planeacin y finalmente las pruebas y comunicaciones, y en lo que es el ambiente real vemos que se da
la distribucin e instalacin. en la etapa del ambiente real es la que se ve de forma mas concreta, ya que muchas veces
no tenemos idea de todo lo que pasa hasta antes de la instalacin. En el proceso de entrega del servicio es el punto en el
que el usuario hace uno del servicio y no sabe que detrs de el servicio que esta recibiendo hay un sin fin de actividades
que estuvieron que tomar para llegar a este punto. Este proceso de entrega es en el que mas cuidado debemos de poner,
ya que en caso de haber fallas, el primero en detectarlas o en percibirlos es el usuario, y eso nos genera que el cliente
este insatisfecho o molesto. Por lo general los usuarios no saben que para que puedan hacer uso de los servicios, se paso
por una fase de planeacin, monitoreo, anlisis y por un sin fin de pruebas, con la intencin de que en caso de que algo
no funcione, se de en la fase de pruebas controladas y no en la fase de pruebas en ambiente real, donde el mayor
afectado es el cliente.
Conclusiones: ITIL es una metodologa que nos va a ayudar a que las cosas se puedan hacer de una forma ms
eficiente, ya que lo que se propone es que se adopten ciertas mtricas y procedimientos que otros proveedores de IT
adoptaron y que gracias a ellas son catalogadas como mejores prcticas. El hecho de adoptar mejores prcticas implica
que no tengamos que descubrir el hilo negro y que si alguien sabe cmo hacer las cosas y explotar los recursos nos
podemos apoyar en el para que nosotros tambin podamos hacerlo. E mayor objetivo es que todos lleguemos a un nivel
de eficiencia que se traduzca en una buena prestacin de servicios.
COBIT: (Control OBjectives for Information and related Technology | Objetivos de Control
para tecnologa de la informacin y relacionada) Es el modelo para el Gobierno de la TI desarrollado por la Information
Systems Audit and Control Association (ISACA) y el IT Governance Institute (ITGI). Tiene 34 objetivos nivel altos
que cubren 215 objetivos de control clasificados en cuatro dominios: El plan y Organiza, Adquiere y Pone en prctica,
Entrega y Apoya, y Supervisa y Evala. Enfatiza el cumplimiento normativo, ayuda a las organizaciones a incrementar
el valor de TI. Apoya el alineamiento con el negocio y simplifica la implantacin del COBIT. Esta versin no
invalida el trabajo efectuado con las versiones anteriores del COBIT, sino que mejora el trabajo hecho. Representa los
esfuerzos de literalmente cientos de expertos de voluntario de en el mundo entero. . COBIT permite el desarrollo
claro de poltica y la prctica buena para el control de TI en todas partes de organizaciones. Independientemente de la
realidad tecnolgica de cada caso concreto, COBIT determina, con el respaldo de las principales normas tcnicas
internacionales, un conjunto de mejores prcticas para la seguridad, la calidad, la eficacia y la eficiencia en TI que son
necesarias para alinear TI con el negocio, identificar riesgos, entregar valor al negocio, gestionar recursos y medir
el desempeo, el cumplimiento de metas y el nivel de madurez de los procesos de la organizacin. Proporciona a
gerentes, interventores, y usuarios TI con un juego de medidas generalmente aceptadas, indicadores, procesos y las
mejores prcticas para ayudar a ellos en el maximizar las ventajas sacadas por el empleo de tecnologa de informacin y
desarrollo de la gobernacin apropiada TI y el control en una empresa.
El paquete de programas de COBIT completo es un juego que consiste en seis publicaciones:
1. Resumen(Sumario) Ejecutivo
2. Marco
3. Objetivos de Control
4. Directrices de auditoria
5. Instrumento de puesta en prctica
6. Directrices de Direccin
Proporcionan una breve descripcin de cada uno de los susodichos componentes debajo.
Resumen (Sumario) Ejecutivo
Las decisiones de negocio estn basadas en la informacin oportuna, relevante y concisa. Expresamente diseado para
directores ejecutivos embutidos de tiempo y gerentes, el Resumen (Sumario) COBIT Ejecutivo, consiste en una
descripcin ejecutiva que proporciona una conciencia cuidadosa y el entendimiento de los conceptos claves del COBIT
y principios. Tambin incluido es un resumen del Marco, que proporciona un entendimiento ms detallado de estos
conceptos y principios, identificando los cuatro dominios del COBIT (la Planificacin y la Organizacin, la Adquisicin
y la Puesta en prctica, la Entrega y el Apoyo, la Supervisin) y 34 procesos de TI.-
Marco: Una organizacin acertada es construida sobre un marco slido de datos e informacin. El Marco explica como
los procesos de TI entregan la informacin que el negocio tiene que alcanzar sus objetivos. Esta entrega es controlada
por 34 objetivos de control de alto nivel, un para cada proceso de TI, contenida en los cuatro dominios. El Marco se
identifica cul de los siete criterios de la informacin (la eficacia, la eficacia, la confidencialidad, la integridad, la
disponibilidad, el cumplimiento y la fiabilidad), as como que recursos TI (la gente, usos, tecnologa, instalaciones y
datos) son importantes para los procesos de TI para totalmente apoyar el objetivo de negocio.-
Objetivos de Control: La llave al mantenimiento de la rentabilidad en un ambiente que se cambia tecnolgicamente es
como bien usted mantiene el control. Los Objetivos de Control del COBIT proveen la perspicacia (idea) crtica tuvo que
delinear una prctica clara de poltica y buena para mandos de TI. Incluido son las declaraciones de resultados deseados
u objetivos para ser alcanzados por poniendo en prctica los 215 objetivos de control especficos, detallados en todas
partes de los 34 procesos de TI.-
Directrices De auditora: Analice, evala, haga de intrprete, reaccione, el instrumento. Para alcanzar sus objetivos
deseados y objetivos usted y coherentemente constantemente debe revisar sus procedimientos. Directrices de auditora
perfilan y aconsejan actividades reales ser realizadas correspondiente a cada uno de los 34 objetivos de control de TI de
alto nivel, justificando el riesgo de objetivos de control no siendo encontrados. Directrices de auditora son un
instrumento inestimable para interventores de sistemas de informacin en el aseguramiento de direccin que provee y/o
el consejo para la mejora.
Instrumento de puesta en prctica : Un Instrumento de Puesta en prctica , que contiene la Conciencia de Direccin y
el Diagnstico de Control de TI, y la Gua de Puesta en prctica, FAQs, estudios de caso de organizaciones actualmente
que usan COBIT, y las presentaciones de diapositiva que pueden ser usadas introducir COBIT en organizaciones. El
nuevo Juego de Instrumento es diseado para facilitar la puesta en prctica de COBIT, relacionar lecciones cultas de
organizaciones que rpidamente y satisfactoriamente aplicado COBIT en sus ambientes de trabajo, y la direccin de
plomo(ventajosa) para preguntar sobre cada COBIT tratan: Este dominio es importante para nuestros objetivos de
negocio? Bien es realizado? Quin lo hace y quien es responsable? Son formalizados los procesos y el control?
Directrices de Direccin: Para asegurar una empresa acertada, usted con eficacia debe manejar la unin eficaz entre
procesos de negocio y sistemas de informacin. Las nuevas Directrices de Direccin son compuestas de Modelos de
Madurez, ayudar determinar las etapas y los niveles de expectativa de control y compararlos contra normas de industria;
Factores de xito Crticos, para identificar las acciones ms importantes para alcanzar control de los procesos de TI;
Indicadores de Objetivo Claves, para definir los niveles objetivo de funcionamiento; e Indicadores de Funcionamiento
Claves, para medir si un proceso de control de TI encuentra su objetivo. Estas Directrices de Direccin ayudarn a
contestar las preguntas de preocupacin (inters) inmediata a todo los que tienen una estaca (un inters) en el xito de la
empresa.
 ISM3: (Information Security Management Maturity Model, que se pronuncia ISM), es un estandar de
ISECOM para la gestin de la seguridad de la informacin. Est pensado para una mejorar la integracin con otras
metodologas y normas como COBIT, ITIL o CMMI. Ofrece muchas ventajas para la creacin de sistemas de gestin
de la seguridad de la informacin. ISM3 pretende alcanzar un nivel de seguridad definido, tambin conocido como
riesgo aceptable, en lugar de buscar la invulnerabilidad. ISM3 ve como objetivo la seguridad de la informacin, el
garantizar la consecucin de objetivos de negocio. La visin tradicional de que la seguridad de la informacin trata de la
prevencin de ataques es incompleta. ISM3 relaciona directamente los objetivos de negocio (como entregar productos a
tiempo) de una organizacin con los objetivos de seguridad (como dar acceso a las bases de datos slo a los usuarios
autorizados). Algunas caractersticas significativas de ISM3 son:
Mtricas de Seguridad de la Informacin: "Lo que no se puede medir, no se puede gestionar, y lo que no se puede
gestionar, no se puede mejorar", ISM3 hace de la seguridad un proceso medible mediante mtricas de gestin de
procesos, siendo probablemente el primer estndar que lo hace. Esto permite la mejora continua del proceso, dado que
hay criterios para medir la eficacia y eficiencia de los sistemas de gestin de seguridad de la informacin.
Niveles de Madurez: ISM3 se adapta tanto a organizaciones maduras como a emergentes mediante sus niveles de
madurez, los cuales se adaptan a los objetivos de seguridad de la organizacin y a los recursos que estn disponibles.
Basado en Procesos: ISM3 est basado en procesos, lo que lo hace especialmente atractivo para organizaciones que
tienen experiencia con ISO9001 o que utilizan ITIL como modelo de gestin de TIC. El uso de ISM3 fomenta la
colaboracin entre proveedores y usuarios de seguridad de la informacin, dado que la externalizacin de procesos de
seguridad se simplifica gracias a mecanismos explcitos, como los ANS y la distribucin de responsabilidades.
Adopcin de las Mejores Prcticas: Una implementacin de ISM3 tiene ventajas como las extensas referencias a
estndares bien conocidos en cada proceso, as como la distribucin explcita de responsabilidades entre los lderes,
gestores y el personal tcnico usando el concepto de gestin Estratgica, Tctica y Operativa.
Certificacin: Los sistemas de gestin basados en ISM3 pueden certificarse bajo ISO9001 o ISO27001, lo que quiere
decir que se puede usar ISM3 para implementar un SGSI basado en ISO 27001. Esto tambin puede ser atractivo para
organizaciones que ya estn certificadas en ISO9001 y que tienen experiencia e infraestructura para ISO9001.
Accesible: Una de las principales ventajas de ISM es que los Accionistas y Directores pueden ver con mayor facilidad
la Seguridad de la Informacin como una inversin y no como una molestia, dado que es mucho ms sencillo medir su
rentabilidad y comprender su utilidad.

B) Analiza los estndares internacionales de seguridad informtica de los siguientes conceptos:

BS 17799: es un cdigo de prcticas o de orientacin o documento de referencia se basa en las mejores

prcticas de seguridad de la informacin, esto define un proceso para evaluar, implementar, mantener y administrar la
seguridad de la informacin. Caractersticas
BS 17799 se basa en BS 7799-1 de control consta de 11 secciones, 39 objetivos de control y controles de 134 no se
utiliza para la evaluacin y el registro de esta tarde fue rebautizado con la norma ISO 27002OBJETIVO.
Objetivo: El objetivo es proporcionar una base comn para desarrollar normas de seguridad dentro de las
organizaciones, un mtodo de gestin eficaz de la seguridad y para establecer transacciones y relaciones de confianza
entre las empresas.
SERIO ISO 27000: En fase de desarrollo; su fecha prevista de publicacin es el ao 2009. Contendr
trminos y definiciones que se emplean en toda la serie 27000. La aplicacin de cualquier estndar necesita de un
vocabulario claramente definido, que evite distintas interpretaciones de conceptos tcnicos y de gestin. Esta norma est
previsto que sea gratuita, a diferencia de las dems de la serie, que tienen-tendrn un coste.
SERIO ISO 27001: Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y contiene los
requisitos del sistema de gestin de seguridad de la informacin. Tiene su origen en la BS 7799-2:2002 y es la norma
con arreglo a la cual se certifican por auditores externos los SGSI de las organizaciones. Sustituye a la BS 7799-2,
habindose establecido unas condiciones de transicin para aquellas empresas certificadas en esta ltima. En su Anexo
A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005 (nueva
numeracin de ISO 17799:2005 desde el 1 de Julio de 2007), para que sean seleccionados por las organizaciones en el
desarrollo de sus SGSI; a pesar de no ser obligatoria la implementacin de todos los controles enumerados en dicho
anexo, la organizacin deber argumentar slidamente la no aplicabilidad de los controles no implementados. Desde el
28 de Noviembre de 2007, esta norma est publicada en Espaa como UNE-ISO/IEC 27001:2007 y puede adquirirse
online en AENOR.
SERIO ISO 27002: Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005
como ao de edicin. Es una gua de buenas prcticas que describe los objetivos de control y controles recomendables
en cuanto a seguridad de la informacin. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados
en 11 dominios. Como se ha mencionado en su apartado correspondiente, la norma ISO27001 contiene un anexo que
resume los controles de ISO 27002:2005.
 ISO 20000: fue publicada en diciembre de 2005 y es la primera norma en el mundo especficamente dirigida a
la gestin de los servicios de TI. La ISO 20000 fue desarrollada en respuesta a la necesidad de establecer procesos y
procedimientos para minimizar los riesgos en los negocios provenientes de un colapso tcnico del sistema de TI de las
organizaciones. ISO20000 describe un conjunto integrado de procesos que permiten prestar en forma eficaz servicios de
TI a las organizaciones y a sus clientes. La esperada publicacin de la ISO 20000 el 15 de diciembre de 2005 representa
un gran paso adelante hacia el reconocimiento internacional y el desarrollo de la certificacin de ITSM. Hoy en da la
aparicin de la norma ISO 20000 est causando un aumento considerable del inters en aquellas organizaciones
interesadas en implementar ITSM. Estudios revelan como dicho anhelo crecer internacionalmente tomando como base
la reconocida certificacin ISO 20000.
C) Definicin del plan de seguridad informtica:
Descripcin de los principales elementos de proteccin: Las principales amenazas que se prevn en la
seguridad fsica son:
a. Desastres naturales, incendios accidentales tormentas e inundaciones.
b. Amenazas ocasionadas por el hombre.
c. Disturbios, sabotajes internos y externos deliberados.
No hace falta recurrir a pelculas de espionaje para sacar ideas de cmo obtener la mxima seguridad en un sistema
informtico, adems de que la solucin sera extremadamente cara.
A veces basta recurrir al sentido comn para darse cuenta que cerrar una puerta con llave o cortar la electricidad en ciertas
reas siguen siendo tcnicas vlidas en cualquier entorno.
A continuacin se analizan los peligros ms importantes que se corren en un centro de procesamiento; con el objetivo de
mantener una serie de acciones a seguir en forma eficaz y oportuna para la prevencin, reduccin, recuperacin y
correccin de los diferentes tipos de riesgos.
a. Incendios.
b. Inundaciones: Se las define como la invasin de agua por exceso de escurrimientos superficiales o por acumulacin
en terrenos planos, ocasionada por falta de drenaje ya sea natural o artificial. Esta es una de las causas de mayores
desastres en centros de cmputos. Adems de las causas naturales de inundaciones, puede existir la posibilidad de una
inundacin provocada por la necesidad de apagar un incendio en un piso superior. Para evitar este inconveniente se
pueden tomar las siguientes medidas: construir un techo impermeable para evitar el paso de agua desde un nivel
superior y acondicionar las puertas para contener el agua que bajase por las escaleras.
c. Condiciones Climatolgicas
d. Seales de Radar: La influencia de las seales o rayos de radar sobre el funcionamiento de una computadora ha sido
exhaustivamente estudiada desde hace varios aos. Los resultados de las investigaciones ms recientes son que las
seales muy fuertes de radar pueden inferir en el procesamiento electrnico de la informacin, pero nicamente si la
seal que alcanza el equipo es de 5 Volts/Metro, o mayor. Ello podra ocurrir slo si la antena respectiva fuera visible
desde una ventana del centro de procesamiento respectivo y, en algn momento, estuviera apuntando directamente hacia
dicha ventana.
e.Instalaciones Elctricas
f. Ergometra
Acciones Hostiles
Robo: Las computadoras son posesiones valiosas de las empresas y estn expuestas, de la misma forma que lo estn las
piezas de stock e incluso el dinero. Es frecuente que los operadores utilicen la computadora de la empresa para realizar
trabajos privados o para otras organizaciones y, de esta manera, robar tiempo de mquina. La informacin importante o
confidencial puede ser fcilmente copiada. Muchas empresas invierten millones de dlares en programas y archivos de
informacin, a los que dan menor proteccin que la que otorgan a una mquina de escribir o una calculadora. El
software, es una propiedad muy fcilmente sustrable y las cintas y discos son fcilmente copiados sin dejar ningn
rastro.
Fraude: Cada ao, millones de dlares son sustrados de empresas y, en muchas ocasiones, las computadoras han sido
utilizadas como instrumento para dichos fines. Sin embargo, debido a que ninguna de las partes implicadas (compaa,
empleados, fabricantes, auditores, etc.), tienen algo que ganar, sino que ms bien pierden en imagen, no se da ninguna
publicidad a este tipo de situaciones.
Sabotaje: El peligro ms temido en los centros de procesamiento de datos, es el sabotaje. Empresas que han intentado
implementar programas de seguridad de alto nivel, han encontrado que la proteccin contra el saboteador es uno de los
retos ms duros. Este puede ser un empleado o un sujeto ajeno a la propia empresa. Fsicamente, los imanes son las
herramientas a las que se recurre, ya que con una ligera pasada la informacin desaparece, aunque las cintas estn
almacenadas en el interior de su funda de proteccin. Una habitacin llena de cintas puede ser destruida en pocos
minutos y los centros de procesamiento de datos pueden ser destruidos sin entrar en ellos.
Adems, suciedad, partculas de metal o gasolina pueden ser introducidos por los conductos de aire acondicionado. Las
lneas de comunicaciones y elctricas pueden ser cortadas, etc.
 Definicin de las metas de seguridad a alcanzar en un periodo de tiempo establecido: La falta
de polticas y procedimientos en seguridad es uno de los problemas ms graves que confrontan las empresas hoy da en
lo que se refiere a la proteccin de sus activos de informacin frente a peligros externos e internos. Las polticas de
seguridad son esencialmente orientaciones e instrucciones que indican cmo manejar los asuntos de seguridad y forman
la base de un plan maestro para la implantacin efectiva de medidas de proteccin tales como: identificacin
y control de acceso, respaldo de datos, planes de contingencia y deteccin de intrusos. Si bien las polticas varan
considerablemente segn el tipo de organizacin de que se trate, en general incluyen declaraciones generales sobre
metas, objetivos, comportamiento y responsabilidades de los empleados en relacin a las violaciones de seguridad. A
menudo las polticas van acompaadas de normas, instrucciones y procedimientos. Las polticas son obligatorias,
mientras que las recomendaciones o directrices son ms bien opcionales. De hecho, las declaraciones de polticas de
seguridad pueden transformarse fcilmente en recomendaciones reemplazando la palabra "debe" con la palabra
"debera". Por otro lado las polticas son de jerarqua superior a las normas, estndares y procedimientos que tambin
requieren ser acatados. Las polticas consisten de declaraciones genricas, mientras las normas hacen referencia
especfica a tecnologas, metodologas, procedimientos de implementacin y otros aspectos en detalle. Adems las
polticas deberan durar durante muchos aos, mientras que las normas y procedimientos duran menos tiempo. Las
normas y procedimientos necesitan ser actualizadas ms a menudo que las polticas porque hoy da cambian muy
rpidamente las tecnologas informticas, las estructuras organizativas, los procesos de negocios y los procedimientos.
Por ejemplo, una norma de seguridad de cifrado podra especificar el uso del estndar DES (Data Encryption Standard).
Esta norma probablemente deber ser revisada o reemplazada en los prximos aos. Las polticas son distintas y de un
nivel superior a los procedimientos, que son los pasos operacionales especficos que deben llevarse a cabo para lograr
una cierta meta. Como ejemplo, hay procedimientos especficos para realizar copias de seguridad de la informacin
contenida en los discos duros de los servidores.
Una declaracin sobre polticas describe slo la forma general de manejar un problema especfico, pero no debe ser
demasiado detallada o extensa, en cuyo caso se convertira en un procedimiento. Las polticas tambin son diferentes de
las medidas de seguridad o de los mecanismos de control. Un ejemplo de esto ltimo sera un sistema de cifrado para
las comunicaciones o para los datos confidenciales guardados en discos y cintas. En muchos casos las polticas definen
metas o objetivos generales que luego se alcanzan por medio de medidas de seguridad. En general, las polticas definen
las reas sobre las cuales debe enfocarse la atencin en lo que concierne a la seguridad. Las polticas podran dictar que
todo el software desarrollado o adquirido se pruebe a fondo antes de utilizarse. Se necesitar tomar en cuenta varios
detalles sobre cmo aplicar esta poltica. Por ejemplo, la metodologa a usar para probar el software. Un documento
sobre polticas de seguridad contiene, entre muchos aspectos: definicin de seguridad para los activos de informacin,
responsabilidades, planes de contingencia, gestin de contraseas, sistema de control de acceso, respaldo de datos,
manejo de virus e intrusos. Tambin puede incluir la forma de comprobar el cumplimiento y las eventuales medidas
disciplinarias.
Definicin de polticas de acceso fsico a equipos: Al crear perfiles se puedo establecer las diferentes categoras de
acceso deseadas por ejemplo a un "empleado de mantenimiento" se le podr restringir las reas a las cuales tendr
acceso con horarios limitados, mientras que el perfil de usuario de un "ejecutivos administrativos" puede crearse con
mayores atributos. Esto les permite a los administradores del sistema que el empleado del aseo no pueda acceder a la
puerta de un rea restringida en otro horario que no sea el que se le asigno en el sistema de control de acceso. Por
nuestra experiencia en la implementacin de nuestros sistemas de control garantizamos la perfecta instalacin de
nuestros equipos en cualquier tipo de puerta o portn de acceso, utilizando partes y accesorios de primera calidad de
fabricante lideres a nivel mundial. Nuestros sistemas estn desarrollado para utilizar los dispositivos ms avanzados del
mercado, por ejemplo las credenciales con las acceder a las areas estn dotadas de un microchip inteligente en donde
el o los administradores del sistema podr almacenar la informacin necesaria o requerida para atribuir los accesos a
cada colaborador y esto se almacena directamente en la credencial (ver productos) y adicionalmente lograr alcanzar un
mayor nivel de seguridad, implementando sistemas BIOMTRICOS (huella dactilar, palma de la mano, iris del ojo)
dando acceso en forma conjunta con la credencial inteligente(smartcard).
Control de Acceso Fsico: Esta solucin permite el control de los puntos estratgicos de una compaa mediante equipos
que verifican la identidad de las personas en el momento de ingresar a las instalaciones. Este tipo de control maneja
polticas totales o parciales de acceso, mantiene. Control de tiempo de las personas que realizan transacciones. Mediante
un manejo avanzado credencializacin que permite controlar, limitar, monitorear y auditar el acceso fsico. Este tipo de
sistema es ideal para organizaciones que desea controlar una nica rea restringida o mltiples puertas de acceso.
Definicin de polticas de acceso lgico a equipos: Todos trabajamos a diario con la ayuda inestimable de los
ordenadores y de la informtica. Por ello, cuando llegamos a nuestro puesto de trabajo, lo primero que hacemos es
encender el ordenador o el porttil que nos han adjudicado, esperar a que el sistema arranque y continuar con aquel
informe que debemos terminar o escribir un correo electrnico a un cliente, en definitiva, comenzamos a trabajar.
Somos, por tanto, los llamados usuarios. Al acceder al sistema e introducir el correspondiente nombre de usuario y
contrasea, nos identificamos y autenticamos en el sistema, y a continuacin accedemos a los documentos, ficheros,
aplicaciones a los que tenemos permiso de acceso, permisos que han sido implementados por otras personas, a las que
llamamos administradores. Pues bien, en este artculo lo que voy a tratar es de recordar algunas de las normas habituales
de seguridad respecto del acceso a los sistemas de informacin, especialmente el acceso por medios electrnicos. Y
todo ello con el objetivo de acercarnos a la tan manida seguridad de los datos en una organizacin, es decir, aquel
 conjunto de controles que tratan de mantener la confidencialidad, la integridad y la disponibilidad de la
informacin. Empezaremos por una definicin sencilla, qu es el acceso a un sistema de informacin? El acceso al
sistema en cualquier organizacin es la capacidad de realizar una actividad con un recurso informtico, por ejemplo, la
capacidad de leer, modificar o eliminar un archivo, ejecutar un programa etc. Qu tipos de accesos hay? El acceso al
sistema, a los recursos de informacin, puede ser lgico o fsico. Los controles de acceso (lgicos y fsicos) se disean
para proteger contra la entrada o el acceso no autorizado. El establecimiento de las reglas debe basarse en la premisa
est prohibido todo lo que no est permitido explcitamente. Comenzaremos por los controles de acceso lgico al
sistema. Estos proveen un medio tcnico para controlar qu informacin pueden utilizar los usuarios, qu programas
pueden ejecutar, y las modificaciones que pueden hacer. Los controles de acceso lgico se pueden definir como las
polticas, procedimientos y controles de acceso electrnico diseados para restringir el acceso a los archivos de datos.
Dichos controles pueden estar incorporados en el sistema operativo, en los programas o aplicaciones, en las bases de
datos, los dispositivos de control de red etc. Los derechos de acceso, tambin llamados permisos o privilegios, que son
otorgados a los usuarios por el administrador, determinan las acciones que pueden ejecutar, por ejemplo, leer, grabar,
eliminar etc. en los archivos de los servidores. No menos importantes son los controles de acceso fsico al sistema.
Estos restringen la entrada y salida del personal, y a menudo, los equipos y los medios, desde un rea, como por
ejemplo, un edificio, un centro de proceso de datos o una sala que contenga un servidor de la red de rea local (LAN).
Hay muchos tipos de controles de acceso fsico, que incluyen tarjetas inteligentes, llaves, barreras etc. Ya sabemos que
en todas las organizaciones deben existir unos controles y unos derechos de acceso. Pero vamos al meollo de la
cuestin, cmo deben otorgarse estos derechos de acceso? Se deben establecer procedimientos formales para controlar
la asignacin de los derechos de acceso a los sistemas. El acceso fsico o lgico a la informacin debe ser otorgado por
escrito sobre la base de la necesidad de saber, y basado en los principios de menor privilegio (slo se deben otorgar a
los usuarios los accesos requeridos para realizar sus tareas) (necesita saber, necesita hacer) y segregacin de tareas. El
propietario de la informacin o el gerente responsable (por ejemplo, el jefe del departamento) debe ser la persona
encargada entregar una autorizacin directamente al administrador de seguridad, documentada por escrito (en soporte
fsico o electrnico), para que los usuarios tengan acceso a los recursos de informacin. Del prrafo anterior se
desprenden una serie de ideas bsicas. En primer lugar, los usuarios slo deben tener acceso autorizado a aquellos datos
y recursos que precisen para el desarrollo de sus funciones. En segundo lugar, el acceso a los datos siempre debe ser
autorizado por escrito. En tercer lugar, slo los propietarios de los datos deben otorgar dichas autorizaciones. Y por
ltimo, el propietario de los datos no implementa directamente los derechos de acceso de los usuarios que dependen de
l. Efectivamente, las capacidades o derechos de acceso son implementadas por el administrador de seguridad por
medio del establecimiento de un conjunto de reglas de acceso que estipulan cuales usuarios (o grupos de usuarios) estn
autorizados para acceder a un recurso y con qu nivel (por ejemplo, lectura, grabacin, borrado, ejecucin), es decir,
quin puede tener acceso a qu. Evidentemente, el tipo menos peligroso de acceso es el de lectura. El mecanismo de
control de acceso aplica estas reglas cada vez que un usuario trata de acceder o de usar un recurso protegido. Es
recomendable establecer perfiles estandarizados, segn las categoras comunes de trabajos, para implementar reglas
eficientes de acceso y que simplifiquen la administracin de la seguridad. Asimismo, es recomendable que las polticas
de control de accesos sean coherentes con la clasificacin de la informacin, y por supuesto, con la Poltica de
Seguridad de la Informacin de la organizacin, si es que existe. Por ltimo, indicar que las autorizaciones de acceso
deben ser evaluadas regularmente por el propietario de la informacin para asegurar que sean an vlidas.
Definicin de polticas para la creacin de cuentas: Propsito: Dar a conocer las polticas generales para el
uso de las cuentas (usuario - contrasea) de acceso a los Sistemas Web Institucionales.
Alcance: El alcance de estas polticas incluye a todo usuario de sistema Web que tenga un rol, cuyas actividades
sean de administracin del sistema, de gestin o cualquier otro acceso que s est permitido.
Poltica General
El uso de la cuenta de usuario es responsabilidad de la persona a la que est asignada. La cuenta es para uso personal e
intransferible.
La cuenta de usuario se proteger mediante una contrasea. La contrasea asociada a la cuenta de usuario, deber
seguir los Criterios para la Construccin de Contraseas Seguras descrito ms abajo.
Las cuentas de usuario (usuario y contrasea) son sensibles a maysculas y minsculas, es decir que estas deben ser
tecleadas como estn.
No compartir la cuenta de usuario con otras personas: compaeros de trabajo, amigos, familiares, etc.
Si otra persona demanda hacer uso de la cuenta de usuario hacer referencia a estas polticas. De ser necesaria la
divulgacin de la cuenta de usuario y su contrasea asociada, deber solicitarlo por escrito y dirigido al Administrador
del Sistema.
Si se detecta o sospecha que las actividades de una cuenta de usuario puede comprometer la integridad y seguridad de
la informacin, el acceso a dicha cuenta ser suspendido temporalmente y ser reactivada slo despus de haber tomado
las medidas necesarias a consideracin del Administrador del Sistema.
Tipos de Cuentas de Usuario
Para efectos de las presentes polticas, se definen dos tipos de cuentas de usuario:
 1. Cuenta de Usuario de Sistema de Informacin: todas aquellas cuentas que sean utilizadas por los usuarios para
acceder a los diferentes sistemas de informacin. Estas cuentas permiten el acceso para consulta, modificacin,
actualizacin o eliminacin de informacin, y se encuentran reguladas por los roles de usuario del Sistema.
2. Cuenta de Administracin de Sistema de Informacin: corresponde a la cuenta de usuario que permite al
administrador del Sistema realizar tareas especficas de usuario a nivel directivo, como por ejemplo:
agregar/modificar/eliminar cuentas de usuario del sistema.
Todas las contraseas para acceso al Sistema Web con carcter administrativo debern ser cambiadas al menos cada 6
meses.
Todas las contraseas para acceso al Sistema Web de nivel usuario debern ser cambiadas al menos cada 12 meses.
Todas las contraseas debern ser tratadas con carcter confidencial.
Las contraseas de ninguna manera podrn ser transmitidas mediante servicios de mensajera electrnica instantnea ni
va telefnica.
Si es necesario el uso de mensajes de correo electrnico para la divulgacin de contraseas, estas debern transmitirse
de forma cifrada.
Se evitar mencionar y en la medida de lo posible, teclear contraseas en frente de otros.
Se evitar el revelar contraseas en cuestionarios, reportes o formas.
Se evitar el utilizar la misma contrasea para acceso a los sistemas operativos y/o a las bases de datos u otras
aplicaciones.
Se evitar el activar o hacer uso de la utilidad de ?Recordar Contrasea? o ?Recordar Password? de las aplicaciones.
No se almacenarn las contraseas en libretas, agendas, post-it, hojas sueltas, etc. Si se requiere el respaldo de las
contraseas en medio impreso, el documento generado deber ser nico y bajo resguardo.
No se almacenarn las contraseas sin encriptacin, en sistemas electrnicos personales (asistentes electrnicos
personales, memorias USB, telfonos celulares, agendas electrnicas, etc.).
Si alguna contrasea es detectada y catalogada como no segura, deber darse aviso al(los) usuario(s) para efectuar un
cambio inmediato en dicha contrasea.

3.-Definicin de polticas

-De acceso fsico a equipos

Unicmente personas autorizadas para dar mantenimiento preventivo y correctivo a los equipos de
cmputo, tendrn derecho a manipular dichos objetos, de lo contrario resivirn una sancin.

-De acceso lgico a equipos

Para acceder a la informacin resguardada en sta institucin, el usuario debe contar con caractersticas
especficas: tener un cargo de jefe, programador o administrador de datos, contar con un gaffete destinado
al rea de trabajo correspondiente, sin olvidar que est prohibido el acceso con USB o cualquier otra
unidad de almacenamiento y se identificar la huella digital.

-Para la creacin de cuentas de usuario

La persona autorizada para hacer cuentas de usurio nicamente ser el jefe junto con los supervisores de
rea.

Para ser acreedor de una cuenta de usuario debe tener el cargo de administrador y contar con 1 ao de
antigedad dentro de la institucin, demostrando que su desempeo es competente y de gran confianza
para el resguardo de la informacin almacenada.

-Para el manejo de bitcoras

Es necesario que los supervisores de cada rea vayan realizando una bitcora de acuerdo al desempeo de
trabajo diario de sus empleados contando con los siguientes requerimientos para asi llevar un buen control
de las actividades diarias:
-De proteccin de red (firewall)

Se crear un firewall el cual est diseado para bloquear el acceso no autorizado, permitiendo al mismo
tiempo comunicaciones autorizadas.

Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el
trfico entre los diferentes mbitos sobre la base de un conjunto de normas y otros criterios.

-Para la administracin de software de seguridad

Slo el rea de redes y telecomunicaciones o el de ingeniera de sotware podrn manipular la seguridad en

cualquiera de los software instalados dentros de los equipos de cmputo de la empresa.

-Para la gestin de actualizaciones de control de cambios

Los administradores de la informacin sern los nicos autorizados para hacer actualizaciones en cuanto a
los cambios del sistema e informacin, llevando as un buen control.

-De almacenamiento

Lo dispositivos a utilizar para almacenar la informacion seran discos duros, CD, DVD, discos duros externos,
micro SD, USB, entre otros.

-Para archivos compartidos

Los archivos a compartir sern las bitcoras, planeaciones y documentos de trabajo pero nicamente entre
las reas relacionadas a la administracin de la informacin.

-De respaldo

Se llevar un control en cuanto a la informacion. Para esto se respaldar toda la informacin que maneja la
empresa mediante copias de seguridad.

Cada rea deber realizar un respaldo en cuanto a su informacin.

Habr un slo encargado que almacenar todas las copias de seguridad realizadas.