Академический Документы
Профессиональный Документы
Культура Документы
COBIT
A)Analizar modelos y buenas practicas de seguridad que contemplen los sig conceptos:
Qu es ITIL?
En el mes de junio del 2012, ISACA lanz "COBIT 5 para la seguridad de la informacin",
actualizando la ltima versin de su marco a fin de proporcionar una gua prctica en la seguridad
de la empresa, en todos sus niveles.
COBIT 5 para seguridad de la informacin puede ayudar a las empresas a reducir sus perfiles de
riesgo a travs de la adecuada administracin de la seguridad. La informacin especfica y las
tecnologas relacionadas son cada vez ms esenciales para las organizaciones, pero la seguridad
de la informacin es esencial para la confianza de los accionistas
ISM3
La publicacin del ISM3 (Information Security Management Maturity Model) ofrece un nuevo
enfoque de los sistemas de gestin de seguridad de la informacin (ISM). ISM3 nace de la
observacin del contraste existente entre el nmero de organizaciones certificadas ISO9000 (unas
350,000), y las certificadas BS7799-2:2002 (unos cientos en todo el mundo). ISM3 pretende cubrir
la necesidad de un estndar simple y aplicable de calidad para sistemas de gestin de la seguridad
de la informacin. ISM3 proporciona un marco para ISM que puede utilizarse tanto por pequeas
organizaciones que realizan sus primeros esfuerzos, como a un nivel alto de sofisticacin por
grandes organizaciones como parte de sus procesos de seguridad de la informacin...
Al igual que otros estndares del ISECOM, ISM3 se proporciona con una licencia de cdigo libre,
tiene una curva de aprendizaje suave, y puede utilizarse para fortalecer sistemas ISM en
organizaciones que utilicen estndares como COBIT, ITIL, CMMI y ISO17799. Est estructurado en
niveles de madurez, de modo que cada organizacin puede elegir un nivel adecuado para su
negocio, y cubrir ese objetivo en varias etapas.
En lugar de depender exclusivamente de mtodos caros de anlisis de riesgos, que suponen una
barrera a la implantacin de sistemas de ISM, ISM3 sigue un punto de vista cualitativo,
empezando por analizar los requerimientos de seguridad del negocio. Permite a la empresa
aprovechar la infraestructura actual, fortalecindola mediante un sistema de calidad, y alcanzado
niveles de madurez certificables segn el sistema de ISM evoluciona.
Utiliza un modelo de gestin para diferenciar las tareas de seguridad operativa que previenen y
mitigan incidentes del tareas estratgicas y tcticas que identifican los activos a proteger, las
medidas de seguridad a emplear, y los recursos que han de dedicarse a estas. Se describe un
proceso de certificacin que permite a una organizacin autoevaluar su madurez, o bien obtener
una certificacin de un auditor independiente.
* * BS 17799 * *
Caractersticas
BS 17799 se basa en BS 7799-1 de control consta de 11 secciones, 39 objetivos de control y
controles de 134 no se utiliza para la evaluacin y el registro de esta tarde fue rebautizado con la
norma ISO 27002OBJETIVO.
Objetivo
El objetivo es proporcionar una base comn para desarrollar normas de seguridad dentro de las
organizaciones, un mtodo de gestin eficaz de la seguridad y para establecer transacciones y
relaciones de confianza entre las empresas.
Alcance
-Aumento de la seguridad efectiva de los Sistemas de informacin.
- Correcta planificacin y gestin de la Seguridad
- Garantas de continuidad del negocio.Auditora interna
- Incremento de los niveles de confianza de los clientes y socios de negocios.
- Aumento del valor comercial y mejora de la imagen de la organizacin.
Enfoque
* Responsabilidad de la direccin.
* Enfoque al cliente en las organizaciones educativas.
* La poltica de calidad en las organizaciones educativas.
* Planificacin: Definir los objetivos de calidad y las actividades y recursos necesarios .
Educativo
* Planificacin y realizacin del producto.
* Diseo y desarrollo.
* Proceso de compras.
* Control de los dispositivos de seguimiento y medicin.
* Satisfaccin del cliente.
* Auditoria Interna ISO.
* Revisin y disposicin de las no conformidades.
* Anlisis de datos.
* Proceso de mejora.
ISO 27000
Origen
Desde 1901, y como primera entidad de normalizacin a nivel mundial, BSI (British Standards
Institution, la organizacin britnica equivalente a AENOR en Espaa) es responsable de la
publicacin de importantes normas como:
- BS 5750. Publicada en 1979. Origen de ISO 9001
- BS 7750. Publicada en 1992. Origen de ISO 14001 - BS 8800. Publicada en 1996. Origen de
OHSAS 18001 La norma BS 7799 de BSI apareci por primera vez en 1995, con objeto de
proporcionar a cualquier empresa -britnica o no- un conjunto de buenas prcticas para la gestin
de la seguridad de su informacin.
La primera parte de la norma (BS 7799-1) fue una gua de buenas prcticas, para la que no se
estableca un esquema de certificacin. Es la segunda parte (BS 7799-2), publicada por primera
vez en 1998, la que estableci los requisitos de un sistema de seguridad de la informacin (SGSI)
para ser certificable por una entidad independiente.
Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adopt por ISO,
sin cambios sustanciales, como ISO 17799 en el ao 2000.
En 2002, se revis BS 7799-2 para adecuarse a la filosofa de normas ISO de sistemas de gestin.
En 2005, con ms de 1700 empresas certificadas en BS 7799-2, esta norma se public por ISO,
con algunos cambios, como estndar ISO 27001. Al tiempo se revis y actualiz ISO 17799. Esta
ltima norma se renombr como ISO 27002:2005 el 1 de Julio de 2007, manteniendo el contenido
as como el ao de publicacin formal de la revisin.
ISO/IEC 27001:
Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y contiene los requisitos del
sistema de gestin de seguridad de la informacin. Tiene su origen en la BS 7799-2:2002 (que ya
qued anulada) y es la norma con arreglo a la cual se certifican por auditores externos los SGSIs
de las organizaciones. En su Anexo A, enumera en forma de resumen los objetivos de control y
controles que desarrolla la ISO 27002:2005, para que sean seleccionados por las organizaciones
en el desarrollo de sus SGSI; a pesar de no ser obligatoria la implementacin de todos los
controles enumerados en dicho anexo, la organizacin deber argumentar slidamente la no
aplicabilidad de los controles no implementados. Desde el 28 de Noviembre de 2007, esta norma
est publicada en Espaa como UNE-ISO/IEC 27001:2007 y puede adquirirse online
en AENOR (tambin en lengua gallega). En 2009, se public un documento adicional de
modificaciones (UNE-ISO/IEC 27001:2007/1M:2009). Otros pases donde tambin est publicada
en espaol son, por ejemplo,Colombia (NTC-ISO-IEC 27001), Venezuela (Fondonorma ISO/IEC
27001), Argentina (IRAM-ISO IEC 27001), Chile (NCh-ISO27001), Mxico (NMX-I-041/02-NYCE)
o Uruguay (UNIT-ISO/IEC 27001). El original en ingls y la traduccin al francs pueden adquirirse
en iso.org. Actualmente, este estndar se encuentra en periodo de revisin en el subcomit ISO
SC27, con fecha prevista de publicacin de segunda edicin en Mayo de 2013.
ISO/IEC 27002:
Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005 como
ao de edicin. Es una gua de buenas prcticas que describe los objetivos de control y controles
recomendables en cuanto a seguridad de la informacin. No es certificable. Contiene 39 objetivos
de control y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su apartado
correspondiente, la norma ISO 27001 contiene un anexo que resume los controles de ISO
27002:2005. Publicada en Espaa como UNE-ISO/IEC 27002:2009 desde el 9 de Diciembre de
2009 (a la venta en AENOR). Otros pases donde tambin est publicada en espaol son, por
ejemplo,Colombia (NTC-ISO-IEC 27002), Venezuela (Fondonorma ISO/IEC
27002), Argentina (IRAM-ISO-IEC 27002), Chile (NCh-ISO27002), Uruguay (UNIT-ISO/IEC 27002)
o Per (como ISO 17799; descarga gratuita). El original en ingls y su traduccin al francs
pueden adquirirse en iso.org. Actualmente, este estndar se encuentra en periodo de revisin en
el subcomit ISO SC27, con fecha prevista de publicacin de la segunda edicin en Mayo de 2014.
ISO 20000
La norma ISO/IEC 20000 est formada por tres partes bajo el mismo ttulo Tecnologa de la
informacin. Gestin del servicio:
Esta parte de la norma ISO 20000 establece los requisitos que necesitan las empresas para
disear, implementar y mantener la gestin de servicios TI. Esta norma ISO 20000 plantea un
mapa de procesos que permite ofrecer servicios de TI con una calidad aceptable para los clientes.
Describe las mejoras prcticas adoptadas por la industria en relacin con los procesos de gestin
del servicio TI, que permite cubrir las necesidades de negocio del cliente, con los recursos
acordados, as como asumir un riesgo entendido y aceptable.
ISO 20000-3: Gua sobre la deficin del alcance y aplicabilidad de la norma ISO/IEC 20000-1
Si desea obtener ms informacin sobre el desarrollo de nuevas partes que buscan una mejor
alineacin con ITSM y con otros estndares ISO, visite la seccin de la norma iso 20000.
Consultoria ISO 20000
La implantacin de la ISO 20000 le permitir gestionar de forma ptima sus servicios de TI, a
travs de la definicin y el establecimiento de los procesos que dicta la norma. La norma ISO
20000 contempla las mejores prcticas descritas en Gestin de servicios TI.
La consultoria ISO 20000 incluye:
Certificacin
ITIL: Creado a finales de la dcada de los 80's por central Computer and Telecommunication Agency (CCTA)
del reino unido. hoy regulado y patentado por el Ministerio del Comercio (OGC) del reino unido y dos organizaciones
certificadoras: ISEB y EXIN. Mejorado por itSMF. Destinado originalmente al Sector Publico.
Desarrollo:
1981 IBM Yelow Books
1986 Inicia el desarrollo del ITIL
1989 Primeras publicaciones del ITIL
1991 fundacin del Grupo de Usuarios (itSMF) en Reino Unido
2000 Publicacin de ITIL Versin 2 (primera versin)
2005 Inicia el desarrollo de ITIL Versin 3
2007 Publicacin de ITIL V3 (segunda versin)
Esta metodologa es la aproximacin ms globalmente aceptada para la gestin de servicios de Tecnologas de
Informacin en todo el mundo, ya que es una recopilacin de las mejores prcticas tanto del sector pblico como del
sector privado. Estas mejores prcticas se dan en base a toda la experiencia adquirida con el tiempo en determinada
actividad, y son soportadas bajo esquemas organizacionales complejos, pero a su vez bien definidos, y que se apoyan
en herramientas de evaluacin e implementacin. ITIL como metodologa propone el establecimiento de estndares que
nos ayuden en el control, operacin y administracin de los recursos (ya sean propios o de los clientes). Plantea hacer
una revisin y reestructuracin de los procesos existentes en caso de que estos lo necesiten (si el nivel de eficiencia es
bajo o que haya una forma ms eficiente de hacer las cosas), lo que nos lleva a una mejora continua. Otra de las cosas
que propone es que para cada actividad que se realice se debe de hacer la documentacin pertinente, ya que esta puede
ser de gran utilidad para otros miembros del rea, adems de que quedan asentados todos los movimientos realizados,
permitiendo que toda la gente est al tanto de los cambios y no se tome a nadie por sorpresa. En la documentacin se
pone la fecha en la que se hace el cambio, una breve descripcin de los cambios que se hicieron, quien fue
la persona que hizo el cambio, as como quien es el que autorizo el cambio, para que as se lleve todo un seguimiento de
lo que pasa en el entorno. Esto es ms que nada como mtodo con el que se puede establecer cierto control en
el sistema de cambios, y as siempre va a haber un responsable y se van a decir los procedimientos y cambios
efectuados
Forma de uso de ITIL en Managed Servicies.
ITIL postula que el servicio de soporte, la administracin y la operacin se realiza a travs de cinco procesos:
1. Manejo de Incidentes: Su objetivo primordial es restablecer el servicio lo ms rpido posible para evitar que
el cliente se vea afectado, esto se hace con la finalidad de que se minimicen los efectos de la operacin. Se dice que el
proveedor de debe de encargar de que el cliente no debe percibir todas aquellas pequeas o grandes fallas que llegue a
presentar el sistema. A este concepto se le llama disponibilidad (que el usuario pueda tener acceso al servicio y que
nunca se vea interrumpido). Para este proceso se tiene un diagrama que en cada una de sus fases maneja cuatro pasos
bsicos que son: propiedad, monitoreo, manejo de secuencias y comunicacin.
2. Manejo de problemas: El Objetivo de este proceso es prevenir y reducir al mximo los incidentes, y esto nos lleva a
una reduccin en el nivel de incidencia. Por otro lado nos ayuda a proporcionar soluciones rpidas y efectivas para
asegurar el uso estructurado de recursos. En este proceso lo que se busca es que se pueda tener pleno control del
problema, esto se logra dndole un seguimiento y un monitoreo al problema. El diagrama de este proceso es muy
particular, ya que se maneja en dos fases: la primera est relacionada con lo que es el control del problema y la segunda
es con el control del error.
3. Manejo de configuraciones: su objetivo es proveer con informacin real y actualizada de lo que se tiene
configurado e instalado en cada sistema del cliente. Este proceso es de los mas complejos, ya que se mueve bajo
cuatro vrtices que son: administracin de cambios, administracin de liberaciones administracin de configuraciones y
la administracin de procesos diversos. El nivel de complejidad de este modelo es alto, ya que influyen muchas
variables y muchas de ellas son dinmicas, entonces al cambiar una o varias de ellas se afecta el sistema en general. lo
que hace que sea muy difcil de manipular. aunque es lo mas parecido a la realidad, porque nuestro entorno
es dinmico y las decisiones de uno afectan a otros.
4. Manejo de cambios: El objetivo de este proceso es deducir los riesgos tanto tcnicos, econmicos, y de tiempo al
momento de la realizacin de los cambios.
5. Manejo de entregas: Su objetivo es planear y controlar exitosamente la instalacin del software y hardware bajo tres
ambientes: ambiente de desarrollo, ambiente de pruebas controladas y ambiente real. En lo que respecta al ambiente de
desarrollo vemos que se tiene que hacer la liberacin de las polticas, la liberacin de la planeacin, el diseo lgico de
la infraestructura que se va a implementar y la adquisicin de software y hardware estn entre los ambientes de
desarrollo y de pruebas controladas; ya que se requiere que ambos hagan pruebas sobre ellos; en el ambiente de
pruebas controladas vemos que se hace la construccin y liberacin de las configuraciones (nivel lgico), se hacen
pruebas para establecer los acuerdos de aceptacin; se da la aceptacin total de versiones y de modelos, se arranca
la planeacin y finalmente las pruebas y comunicaciones, y en lo que es el ambiente real vemos que se da
la distribucin e instalacin. en la etapa del ambiente real es la que se ve de forma mas concreta, ya que muchas veces
no tenemos idea de todo lo que pasa hasta antes de la instalacin. En el proceso de entrega del servicio es el punto en el
que el usuario hace uno del servicio y no sabe que detrs de el servicio que esta recibiendo hay un sin fin de actividades
que estuvieron que tomar para llegar a este punto. Este proceso de entrega es en el que mas cuidado debemos de poner,
ya que en caso de haber fallas, el primero en detectarlas o en percibirlos es el usuario, y eso nos genera que el cliente
este insatisfecho o molesto. Por lo general los usuarios no saben que para que puedan hacer uso de los servicios, se paso
por una fase de planeacin, monitoreo, anlisis y por un sin fin de pruebas, con la intencin de que en caso de que algo
no funcione, se de en la fase de pruebas controladas y no en la fase de pruebas en ambiente real, donde el mayor
afectado es el cliente.
Conclusiones: ITIL es una metodologa que nos va a ayudar a que las cosas se puedan hacer de una forma ms
eficiente, ya que lo que se propone es que se adopten ciertas mtricas y procedimientos que otros proveedores de IT
adoptaron y que gracias a ellas son catalogadas como mejores prcticas. El hecho de adoptar mejores prcticas implica
que no tengamos que descubrir el hilo negro y que si alguien sabe cmo hacer las cosas y explotar los recursos nos
podemos apoyar en el para que nosotros tambin podamos hacerlo. E mayor objetivo es que todos lleguemos a un nivel
de eficiencia que se traduzca en una buena prestacin de servicios.
COBIT: (Control OBjectives for Information and related Technology | Objetivos de Control
para tecnologa de la informacin y relacionada) Es el modelo para el Gobierno de la TI desarrollado por la Information
Systems Audit and Control Association (ISACA) y el IT Governance Institute (ITGI). Tiene 34 objetivos nivel altos
que cubren 215 objetivos de control clasificados en cuatro dominios: El plan y Organiza, Adquiere y Pone en prctica,
Entrega y Apoya, y Supervisa y Evala. Enfatiza el cumplimiento normativo, ayuda a las organizaciones a incrementar
el valor de TI. Apoya el alineamiento con el negocio y simplifica la implantacin del COBIT. Esta versin no
invalida el trabajo efectuado con las versiones anteriores del COBIT, sino que mejora el trabajo hecho. Representa los
esfuerzos de literalmente cientos de expertos de voluntario de en el mundo entero. . COBIT permite el desarrollo
claro de poltica y la prctica buena para el control de TI en todas partes de organizaciones. Independientemente de la
realidad tecnolgica de cada caso concreto, COBIT determina, con el respaldo de las principales normas tcnicas
internacionales, un conjunto de mejores prcticas para la seguridad, la calidad, la eficacia y la eficiencia en TI que son
necesarias para alinear TI con el negocio, identificar riesgos, entregar valor al negocio, gestionar recursos y medir
el desempeo, el cumplimiento de metas y el nivel de madurez de los procesos de la organizacin. Proporciona a
gerentes, interventores, y usuarios TI con un juego de medidas generalmente aceptadas, indicadores, procesos y las
mejores prcticas para ayudar a ellos en el maximizar las ventajas sacadas por el empleo de tecnologa de informacin y
desarrollo de la gobernacin apropiada TI y el control en una empresa.
El paquete de programas de COBIT completo es un juego que consiste en seis publicaciones:
1. Resumen(Sumario) Ejecutivo
2. Marco
3. Objetivos de Control
4. Directrices de auditoria
5. Instrumento de puesta en prctica
6. Directrices de Direccin
Proporcionan una breve descripcin de cada uno de los susodichos componentes debajo.
Resumen (Sumario) Ejecutivo
Las decisiones de negocio estn basadas en la informacin oportuna, relevante y concisa. Expresamente diseado para
directores ejecutivos embutidos de tiempo y gerentes, el Resumen (Sumario) COBIT Ejecutivo, consiste en una
descripcin ejecutiva que proporciona una conciencia cuidadosa y el entendimiento de los conceptos claves del COBIT
y principios. Tambin incluido es un resumen del Marco, que proporciona un entendimiento ms detallado de estos
conceptos y principios, identificando los cuatro dominios del COBIT (la Planificacin y la Organizacin, la Adquisicin
y la Puesta en prctica, la Entrega y el Apoyo, la Supervisin) y 34 procesos de TI.-
Marco: Una organizacin acertada es construida sobre un marco slido de datos e informacin. El Marco explica como
los procesos de TI entregan la informacin que el negocio tiene que alcanzar sus objetivos. Esta entrega es controlada
por 34 objetivos de control de alto nivel, un para cada proceso de TI, contenida en los cuatro dominios. El Marco se
identifica cul de los siete criterios de la informacin (la eficacia, la eficacia, la confidencialidad, la integridad, la
disponibilidad, el cumplimiento y la fiabilidad), as como que recursos TI (la gente, usos, tecnologa, instalaciones y
datos) son importantes para los procesos de TI para totalmente apoyar el objetivo de negocio.-
Objetivos de Control: La llave al mantenimiento de la rentabilidad en un ambiente que se cambia tecnolgicamente es
como bien usted mantiene el control. Los Objetivos de Control del COBIT proveen la perspicacia (idea) crtica tuvo que
delinear una prctica clara de poltica y buena para mandos de TI. Incluido son las declaraciones de resultados deseados
u objetivos para ser alcanzados por poniendo en prctica los 215 objetivos de control especficos, detallados en todas
partes de los 34 procesos de TI.-
Directrices De auditora: Analice, evala, haga de intrprete, reaccione, el instrumento. Para alcanzar sus objetivos
deseados y objetivos usted y coherentemente constantemente debe revisar sus procedimientos. Directrices de auditora
perfilan y aconsejan actividades reales ser realizadas correspondiente a cada uno de los 34 objetivos de control de TI de
alto nivel, justificando el riesgo de objetivos de control no siendo encontrados. Directrices de auditora son un
instrumento inestimable para interventores de sistemas de informacin en el aseguramiento de direccin que provee y/o
el consejo para la mejora.
Instrumento de puesta en prctica : Un Instrumento de Puesta en prctica , que contiene la Conciencia de Direccin y
el Diagnstico de Control de TI, y la Gua de Puesta en prctica, FAQs, estudios de caso de organizaciones actualmente
que usan COBIT, y las presentaciones de diapositiva que pueden ser usadas introducir COBIT en organizaciones. El
nuevo Juego de Instrumento es diseado para facilitar la puesta en prctica de COBIT, relacionar lecciones cultas de
organizaciones que rpidamente y satisfactoriamente aplicado COBIT en sus ambientes de trabajo, y la direccin de
plomo(ventajosa) para preguntar sobre cada COBIT tratan: Este dominio es importante para nuestros objetivos de
negocio? Bien es realizado? Quin lo hace y quien es responsable? Son formalizados los procesos y el control?
Directrices de Direccin: Para asegurar una empresa acertada, usted con eficacia debe manejar la unin eficaz entre
procesos de negocio y sistemas de informacin. Las nuevas Directrices de Direccin son compuestas de Modelos de
Madurez, ayudar determinar las etapas y los niveles de expectativa de control y compararlos contra normas de industria;
Factores de xito Crticos, para identificar las acciones ms importantes para alcanzar control de los procesos de TI;
Indicadores de Objetivo Claves, para definir los niveles objetivo de funcionamiento; e Indicadores de Funcionamiento
Claves, para medir si un proceso de control de TI encuentra su objetivo. Estas Directrices de Direccin ayudarn a
contestar las preguntas de preocupacin (inters) inmediata a todo los que tienen una estaca (un inters) en el xito de la
empresa.
ISM3: (Information Security Management Maturity Model, que se pronuncia ISM), es un estandar de
ISECOM para la gestin de la seguridad de la informacin. Est pensado para una mejorar la integracin con otras
metodologas y normas como COBIT, ITIL o CMMI. Ofrece muchas ventajas para la creacin de sistemas de gestin
de la seguridad de la informacin. ISM3 pretende alcanzar un nivel de seguridad definido, tambin conocido como
riesgo aceptable, en lugar de buscar la invulnerabilidad. ISM3 ve como objetivo la seguridad de la informacin, el
garantizar la consecucin de objetivos de negocio. La visin tradicional de que la seguridad de la informacin trata de la
prevencin de ataques es incompleta. ISM3 relaciona directamente los objetivos de negocio (como entregar productos a
tiempo) de una organizacin con los objetivos de seguridad (como dar acceso a las bases de datos slo a los usuarios
autorizados). Algunas caractersticas significativas de ISM3 son:
Mtricas de Seguridad de la Informacin: "Lo que no se puede medir, no se puede gestionar, y lo que no se puede
gestionar, no se puede mejorar", ISM3 hace de la seguridad un proceso medible mediante mtricas de gestin de
procesos, siendo probablemente el primer estndar que lo hace. Esto permite la mejora continua del proceso, dado que
hay criterios para medir la eficacia y eficiencia de los sistemas de gestin de seguridad de la informacin.
Niveles de Madurez: ISM3 se adapta tanto a organizaciones maduras como a emergentes mediante sus niveles de
madurez, los cuales se adaptan a los objetivos de seguridad de la organizacin y a los recursos que estn disponibles.
Basado en Procesos: ISM3 est basado en procesos, lo que lo hace especialmente atractivo para organizaciones que
tienen experiencia con ISO9001 o que utilizan ITIL como modelo de gestin de TIC. El uso de ISM3 fomenta la
colaboracin entre proveedores y usuarios de seguridad de la informacin, dado que la externalizacin de procesos de
seguridad se simplifica gracias a mecanismos explcitos, como los ANS y la distribucin de responsabilidades.
Adopcin de las Mejores Prcticas: Una implementacin de ISM3 tiene ventajas como las extensas referencias a
estndares bien conocidos en cada proceso, as como la distribucin explcita de responsabilidades entre los lderes,
gestores y el personal tcnico usando el concepto de gestin Estratgica, Tctica y Operativa.
Certificacin: Los sistemas de gestin basados en ISM3 pueden certificarse bajo ISO9001 o ISO27001, lo que quiere
decir que se puede usar ISM3 para implementar un SGSI basado en ISO 27001. Esto tambin puede ser atractivo para
organizaciones que ya estn certificadas en ISO9001 y que tienen experiencia e infraestructura para ISO9001.
Accesible: Una de las principales ventajas de ISM es que los Accionistas y Directores pueden ver con mayor facilidad
la Seguridad de la Informacin como una inversin y no como una molestia, dado que es mucho ms sencillo medir su
rentabilidad y comprender su utilidad.
3.-Definicin de polticas
Unicmente personas autorizadas para dar mantenimiento preventivo y correctivo a los equipos de
cmputo, tendrn derecho a manipular dichos objetos, de lo contrario resivirn una sancin.
Para acceder a la informacin resguardada en sta institucin, el usuario debe contar con caractersticas
especficas: tener un cargo de jefe, programador o administrador de datos, contar con un gaffete destinado
al rea de trabajo correspondiente, sin olvidar que est prohibido el acceso con USB o cualquier otra
unidad de almacenamiento y se identificar la huella digital.
La persona autorizada para hacer cuentas de usurio nicamente ser el jefe junto con los supervisores de
rea.
Para ser acreedor de una cuenta de usuario debe tener el cargo de administrador y contar con 1 ao de
antigedad dentro de la institucin, demostrando que su desempeo es competente y de gran confianza
para el resguardo de la informacin almacenada.
Es necesario que los supervisores de cada rea vayan realizando una bitcora de acuerdo al desempeo de
trabajo diario de sus empleados contando con los siguientes requerimientos para asi llevar un buen control
de las actividades diarias:
-De proteccin de red (firewall)
Se crear un firewall el cual est diseado para bloquear el acceso no autorizado, permitiendo al mismo
tiempo comunicaciones autorizadas.
Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el
trfico entre los diferentes mbitos sobre la base de un conjunto de normas y otros criterios.
Los administradores de la informacin sern los nicos autorizados para hacer actualizaciones en cuanto a
los cambios del sistema e informacin, llevando as un buen control.
-De almacenamiento
Lo dispositivos a utilizar para almacenar la informacion seran discos duros, CD, DVD, discos duros externos,
micro SD, USB, entre otros.
Los archivos a compartir sern las bitcoras, planeaciones y documentos de trabajo pero nicamente entre
las reas relacionadas a la administracin de la informacin.
-De respaldo
Se llevar un control en cuanto a la informacion. Para esto se respaldar toda la informacin que maneja la
empresa mediante copias de seguridad.
Habr un slo encargado que almacenar todas las copias de seguridad realizadas.