1.2 ELABORA EL PLAN DE SEGURIDAD EN CÓMPUTO ACORDE CON LOS RIESGOS

DETERMINADOS Y ESTÁNDARES DE PROTECCIÓN.

ANALIZA ESTÁNDARES INTERNACIONALES DE SEGURIDAD INFORMÁTICA

ESTÁNDAR

ISO E IECISO es el acrónimo de International Organization for Standardization. Se trata de la organización desarrolladora y publicadora de Estándares Internacionales

IEC IEC nace en 1906 en London, Reino Unido, y desde entonces ha estado proporcionando estándares globales a las industrias electrotécnicas mundiales.

SERIE ISO 27000 La información es un activo vital para el éxito y la continuidad en el mercado de cualquier organización. El aseguramiento de dicha información y de los sistemas que la procesan es, por tanto, un objetivo de primer nivel para la organización.

Para la adecuada gestión de la seguridad de la información, es necesario implantar un sistema que aborde esta tarea de una forma metódica, documentada y basada en unos objetivos claros de seguridad y una evaluación de los riesgos a los que está sometida la información de la organización.

ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.

ISO/IEC 27001:

Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información. Es la norma con arreglo a la cual se certifican por auditores externos de las organizaciones.

ISO/IEC 27001 es una norma adecuada para cualquier organización, grande o pequeña, de cualquier sector o parte del mundo. La norma es particularmente interesante si la protección de la información es crítica, como en finanzas, sanidad sector público y tecnología de la información (TI).

ISO/IEC 27001 también es muy eficaz para organizaciones que gestionan la información por encargo de otros, por ejemplo, empresas de subcontratación de TI. Puede utilizarse para garantizar a los clientes que su información está protegida

ISO/IEC 27002 (BS 17799)ISO/IEC 27002 es un código de prácticas o de orientación o documento de referencia se basa en las mejores prácticas de seguridad de la información, esto define un proceso para evaluar, implementar, mantener y administrar la seguridad de la información.

Características

ISO/IEC 27002 consta de 11 secciones principales, 39 objetivos de control y controles de 134

1. Política de Seguridad de la Información.

2. Organización de la Seguridad de la Información.

3. Gestión de Activos de Información.

4. Seguridad de los Recursos Humanos.

5. Seguridad Física y Ambiental.

6.Gestión de las Comunicaciones y Operaciones.

7.Control de Accesos.

8.Adquisición, Desarrollo y Mantenimiento de Sistemas de Información.

9.Gestión de Incidentes en la Seguridad de la Información.

10.Gestión de Continuidad del Negocio.

11.Cumplimiento.

Alcance-Aumento de la seguridad efectiva de los Sistemas de información.- Correcta planificación y gestión de la Seguridad- Garantías de continuidad del negocio. Auditoría interna- Incremento de los niveles de confianza de los clientes y socios de negocios.- Aumento del valor comercial y mejora de la imagen de la organización.

ISO 20000

Es el estándar reconocido internacionalmente en gestión de servicios de TI (Tecnologías de la Información).

Una entrega efectiva de los servicios de TI es crucial para las empresas. Hay una percepción de que estos servicios no están alineados con las necesidades y requisitos del negocio. Esto es especialmente importante tanto si se proporciona servicios internamente a clientes como si se está subcontratando proveedores. Una manera de demostrar que los servicios de TI están cumpliendo con las necesidades del negocio es implantar un Sistema de Gestión de Servicios de TI (SGSTI) basado en los requisitos de la norma ISO/IEC 20000.

VENTAJAS NORMA ISO 20000

La norma ISO/IEC 20000 está formada por tres partes bajo el mismo título “Tecnología de la información. Gestión del servicio:

ISO 20000-1: Especificaciones

Esta parte de la norma ISO 20000 establece los requisitos que necesitan las empresas para diseñar, implementar y mantener la gestión de servicios TI. Esta norma ISO 20000 plantea un mapa de procesos que permite ofrecer servicios de TI con una calidad aceptable para los clientes.

ISO 20000-2: Código de buenas prácticas

Describe las mejoras prácticas adoptadas por la industria en relación con los procesos de gestión del servicio TI, que permite cubrir las necesidades de negocio del cliente, con los recursos acordados, así como asumir un riesgo entendido y aceptable.

•ISO 20000-3: Guía sobre la definición del alcance y aplicabilidad de la norma ISO/IEC 20000-1 Proporciona orientación sobre la definición del alcance, aplicabilidad y la demostración de la conformidad con los proveedores de servicios orientados a satisfacer los requisitos de la norma ISO 20000-1, así como los proveedores de servicios que están planeando mejoras en el servicio con la intención de utilizar la norma como un objetivo de negocio.

ITIL

Desarrollada a finales de los 80s, ITIL se ha convertido en un estándar para la administración de servicios.

ITIL, Information Technology Infrastructure Library, es una colección de las mejores prácticas observadas en la industria de TI. Es un conjunto de libros en los cuales se encuentran documentados todos los procesos referentes a la provisión de servicios de tecnología de información hacia las organizaciones.

ITIL por medio de procedimientos, roles, tareas, y responsabilidades que se pueden adaptar a cualquier organización de TI, genera una descripción detallada de mejores practicas, que permitirán tener mejor comunicación y administración en la organización de TI. Proporciona los elementos necesarios para determinar objetivos de mejora y metas que ayuden a la organización a madurar y crecer.

ITIL ESTA DIVIDIDO EN 10 PROCESOS

Incident management• Problem management• Configuration management• Change management• Release management• Función de service deskService Level management• Financial management for IT service• Availability management• Capacity management• IT service continuity management• Security management

LAS VENTAJAS DE ITIL PARA LOS CLIENTES Y USUARIOS

• Mejora la comunicación con los clientes y usuarios finales a través de los diversos puntos de contacto acordados.

• Los servicios se detallan en lenguaje del cliente y con más detalles.

• Se maneja mejor la calidad y los costos de los servicios.

• La entrega de servicios se enfoca mas al cliente, mejorando con ello la calidad de los mismos y relación entre el cliente y el departamento de IT.

• Una mayor flexibilidad y adaptabilidad de los servicios.

VENTAJAS DE ITIL PARA TI

• La organización TI desarrolla una estructura más clara, se vuelve más eficaz, y se centra más en los objetivos de la organización.

• La administración tiene un mayor control, se estandarizan e identifican los procedimientos, y los cambios resultan más fáciles de manejar.

• La estructura de procesos en IT proporciona un marco para concretar de manera mas adecuada los servicios de outsourcing.

• A través de las mejores prácticas de ITIL se apoya al cambio en la cultura de TI y su orientación hacia el servicio, y se facilita la introducción de un sistema de administración de calidad.

• ITIL proporciona un marco de referencia uniforme para la comunicación interna y con proveedores.

DESVENTAJAS

• Tiempo y esfuerzo necesario para su implementación.

• Que no de se de el cambio en la cultura de las área involucradas.

• Que no se vea reflejada una mejora, por falta de entendimiento sobre procesos, indicadores y como pueden ser controlados.

• Que el personal no se involucre y se comprometa.

• La mejora del servicio y la reducción de costos puede no ser visible.

• Que la inversión en herramientas de soporte sea escasa. Los procesos podrán parecer inútiles y no se alcancen las mejoras en los servicios.

COBIT, EN INGLÉS: CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY

Es una guía de mejores prácticas presentado como framework, dirigida al control y supervisión de tecnología de la información (TI).

COBIT tiene 34 procesos que cubren 210 objetivos de control (específicos o detallados) clasificados en cuatro dominios:

Planificación y Organización (Plan and Organize))

Adquisición e Implantacion (Acquire and Implement)

Entrega y Soporte (Deliver and Support)

Supervisión y Evaluación (Monitor and Evaluate)

FRAMEWORK

En el desarrollo de software, un framework o infraestructura digital, es una estructura conceptual y tecnológica de soporte definido, normalmente con artefactos o módulos de software concretos, que puede servir de base para la organización y desarrollo de software. Típicamente, puede incluir soporte de programas, bibliotecas, y un lenguaje interpretado, entre otras herramientas, para así ayudar a desarrollar y unir los diferentes componentes de un proyecto.

“COBIT 5 para seguridad de la información puede ayudar a las empresas a reducir sus perfiles de riesgo a través de la adecuada administración de la seguridad. La información específica y las tecnologías relacionadas son cada vez más esenciales para las organizaciones, pero la seguridad de la información es esencial para la confianza de los accionistas”

ISM3

(Information Security Management Maturity Model, que se pronuncia ISM), es un estandar de ISECOM para la gestión de la seguridad de la información. Está pensado para una mejorar la integración con otras metodologías y normas como COBIT, ITIL o CMMI. Ofrece muchas ventajas para la creación de sistemas de gestión de la seguridad de la información.

SM3 pretende alcanzar un nivel de seguridad definido, también conocido como riesgo aceptable, en lugar de buscar la invulnerabilidad. La visión tradicional de que la seguridad de la información trata de la prevención de ataques es incompleta. ISM3 relaciona directamente los objetivos de negocio (como entregar productos a tiempo) de una organización con los objetivos de seguridad (como dar acceso a las bases de datos sólo a los usuarios autorizados).

ALGUNAS CARACTERÍSTICAS SIGNIFICATIVAS DE ISM3 SON:

Métricas de Seguridad de la Información: "Lo que no se puede medir, no se puede gestionar, y lo que no se puede gestionar, no se puede mejorar", ISM3 hace de la seguridad un proceso medible mediante métricas de gestión de procesos, siendo probablemente el primer estándar que lo hace. Esto permite la mejora continua del proceso, dado que hay criterios para medir la eficacia y eficiencia de los sistemas de gestión de seguridad de la información.

Niveles de Madurez: ISM3 se adapta tanto a organizaciones maduras como a emergentes mediante sus niveles de madurez, los cuales se adaptan a los objetivos de seguridad de la organización y a los recursos que están disponibles.

Basado en Procesos: ISM3 está basado en procesos, lo que lo hace especialmente atractivo para organizaciones que tienen experiencia con ISO9001 o que utilizan ITIL como modelo de gestión de TIC. El uso de ISM3 fomenta la colaboración entre proveedores y usuarios de seguridad de la información, dado que la externalización de procesos de seguridad se simplifica gracias a mecanismos explícitos, como los ANS y la distribución de responsabilidades.

Adopción de las Mejores Prácticas: Una implementación de ISM3 tiene ventajas como las extensas referencias a estándares bien conocidos en cada proceso, así como la distribución explícita de responsabilidades entre los líderes, gestores y el personal técnico usando el concepto de gestión Estratégica, Táctica y Operativa.

Certificación: Los sistemas de gestión basados en ISM3 pueden certificarse bajo ISO9001 o ISO27001, lo que quiere decir que se puede usar ISM3 para implementar un SGSI basado en ISO 27001. Esto también puede ser atractivo para organizaciones que ya están certificadas en ISO9001 y que tienen experiencia e infraestructura para ISO9001.

Accesible: Una de las principales ventajas de ISM es que los Accionistas y Directores pueden ver con mayor facilidad la Seguridad de la Información como una inversión y no como una molestia, dado que es mucho más sencillo medir su rentabilidad y comprender su utilidad.

REFRENCIAS:

http://www.soporteremoto.com.mx/help_desk/articulo04.html

http://es.wikipedia.org/wiki/Objetivos_de_control_para_la_informaci%C3%B3n_y_tecnolog%C3%ADas_relacionadas

http://estandares-y-buenas-practicas.wikispaces.com/ISM3