proyecto integrador etapa i

CINDER

[Escribir el nombre de la compantildeiacutea]

28032010

2010

Proyecto Integrador Etapa 1

Investigar y plasmar en la red social el concepto de estaacutendar estaacutendar de seguridad informaacutetica modelo y estrategia de seguridad informaacutetica

Estaacutendar

De acuerdo con la definicioacuten de la Real Academia Espantildeola ldquoestaacutendar es aquello que sirve como tipo modelo norma patroacuten o referenciardquo

Estaacutendar de seguridad informaacutetica

Mejora la seguridad de los sistemas de procesamiento de datos y la transferencia de informacioacuten en las organizaciones Los Estaacutendares de seguridad estaacuten disentildeados para contrarrestar los ataques a la seguridad y hacen uso de uno o maacutes mecanismos de seguridad para proporcionar los servicios asegurando la continuidad de las empresas

Existen varios estaacutendares internacionales relacionados con seguridad informaacutetica que se consideran importantes en la actualidad o que deben ser referenciados por su importancia histoacuterica En este sentido estaacuten clasificados en seis (6) clases de estaacutendares como son para la administracioacuten de seguridad de la informacioacuten para evaluacioacuten de seguridad en sistemas para desarrollo de aplicaciones para servicios financieros para riesgos y para autenticacioacuten

Modelos de seguridad informaacutetica

Los Modelos de seguridad informaacutetica comprenden las vulnerabilidades no como fenoacutemenos puntuales sino sisteacutemicos es decir relacionales que son resultado de la interaccioacuten de muacuteltiples elementos y cuya explicacioacuten no se encuentra en uno en particular sino en la riqueza de las relaciones que se hagan expliacutecitas

Un modelo de seguridad resistente comprende los riesgos de manera interdependiente y reconoce que debe estar preparado ante un inesperado giro de las vulnerabilidades Auacuten cuando el modelo sea retado por la materializacioacuten de la falla eacuteste puede continuar sus operaciones por un lado atendiendo la situacioacuten fuera de control y por otro manteniendo la funcionalidad del sistema

Lograr un modelo de seguridad es comprender la complementariedad entre la seguridad y la inseguridad de la informacioacuten es apostar a las probabilidades para aprender maacutes que a los pronoacutesticos de eacutexito de una vulnerabilidad La resistencia de un modelo de seguridad es directamente proporcional a su capacidad y habilidad para enfrentar una discontinuidad generada por la materializacioacuten de la inseguridad

Es tiempo de volver a repensar nuestros modelos de seguridad de la informacioacuten maacutes allaacute de los escenarios tradicionales de continuidad y contingencia para hacer de los riesgos fuentes de ventaja competitiva y diferenciadores estrateacutegicos para la organizacioacuten y sus clientes

El desarrollador concepto y coacutemo estaacute dividido cada uno de los siguientes estaacutendares COSO-SOX COBIT ISO 27001 CMM ISO 2000 ITIL Orange Book ISACA y Common Criteria

COSO-SOX

Autor Dwayne Jorgersen

Es el Director de servicios de Sarbanes-Oxley para CTG una compantildeiacutea internacional de tecnologiacutea de la informacioacuten y empleos Ha servido como Director de Servicios de Auditoriacutea para una firma de servicios Norteamericana como principal de una larga lista de consultoras donde encabezoacute la praacutectica del outsourcing de procesos de negocio y como Director de Auditoriacutea Interna y Secretario del Comiteacute de Auditoriacutea de un holding Es miembro de The Institute of Intenal Auditors y de la Asociacioacuten de Examinadores Certificados de Fraude

Desde su publicacioacuten en el 2002 la Ley Sarbanes-Oxley (SOX) ha enfatizado el propoacutesito de la gobernabilidad de las empresas en lo concerniente al cumplimiento de las leyes y regulaciones Las empresas han invertido miles de horas en la preparacioacuten de sus primeros intentos para obtener certificaciones no calificadas de sus contadores puacuteblicos Estas certificaciones son requeridas para sustentar las declaraciones del directorio referidas a la efectividad general de la estructura de control interno de acuerdo a lo regulado en la seccioacuten 404 de la LeyDado que la primer fecha liacutemite es Diciembre 2004 muchos CEOs y CFOs creen haber transitado adecuadamente el curso que la ley les ha propuesto

Pero los esfuerzos corporativos para cumplir con las regulaciones de la seccioacuten 404 iquestproveen suficiente informacioacuten para evitar imprevistas complicaciones debidas a eventos de incumplimiento iquestO han tratado uacutenicamente con la punta del iceberg del cumplimiento

El marco COSO de Control interno

El Informe titulado Internal Control-Integrated Framework (Control Interno-Estructura Integrada) fue encomendado por el Committee on Sponsoring Organizations of the Treadway Commission (COSO) Establecioacute una definicioacuten comuacuten de control interno que cubre las necesidades de varios interesados no solamente por evaluar los sistemas de control sino tambieacuten para determinar coacutemo se puede mejorarlos

Figura 2 El impacto de Sarbanes-Oxley en el Modelo COSO

Tal como fuera originalmente publicado el Informe COSO fue considerado como un enfoque voluntario para implementar las mejores praacutecticas dado que se refieren a un ambiente de control sano Sin embargo con el surgimiento de la ley SOX y la mayor clarificacioacuten provista por la SEC y el PCAOB el Informe COSO se ha establecido como el paraacutemetro de comparacioacuten para determinar el cumplimiento con la ley Y maacutes importante auacuten dado que otros aspectos de la ley son definidos maacutes claramente o se convierten en aplicables los componentes del Informe COSO tomaron auacuten maacutes importancia Los mismos cubren no solamente los controles necesarios para adecuarse a las regulaciones para los informes econoacutemico-financieros sino que ademaacutes claramente identifican los controles operativos que se transformaran en criacuteticos para la evaluacioacuten precisa y la exposicioacuten de todos los temas sujetos a anaacutelisis de acuerdo a las normas ya sean de naturaleza econoacutemico-financieros como operacionales

El aspecto maacutes pertinente del Informe COSO es su establecimiento por primera vez de una definicioacuten universal de control interno

Control Interno es ampliamente definido como un proceso desarrollado por el Directorio de una entidad por su gerencia y demaacutes personal designado para proveer razonable aseguramiento relacionado con el logro de objetivos en las siguientes categoriacuteas

Efectividad y Eficiencia de las operaciones

Confiabilidad en la Informacioacuten Econoacutemico-Financiera

Adecuado cumplimiento de las leyes y regulaciones aplicables

El control interno consiste en cinco componentes interrelacionados Los mismos son derivados de la modalidad en la que la administracioacuten maneja su negocio y estaacuten integrados con los procesos administrativos Los componentes son Ambiente de Control Evaluacioacuten de Riesgos Actividades de Control Informacioacuten y Comunicacioacuten y Monitoreo

Las siguientes secciones brindan una breve visioacuten de la naturaleza la importancia y los conductores primarios de cada componente de control citados en el informe

Coacutemo estaacute constituido COSO-SOX

Ambiente de Control

El ambiente de control establece el tono de la organizacioacuten influencia la conciencia del control de su gente y sirve como fundamento disciplinario y estructural para todos los otros componentes del control interno Los factores claves en ese ambiente incluyen la integridad los valores eacuteticos y la competencia de sus empleados la filosofiacutea de la gerencia y su estilo operativo la manera en que la gerencia asigna la autoridad y las responsabilidades y organiza y desarrolla a su gente y la atencioacuten y direccioacuten que les brinda el Directorio

iquestQueacute significa esto para una organizacioacuten El ambiente de control es el punto de partida para determinar si la decisioacuten de la gerencia ejecutiva de cumplir con la Ley Sarbanes-Oxley seraacute percibida como un ejercicio del ldquoespiacuteriturdquo o de la ldquoletrardquo de la ley Las organizaciones que decidan establecer el cumplimiento soacutelo con la letra de la ley pueden razonablemente quedar cortos con las expectativas de la SEC y la PCAOB en alguacuten punto futuro y deberaacuten afrontar las posibles consecuencias negativas de esa actitud Dada esta probabilidad un enfoque mucho maacutes prudente seriacutea reconocer que dado que el control interno es responsabilidad del management debe ser activamente ejercido por todas las personas relacionadas con la organizacioacuten Este tono deberiacutea ser reflejado en las declaraciones de la misioacuten las poliacuteticas de eacutetica las pautas para la revelacioacuten de eventos y para la mesa directiva los comiteacutes de auditoriacutea y los estatutos de auditoriacutea internaLos conductores principales de este componente incluyen al Directorio al CEO y al CFO

Evaluacioacuten de Riesgos

Cada entidad enfrenta riesgos internos y externos que deben ser cuidadosamente investigados Una precondicioacuten para una evaluacioacuten de riesgos efectiva es establecer objetivos que esteacuten relacionados en los diferentes niveles y que sean internamente consistentes La evaluacioacuten de

riesgos identifica y analiza riesgos que pueden afectar el logro de dichos objetivos Tambieacuten provee una base para determinar coacutemo los riesgos deben ser manejados Debido a que las condiciones econoacutemicas industriales legales y operativas estaacuten siempre sujetas a cambios constantes se necesitan mecanismos para identificar y manejar los riesgos especiales asociados con esos cambios

Lo que esto significa para una organizacioacuten es que el manejo del riesgo primariamente exclusivo de los auditores internos y agentes de seguros ha tomado un rol clave en la Direccioacuten En efecto maacutes y maacutes corporaciones estaacuten tomando conciencia de su importancia estrateacutegica a traveacutes de la designacioacuten de un Ejecutivo de Manejo de Riesgos (CRO ndash Chief Risk Officer) para dar a este componente del COSO la atencioacuten que merece Iroacutenicamente muchos gerentes operacionales se han enfrentado por primera vez a poliacuteticas de evaluacioacuten de riesgos y raacutepidamente descubren lo poco que queda de sus responsabilidades previas involucrando la consideracioacuten del componente ldquoqueacute pasa sirdquo Y auacuten como muchos inmediatamente reconocen soacutelo una evaluacioacuten realista del potencial impacto de un resultado negativo puede llevar a un claro entendimiento de los pasos necesarios para mitigar ese riesgo

Las condiciones siempre cambiantes del mundo de los negocios hacen de la evaluacioacuten de riesgos una actividad dinaacutemica y permanente Requiere de la implementacioacuten de un proceso definido para guiar a la organizacioacuten a traveacutes de la definicioacuten de aacutereas claves de riesgo puntualizar riesgos especiacuteficos en esas aacutereas evaluar la probabilidad y severidad de cada riesgo e identificar los recursos que se requieren para mitigarlos a un nivel aceptable Ahora maacutes que nunca las realidades de una comunidad de negocios global generan la habilidad para controlar todos los riesgos significativos esencial para el eacutexito de una organizacioacuten

Los conductores principales de este componente incluyen al CEO al CFO CRO COO gerencia operativa y al auditor interno

Actividades de Control

Las actividades de control son las poliacuteticas y procedimientos que expresan las directivas de la gerencia Ellos aseguran que se tomen las acciones necesarias para mitigar los riesgos que amenazan el cumplimiento de los objetivos de la organizacioacuten Las actividades de control ocurren en toda la organizacioacuten en todos los niveles y en todas las funciones Ellos son tan diversos como aprobaciones autorizaciones verificaciones reconciliaciones revisiones de los resultados operativos seguridad de activos y segregacioacuten de funcionesLa importancia organizacional de las actividades de control se relaciona con el hecho de que muchos de los esfuerzos (y gastos) que las corporaciones han dedicado para lograr el cumplimiento de la seccioacuten 404 hasta ahora han sido para identificar y documentar estos componentes del COSO Maacutes auacuten muchos ndashsi no todos-- de esos esfuerzos han estado limitados a los controles financieros ya que pertenecen a la produccioacuten de los estados financieros Como se demostroacute en la Figura 1 seraacute evidente para muchos gerentes que la siguiente tarea monumental requerida por la ley seraacute la inclusioacuten de las otras dos aacutereas de control operaciones de negocio y cumplimiento de las normativas El esfuerzo requerido para lograr una adecuada documentacioacuten en estas aacutereas adicionales dependeraacute de la madurez que se haya alcanzado previamente en los controles generales

Los conductores principales de este componente incluyen al CFO CRO COO y la gerencia operativa

Informacioacuten y Comunicacioacuten

La informacioacuten pertinente debe ser identificada capturada y comunicada en una forma y dentro de un plazo que anime a la gente a llevar a cabo sus responsabilidades Los sistemas de informacioacuten generan reportes sobre temas operacionales financieros y relacionados con el proceso de cumplimiento que hacen posible tener en marcha y controlar al negocio Ellos proveen no solo datos generados internamente sino tambieacuten informacioacuten sobre eventos externos actividades y condiciones necesarias para una toma de decisiones bien informada y para el reporte externo La comunicacioacuten efectiva tambieacuten debe ocurrir en un sentido amplio fluyendo hacia abajo a lo ancho y hacia arriba en la organizacioacuten Todo el personal debe recibir un mensaje claro de la alta gerencia que las responsabilidades de control deben ser tomadas seriamente Los trabajadores deben entender no soacutelo su propio rol en el sistema de control interno sino coacutemo las actividades individuales se relacionan con el trabajo de los otros Ellos deben tener un medio para comunicar informacioacuten significativa hacia arriba Tambieacuten necesitan ser efectivos en la comunicacioacuten con terceros como clientes proveedores entes regulatorios y accionistasLo que esto significa para una organizacioacuten es que no es suficiente con soacutelo documentar las actividades de control identificadas en el ejercicio de cumplimiento de la seccioacuten 404 Estas deben ser efectivamente comunicadas a las bases junto con un ldquotono en la cuacutepulardquo que refuerce el hecho de que el control es un trabajo de todos

Adicionalmente mientras toma efecto la seccioacuten 409 (oportunidad de los reportes) muchas organizaciones seraacuten forzadas a evaluar nuevamente la efectividad de sus sistemas de comunicacioacuten internos con un eacutenfasis en coacutemo estos sistemas aseguran que la informacioacuten es comunicada procesada y transmitida en una forma eficiente y oportunaLos conductores principales de este componente incluyen al CFO CIO asiacute como a la gerencia operativaMonitoreo

Los sistemas de control interno necesitan ser monitoreados a traveacutes de un proceso que asegure la calidad de cada sistema a lo largo del tiempo El proceso debe incorporar actividades de monitoreo constantes evaluaciones independientes o una combinacioacuten de ambas El monitoreo constante ocurre en el curso de las operaciones Incluye actividades regulares de supervisioacuten y management junto con otras acciones que el personal toma mientras desarrolla sus tareas El alcance y la frecuencia de las evaluaciones independientes dependeraacuten primariamente de la evaluacioacuten de riesgos y de la efectividad de los procedimientos de monitoreo Las deficiencias de control interno deberaacuten ser reportadas inmediatamente y los problemas serios reportados a la alta gerencia y a la Mesa DirectivaLo que esto significa para una organizacioacuten es que el factor de eacutexito maacutes significativo para lograr el cumplimiento con un marco de control COSO es la habilidad para medir la profundidad y consistencia del cumplimiento con los controles individuales de la organizacioacuten Como cualquier auditor interno puede testificar hay tres estadios que definen las actividades tiacutepicas de una organizacioacutenLa visioacuten del equipo de direccioacuten La forma en que esa visioacuten es traducida en poliacuteticas y procedimientos Queacute es lo que hacen realmente en el diacutea a diacutea los trabajadores Generalmente estos tres estados ndashque deberiacutean ser ideacutenticosmdashreflejan grados variables de consistencia dentro de la organizacioacuten Esta consistencia puede estar tiacutepicamente atada al

componente maacutes pasado por alto y menos utilizado del marco COSO la funcioacuten de monitoreo Maacutes importante en un ambiente que auacuten arrastra declaraciones de la naturaleza de Enron y WorldCom la evaluacioacuten independiente mencionada anteriormente ha asumido un rol de creciente importancia en el aseguramiento por parte de la organizacioacuten a sus inversores de que se toma el concepto de gobernabilidad seriamente Por ello y en oposicioacuten al monitoreo estaacutetico y esporaacutedico que se haciacutea en el pasado es necesario que los sistemas provean a la gerencia la confianza en que el monitoreo en tiempo real estaacute ocurriendo en todos los controles claves de cada proceso ndash financiero operacional y regulatorioLos marineros ansiosos deben confiar en los sistemas manuales para medir la profundidad de un iceberg Con la aparicioacuten de las sondas de navegacioacuten o SONAR la tecnologiacutea ha provisto medidas confiables y en tiempo real Haciendo un paralelo con la navegacioacuten la tecnologiacutea puede mejorar significativamente la habilidad de la organizacioacuten para medir tanto la profundidad como la consistencia del cumplimiento de los controles Evaluando el retorno de la inversioacuten en mejoras tecnoloacutegicas la gerencia debe comparar los costos de esa tecnologiacutea contra los costos de mano de obra requerida para llevar a cabo las mediciones manualmente y los riesgos asociados con los controles inadecuados que no estaacuten funcionando en forma continua

Figura 3 Modelo de Madurez del Control Interno

COBIT

El COBIT es un modelo para auditar la gestioacuten y control de los sistemas de informacioacuten y tecnologiacutea orientado a todos los sectores de una organizacioacuten es decir administradores IT usuarios y por supuesto los auditores involucrados en el proceso

Las siglas COBIT significan Objetivos de Control para Tecnologiacutea de Informacioacuten y Tecnologiacuteas relacionadas (Control Objectives for Information Systems and related Technology) El modelo es el resultado de una investigacioacuten con expertos de varios paiacuteses desarrollado por ISACA (Information Systems Audit and Control Association)

La estructura del modelo COBIT propone un marco de accioacuten donde se evaluacutean los criterios de informacioacuten como por ejemplo la seguridad y calidad se auditan los recursos que comprenden la tecnologiacutea de informacioacuten como por ejemplo el recurso humano instalaciones sistemas entre otros y finalmente se realiza una evaluacioacuten sobre los procesos involucrados en la organizacioacuten

El COBIT es un modelo de evaluacioacuten y monitoreo que enfatiza en el control de negocios y la seguridad IT y que abarca controles especiacuteficos de IT desde una perspectiva de negocios

ldquoLa adecuada implementacioacuten de un modelo COBIT en una organizacioacuten provee una herramienta automatizada para evaluar de manera aacutegil y consistente el cumplimiento de los objetivos de control y controles detallados que aseguran que los procesos y recursos de informacioacuten y tecnologiacutea contribuyen al logro de los objetivos del negocio en un mercado cada vez maacutes exigente complejo y diversificadordquo sentildealoacute un informe de ETEK

Anaacutelisis de Contexto

La COBIT la desarrollo y mantiene el IT Governance Institute (ITGI) [2]desde 1998 con el objetivo

de crear estaacutendares internacionales para la Gobernabilidad TI en las empresas Un impulso

importante ha tenido la COBIT debido al Acta Sarbanes-Oxley [3] vigente desde el 2002 y que

obliga a las empresas que tranzan sus acciones en USA a controlar exhaustivamente la

generacioacuten de sus estados financieros

De modo que hoy observamos que en las grandes empresas que se tranzan en bolsa existe una

preocupacioacuten mayor por controlar sus sistemas informaacuteticos es maacutes este tema ya es parte al

menos del quehacer de los Auditores y en muchos caso es tambieacuten parte de la agenda de los

directorios

A que obedece toda esta preocupacioacuten por el control ndash gobernabilidad- de las TI en mi opinioacuten

al simple reconocimiento que los negocios sin TI no operan por tanto parte del riesgo del

negocio estaacute en los sistemas informaacuteticos y de ahiacute la necesidad imperiosa de controlar dichos

riesgos

Pues bien sabemos de la Teoriacutea de Sistemas que para controlar cualquier proceso es necesario

contar con un mecanismo de medicioacuten uno de deteccioacuten de desviaciones y otro de rectificacioacuten

de las desviaciones Naturalmente la Gobernabilidad TI plantea estos mecanismos y en concreto

la COBIT plantea un modelo al respecto Pero no debemos olvidar que todo mecanismo de

control tiene su costo requiere personal entrenado en el aacuterea de informaacutetica auditores

consultores externos y nuevos elementos a considerar en los disentildeos e implementacioacuten del

procedimientos y software tambieacuten implica un plan de transicioacuten desde la situacioacuten actual a la

deseada

En resumen la COBIT es teacutecnicamente posible de aplicar en toda aacuterea de Informaacutetica de

cualquier empresa mediana hacia arriba pero su costo de implementacioacuten solo se justifica si el

directorio tiene poderosas razones para ello por ejemplo la Sarbanes ndash Oxley acuerdos de

accionistas regulaciones propias de cada paiacutes etc

Como estaacute constituido COBIT

COBIT 41 cuenta con 34 procesos de alto nivel que cubren 210 objetivos de control clasificados en cuatro dominios Planificacioacuten y Organizacioacuten Adquisicioacuten e Implementacioacuten entrega y soporte y seguimiento y evaluacioacuten COBIT ofrece beneficios a los administradores los usuarios de TI y los auditores Los administradores se benefician de COBIT ya que les proporciona una base sobre la cual las decisiones relacionadas con TI y las inversiones se pueden basar La toma de decisiones es maacutes eficaz porque COBIT ayuda a la gestioacuten en la definicioacuten de un plan estrateacutegico de TI el sistema de definicioacuten de la arquitectura de la informacioacuten la adquisicioacuten de los necesarios de hardware y software para ejecutar una estrategia de TI asegurando un servicio continuo y vigilando el desempentildeo de la TI Los usuarios de TI se benefician de COBIT debido a la seguridad que les proporcionan los controles definidos COBIT la seguridad y la gobernanza del proceso Beneficios COBIT auditores ya que les ayuda a identificar problemas de control de TI dentro de la infraestructura TI de una empresa Tambieacuten les ayuda a corroborar los resultados de la auditoriacutea

ISACAVal IT Recientemente ISACA ha publicado Val IT que correlaciona los procesos de COBIT a la alta direccioacuten los procesos necesarios para obtener un buen valor de las inversiones en TI

Directrices

A fin de garantizar una empresa de eacutexito usted debe gestionar de manera efectiva la unioacuten

entre los procesos de negocio y sistemas de informacioacuten Las nuevas directrices de gestioacuten se

compone de Modelos de Madurez para ayudar a determinar las etapas y niveles de expectativa

de control y compararlos con las normas del sector los factores criacuteticos de eacutexito para identificar

las acciones maacutes importantes para lograr el control sobre los procesos de TI nuacutemero indicadores

de los objetivos para objetivo de definir los niveles de desempentildeo y los indicadores clave de

rendimiento para medir si un proceso de control de TI estaacute cumpliendo con su objetivo Estas

Directrices para la Gestioacuten ayudaraacute a responder las preguntas de intereacutes inmediato para todos

aquellos que tienen un intereacutes en la empresa de eacutexito

Procesos Identificados por la COBIT

La COBIT define las actividades TO en un modelo general de procesos compuesto por cuatro

dominios Planificar y Organizar (PO) Adquirir e Implementar (AI) Proveer y Soportar (DS) y

Monitorear y Evaluar (ME) Esto dominios se corresponden con las aacutereas de responsabilidad

tradicionales planificar construir ejecutar y monitorear

Modelo COBIT

La COBIT es un marco de referencia que entrega un modelo de procesos y un lenguaje comuacuten

para que cada quieacuten en la organizacioacuten pueda visualizar y gestionar las actividades de la TI

Planificar y Organizar (PO)

Este dominio abarca la estrategia y la taacutectica y su preocupacioacuten es identificar las maneras como

las TI muden contribuir de la mejor forma posible al logro de los objetivos de negocios de la

empresa La ejecucioacuten de la visioacuten estrateacutegica requiere de planificacioacuten difusioacuten y gestioacuten para

diferentes perspectivas Una organizacioacuten adecuada y una plataforma tecnoloacutegica acorde son

necesarias De modo que en este dominio tiacutepicamente se tratan las siguiente interrogantes

iquestEstaacuten las TI alineadas con la estrategia de negocios iquestEstaacute la empresa utilizando a un nivel oacuteptimos sus recursos informaacuteticos iquestEntiende todo el mundo de la empresa los objetivos de las TI iquestSon comprendidos los riesgo TI y son debidamente gestionados iquestEs la calidad de los sistemas informaacuteticos adecuados a las necesidades del negocio

Este dominio considera los procesos

PO1 Define a strategic IT plan PO2 Define the information architecture PO3 Determine technological direction PO4 Define the IT processes organisation and relationships PO5 Manage the IT investment PO6 Communicate management aims and direction PO7 Manage IT human resources PO8 Manage quality PO9 Assess and manage IT risks PO10 Manage projects

Adquirir e Implementar (AI)

Para materializar la estrategia TI las soluciones TI necesitan ser identificadas desarrolladas o

adquiridas como asimismo es necesario implementarlas e integrarlas a las procesos de

negocios Adicionalmente todo sistema requiere de cambios y mantenimiento para asegurarse

que durante su operacioacuten continua satisfaciendo los requerimientos del negocio Para este

dominio surgen las preguntas

iquestLos nuevos proyectos tienen el potencial para entregar soluciones que satisfagan las

necesidades del negocio

iquestEs factible que los nuevos proyectos se ejecuten de acuerdo a los plazos y presupuestos

convenidos

iquestLos nuevos sistemas operaran adecuadamente una vez implementados

iquestLos cambios podraacuten hacerse sin poner en riesgo la operacioacuten del negocio


AI1 Identify automated solutions

AI2 Acquire and maintain application software

AI3 Acquire and maintain technology infrastructure

AI4 Enable operation and use

AI5 Procure IT resources

AI6 Manage changes

AI7 Install and accredit solutions and changes

Proveer y Soportar (DS)

Este dominio tiene que ver con la entrega de los servicios que son requeridos esto incluye la

provisioacuten del servicio la gestioacuten de seguridad y continuidad el soporte a los usuarios la

administracioacuten de los datos y la gestioacuten de la instalaciones de plataforma tecnoloacutegica Para estos

efectos es necesario formularse las preguntas siguientes

iquestSe estaacuten proveyendo los servicios TI de acuerdo con las prioridades del negocio

iquestEstaacuten los costos de TI optimizados

iquestEstaacute en condiciones la fuerza de trabajo de utilizar los sistemas TI productivamente y con

seguridad

iquestSe maneja adecuadamente la confidencialidad integridad y disponibilidad de los sistemas TI


DS1 Define and manage service levels

DS2 Manage third-party services

DS3 Manage performance and capacity

DS4 Ensure continuous service

DS5 Ensure systems security

DS6 Identify and allocate costs

DS7 Educate and train users

DS8 Manage service desk and incidents

DS9 Manage the configuration

DS10 Manage problems

DS11 Manage data

DS12 Manage the physical environment

DS13 Manage operations

Monitorear y Evaluar (ME)

Todos los procesos TI necesitan perioacutedicamente que se verifique mediante controles su calidad y

conformidad En este dominio se tratan la gestioacuten de performance el monitoreo de los

controles internos la regulaciones que tiene que ver la conformidad y la gobernabilidad Las

preguntas tiacutepicas de este dominio son

iquestLos sistemas de medicioacuten de performance TI permiten detectar a tiempo los problemas iquestLa gestioacuten asegura que los controles internos son efectivos y eficientes iquestPuede la performance TI relacionarse con los objetivos de negocios iquestEstaacuten siendo medidos e informados los riesgos el control la conformidad y la performance


ME1 Monitor and evaluate IT performance ME2 Monitor and evaluate internal control ME3 Ensure regulatory compliance ME4 Provide IT governance

Maturity Model

Es modelo es el que en definitiva posibilita que los procesos que establece la COBIT sean

auditables esto es procesos que se pueden verificar primero si se cumplen y ejecutan de

acuerdo a lo que la empresa declaroacute ndashocurre la declaracioacuten cuando se publica y difunde el

proceso- y por otro parte este modelo permite establecer cual es el nivel de desarrollo que

tiene el proceso en la empresa Para esto define 6 estados o niveles cuya definicioacuten geneacuterica es

la se incluye en la lista siguiente no obstante para cada uno de los 34 procesos que conforman

la COBIT existe su propio y uacutenico Matutity Model

De modo que es este modelo a mi juicio el que ha llevado que la COBIT sea marco de referencia

preferido de las grandes compantildeiacuteas mundiales de auditoria

La siguiente es la descripcioacuten geneacuterica de los estados del Maturity Model

Inexistente se carece totalmente de un proceso La empresa no ha reconocido la

necesidad

Inicial existe evidencia que la empresa ha reconocido la necesidad del proceso No

existe un proceso formal ndash estandarizado ndash si no que existe enfoques ad-hoc que se

aplican de manera individual o caso a caso La gestioacuten del mismo es desorganizada

Repetible el proceso se encuentra en un nivel de desarrollo tal que distintas personas

ejecutan maacutes o menos los mismos procedimientos No existe una comunicacioacuten ni

entrenamiento formal de los procedimientos y la responsabilidad se mantiene

individual Existe una gran dependencia del conocimiento que tiene los individuos y por

tanto existe una probabilidad de error importante

Definido el proceso esta estandarizado documentado y difundido mediante

entrenamiento Sin embargo se deja a voluntad de los individuos la aplicacioacuten de los

procedimientos del proceso y es poco probable que se detecten las desviaciones en su

uso Los procedimientos en siacute no son sofisticados y corresponden a la formalizacioacuten de

las praacutecticas existentes

Gestionado es posible monitorear y medir la conformidad en la aplicacioacuten de los

procedimientos del proceso y es posible tomar acciones cuando el proceso no estaacute

operando adecuadamente Los procesos estaacuten mejoraacutendose continuamente Se dispone

de automatizaciones y de herramientas que son usadas de una manera limitada o

fragmentada

Optimizado el proceso ha sido refinado al nivel de las mejores praacutecticas basado en los

resultados del mejoramiento continuo y de los modelos ya maduros de otras compantildeiacuteas

Las TI son usadas integralmente para automatizar workflow entregando herramientas

que mejoran la calidad y efectividad aumentando la capacidad de adaptacioacuten de le

empresa

ISO 27001

Autores

La Organizacioacuten Internacional para la Estandarizacioacuten o ISO (del griego ἴσος (isos) igual y cuyo nombre en ingleacutes es International Organization for Standardization) nacida tras la Segunda Guerra Mundial (23 de febrero de 1947) es el organismo encargado de promover el desarrollo de normas internacionales de fabricacioacuten comercio y comunicacioacuten para todas las ramas industriales a excepcioacuten de la eleacutectrica y la electroacutenica

Concepto

ISOIEC 27001 es la uacutenica norma internacional auditable que define los requisitos para un sistema de gestioacuten de la seguridad de la informacioacuten (SGSI) La norma se ha concebido para garantizar la seleccioacuten de controles de seguridad adecuados y proporcionalesEllo ayuda a proteger los activos de informacioacuten y otorga confianza a cualquiera de las partes interesadas sobre todo a los clientes La norma adopta un enfoque por procesos para establecer implantar operar supervisar revisar mantener y mejorar un SGSI

ISOIEC 27001 es una norma adecuada para cualquier organizacioacuten grande o pequentildea de cualquier sector o parte del mundo La norma es particularmente interesante si la proteccioacuten de la informacioacuten es criacutetica como en finanzas sanidad sector puacuteblico y tecnologiacutea de la informacioacuten (TI)

ISOIEC 27001 tambieacuten es muy eficaz para organizaciones que gestionan la informacioacuten por encargo de otros por ejemplo empresas de subcontratacioacuten de TI Puede utilizarse para garantizar a los clientes que su informacioacuten estaacute protegida

El hecho de certificar un SGSI seguacuten la norma ISOIEC 27001 puede aportar las siguientes ventajas a la organizacioacuten

Demuestra la garantiacutea independiente de los controles internos y cumple los requisitos de gestioacuten corporativa y de continuidad de la actividad comercial

Demuestra independientemente que se respetan las leyes y normativas que sean de aplicacioacuten

Proporciona una ventaja competitiva al cumplir los requisitos contractuales y demostrar a los clientes que la seguridad de su informacioacuten es primordial

Verifica independientemente que los riesgos de la organizacioacuten esteacuten correctamente identificados evaluados y gestionados al tiempo que formaliza unos procesos procedimientos y documentacioacuten de proteccioacuten de la informacioacuten

Demuestra el compromiso de la cuacutepula directiva de su organizacioacuten con la seguridad de la informacioacuten

El proceso de evaluaciones perioacutedicas ayuda a supervisar continuamente el rendimiento y la mejoraNota las organizaciones que simplemente cumplen la norma ISOIEC 27001 o las recomendaciones de la norma del coacutedigo profesional ISOIEC 17799 no logran estas ventajas

No obstante ISO 27001 estaacute todaviacutea muy lejos de alcanzar el grado de implantacioacuten a nivel mundial de otros estaacutendares de gestioacuten como por ejemplo el ampliamente conocido estaacutendar que establece los requisitos de un sistema de Gestioacuten de la Calidad ISO 9001

Tal es la superioridad del estaacutendar de calidad que actualmente no se cuestiona si se trata de una norma de cumplimiento obligatorio o voluntario Simplemente si no estaacutes certificado bajo 9001 estaacutes fuera del mercado Asiacute de rotundo

Viendo esa evolucioacuten que ha tenido ISO 9001 en todo el mundo desde que fuera publicada en 1987 y teniendo en cuenta que la sociedad en la que vivimos y las empresas que operan en el mercado dependen ya de una manera absoluta de la informacioacuten parece loacutegico pensar que ISO 27001 va a ir ganando peso progresivamente tanto en organizaciones de caraacutecter puacuteblico como en la empresa privada

En este escenario podriacutea todaviacutea resultar aventurado pensar que ISO 27001 se convierta en el futuro en un estaacutendar de obligado cumplimiento en sentido estricto o de cumplimiento ldquoobligatoriordquo a la manera en que de facto lo es ISO 9001 Pero tambieacuten es cierto que empezamos a ver ciertos signos indicativos de que quizaacutes no estemos hablando de un futuro tan lejano

Por ejemplo en Peruacute la ISOIEC 270022005 ndashrecordemos la guiacutea de buenas praacutecticas y no el estaacutendar certificable- es de uso obligatorio en todas las instituciones puacuteblicas desde el antildeo 2004 fijando asiacute un estaacutendar para las operaciones de la Administracioacuten cuyo cumplimiento es supervisado por la Oficina Nacional de Gobierno Electroacutenico e Informaacutetica ndash ONGEI

Sin salir de Sudameacuterica en Colombia la norma ISO 27001 es de cumplimiento obligatorio para algunos sectores Es el caso de los operadores de informacioacuten que de conformidad con el Decreto 1931 de 2006 de aqueacutel paiacutes se hallan sujetos al cumplimiento del estaacutendar

Pero sin duda seraacute el sector privado el que con mayor empuje pondraacute a ISO 27001 en el lugar que le corresponde debido al importante papel que puede desempentildear un SGSI en el aacutembito del gobierno corporativo de las empresas en cuanto a gestioacuten de riesgos se refiere

Un claro ejemplo lo encontramos coacutemo no en la cuna de la gestioacuten de la Seguridad de la Informacioacuten el Reino Unido En 2004 el Financial Reporting Council (FRC) el regulador britaacutenico al que las empresas de ese paiacutes que cotizan en bolsa deben reportar sus datos financieros constituyoacute un grupo de asesores presidido por Douglas Flint de HSBC Holdings Plc

La misioacuten encomendada a este grupo era revisar la guiacutea Turnbull unas buenas praacutecticas de control interno para empresas britaacutenicas cotizadas en bolsa publicadas por primera vez en 1999 Con las observaciones realizadas por el grupo el FRC publicoacute la actualizacioacuten de la guiacutea en Octubre de 2005 Esta actualizacioacuten refuerza la importancia del control interno y la gestioacuten de riesgos en el gobierno corporativo de las empresas

Control interno y gestioacuten de riesgos sin duda dos conceptos que nos resultan muy familiares a quienes trabajamos a diario con ISO 27001 Efectivamente el estaacutendar en gestioacuten de Seguridad de la Informacioacuten no se limita a gestionar los sistemas de informacioacuten de las organizaciones sino que va bastante maacutes allaacute Supone todo un examen del proceso o procesos que pretendemos certificar obteniendo un conocimiento exhaustivo del mismo

Esa exhaustividad proviene de la identificacioacuten y valoracioacuten de los activos de la organizacioacuten y del anaacutelisis de riesgos correspondiente que nos aportaraacute luz sobre los controles que debemos aplicar para mitigar los riesgos detectados

Desde otras posiciones se estaacute considerando el encaje de ISO 27001 en el aacutembito de la Responsabilidad Social Corporativa (RSC) asiacute como dentro de otro concepto de Governance Risk Management amp Compliance (GRC) que nos comentaba Scott L Mitchell del think tank estadounidense Open Compliance amp Ethics Group (OCEG) Este concepto supone superar el de responsabilidad social corporativa integrando buen gobierno cumplimiento normativo gestioacuten del riesgo y Seguridad de la Informacioacuten

Ciertamente de producirse esa evolucioacuten que adelanta OCEG la Seguridad de la Informacioacuten pasariacutea a convertirse en algo tan intriacutenseco a las empresas como lo es hoy el control financiero o la gestioacuten de la calidad Ese es el salto que auacuten tiene pendiente la Seguridad de la Informacioacuten para hacerse un hueco en la empresa y quedarse para siempre

Desde luego un punto de apoyo muy soacutelido hacia esa evolucioacuten lo proporciona el Informe Anual 2008 del IT Policy Compliance Group con el tiacutetulo Improving Business Results and Mitigating Financial Risk Seguacuten los datos que recoge el informe las organizaciones con mayor grado de desarrollo en IT GRC ndasho GRC de las Tecnologiacuteas de la Informacioacuten- superan la media de ingresos en un 17 que se traduce en un 138 maacutes de beneficios

Cifras que sin duda son un estiacutemulo para que ISO 27001 continuacutee avanzando posiciones en su particular carrera por equipararse al estaacutendar de calidad ISO 9001 en cuanto a grado de implantacioacuten y obligatoriedad de facto Es decir por convertirse en un estaacutendar cuya certificacioacuten las empresas obtendraacuten no soacutelo para mejorar la seguridad de su informacioacuten sino tambieacuten para incrementar sus resultados y por supuesto para estar en el mercado Un mercado que para entonces habraacute madurado lo suficiente como para marginar a aquellas organizaciones que no se tomen muy en serio la seguridad de sus activos de informacioacuten

Esta norma estaacute dividida en once dominios de control 39 objetivos y 133 controles Los dominios presentados abarcan poliacutetica de seguridad organizacioacuten de la seguridad de la informacioacuten gestioacuten de activos control de acceso seguridad de los recursos humanos cumplimiento seguridad fiacutesica y del entorno adquisicioacuten desarrollo y mantenimiento de sistemas de informacioacuten gestioacuten de las comunicaciones y operaciones gestioacuten de la continuidad del negocio y gestioacuten de incidentes de seguridad de la informacioacuten

CMM

ISO 2000Autores


La norma ISO 9001 es un meacutetodo de trabajo que se considera tan bueno Que es el mejor para mejorar la calidad y satisfaccioacuten de cara al consumidor La versioacuten actual es del antildeo 2000 ISO90012000 que ha sido adoptada como modelo a seguir para obtener la certificacioacuten de calidad Y es a lo que tiende y debe de aspirar toda empresa competitiva que quiera permanecer y sobrevivir en el exigente mercado actual

Coacutemo estaacute constituido ISO 2000

ISO 90012000 estaacute basada en ocho principios de gestioacuten de la calidad

Orientacioacuten al Cliente Liderazgo Implicacioacuten Enfoque de proceso Enfoque de sistema Mejora continua Toma de decisiones basadas en hechos Relaciones de beneficio mutuo con proveedores

Al certificar su Sistema de Gestioacuten de Calidad a traveacutes de SGS ayudaraacute a su organizacioacuten a desarrollarse y mejorar su desempentildeo

ya sea que Vd esteacute buscando operar internacionalmente o expandirse en forma local a fin de adaptar nuevas actividades su certificado de Sistemas de Gestioacuten de Calidad SGS es una signatura internacionalmente reconocida que le ahorra tener que probar sus estaacutendares de calidad frente a clientes exigentes

un proceso regular de evaluacioacuten le ayudaraacute a utilizar supervisar y mejorar continuamente sus procesos y sistema de gestioacuten Mejoraraacuten tanto la predictabilidad de

sus operaciones internas al objeto de cumplir con los requerimientos del cliente asiacute como tambieacuten el desempentildeo general Tambieacuten advertiraacute como mejoran la responsabilidad motivacioacuten y compromiso del personal

Un equipo incomparable de auditores jefe registrados de SGS desarrollaraacuten auditoriacuteas de la mayor relevancia y nivel de profesionalidad para ayudarles a alcanzar sus objetivos en la medida de lo posible

A fecha de hoy mas de 40000 pequentildeas y medianas empresas asiacute como grandes corporaciones internacionales han seleccionado a SGS como su entidad certificadora para acometer la auditoria de su Sistema de Gestioacuten de la Calidad respecto a la norma ISO 9000 confirmando a SGS como empresa certificadora preferida con respecto a esta norma

El compromiso de ldquovalor antildeadidordquo de SGS

SGS se compromete a proporcionar ldquoese servicio extrardquo que marca la diferencia a su favor

Si desea saber maacutes sobre el compromiso de SGS para proporcionar servicios ldquode valor antildeadidordquo a sus clientes haga clic en el siguiente enlace

Nomenclatura

Proceso Una actividad u operacioacuten que recibe entradas y las convierte en salidas puede ser considerado proceso Casi todos las actividades y operaciones relacionadas con un servicio o producto son procesos

En una organizacioacuten existen diferentes procesos conectados entre siacute A menudo la salida de un proceso puede ser la entrada de otro La identificacioacuten y gestioacuten sistemaacutetica de los diferentes procesos desarrollados en una organizacioacuten y particularmente la interaccioacuten entre tales procesos puede ser referida como la aproximacioacuten del proceso a la gestioacuten o gestioacuten de los procesos

El Sistema de Execencia se basa en los principios de aproximacioacuten al proceso y la orientacioacuten al Cliente La adopcioacuten de dichos principios deberiacutea facilitar clientes con un nivel de confianza maacutes alto que el producto (incluyendo servicio) satisfaraacute sus requisitos e incrementa su grado de satisfaccioacuten

Control de la Calidad Conjunto de teacutecnicas y actividades de caraacutecter operativo utilizadas para verificar los requisitos relativos a la calidad del producto o servicio

Gestioacuten de la Calidad La gestioacuten de la calidad es el conjunto de acciones planificadas y sistemaacuteticas necesarias para dar la confianza adecuada de que un producto o servicio va a satisfacer los requisitos de calidad

Calidad Total - Excelencia Es una estrategia de gestioacuten cuyo objetivo es que la organizacioacuten satisfaga de una manera equilibrada las necesidades y expectativas de los clientes de los empleados de los accionistas y de la sociedad en general

Calidad antiguo concepto Es el grado de acercamiento a unas especificaciones o patrones que se consideran ideales La calidad solo afecta al fabricante que es quien dictamina las especificaciones de fabricacioacuten

Hasta ahora la forma de mejorar los productos veniacutea determinado por el cumplimiento de determinadas caracteriacutesticas en este La tecnologiacutea y conocimientos y descubrimientos de las teacutecnicas de produccioacuten hacen que los productos se acerquen cada vez mas a las caracteriacutesticas ideales Y la reduccioacuten de costes hace a todos los productos igual de competitivos

Calidad Nuevo Concepto Es el grado de acercamiento a las necesidades y expectativas de los consumidores Cumpliendo las necesidades y expectativas de los consumidores se consigue satisfaccioacuten en el consumidor que esta transmite a su entorno generando mas satisfaccioacuten

ITIL

Autores

OGC u Oficina Gubernativa de Comercio BritaacutenicaEl Open Geospatial Consortium Inc reg (OGC) es una organizacioacuten sin fines de lucro internacional las normas de consenso voluntario de la organizacioacuten que lidera el desarrollo de normas para servicios geoespaciales y basados en localizacioacuten

Definiciones

La Biblioteca de Infraestructura de Tecnologiacuteas de Informacioacuten frecuentemente abreviada ITIL (del ingleacutes Information Technology Infrastructure Library) es un marco de trabajo de las buenas praacutecticas destinadas a facilitar la entrega de servicios de tecnologiacuteas de la informacioacuten (TI) ITIL resume un extenso conjunto de procedimientos de gestioacuten ideados para ayudar a las organizaciones a lograr calidad y eficiencia en las operaciones de TI Estos procedimientos son independientes del proveedor y han sido desarrollados para servir como guiacutea que abarque toda infraestructura desarrollo y operaciones de TI

Aunque se desarrolloacute durante los antildeos 1980 ITIL no fue ampliamente adoptada hasta mediados de los antildeos 1990 Esta mayor adopcioacuten y conocimiento ha llevado a varios estaacutendares incluyendo ISOIEC 20000 que es una norma internacional cubriendo los elementos de gestioacuten

de servicios de TI de ITIL ITIL se considera a menudo junto con otros marcos de trabajo de mejores praacutecticas como la Information Services Procurement Library (ISPL lsquoBiblioteca de adquisicioacuten de servicios de informacioacutenrsquo) la Application Services Library (ASL lsquoBiblioteca de servicios de aplicativosrsquo) el meacutetodo de desarrollo de sistemas dinaacutemicos (DSDM Dynamic Systems Development Method) el Modelo de Capacidad y Madurez (CMMCMMI) y a menudo se relaciona con la gobernanza de tecnologiacuteas de la informacioacuten mediante COBIT (Control Objectives for Information and related Technology)

El concepto de gestioacuten de servicios de TI aunque relacionado con ITIL no es ideacutentico ITIL contiene una seccioacuten especiacuteficamente titulada laquoGestioacuten de Servicios de TIraquo (la combinacioacuten de los voluacutemenes de Servicio de Soporte y Prestacioacuten de Servicios que son un ejemplo especiacutefico de un marco ITSM) Sin embargo es importante sentildealar que existen otros marcos parecidos La Gestioacuten de Servicio ITIL estaacute actualmente integrado en el estaacutendar ISO 20000 (anterior BS 15000)

ITIL se construye en torno a una vista basada en proceso-modelo del control y gestioacuten de las operaciones a menudo atribuida a W Edwards Deming Las recomendaciones de ITIL fueron desarrolladas en los antildeos 1980 por la Central Computer and Telecommunications Agency (CCTA) del gobierno britaacutenico como respuesta a la creciente dependencia de las tecnologiacuteas de la informacioacuten y al reconocimiento de que sin praacutecticas estaacutendar los contratos de las agencias estatales y del sector privado creaban independientemente sus propias praacutecticas de gestioacuten de TI y duplicaban esfuerzos dentro de sus proyectos TIC lo que resultaba en errores comunes y mayores costes

ITIL fue publicado como un conjunto de libros cada uno dedicado a un aacuterea especiacutefica dentro de la Gestioacuten de TI Los nombres ITIL e IT Infrastructure Library (lsquoBiblioteca de infraestructura de TIrsquo) son marcas registradas de la Office of Government Commerce (lsquoOficina de comercio gubernamentalrsquo OGC) que es una divisioacuten del Ministerio de Hacienda del Reino Unido

En abril de 2001 la CCTA fue integrada en la OGC desapareciendo como organizacioacuten separada1

En diciembre de 2005 la OGC emitioacute un aviso de una actualizacioacuten a ITIL2 conocida comuacutenmente como ITIL v3 que estuvo planificada para ser publicada a finales de 2006 habiendo sido realizada en junio 2007 Se esperaba que la publicacioacuten de ITIL versioacuten 3 incluya cinco libros principales concretamente Disentildeo de Servicios de TI Introduccioacuten de los Servicios de TI Operacioacuten de los Servicios de TI Mejora de los Servicios de TI y Estrategias de los Servicios de TI consolidando buena parte de las praacutecticas actuales de la versioacuten 2 en torno al Ciclo de Vida de los Servicios

Uno de los principales beneficios propugnado por los defensores de ITIL dentro de la comunidad de TI es que proporciona un vocabulario comuacuten consistente en un glosario de teacuterminos precisamente definidos y ampliamente aceptados Un nuevo glosario ampliado ha sido desarrollado como entregable clave de ITIL versioacuten 3

Otros modelos CMMI para el desarrollo de software y s3m3 para el mantenimiento del software

Orange Book

El estaacutendar de niveles de seguridad maacutes utilizado internacionalmente es el TCSEC Orange Book desarrollado en 1983 de acuerdo a las normas de seguridad en computadoras del Departamento de Defensa de los Estados Unidos

Los niveles describen diferentes tipos de seguridad del Sistema Operativo y se enumeran desde el miacutenimo grado de seguridad al maacuteximo

Estos niveles han sido la base de desarrollo de estaacutendares europeos (ITSECITSEM) y luego internacionales (ISOIEC)

Cabe aclarar que cada nivel requiere todos los niveles definidos anteriormente asiacute el subnivel B2 abarca los subniveles B1 C2 C1 y el D

Nivel D

Este nivel contiene soacutelo una divisioacuten y estaacute reservada para sistemas que han sido evaluados y no cumplen con ninguna especificacioacuten de seguridadSin sistemas no confiables no hay proteccioacuten para el hardware el sistema operativo es inestable y no hay autentificacioacuten con respecto a los usuarios y sus derechos en el acceso a la informacioacuten Los sistemas operativos que responden a este nivel son MS-DOS y System 70 de Macintosh

Nivel C1 Proteccioacuten Discrecional

Se requiere identificacioacuten de usuarios que permite el acceso a distinta informacioacuten Cada usuario puede manejar su informacioacuten privada y se hace la distincioacuten entre los usuarios y el administrador del sistema quien tiene control total de accesoMuchas de las tareas cotidianas de administracioacuten del sistema soacutelo pueden ser realizadas por este super usuario quien tiene gran responsabilidad en la seguridad del mismo Con la actual descentralizacioacuten de los sistemas de coacutemputos no es raro que en una organizacioacuten encontremos dos o tres personas cumpliendo este rol Esto es un problema pues no hay forma de distinguir entre los cambios que hizo cada usuarioA continuacioacuten se enumeran los requerimientos miacutenimos que debe cumplir la clase C1

o Acceso de control discrecional distincioacuten entre usuarios y recursos Se podraacuten definir grupos de usuarios (con los mismos privilegios) y grupos de objetos (archivos directorios disco) sobre los cuales podraacuten actuar usuarios o grupos de ellos

o Identificacioacuten y Autentificacioacuten se requiere que un usuario se identifique antes de comenzar a ejecutar acciones sobre el sistema El dato de un usuario no podraacute ser accedido por un usuario sin autorizacioacuten o identificacioacuten

Nivel C2 Proteccioacuten de Acceso Controlado

Este subnivel fue disentildeado para solucionar las debilidades del C1 Cuenta con caracteriacutesticas adicionales que crean un ambiente de acceso controlado Se debe llevar

una auditoria de accesos e intentos fallidos de acceso a objetosTiene la capacidad de restringir auacuten maacutes el que los usuarios ejecuten ciertos comandos o tengan acceso a ciertos archivos permitir o denegar datos a usuarios en concreto con base no soacutelo en los permisos sino tambieacuten en los niveles de autorizacioacutenRequiere que se audite el sistema Esta auditoriacutea es utilizada para llevar registros de todas las acciones relacionadas con la seguridad como las actividades efectuadas por el administrador del sistema y sus usuariosLa auditoriacutea requiere de autenticacioacuten adicional para estar seguros de que la persona que ejecuta el comando es quien dice ser Su mayor desventaja reside en los recursos adicionales requeridos por el procesador y el subsistema de discosLos usuarios de un sistema C2 tienen la autorizacioacuten para realizar algunas tareas de administracioacuten del sistema sin necesidad de ser administradoresPermite llevar mejor cuenta de las tareas relacionadas con la administracioacuten del sistema ya que es cada usuario quien ejecuta el trabajo y no el administrador del sistema

Nivel B1 Seguridad Etiquetada

Este subnivel es el primero de los tres con que cuenta el nivel B Soporta seguridad multinivel como la secreta y ultrasecreta Se establece que el duentildeo del archivo no puede modificar los permisos de un objeto que estaacute bajo control de acceso obligatorioA cada objeto del sistema (usuario dato etc) se le asigna una etiqueta con un nivel de seguridad jeraacuterquico (alto secreto secreto reservado etc) y con unas categoriacuteas (contabilidad noacuteminas ventas etc)Cada usuario que accede a un objeto debe poseer un permiso expreso para hacerlo y viceversa Es decir que cada usuario tiene sus objetos asociadosTambieacuten se establecen controles para limitar la propagacioacuten de derecho de accesos a los distintos objetos

Nivel B2 Proteccioacuten Estructurada

Requiere que se etiquete cada objeto de nivel superior por ser padre de un objeto inferiorLa Proteccioacuten Estructurada es la primera que empieza a referirse al problema de un objeto a un nivel mas elevado de seguridad en comunicacioacuten con otro objeto a un nivel inferiorAsiacute un disco riacutegido seraacute etiquetado por almacenar archivos que son accedidos por distintos usuariosEl sistema es capaz de alertar a los usuarios si sus condiciones de accesibilidad y seguridad son modificadas y el administrador es el encargado de fijar los canales de almacenamiento y ancho de banda a utilizar por los demaacutes usuarios

Nivel B3 Dominios de Seguridad

Refuerza a los dominios con la instalacioacuten de hardware por ejemplo el hardware de administracioacuten de memoria se usa para proteger el dominio de seguridad de acceso no autorizado a la modificacioacuten de objetos de diferentes dominios de seguridadExiste un monitor de referencia que recibe las peticiones de acceso de cada usuario y las permite o las deniega seguacuten las poliacuteticas de acceso que se hayan definidoTodas las estructuras de seguridad deben ser lo suficientemente pequentildeas como para permitir anaacutelisis y testeos ante posibles violacionesEste nivel requiere que la terminal del usuario se conecte al sistema por medio de una conexioacuten seguraAdemaacutes cada usuario tiene asignado los lugares y objetos a los que puede acceder

Nivel A Proteccioacuten Verificada

Es el nivel maacutes elevado incluye un proceso de disentildeo control y verificacioacuten mediante meacutetodos formales (matemaacuteticos) para asegurar todos los procesos que realiza un usuario sobre el sistema

Para llegar a este nivel de seguridad todos los componentes de los niveles inferiores deben incluirse El disentildeo requiere ser verificado de forma matemaacutetica y tambieacuten se deben realizar anaacutelisis de canales encubiertos y de distribucioacuten confiable El software y el hardware son protegidos para evitar infiltraciones ante traslados o movimientos del equipamiento

ISACA

Fundadores

La Federacioacuten Internacional de Contadores (IFAC) es la organizacioacuten mundial para la profesioacuten contable IFAC has 157 member bodies and associates in 123 countries and jurisdictions representing more than 25 million accountants employed in public practice industry and commerce government and academe IFAC cuenta con 157 organismos miembros y asociados en 123 paiacuteses y jurisdicciones que representan maacutes de 25 millones de contadores que trabajan en la praacutectica puacuteblica la industria y el comercio gobierno y academia

Conceptos

ISACA es una asociacioacuten profesional internacional que se ocupa de IT Governance IFAC Se trata de un miembro afiliado de la IFAC Anteriormente conocida como la Auditoriacutea de Sistemas de Informacioacuten y Control Association ISACA ahora va por su sigla en soacutelo para reflejar la amplia gama de profesionales de TI de gobierno que sirve

ISACAreg comenzoacute en 1967 cuando un pequentildeo grupo de personas con trabajos similarescontroles de auditoriacutea en los sistemas computarizados que se estaban haciendo cada vez maacutes criacuteticos para las operaciones de sus organizaciones respectivasmdashse sentaron a discutir la necesidad de tener una fuente centralizada de informacioacuten y guiacutea en dicho campo En 1969 el grupo se formalizoacute incorporaacutendose bajo el nombre de EDP Auditors Association (Asociacioacuten de Auditores de Procesamiento Electroacutenico de Datos) En 1976 la asociacioacuten formoacute una fundacioacuten de educacioacuten para llevar a cabo proyectos de investigacioacuten de gran escala para expandir los conocimientos y el valor del campo de gobernacioacuten y control de TI

Hoy los miembros de ISACA ndash maacutes de 75000 en todo el mundo ndash se caracterizan por su diversidad Los miembros viven y trabajan en maacutes de 160 paiacuteses y cubren una variedad de puestos profesionales relacionados con TI ndash soacutelo para nombrar algunos ejemplos auditor de SI consultor educador profesional de seguridad de SI regulador director ejecutivo de informacioacuten y auditor interno Algunos son nuevos en el campo otros estaacuten en niveles medios de supervisioacuten y algunos otros estaacuten en los rangos maacutes elevados Trabajan en casi todas las categoriacuteas de industrias incluyendo finanzas y banca contaduriacutea puacuteblica gobierno y sector puacuteblico servicios puacuteblicos y manufactura Esta diversidad permite que los miembros aprendan unos de otros e intercambien puntos de vista con divergencias significativas en una variedad de toacutepicos profesionales Ha sido considerada durante largo tiempo como uno de los puntos fuertes de ISACA

Otro de los puntos fuertes de ISACA es su red de capiacutetulos ISACA tiene capiacutetulos en maacutes de 70 paiacuteses en todo el mundo y dichos capiacutetulos brindan a los miembros educacioacuten recursos compartidos promocioacuten contactos profesionales y una amplia gama de beneficios adicionales a nivel local Descubra si hay un capiacutetulo cerca suyo

En las tres deacutecadas transcurridas desde su creacioacuten ISACA se ha convertido en una organizacioacuten global que establece las pautas para los profesionales de gobernacioacuten control seguridad y auditoriacutea de informacioacuten Sus normas de auditoriacutea y control de SI son respetadas por profesionales de todo el mundo Sus investigaciones resaltan temas profesionales que desafiacutean a sus constituyentes Su certificacioacuten Certified Information Systems Auditor (Auditor Certificado de Sistemas de Informacioacuten o CISA) es reconocida en forma global y ha sido obtenida por maacutes de 60000 profesionales Su nueva certificacioacuten Certified Information Security Manager (Gerente Certificado de Seguridad de Informacioacuten o CISM) se concentra exclusivamente en el sector de gerencia de seguridad de la informacioacuten Publica un perioacutedico teacutecnico liacuteder en el campo de control de la informacioacuten el ISACA Journal (Perioacutedico de Control de Sistemas de Informacioacuten) Organiza una serie de conferencias internacionales que se concentran en toacutepicos teacutecnicos y administrativos pertinentes a las profesiones de gobernacioacuten de TI y aseguracioacuten control seguridad de SI Juntos ISACA y su Instituto de Gobernacioacuten de TI (ITGI) asociado lideran la comunidad de control de tecnologiacutea de la informacioacuten y sirven a sus practicantes brindando los elementos que necesitan los profesionales de TI en un entorno mundial en cambio permanente

Common Criteria

El Common Criteria for Information Technology Security Evaluation (abreviado como Common Criteria o CC) es una norma internacional para la certificacioacuten de seguridad de la computadora It is currently in version 31 Actualmente se encuentra en la versioacuten 31

Common Criteria is a framework in which computer system users can specify their security functional and assurance requirements vendors can then implement andor make claims about the security attributes of their products and testing laboratories can evaluate the products to determine if they actually meet the claims Common Criteria es un marco en el que los usuarios del sistema informaacutetico de seguridad puede especificar sus requisitos funcionales y de seguridad los vendedores pueden aplicar y o hacer declaraciones sobre los atributos de seguridad de sus productos y los laboratorios de ensayo puede evaluar los productos para determinar si efectivamente cumplen la reclamaciones In other words Common Criteria provides assurance that the process of specification implementation and evaluation of a computer security product has been conducted in a rigorous and standard manner En otras palabras Common Criteria ofrece la garantiacutea de que el proceso de especificacioacuten implementacioacuten y evaluacioacuten de un producto de seguridad informaacutetica se ha realizado de forma rigurosa y estaacutendar

Todos los laboratorios de ensayo debe cumplir con la norma ISO 17025 y los organismos de certificacioacuten seraacute normalmente aprobada en contra de las normas ISO IEC Guiacutea 65 o BS EN 45011

El cumplimiento de la norma ISO 17025 es tiacutepicamente demostrado a la autoridad de homologacioacuten nacional

In Canada the Standards Council of Canada (SCC) accredits Common Criteria Evaluation Facilities En Canadaacute el Consejo de Normas de Canadaacute (SCC) acredita los Criterios Comunes de Evaluacioacuten Servicios

In France the comite francais daccreditation (COFRAC) accredits Common Criteria evaluation facilities commonly called Centres dEvaluation de la Securite des Technologies de lInformation (CESTI) En Francia el comite francais dacreditacioacuten (COFRAC) acredita los criterios de evaluacioacuten comuacuten de las instalaciones comuacutenmente llamados Centros de Evaluacioacuten de la Seacutecuriteacute des Technologies de lInformation (CESTI) Evaluations are done according to norms and standards specified by the Agence nationale de la securite des systemes dinformation (ANSSI) Las evaluaciones se hacen de acuerdo a las normas y las normas especificadas por la Agence nationale de la seacutecuriteacute des systegravemes dinformation (Anssi)

In the UK the United Kingdom Accreditation Service (UKAS) accredits Commercial Evaluation Facilities (CLEF) En el Reino Unido el United Kingdom Accreditation Service (UKAS) acredita Comercial de Evaluacioacuten Servicios (CLEF)

In the US the National Institute of Standards and Technology (NIST) National Voluntary Laboratory Accreditation Program (NVLAP) accredits Common Criteria Testing Laboratories (CCTL) En los EEUU el Instituto Nacional de Estaacutendares y Tecnologiacutea (NIST) Nacional Voluntario de Acreditacioacuten de Laboratorios de programa (NVLAP) acredita Common Criteria Testing Laboratories (CCTL)

As well as the Common Criteria standard there is also a sub-treaty level Common Criteria MRA (Mutual Recognition Arrangement) whereby each party thereto recognizes evaluations against the Common Criteria standard done by other parties Asiacute como la norma Common Criteria tambieacuten hay un nivel sub-tratado Common Criteria MRA (Acuerdo de Reconocimiento Mutuo) seguacuten el cual cada parte en el mismo reconoce evaluaciones contra la norma Common Criteria hecho por otras partes Originally signed in 1998 by Canada France Germany the United Kingdom and the United States Australia and New Zealand joined 1999 followed by Finland Greece Israel Italy the Netherlands Norway and Spain in 2000 Firmado originalmente en 1998 por Canadaacute Francia Alemania el Reino Unido y los Estados Unidos Australia y Nueva Zelanda se unioacute a 1999 seguido por Finlandia Grecia Israel Italia Paiacuteses Bajos Noruega y Espantildea en 2000 The Arrangement has since been renamed Common Criteria Recognition Arrangement ( CCRA ) and membership continues to expand El Acuerdo ha sido rebautizado como Common Criteria Recognition Arrangement (CCRA) y de miembros sigue creciendo Within the CCRA only evaluations up to EAL 4 are mutually recognized (Including augmentation with flaw remediation) Dentro de la CCRA soacutelo las evaluaciones hasta EAL 4 son reconocidos mutuamente (incluido el aumento de solucioacuten de fallas) The European countries within the former ITSEC agreement typically recognize higher EALs as well Los paiacuteses de Europa en el acuerdo de ITSEC ex suelen reconocer maacutes Eals tambieacuten Evaluations at EAL5 and above tend to involve the security requirements of the host nations government Evaluaciones en EAL5 y sobre tienden a implicar a los requisitos de seguridad del gobierno del paiacutes anfitrioacuten

Common Criteria is very generic it does not directly provide a list of product security requirements or features for specific (classes of) products this follows the approach taken by ITSEC but has been a source of debate to those used to the more prescriptive approach of other earlier standards such as TCSEC and FIPS 140 -2 Common Criteria es muy geneacuterico no trata directamente de una lista de requisitos de seguridad de producto o de caracteriacutesticas especiacuteficas (clases de) productos esto se sigue el enfoque adoptado por ITSEC pero ha sido motivo de

debate a los utilizados para el enfoque maacutes prescriptivo de otras normas anteriores como TCSEC y FIPS 140 -2

If a product is Common Criteria certified it does not necessarily mean it is completely secure Si un producto es certificado Common Criteria que no necesariamente significa que sea completamente seguro For example various Microsoft Windows versions including Windows Server 2003 and Windows XP have been certified at EAL4+ but regular security patches for security vulnerabilities are still published by Microsoft for these Windows systems Por ejemplo varios Microsoft las versiones de Windows incluyendo Windows Server 2003 y Windows XP se han certificado en EAL4 + pero las revisiones de seguridad regulares de vulnerabilidades de seguridad siguen siendo publicado por Microsoft para estos sistemas Windows This is possible because the process of obtaining a Common Criteria certification allows a vendor to restrict the analysis to certain security features and to make certain assumptions about the operating environment and the strength of threats if any faced by the product in that environment Esto es posible porque el proceso de obtencioacuten de una certificacioacuten Common Criteria permite a un proveedor para restringir el anaacutelisis a elementos de seguridad y para hacer ciertos supuestos sobre el entorno operativo y de la fuerza de las amenazas en su caso ante el producto en ese entorno In this case the assumptions include APEER En este caso las suposiciones incluyen A PEER

Any other systems with which the TOE communicates are assumed to be under the same management control and operate under the same security policy constraints Cualquier otro sistema con el que se comunica el TOE se supone que estaacuten bajo el control de la gestioacuten misma y operar bajo las limitaciones de la misma poliacutetica de seguridad The TOE is applicable to networked or distributed environments only if the entire network operates under the same constraints and resides within a single management domain El TOE es aplicable a entornos distribuidos en red o soacutelo si toda la red funciona bajo las mismas limitaciones y reside dentro de una administracioacuten de dominio uacutenico There are no security requirements that address the need to trust external systems or the communications links to such systems No hay requisitos de seguridad que abordar la necesidad de confiar en sistemas externos o los enlaces de comunicaciones a tales sistemas

as contained in the Controlled Access Protection Profile (CAPP) to which their STs refer que figura en el Controlled Access Protection Profile (CAPP) a las que sus tribus se refieren Based on this and other assumptions which are not realistic for the common use of general-purpose operating systems the claimed security functions of the Windows products are evaluated Con base en esta y otras hipoacutetesis que no son realistas para el uso comuacuten general de los sistemas operativos de propoacutesito las funciones de seguridad afirman que los productos de Windows son evaluados Thus they should only be considered secure in the assumed specified circumstances also known as the evaluated configuration specified by Microsoft Por lo tanto soacutelo debe considerarse seguro en el supuesto determinadas circunstancias tambieacuten conocida como la configuracioacuten evaluada especificado por Microsoft

Whether you run Microsoft Windows in the precise evaluated configuration or not you should apply Microsofts security patches for the vulnerabilities in Windows as they continue to appear Independientemente de que ejecute Microsoft Windows en la configuracioacuten de evaluacioacuten precisa o no usted debe aplicar los parches de seguridad de Microsoft para la vulnerabilidad en Windows ya que siguen apareciendo If any of these security vulnerabilities are exploitable in

the products evaluated configuration the products Common Criteria certification should be voluntarily withdrawn by the vendor Si cualquiera de estas vulnerabilidades de seguridad son explotables en la configuracioacuten de evaluar el producto el producto comuacuten de criterios de certificacioacuten debe ser retirado voluntariamente por el vendedor Alternatively the vendor should re-evaluate the product to include application of patches to fix the security vulnerabilities within the evaluated configuration Alternativamente el proveedor debe volver a evaluar el producto para incluir la aplicacioacuten de parches para reparar las vulnerabilidades de seguridad dentro de la configuracioacuten evaluada Failure by the vendor to take either of these steps would result in involuntary withdrawal of the products certification by the certification body of the country in which the product was evaluated El incumplimiento por el proveedor de llevar a cabo cualquiera de estos pasos como consecuencia la retirada involuntaria de la certificacioacuten del producto por el organismo de certificacioacuten del paiacutes en el que se evaluoacute el producto

The certified Microsoft Windows versions remain at EAL4+ without including the application of any Microsoft security vulnerability patches in their evaluated configuration El certificado de Microsoft Windows versiones permanecer en EAL4 + sin incluir la aplicacioacuten de las revisiones de la vulnerabilidad de seguridad de Microsoft en su configuracioacuten evaluados This shows both the limitation and strength of an evaluated configuration Esto demuestra tanto la limitacioacuten y la fuerza de una configuracioacuten de evaluar

In August 2007 Government Computing News (GCN) columnist William Jackson critically examined Common Criteria methodology and its US implementation by the Common Criteria Evaluation and Validation Scheme (CCEVS) In the column executives from the security industry researchers and representatives from the National Information Assurance Partnership (NIAP) were interviewed En agosto de 2007 Gobierno de Informaacutetica News (GCN) el columnista William Jackson examinado criacuteticamente metodologiacutea comuacuten de criterios y su aplicacioacuten por los EEUU Criterios de evaluacioacuten comuacuten y el esquema de validacioacuten (CCEVS) En la columna de los ejecutivos de la industria de la seguridad investigadores y representantes de la National Information Assurance Partnership (NIAP) fueron entrevistados Objections outlined in the article include Cargos descritos en el artiacuteculo son

Evaluation is a costly process (often measured in hundreds of thousands of US dollars) -- and the vendors return on that investment is not necessarily a more secure product La evaluacioacuten es un proceso costoso (a menudo se mide en cientos de miles de doacutelares EEUU) - y el retorno a los vendedores de esa inversioacuten no es necesariamente un producto maacutes seguro

Evaluation focuses primarily on assessing the evaluation documentation not on the actual security technical correctness or merits of the product itself La evaluacioacuten se centra principalmente en la evaluacioacuten de la documentacioacuten de evaluacioacuten no en la seguridad real la correccioacuten teacutecnica o los meacuteritos del propio producto For US evaluations only at EAL5 and higher do experts from the National Security Agency participate in the analysis and only at EAL7 is code analysis required Para las evaluaciones de los EEUU soacutelo en EAL5 y hacer maacutes expertos de la Agencia de Seguridad Nacional participan en el anaacutelisis y soacutelo en EAL7 es el anaacutelisis de coacutedigo necesario

The effort and time necessary to prepare evaluation evidence and other evaluation-related documentation is so cumbersome that by the time the work is completed the

product in evaluation is generally obsolete El esfuerzo y el tiempo necesario para preparar las pruebas de evaluacioacuten y la evaluacioacuten de la documentacioacuten relacionada con otros es tan complicada que cuando el trabajo esteacute concluido el producto de la evaluacioacuten son generalmente obsoletos

Industry input including that from organizations such as the Common Criteria Vendors Forum generally has little impact on the process as a whole Participacioacuten de la industria incluida la de organizaciones como el Foro de la Distribuidor Common Criteria por lo general tiene poco impacto en el proceso como un todo

In a 2006 research paper computer specialist David A Wheeler suggested that the Common Criteria process discriminates against Free and Open Source Software ( FOSS )-centric organizations and development models [ 3 ] Common Criteria assurance requirements tend to be inspired by the traditional waterfall software development methodology En un documento de 2006 de investigacioacuten especialista en computacioacuten David A Wheeler sugirioacute que el proceso de Common Criteria discrimina a Free and Open Source Software (software libre) y las organizaciones centradas en modelos de desarrollo los requisitos comunes de garantiacutea de los criterios tienden a ser inspirada por la cascada tradicionales metodologiacutea de desarrollo de software In contrast much FOSS software is produced using modern agile paradigms En cambio software libre es producido utilizando los modernos paradigmas aacutegil Although some have argued that both paradigms do not align well others have attempted to reconcile both paradigms Aunque algunos han argumentado que ambos paradigmas no se alinean bien [4] otros han tratado de reconciliar ambos paradigmas

Requerimientos para certificacioacuten ESTANDAR REQUISITO

COSO-SOX 1048633 Establecer un nuevo consejo de vigilancia supervisado por la SEC (Security1048633 Exchange Commision - Comisioacuten de Valores de Estados Unidos)1048633 Definir nuevas funciones y responsabilidades para el comiteacute de auditoriacutea quedebe tener miembros independientes a la administracioacuten1048633 Nuevas reglas para la conformacioacuten de los Consejos de Administracioacuten para queincluyan personas ajenas al grupo de control de la empresa1048633 Que los directivos acompantildeen los reportes con una certificacioacuten personal engeneral se incrementan las responsabilidades de los directores generales y de losdirectores de finanzascopy 2005 - CYBSEC SA Security Systems - 2 -1048633 Coacutedigo de eacutetica para los altos funcionarios de la organizacioacuten1048633 Definir un esquema de medicioacuten del control interno que se apliqueconstantemente1048633 Que los directivos certifiquen el buen funcionamiento de sus sistemas de controlinterno1048633 Establecer nuevos requerimientos de informacioacuten que abarcan cuestiones nofinancieras y financieras que no aparecen en los estados respectivos1048633 El auditor externo tiene que verificar la certificacioacuten del control interno y emitir undictamen al respecto1048633 Rotacioacuten de los auditores cada cinco antildeos1048633 Especificar los servicios que no podraacuten ser realizados por los auditores externos1048633 Reforzar penas por fraudes corporativos y de personal administrativo1048633 Emitir reglas sobre conflictos de intereacutes1048633 Nuevos esquemas de administracioacuten de riesgos1048633 Aumentar la autoridad y funciones de la SEC

COBIT No existe un certificado en las praacutecticas indicadas por CobiT aunque ISACA siacute ofrece la posibilidad a tiacutetulo personal de obtener certificaciones como ldquoCertified InformationrdquoSystems Auditorrdquo (CISA) ldquoCertified Information Security Managerrdquo (CISM) y Certifiedin the Governance of Enterprise IT CGEIT

ISO 270011 Elegir la norma

Antes de que pueda empezar a preparar su solicitud necesita una copia

de la norma Debe leerla y familiarizarse con ella

Puede adquirir ISOIEC 27001 e ISOIEC 17799 en liacutenea en nuestra Web

2 Contactar

Poacutengase en contacto con nosotros y expliacutequenos lo que necesita para que podamos elegir los mejores servicios para usted A continuacioacuten le haremos una propuesta detallando el coste y el tiempo que supone una evaluacioacuten formal

3 Cita con el equipo de evaluacioacuten

Le asignaremos un responsable de cliente que seraacute el principal punto de contacto durante todo el proceso y mucho maacutes que eso Seraacute una persona con excelentes conocimientos de su aacuterea de actividad y le prestaraacute ayuda en el camino hacia la evaluacioacuten y el registro de su sistema de gestioacuten de seguridad de la informacioacuten

4 Considerar la formacioacuten

Si va a implantar un sistema de gestioacuten o bien si desea ampliar sus conocimientos generales de la norma dispone de una serie de talleres seminarios y cursos Maacutes informacioacuten sobre la formacioacuten

5 Revisioacuten y evaluacioacuten

Podemos hacer un anaacutelisis de los procesos operativos de su sistema de gestioacuten de seguridad de la informacioacuten existente seguacuten la norma e identificar cualquier omisioacuten o punto deacutebil que deba resolverse antes de la evaluacioacuten formal Una vez resueltas las posibles incidencias llevaremos a cabo una evaluacioacuten exhaustiva en sus instalaciones

6 Certificacioacuten y mucho maacutes

Una vez concluida correctamente la evaluacioacuten emitimos un certificado de registro que explica claramente el alcance de la certificacioacuten El certificado tiene una validez de tres antildeos y el asesor le visitaraacute regularmente para ayudarle a garantizar que continuacutea cumpliendo con los requisitos y apoyarle en la mejora continua de los sistemas

CMMISO 2000 1 Guiacuteas y descripciones generales no se enuncia ninguacuten requisito

1 Generalidades2 Reduccioacuten en el alcance

2 Normativas de referencia3 Teacuterminos y definiciones4 Sistema de gestioacuten contiene los requisitos generales y los

requisitos para gestionar la documentacioacuten1 Requisitos generales2 Requisitos de documentacioacuten

5 Responsabilidades de la Direccioacuten contiene los requisitos que debe cumplir la direccioacuten de la organizacioacuten tales como definir la poliacutetica asegurar que las responsabilidades y autoridades estaacuten definidas aprobar objetivos el compromiso de la direccioacuten con la calidad etc

1 Requisitos generales2 Requisitos del cliente3 Poliacutetica de calidad4 Planeacioacuten5 Responsabilidad autoridad y comunicacioacuten6 Revisioacuten gerencial

6 Gestioacuten de los recursos la Norma distingue 3 tipos de recursos sobre los cuales se debe actuar RRHH infraestructura y ambiente de trabajo Aquiacute se contienen los requisitos exigidos en su gestioacuten

1 Requisitos generales2 Recursos humanos3 Infraestructura4 Ambiente de trabajo

7 Realizacioacuten del producto aquiacute estaacuten contenidos los requisitos puramente productivos desde la atencioacuten al cliente hasta la entrega del producto o el servicio

1 Planeacioacuten de la realizacioacuten del producto yo servicio2 Procesos relacionados con el cliente3 Disentildeo y desarrollo4 Compras5 Operaciones de produccioacuten y servicio6 Control de dispositivos de medicioacuten inspeccioacuten y

monitoreo8 Medicioacuten anaacutelisis y mejora aquiacute se situacutean los requisitos para los

procesos que recopilan informacioacuten la analizan y que actuacutean en consecuencia El objetivo es mejorar continuamente la capacidad de la organizacioacuten para suministrar productos que cumplan los requisitos(pero nadie lo toma en serio (eso es muy generalizado)) El objetivo declarado en la Norma es que la organizacioacuten busque sin descanso la satisfaccioacuten del cliente a traveacutes del cumplimiento de los requisitos

1 Requisitos generales2 Seguimiento y medicioacuten3 Control de producto no conforme4 Anaacutelisis de los datos para mejorar el desempentildeo

5 Mejora

ITILCursos de Capacitacioacuten Fundamentos de ITIL

Este Curso de Capacitacioacuten en Fundamentos de ITIL permite adquirir los Conocimientos necesarios y Terminologiacutea propia de cada Proceso ITIL Roles Meacutetricas y Relaciones entre Procesos Adicionalmente prepara al alumno para tomar el examen de certificacioacuten internacional ldquoITIL Foundationrdquo Entregables Manual del Alumno y Certificado de Asistencia

Existen tres niveles de certificacioacuten ITIL para profesionales

Foundation Certificate (Certificado Baacutesico)

acredita un conocimiento baacutesico de ITIL en gestioacuten de servicios de tecnologiacuteas de la informacioacuten y la comprensioacuten de la terminologiacutea propia de ITIL Estaacute destinado a aquellas personas que deseen conocer las buenas praacutecticas especificadas en ITIL El examen para conseguir este certificado se puede hacer en ingleacutes franceacutes espantildeol alemaacuten portugueacutes chino japoneacutes y ruso

Practitioners Certificate (Certificado de Responsable)

bull Destinado a quienes tienen responsabilidad en el disentildeo de procesos de administracioacuten de departamentos de tecnologiacuteas de la informacioacuten y en la planificacioacuten de las actividades asociadas a los procesos Este examen soacutelo se puede hacer en ingleacutes

Managers Certificate (Certificado de Director)

bull Garantiza que quien lo posee dispone de profundos conocimientos en todas las materias relacionadas con la administracioacuten de departamentos de tecnologiacuteas de la informacioacuten y lo habilita para dirigir la implantacioacuten de soluciones basadas en ITIL Este examen se puede hacer en ingleacutes alemaacuten y ruso

Orange Book 1 Guiacuteas y descripciones generales no se enuncia ninguacuten requisito1 Generalidades2 Reduccioacuten en el alcance


requisitos para gestionar la documentacioacuten

1 Requisitos generales2 Requisitos de documentacioacuten









1 Requisitos generales2 Seguimiento y medicioacuten3 Control de producto no conforme4 Anaacutelisis de los datos para mejorar el desempentildeo5 Mejora

ISACA IT Governance Framework (25) Definir establecer y mantener un marco de gobernanza de TI (liderazgo estructuras organizacionales y

procesos) para garantizar la alineacioacuten con la gobernanza empresarial el control de la informacioacuten empresarial y medio ambiente tecnologiacutea de la informacioacuten mediante la aplicacioacuten de buenas praacutecticas y asegurar el cumplimiento de los requisitos externos

Alineamiento estrateacutegico (15) Aseguacuterese de que permite y apoya el logro de los objetivos de negocio mediante la integracioacuten de los planes estrateacutegicos de TI con planes estrateacutegicos de negocios y la alineacioacuten de los servicios de TI con las operaciones de la empresa para optimizar procesos de negocios

Entrega de valor (15) Garantizar que eacutesta y la empresa cumplir con sus responsabilidades de gestioacuten de valor las inversiones de empresas habilitadas para alcanzar los beneficios que prometiacutea y entregar valor de negocio mensurable tanto individual como colectivamente de que las capacidades necesarias (las soluciones y servicios) se entregan a tiempo y dentro del presupuesto y que servicios de TI y otros activos de TI que sigan contribuyendo a valor de negocio

Gestioacuten de Riesgos (20) Aseguacuterese de que los marcos pertinentes existen y estaacuten alineados con las normas pertinentes para identificar evaluar mitigar gestionar comunicar y monitorear los riesgos de TI negocios relacionados como parte integrante del entorno de la gobernanza de empresa

Gestioacuten de recursos (13) Aseguacuterese de que tiene suficiente competente y capaz de recursos para ejecutar los objetivos estrateacutegicos actuales y futuras y mantener las demandas withbusiness mediante la optimizacioacuten de la inversioacuten utilizacioacuten y asignacioacuten de activos de TI

Medicioacuten del Desempentildeo (12) Garantizar que las actividades de apoyo de TI metas objetivos y se establecen medidas en colaboracioacuten con las principales partes interesadas y que se establecen objetivos medibles seguimiento y evaluacioacuten

Common Criteria

Common Criteria es muy geneacuterico no trata directamente de una lista de requisitos de seguridad de producto o de caracteriacutesticas especiacuteficas (clases de) productos esto se sigue el enfoque adoptado por ITSEC pero ha sido motivo de debate a los utilizados para el enfoque maacutes prescriptivo de otras normas anteriores como TCSEC y FIPS 140 -2

Matriz FODAFortalezas Oportunidades Debilidades Amenazas

COSO-SOX Es considerado como un enfoque voluntario para implementar las mejores praacutecticas dado que se refieren a un ambiente de control sano Se ha establecido como el paraacutemetro de comparacioacuten para determinar el cumplimiento con la ley




COBIT Propone un marco de accioacuten donde se evaluacutean los criterios de informacioacuten como por ejemplo la seguridad y calidad se auditan los recursos que comprenden la tecnologiacutea de informacioacuten como por ejemplo el recurso humano instalaciones sistemas entre otros y finalmente se realiza una evaluacioacuten sobre los procesos involucrados en la organizacioacuten

Es un modelo para auditar la gestioacuten y control de los sistemas de informacioacuten y tecnologiacutea orientado a todos los sectores de una organizacioacuten es decir administradores IT usuarios y por supuesto los auditores involucrados en el proceso

ISO 27001 Es la uacutenica norma internacional auditable que define los requisitos para un sistema de gestioacuten de la seguridad de la

Es una norma adecuada para cualquier organizacioacuten grande o pequentildea de cualquier sector o parte del mundo

informacioacutenCMMISO 2000 Es el organismo

encargado de promover el desarrollo de normas internacionales de fabricacioacuten comercio y comunicacioacuten para todas las ramas industriales a excepcioacuten de la eleacutectrica y la electroacutenica

Orientacioacuten al ClienteLiderazgoImplicacioacutenEnfoque de procesoEnfoque de sistemaMejora continuaToma de decisionesbasadas en hechosRelaciones de beneficio mutuo con proveedores

ITIL Es un marco de trabajo de las buenas praacutecticas destinadas a facilitar la entrega de servicios de tecnologiacuteas de la informacioacuten

Orange Book

ISACA Es una asociacioacuten profesional internacional que se ocupa de IT Governance

Common Criteria

Es una norma internacional para la certificacioacuten de seguridad de la computadora

Bibliographybsigroup (sf) Recuperado el 1 de marzo de 2010 de httpwwwbsigroupesescertificacion-y-

auditoriaSistemas-de-gestionestandares-esquemasISOIEC-27001

buscaportal (sf) Recuperado el 1 de marso de 2010 de httpwwwbuscarportalcomarticulosiso_9001_gestion_calidadhtml

eltiempo (sf) Recuperado el 3 de marzo de 2010 de httpwwweltiempocomparticipacionblogsdefaultun_articulophpid_blog=3516456ampid_recurso=450001017

iaia (sf) Recuperado el 3 de marzo de 2010 de httpwwwiaiaorgarelauditorinterno05articulo2html

mmujica (sf) Recuperado el 3 de marzo de 2010 de httpmmujicawordpresscom20070112estandares-de-seguridad

udenar (sf) Recuperado el 2 de marzo de 2010 de wwwudenareducoESTC1NDARES20DE20CALIDADdoc

unal (sf) Recuperado el 1 de marzo de 2010 de httpwwwunaleducoseguridaddocumentosestandares_de_seguridad_internacionalespdf

Estaacutendar




COSO-SOX



COBIT



Directrices

ISO 27001

CMM

ISO 2000

ITIL

Orange Book

ISACA

Common Criteria

Requerimientos para certificacioacuten

1 Elegir la norma

2 Contactar





Cursos de Capacitacioacuten Fundamentos de ITIL






Matriz FODA

Bibliography

Investigar y plasmar en la red social el concepto de estaacutendar estaacutendar de seguridad informaacutetica modelo y estrategia de seguridad informaacutetica

Estaacutendar

De acuerdo con la definicioacuten de la Real Academia Espantildeola ldquoestaacutendar es aquello que sirve como tipo modelo norma patroacuten o referenciardquo


Mejora la seguridad de los sistemas de procesamiento de datos y la transferencia de informacioacuten en las organizaciones Los Estaacutendares de seguridad estaacuten disentildeados para contrarrestar los ataques a la seguridad y hacen uso de uno o maacutes mecanismos de seguridad para proporcionar los servicios asegurando la continuidad de las empresas

Existen varios estaacutendares internacionales relacionados con seguridad informaacutetica que se consideran importantes en la actualidad o que deben ser referenciados por su importancia histoacuterica En este sentido estaacuten clasificados en seis (6) clases de estaacutendares como son para la administracioacuten de seguridad de la informacioacuten para evaluacioacuten de seguridad en sistemas para desarrollo de aplicaciones para servicios financieros para riesgos y para autenticacioacuten


Los Modelos de seguridad informaacutetica comprenden las vulnerabilidades no como fenoacutemenos puntuales sino sisteacutemicos es decir relacionales que son resultado de la interaccioacuten de muacuteltiples elementos y cuya explicacioacuten no se encuentra en uno en particular sino en la riqueza de las relaciones que se hagan expliacutecitas

Un modelo de seguridad resistente comprende los riesgos de manera interdependiente y reconoce que debe estar preparado ante un inesperado giro de las vulnerabilidades Auacuten cuando el modelo sea retado por la materializacioacuten de la falla eacuteste puede continuar sus operaciones por un lado atendiendo la situacioacuten fuera de control y por otro manteniendo la funcionalidad del sistema

Lograr un modelo de seguridad es comprender la complementariedad entre la seguridad y la inseguridad de la informacioacuten es apostar a las probabilidades para aprender maacutes que a los pronoacutesticos de eacutexito de una vulnerabilidad La resistencia de un modelo de seguridad es directamente proporcional a su capacidad y habilidad para enfrentar una discontinuidad generada por la materializacioacuten de la inseguridad

Es tiempo de volver a repensar nuestros modelos de seguridad de la informacioacuten maacutes allaacute de los escenarios tradicionales de continuidad y contingencia para hacer de los riesgos fuentes de ventaja competitiva y diferenciadores estrateacutegicos para la organizacioacuten y sus clientes


COSO-SOX

















Ambiente de Control


















COBIT















directorios




riesgos








deseada








Directrices















Modelo COBIT





















convenidos









AI6 Manage changes










seguridad













DS11 Manage data











Maturity Model












necesidad


















fragmentada





empresa

ISO 27001

Autores


Concepto



























CMM

ISO 2000Autores















Nomenclatura










ITIL

Autores


Definiciones











Orange Book





Nivel D


















ISACA

Fundadores


Conceptos






Common Criteria
































2 Contactar























5 Mejora






























Common Criteria















Orange Book


Common Criteria










Estaacutendar




COSO-SOX



COBIT



Directrices

ISO 27001

CMM

ISO 2000

ITIL

Orange Book

ISACA

Common Criteria


1 Elegir la norma

2 Contactar











Matriz FODA

Bibliography


COSO-SOX

















Ambiente de Control


















COBIT















directorios




riesgos








deseada








Directrices















Modelo COBIT





















convenidos









AI6 Manage changes










seguridad













DS11 Manage data











Maturity Model












necesidad


















fragmentada





empresa

ISO 27001

Autores


Concepto



























CMM

ISO 2000Autores















Nomenclatura










ITIL

Autores


Definiciones











Orange Book





Nivel D


















ISACA

Fundadores


Conceptos






Common Criteria
































2 Contactar























5 Mejora






























Common Criteria















Orange Book


Common Criteria










Estaacutendar




COSO-SOX



COBIT



Directrices

ISO 27001

CMM

ISO 2000

ITIL

Orange Book

ISACA

Common Criteria


1 Elegir la norma

2 Contactar











Matriz FODA

Bibliography











Ambiente de Control


















COBIT















directorios




riesgos








deseada








Directrices















Modelo COBIT





















convenidos









AI6 Manage changes










seguridad













DS11 Manage data











Maturity Model












necesidad


















fragmentada





empresa

ISO 27001

Autores


Concepto



























CMM

ISO 2000Autores















Nomenclatura










ITIL

Autores


Definiciones











Orange Book





Nivel D


















ISACA

Fundadores


Conceptos






Common Criteria
































2 Contactar























5 Mejora






























Common Criteria















Orange Book


Common Criteria










Estaacutendar




COSO-SOX



COBIT



Directrices

ISO 27001

CMM

ISO 2000

ITIL

Orange Book

ISACA

Common Criteria


1 Elegir la norma

2 Contactar











Matriz FODA

Bibliography














COBIT















directorios




riesgos








deseada








Directrices















Modelo COBIT





















convenidos









AI6 Manage changes










seguridad













DS11 Manage data











Maturity Model












necesidad


















fragmentada





empresa

ISO 27001

Autores


Concepto



























CMM

ISO 2000Autores















Nomenclatura










ITIL

Autores


Definiciones











Orange Book





Nivel D


















ISACA

Fundadores


Conceptos






Common Criteria
































2 Contactar























5 Mejora






























Common Criteria















Orange Book


Common Criteria










Estaacutendar




COSO-SOX



COBIT



Directrices

ISO 27001

CMM

ISO 2000

ITIL

Orange Book

ISACA

Common Criteria


1 Elegir la norma

2 Contactar











Matriz FODA

Bibliography


directorios




riesgos








deseada








Directrices















Modelo COBIT





















convenidos









AI6 Manage changes










seguridad













DS11 Manage data











Maturity Model












necesidad


















fragmentada





empresa

ISO 27001

Autores


Concepto



























CMM

ISO 2000Autores















Nomenclatura










ITIL

Autores


Definiciones











Orange Book





Nivel D


















ISACA

Fundadores


Conceptos






Common Criteria
































2 Contactar























5 Mejora






























Common Criteria















Orange Book


Common Criteria










Estaacutendar




COSO-SOX



COBIT



Directrices

ISO 27001

CMM

ISO 2000

ITIL

Orange Book

ISACA

Common Criteria


1 Elegir la norma

2 Contactar











Matriz FODA

Bibliography

Directrices















Modelo COBIT





















convenidos









AI6 Manage changes










seguridad













DS11 Manage data











Maturity Model












necesidad


















fragmentada





empresa

ISO 27001

Autores


Concepto



























CMM

ISO 2000Autores















Nomenclatura










ITIL

Autores


Definiciones











Orange Book





Nivel D


















ISACA

Fundadores


Conceptos






Common Criteria
































2 Contactar























5 Mejora






























Common Criteria















Orange Book


Common Criteria










Estaacutendar




COSO-SOX



COBIT



Directrices

ISO 27001

CMM

ISO 2000

ITIL

Orange Book

ISACA

Common Criteria


1 Elegir la norma

2 Contactar











Matriz FODA

Bibliography











convenidos









AI6 Manage changes










seguridad













DS11 Manage data











Maturity Model












necesidad


















fragmentada





empresa

ISO 27001

Autores


Concepto



























CMM

ISO 2000Autores















Nomenclatura










ITIL

Autores


Definiciones











Orange Book





Nivel D


















ISACA

Fundadores


Conceptos






Common Criteria
































2 Contactar























5 Mejora






























Common Criteria















Orange Book


Common Criteria










Estaacutendar




COSO-SOX



COBIT



Directrices

ISO 27001

CMM

ISO 2000

ITIL

Orange Book

ISACA

Common Criteria


1 Elegir la norma

2 Contactar











Matriz FODA

Bibliography









seguridad













DS11 Manage data











Maturity Model












necesidad


















fragmentada





empresa

ISO 27001

Autores


Concepto



























CMM

ISO 2000Autores















Nomenclatura










ITIL

Autores


Definiciones











Orange Book





Nivel D


















ISACA

Fundadores


Conceptos






Common Criteria
































2 Contactar























5 Mejora






























Common Criteria















Orange Book


Common Criteria










Estaacutendar




COSO-SOX



COBIT



Directrices

ISO 27001

CMM

ISO 2000

ITIL

Orange Book

ISACA

Common Criteria


1 Elegir la norma

2 Contactar











Matriz FODA

Bibliography










Maturity Model












necesidad


















fragmentada





empresa

ISO 27001

Autores


Concepto



























CMM

ISO 2000Autores















Nomenclatura










ITIL

Autores


Definiciones











Orange Book





Nivel D


















ISACA

Fundadores


Conceptos






Common Criteria
































2 Contactar























5 Mejora






























Common Criteria















Orange Book


Common Criteria










Estaacutendar




COSO-SOX



COBIT



Directrices

ISO 27001

CMM

ISO 2000

ITIL

Orange Book

ISACA

Common Criteria


1 Elegir la norma

2 Contactar











Matriz FODA

Bibliography







necesidad


















fragmentada





empresa

ISO 27001

Autores


Concepto



























CMM

ISO 2000Autores















Nomenclatura










ITIL

Autores


Definiciones











Orange Book





Nivel D


















ISACA

Fundadores


Conceptos






Common Criteria
































2 Contactar























5 Mejora






























Common Criteria















Orange Book


Common Criteria










Estaacutendar




COSO-SOX



COBIT



Directrices

ISO 27001

CMM

ISO 2000

ITIL

Orange Book

ISACA

Common Criteria


1 Elegir la norma

2 Contactar











Matriz FODA

Bibliography





fragmentada





empresa

ISO 27001

Autores


Concepto



























CMM

ISO 2000Autores















Nomenclatura










ITIL

Autores


Definiciones











Orange Book





Nivel D


















ISACA

Fundadores


Conceptos






Common Criteria
































2 Contactar























5 Mejora






























Common Criteria















Orange Book


Common Criteria










Estaacutendar




COSO-SOX



COBIT



Directrices

ISO 27001

CMM

ISO 2000

ITIL

Orange Book

ISACA

Common Criteria


1 Elegir la norma

2 Contactar











Matriz FODA

Bibliography

























CMM

ISO 2000Autores















Nomenclatura










ITIL

Autores


Definiciones











Orange Book





Nivel D


















ISACA

Fundadores


Conceptos






Common Criteria
































2 Contactar























5 Mejora






























Common Criteria















Orange Book


Common Criteria










Estaacutendar




COSO-SOX



COBIT



Directrices

ISO 27001

CMM

ISO 2000

ITIL

Orange Book

ISACA

Common Criteria


1 Elegir la norma

2 Contactar











Matriz FODA

Bibliography







Nomenclatura










ITIL

Autores


Definiciones











Orange Book





Nivel D


















ISACA

Fundadores


Conceptos






Common Criteria
































2 Contactar























5 Mejora






























Common Criteria















Orange Book


Common Criteria










Estaacutendar




COSO-SOX



COBIT



Directrices

ISO 27001

CMM

ISO 2000

ITIL

Orange Book

ISACA

Common Criteria


1 Elegir la norma

2 Contactar











Matriz FODA

Bibliography






ITIL

Autores


Definiciones











Orange Book





Nivel D


















ISACA

Fundadores


Conceptos






Common Criteria
































2 Contactar























5 Mejora






























Common Criteria















Orange Book


Common Criteria










Estaacutendar




COSO-SOX



COBIT



Directrices

ISO 27001

CMM

ISO 2000

ITIL

Orange Book

ISACA

Common Criteria


1 Elegir la norma

2 Contactar











Matriz FODA

Bibliography









Orange Book





Nivel D


















ISACA

Fundadores


Conceptos






Common Criteria
































2 Contactar























5 Mejora






























Common Criteria















Orange Book


Common Criteria










Estaacutendar




COSO-SOX



COBIT



Directrices

ISO 27001

CMM

ISO 2000

ITIL

Orange Book

ISACA

Common Criteria


1 Elegir la norma

2 Contactar











Matriz FODA

Bibliography











ISACA

Fundadores


Conceptos






Common Criteria
































2 Contactar























5 Mejora






























Common Criteria















Orange Book


Common Criteria










Estaacutendar




COSO-SOX



COBIT



Directrices

ISO 27001

CMM

ISO 2000

ITIL

Orange Book

ISACA

Common Criteria


1 Elegir la norma

2 Contactar











Matriz FODA

Bibliography


Common Criteria
































2 Contactar























5 Mejora






























Common Criteria















Orange Book


Common Criteria










Estaacutendar




COSO-SOX



COBIT



Directrices

ISO 27001

CMM

ISO 2000

ITIL

Orange Book

ISACA

Common Criteria


1 Elegir la norma

2 Contactar











Matriz FODA

Bibliography




























2 Contactar























5 Mejora






























Common Criteria















Orange Book


Common Criteria










Estaacutendar




COSO-SOX



COBIT



Directrices

ISO 27001

CMM

ISO 2000

ITIL

Orange Book

ISACA

Common Criteria


1 Elegir la norma

2 Contactar











Matriz FODA

Bibliography












5 Mejora






























Common Criteria















Orange Book


Common Criteria










Estaacutendar




COSO-SOX



COBIT



Directrices

ISO 27001

CMM

ISO 2000

ITIL

Orange Book

ISACA

Common Criteria


1 Elegir la norma

2 Contactar











Matriz FODA

Bibliography


















Common Criteria















Orange Book


Common Criteria










Estaacutendar




COSO-SOX



COBIT



Directrices

ISO 27001

CMM

ISO 2000

ITIL

Orange Book

ISACA

Common Criteria


1 Elegir la norma

2 Contactar











Matriz FODA

Bibliography














Orange Book


Common Criteria










Estaacutendar




COSO-SOX



COBIT



Directrices

ISO 27001

CMM

ISO 2000

ITIL

Orange Book

ISACA

Common Criteria


1 Elegir la norma

2 Contactar











Matriz FODA

Bibliography









Estaacutendar




COSO-SOX



COBIT



Directrices

ISO 27001

CMM

ISO 2000

ITIL

Orange Book

ISACA

Common Criteria


1 Elegir la norma

2 Contactar











Matriz FODA

Bibliography

proyecto integrador etapa i

Documents