Modelos de seguridad informtica

Modelo Itil
Qu es ITIL?
Desarrollada a finales de 1980, la Biblioteca de
Infraestructura de Tecnologas de la Informacin (ITIL)
se ha convertido en el estndar mundial de de facto en la
Gestin de Servicios Informticos. Iniciado como una
gua para el gobierno de UK, la estructura base ha
demostrado ser til para las organizaciones en todos los
sectores a travs de su adopcin por innumerables
compaas como base para consulta, educacin y
soporte de herramientas de software. Hoy, ITIL es
conocido y utilizado mundialmente. Pertenece a la OGC,
pero es de libre utilizacin.
ITIL fue desarrollada al reconocer que las
organizaciones dependen cada vez ms de la Informtica
para alcanzar sus objetivos corporativos. Esta
dependencia en aumento ha dado como resultado una
necesidad creciente de servicios informticos de calidad
que se correspondan con los objetivos del negocio, y que
satisfagan los requisitos y las expectativas del cliente. A
travs de los aos, el nfasis pas de estar sobre el
desarrollo de las aplicaciones TI a la gestin de servicios
TI. La aplicacin TI (a veces nombrada como un sistema
de informacin) slo contribuye a realizar los objetivos
corporativos si el sistema est a disposicin de los
usuarios y, en caso de fallos o modificaciones
necesarias, es soportado por los procesos de
mantenimiento y operaciones.
Ventajas y Desventajas
Ventajas
1. La entrega de servicios TI se orienta ms al cliente
y los acuerdos sobre la calidad del servicio
mejoran la relacin.
2. Se describen mejor los servicios, en un lenguaje
ms cmodo para el cliente, y con mayores
detalles.
3. Se manejan mejor la calidad y el costo del servicio
4. La organizacin TI desarrolla una estructura ms
clara, se vuelve ms eficaz, y se centra ms en los
objetivos corporativos.
5. La administracin tiene ms control y los cambios
resultan ms fciles de manejar.
6. Una estructura de proceso eficaz brinda un marco
para concretar de manera ms eficaz el
outsourcing de los elementos de los servicios TI.
7. Seguir las mejores prcticas de ITIL alienta el
cambio cultural hacia la provisin de servicio, y
sustenta la introduccin de un sistema de
administracin de calidad basado en las series
ISO 9000.




Desventajas
1. Su introduccin puede llevar tiempo y bastante
esfuerzo, y supone un cambio de cultura en la
organizacin. Una introduccin demasiado ambiciosa
puede llevar a la frustracin porque nunca se
alcanzan los objetivos.
2. Si la estructura de procesos se convierte en un
objetivo en s misma, la calidad del servicio se puede
ver afectada de forma adversa. En ese caso, los
procedimientos se transforman en obstculos
burocrticos que tratan de evitarse en lo posible.
3. No hay progreso por la falta de comprensin sobre lo
que deben dar los procesos, cules son los
indicadores de desempeo, y cmo se controlan los
procesos.
4. No se ven las reducciones de costo y la mejora en la
entrega de los servicios.
Cul es su funcin?
ITIL es una herramienta de trabajo muy valiosa para
gestionar servicios TI pero debe ser utilizada
adecuadamente. El exceso o la falta de criterio es su
aplicacin, han hecho que en la prctica haya ms
fracasos que xitos en su utilizacin, las principales
causas de fracaso en los proyectos de implementacin
de ITIL son:
Falta de reflexin sobre el concepto de servicio
Falta de instrucciones de trabajo.
Falta de compromiso. La gestin de servicios basada en
ITIL no es un proyecto, es un cambio cultural y as
debe abordarse.
2.-No basta con tener la herramienta hay que saber
aplicarla.
3.-Confusiones de conceptos de ITIL.
Cobit
El COBIT es precisamente un modelo para auditar la
gestin y control de los sistemas de informacin y
tecnologa, orientado a todos los sectores de una
organizacin, es decir, administradores IT, usuarios y por
supuesto, los auditores involucrados en el proceso. El
COBIT es un modelo de evaluacin y monitoreo que
enfatiza en el control de negocios y la seguridad IT y que
abarca controles especficos de IT desde una perspectiva
de negocios.
Las siglas COBIT significan Objetivos de Control para
Tecnologa de Informacin y Tecnologas relacionadas
(Control Objectives for Information Systems and related
Technology). El modelo es el resultado de una
investigacin con expertos de varios pases, desarrollado
por ISACA (Information Systems Audit and Control
Association).
COBIT, lanzado en 1996, es una herramienta de
gobierno de TI que ha cambiado la forma en que trabajan
los profesionales de tecnologa. Vinculando tecnologa


informtica y prcticas de control, el modelo COBIT
consolida y armoniza estndares de fuentes globales
prominentes en un recurso crtico para la gerencia, los
profesionales de control y los auditores.
COBIT se aplica a los sistemas de informacin de toda la
empresa, incluyendo los computadores personales y las
redes. Est basado en la filosofa de que los recursos TI
necesitan ser administrados por un conjunto de procesos
naturalmente agrupados para proveer la informacin
pertinente y confiable que requiere una organizacin para
lograr sus objetivos.
Misin del COBIT
Buscar, desarrollar, publicar y promover un autoritario y
actualizado conjunto internacional de objetivos de control
de tecnologas de la informacin, generalmente
aceptadas, para el uso diario por parte de gestores de
negocio y auditores.
BENEFICIOS COBIT
1.-Mejor alineacin basada en una focalizacin sobre el
negocio.
2.-Visin comprensible de TI para su administracin.
3.-Clara definicin de propiedad y responsabilidades.
4.-Aceptabilidad general con terceros y entes
reguladores.
5.-Entendimiento compartido entre todos los interesados
basados en un lenguaje comn.
6.-Cumplimiento global de los requerimientos de TI
planteados en el Marco de Control Interno de Negocio
COSO.
Estructura
La estructura del modelo COBIT propone un marco de
accin donde se evalan los criterios de informacin,
como por ejemplo la seguridad y calidad, se auditan los
recursos que comprenden la tecnologa de informacin,
como por ejemplo el recurso humano, instalaciones,
sistemas, entre otros, y finalmente se realiza una
evaluacin sobre los procesos involucrados en la
organizacin.
"La adecuada implementacin de un modelo COBIT en
una organizacin, provee una herramienta automatizada,
para evaluar de manera gil y consistente el
cumplimiento de los objetivos de control y controles
detallados, que aseguran que los procesos y recursos de
informacin y tecnologa contribuyen al logro de los
objetivos del negocio en un mercado cada vez ms
exigente, complejo y diversificado.




Ventajas y Desventajas COBIT
Ventajas
1.-La toma de decisiones para niveles gerenciales es
ms eficaz, porque COBIT ayuda la direccin en la
definicin de un plan de TI estratgico, la definicin de la
arquitectura de la informacin, la adquisicin del
hardware necesario TI y el software para ejecutar una
estrategia TI, la aseguracin del servicio continuo, y la
supervisin del funcionamiento del sistema T
2.-Los usuarios se benefician de COBIT debido al
aseguramiento proporcionado a ellos si los usos que
ayudan en la reunin, el tratamiento, y el reportaje de
informacin cumplen con COBIT ya que esto implica
mandos y la seguridad es en el lugar para gobernar los
procesos.
3.-A interventores porque esto les ayuda a identificar
cuestiones de control de TI dentro de la infraestructura TI
de una empresa. Esto tambin les ayuda a corroborar
sus conclusiones de auditora.
Desventajas
Las buenas prcticas de COBIT estn enfocadas
fuertemente en el control y de menor forma en la
ejecucin. El marco de referencia mejora las reas de TI
desde el punto de vista solamente del gobierno
corporativo. COBIT es un modelo ambicioso que requiere
de un profundo estudio para realizar la implementacin
dentro de la organizacin.
1.-Los estndares no cubren todos los temas en detalle.
2.-No existe un estndar que abarque todos los temas
(gestin, seguridad, calidad, desarrollo, continuidad,
etc.).
3.-Se requiere de un esfuerzo de la organizacin, para
adoptar los estndares.
4.-Evolucin Gestin aceptado internacionalmente que
se adopta por las empresas y se Contemple en el da a
da por los gerentes de negocio.
5.-Enfatiza el cumplimiento regulatorio, ayuda a las
organizaciones a incrementar su valor a travs de las
tecnologas, y permite su alineamiento con los objetivos
del negocio
6.-Los dominios son Planear y Organizar, Adquirir e
Implementar, Entregar y Dar Soporte y Monitorear y
Evaluar.


7.-A veces proporciona un modelo de procesos de
referencia y un lenguaje comn para todos los implicados
en los trabajos de la organizacin.
8.-Se pueden tomar decisiones de TI e inversin de las
infraestructuras de TI.
CUL ES SU FUNCIN?
OBIT es un marco de trabajo para el control de los
Sistemas de Informacin (TI) globalmente aceptado
basado en estndares de la industria y mejores prcticas.
Una vez implantado, los ejecutivos pueden asegurarse
de que la Tecnologa de la Informacin (TI) se
encuentran alineada con los objetivos corporativos de
manera eficaz y de que el uso de TI est correctamente
orientado hacia la obtencin de ventajas competitivas.
Desarrollado por el Instituto de Administracin de las
Tecnologas de la Informacin (TI Governance Institute),
COBIT provee a los ejecutivos de un lenguaje comn
para comunicar las metas, objetivos y resultados a los
profesionales de auditora, de TI y a otros profesionales.
ISM3
(Information Security Management Maturity Model, que
se pronuncia ISM), es un estndar de ISECOM para la
gestin de la seguridad de la informacin. Est pensado
para una mejorar la integracin con otras metodologas y
normas como COBIT, ITIL o CMMI. Ofrece muchas
ventajas para la creacin de sistemas de gestin de la
seguridad de la informacin.
ISM3 pretende alcanzar un nivel de seguridad definido,
tambin conocido como riesgo aceptable, en lugar de
buscar la invulnerabilidad. ISM3 ve como objetivo la
seguridad de la informacin, el garantizar la consecucin
de objetivos de negocio. La visin tradicional de que la
seguridad de la informacin trata de la prevencin de
ataques es incompleta. ISM3 relaciona directamente los
objetivos de negocio (como entregar productos a tiempo)
de una organizacin con los objetivos de seguridad
(como dar acceso a las bases de datos slo a los
usuarios autorizados).
Algunas caractersticas significativas de ISM3 son:
Mtricas de Seguridad de la Informacin: "Lo que no se
puede medir, no se puede gestionar, y lo que no se
puede gestionar, no se puede mejorar", ISM3 hace de la
seguridad un proceso medible mediante mtricas de
gestin de procesos, siendo probablemente el primer
estndar que lo hace. Esto permite la mejora continua del
proceso, dado que hay criterios para medir la eficacia y
eficiencia de los sistemas de gestin de seguridad de la
informacin.


Niveles de Madurez: ISM3 se adapta tanto a
organizaciones maduras como a emergentes mediante
sus niveles de madurez, los cuales se adaptan a los
objetivos de seguridad de la organizacin y a los
recursos que estn disponibles. Basado en Procesos:
ISM3 est basado en procesos, lo que lo hace
especialmente atractivo para organizaciones que tienen
experiencia con ISO9001 o que utilizan ITIL como
modelo de gestin de TIC. El uso de ISM3 fomenta la
colaboracin entre proveedores y usuarios de seguridad
de la informacin, dado que la externalizacin de
procesos de seguridad se simplifica gracias a
mecanismos explcitos, como los ANS y la distribucin de
responsabilidades.
ESTNDARES INTERNACIONAL DE
SEGURIDAD INFORMTICA
BS 17799
Seguridad informtica BS 17799 es un cdigo de
prcticas o de orientacin o documento de referencia se
basa en las mejores prcticas de seguridad de la
informacin, esto define un proceso para evaluar,
implementar, mantener y administrar la seguridad de la
informacin.
Caractersticas
BS 17799 se basa en BS 7799-1 de control consta de 11
secciones, 39 objetivos de control y controles de 134 no
se utiliza para la evaluacin y el registro de esta tarde fue
rebautizado con la norma ISO 27002.
Objetivo
El objetivo es proporcionar una base comn para
desarrollar normas de seguridad dentro de las
organizaciones, un mtodo de gestin eficaz de la
seguridad y para establecer transacciones y relaciones
de confianza entre las empresas.
Alcance
Alcance -Aumento de la Seguridad efectiva de los
Sistemas de informacin. - Correcta planificacin y
gestin de la Seguridad - Garantas de continuidad del
negocio. Auditora interna - Incremento de los niveles de
confianza de los clientes y socios de negocios. -
Aumento del valor comercial y mejora de la imagen de la
organizacin.
Enfoque
* Responsabilidad de la direccin. * Enfoque al cliente en
las organizaciones educativas. * La poltica de calidad en
las organizaciones educativas. * Planificacin: Definir los


objetivos de calidad y las actividades y recursos
necesarios.
ISO 27000
La ISO 27000 es la norma que explica cmo implantar un
Sistema de Gestin de Seguridad de la Informacin en
una empresa. La implantacin de una ISO 27000 en una
organizacin permite proteger la informacin de sta de
la forma ms fiable posible. Se persiguen 3 objetivos:
1.-Preservar la confidencialidad de los datos de la
empresa
2.-Conservar la integridad de estos datos
3.-Hacer que la informacin protegida se encuentre
disponible.
Una empresa que tiene implantada la ISO 27000
garantiza, tanto de manera interna como al resto de las
empresas, que los riesgos de la seguridad de la
informacin son controlados por la organizacin de una
forma eficiente.
El estndar ISO 27000 es totalmente compatible con
otras normas de sistemas de gestin (ISO 9001, ISO
14001, OHSAS 18001) y puede ser implantado de forma
integrada con estas.
La serie de normas ISO/IEC 27000 son estndares de
seguridad publicados por la Organizacin Internacional
para la Estandarizacin (ISO) y la Comisin
Electrotcnica Internacional (IEC).
La serie contiene las mejores prcticas recomendadas en
Seguridad de la informacin para desarrollar,
implementar y mantener Especificaciones para los
Sistemas de Gestin de la Seguridad de la Informacin
(SGSI).

ISO 27001