|
 
|


Enrique Daltabuit
D.G.S.C.A.
U.N.A.M.
˜ Actualmente existe un gran número de estándares
tanto de gestión como de seguridad de la
información, entre los que se encuentran los bien
conocidos: ISO17799 y BS7799-2.
˜ Cada uno de estos estándares toma un punto de
vista principal:
± de procesos como ITIL o COBIT,
± de mejores prácticas como ISO17799 e ISF-SGP,
± de controles como BS7799-2, ISO13335 y SP800-53,
± o de riesgo como hacen OCTAVE y MAGERIT.
˜ Las mejores prácticas tienen un ámbito de
aplicación universal y son fáciles de
entender, pero la implementación resulta
muy compleja.
˜ La orientación al riesgo es la más
satisfactoria desde el punto de vista teórico,
pero puede ser cara y no resulta fácil de
manejar a nivel técnico.
˜ La orientación a los procesos es sencilla de
implementar, pero no garantiza los
resultados.
˜ La orientación a controles es fácil de auditar
y aparentemente garantiza resultados, pero
es muy compleja de implementar y puede
resultar muy poco flexible
˜ Veremos los modelos mas recientes
˜ —
—         

 
  
˜  
˜  

˜ 

˜ Publicado por El Comité de Dirección de
COBIT y el IT Governance Institute
˜ La Misión de COBIT:
˜  
  
    
   

      !
  
 

  

" 
   
 
  
 
 

 
 

˜ A los gerentes generales de las

organizaciones corporativas y públicas se les
pide frecuentemente que consideren un caso
de negocio para los gastos de recursos para
controlar la infraestructura de información.
Mientras pocos argumentarían que esto no
es bueno, todos se deben preguntar:
˜ †
 
   
   
   
˜ Para ayudar a responder esa pregunta, a
menudo se hacen otras preguntas
relacionadas:
˜ †

   

       

 
˜ †
  

 
 
   
˜ †
  

   


  

       
˜ †
    
  

  

   
†  !
 
  
 "  
˜ La administración de TI está constantemente
en la búsqueda de herramientas de
referencia y de auto evaluación en respuesta
a la necesidad de saber qué hacer en una
forma eficiente
˜ Comenzando con los procesos de COBIT y
con objetivos de control de alto nivel, el
propietario del proceso debe ser capaz de
precisar:
˜ m1) una medida relativa de dónde está la
organización
˜ m2) una forma de decidir eficientemente
dónde ir
˜ m3) una herramienta para medir el progreso
con respecto al objetivo
˜ Los modelos de madurez para el control de
los procesos de TI consisten en desarrollar
un método de puntaje de modo que una
organización pueda calificarse a sí misma
desde inexistente hasta optimizada mde 0 a
5).
˜ Este método ha sido derivado del Modelo de
Madurez que el Software Engineering
Institute definió para la madurez de la
capacidad de desarrollo de software.
˜ Contra estos niveles, desarrollados para
cada uno de los 34 procesos de TI de
COBIT, la administración puede mapear o
cruzar:
˜ El estado actual de la organización²dónde está la
organización actualmente
˜ El estado actual de la industria mla mejor de su clase
en)²la comparación
˜ El estado actual de los estándares internacionales²
comparación adicional
˜ La estrategia de la organización para
mejoramiento²dónde quiere estar la organización
˜ COBIT es un marco de referencia general
dirigido a la administración de TI y como tal
estas escalas necesitan ser prácticas para
aplicar y razonablemente fáciles de entender
˜ Los Criterios de Información contenidos en el
|    de COBIT ayudan a
asegurarse de que estamos enfocados en
los aspectos correctos de la administración
cuando describimos la práctica real.
Planeación y Organización

˜ ] Definir un Plan Estratégico de TI

˜ ] Definir la Arquitectura de la Información
˜ ] Determinar la Dirección Tecnológica
˜ ] Definir la Organización y las Relaciones de TI
˜ ] Administrar la Inversión de TI
˜ ] Comunicar los Objetivos y la Dirección de la Administración
˜ ]
Administrar los Recursos Humanos
˜ ] Asegurar el Cumplimiento de los Requisitos Externos
˜ ] Evaluar los Riesgos
˜ ] Administrar Proyectos
˜ ] Administrar la Calidad
Adquisición e Implementación

˜
Identificar Soluciones Automatizadas
˜
Adquirir y Mantener Software de
Aplicación
˜
Adquirir y Mantener Infraestructura de
Tecnología
˜
Desarrollar y Mantener Procedimientos
˜
Instalar y Acreditar Sistemas
˜
 Administrar Cambios
Entrega y Soporte
˜ #Definir y Administrar Niveles de Servicio
˜ #Administrar Servicios de Terceros
˜ #Administrar el Desempeño y la Capacidad
˜ #Asegurar un Servicio Continuo
˜ #Asegurar Seguridad de Sistemas
˜ # Identificar y Asignar Costos
˜ #
Educar y Capacitar a los Usuarios
˜ #Asistir y Asesorar a los Clientes
˜ #Administrar la Configuración
˜ #Administrar Problemas e Incidentes
˜ #Administrar Datos
˜ #Administrar Facilidades
˜ #Administrar Operaciones
Monitoreo

˜ |Monitorear los Procesos

˜ |Evaluar lo Adecuado del Control Interno
˜ |Obtener aseguramiento Independiente
˜ |Proveer Auditoría Independiente
˜ Los Modelos de Madurez se construyen a
partir del modelo genérico cualitativo a los
que se agregan las prácticas y los principios
de los dominios siguientes de forma
creciente a través de todos los niveles:
˜ Entendimiento y conocimiento de los riesgos y de
los problemas de control
˜ Capacitación y comunicación aplicadas a los
problemas
˜ Proceso y prácticas que son implementados
˜ Técnicas y automatización para hacer los procesos
más efectivos y eficientes
˜ Grado de cumplimiento de la política interna, las
leyes y las reglamentaciones
˜ Tipo y grado de pericia empleada.
˜ Los Modelos de Madurez se refieren a los
requerimientos del negocio y a los aspectos
posibilitadores en los diferentes niveles de
madurez
˜ Son una escala que se presta para la
comparación pragmática
˜ Son una escala en la que la diferencia puede
hacerse mensurable de manera sencilla
˜ Son reconocibles como un ³perfil´ de la
empresa relativo al gobierno de TI, la
seguridad y el control
˜ Ayudan a fijar posiciones de ³Como está´ y
³Como debe estar´ en relación con el
gobierno de TI, la madurez de la seguridad y
el control
˜ Se prestan para hacer análisis de los
vacíos/gap para determinar lo que es
necesario hacer para alcanzar un nivel
determinado
˜ Evitan, donde es posible, niveles discretos
que crean umbrales que son difíciles de
cruzar.
˜ Aplican cada vez más factores críticos de
éxito-
˜ No son específicos de la industria ni son
siempre aplicables, el tipo de negocio define
lo que es apropiado.
| 

˜ La escala 0-5 se basa en una escala simple

de madurez que muestra cómo evoluciona
un proceso desde Inexistente hasta
optimizado.
˜ Debido a que son procesos de
administración, la madurez y la capacidad
aumentada es también sinónimo de mayor
manejo del riesgo y mayor eficiencia.
0 Inexistente.

˜ Total falta de un proceso reconocible. La

organización ni siquiera ha reconocido que
hay un problema que resolver.
1 Inicial.

˜ Hay evidencia de que la organización ha reconocido

que los problemas existen y que necesitan ser
resueltos.
˜ Sin embargo, no hay procesos estandarizados pero
en cambio hay métodos ad hoc que tienden a ser
aplicados en forma individual o caso por caso.
˜ El método general de la administración es
desorganizado.
2 Repetible.

˜ Los procesos se han desarrollado hasta el punto en

que diferentes personas siguen procedimientos
˜ similares emprendiendo la misma tarea.
˜ No hay capacitación o comunicación formal de
procedimientos estándar y la responsabilidad se
deja a la persona.
˜ Hay un alto grado de confianza en los conocimientos
de las personas y por lo tanto es probable que haya
errores
3 Definida.

˜ Los procedimientos han sido estandarizados y

documentados, y comunicados a través de
capacitación.
˜ Sin embargo se ha dejado en manos de la persona
el seguimiento de estos procesos, y es improbable
que se detecten desviaciones.
˜ Los procedimientos mismos no son sofisticados sino
que son la formalización de las prácticas existentes.
4 Administrada.

˜ Es posible monitorear y medir el cumplimiento de los

procedimientos y emprender acción donde los
procesos parecen no estar funcionando
efectivamente.
˜ Los procesos están bajo constante mejoramiento y
proveen buena práctica.
˜ Se usan la automatización y las herramientas en
una forma limitada o fragmentada.
5 Optimizada.

˜ Los procesos han sido refinados hasta un nivel de la

mejor práctica, basados en los resultados de
mejoramiento continuo y diseño de la madurez con
otras organizaciones.
˜ TI se usa en una forma integrada para automatizar
el flujo de trabajo, suministrando herramientas para
mejorar la calidad y la efectividad, haciendo que la
empresa se adapte con rapidez
ISM3 1.0

˜ þ
 
  


 

˜ 


  
þ 


  



þ 
˜ (

˜ MMM
#— |

#— |

˜ El Instituto para la Seguridad y las

Metodologías Abiertas (ISECOM) es una
iniciativa internacional sin ánimo de lucro
dedicada a definir estándares técnicos y éticos
en seguridad de la información desde Enero
de 2001. El equipo está compuesto de
voluntarios, y soportado por un panel de
directores, consejero y un administrador
regional.
˜ þ
 
  

   



 þ 
   
! ""#$%$$




 
&
˜ ! 

' 
     

' ('  
    ) 
*(


'
   
'   
  
(+
 &
˜  '
' þ

 
,

 
 

 
þ þ-þ./

þ 
""&
˜ þ

 
   
'   
'(0((   

  *
 

 

'
  


&
˜ þ
* 

 


'   

'    
 

' 

˜ þ

'     
 

   
' 
  

 &
˜ þ
*'
'    
'


'



 
'(0'  

' 

123
˜ þ
    

  


 


'

 
4
,
  / 

4
,
  /




˜ .

,
  

   


˜

,
 

 


 

'
  
  

'
 '    
'
&
˜ .

,
  


 5
6
  '
  
*

 

˜

,

'   
 &
˜ 

,
'  
&
˜ 
' 
4
 

' 

4


,


  
4

+   
' 
 


,
&
ISM3 Nivel 0

˜ Este nivel puede producir mejoras a corto

plazo pero no llevara a una reducción
significativa del riesgo de amenazas técnicas
e internas en el mediano y largo plazo
˜ No es recomendable permanecer en este
nivel..
ISM3 Nivel 1

˜ Este nivel conducirá a una reducción

notable en el riesgo de riegos técnicos
logrados con una inversión mínima en los
procesos.
˜ Se recomienda este nivel para
organizaciones que tienen objetivos de
seguridad bajos en entornos de riesgos
bajos.
ISM3 Nivel 2

˜ Este nivel debe resultar en una mayor

reducción de riesgos de tipo técnico logrados
mediante una inversión modesta en los
procesos..
˜ Se recomienda para organizaciones cuyos
objetivos de seguridad sean normales en
entornos de riesgo normales..
ISM3 Nivel 3

˜ Este nivel debe lograr la mayor reducci0n de riesgos

de amenazas técnicas logradas mediante una
inversión considerable en los procesos de
seguridad..
˜ Se recomienda este nivel para organizaciones que
tengan objetivos de seguridad ambiciosos en
entornos normales o de alto riesgo.
ISM3 Nivel 4

˜ Este nivel lograra la mayor reducción de los riesgos

técnicos e internos mediante una inversión
cuantiosa en los procesos de seguridad.
˜ Las organizaciones tales como proveedores de
servicios públicos, instituciones financieras y
aquellas que compartan información sensitiva con
un objetivo de seguridad alto en entornos de riesgo
normales o altos.
 $ 

˜ Documentar. La documentación debe

describir detalladamente los procesos e
incluir machotes y ejemplos.
˜ Supervisión.
± Se requiere evidencia de que cada proceso tiene
un dueño.
± Además se requiere evidencia de que se reporta
la eficiencia o funcionamiento.
± El proceso puede ser interno o subrogado,.
˜ #
 

± Se requiere evidencia de que se han asignado

recursos presupuestales para personal y espacio
para llevar a cabo los procesos.
± La evidencia de que se llevan a cabo los
procesos es suficiente para demostrar que se han
asignado los recursos.
˜ Hay tres niveles de administración de la seguridad
˜ Estratégico
± que se ocupa de los objetivos generales y de la provisión
de recursos .
˜ Táctico
± que se ocupa de los objetivos específicos y de la
administración de recursos
˜ Operativo
± que se ocupa de lograr los objetivos que se han definido.
˜ Los resultados operativos de ISM son :
± Mitigación de los incidentes
± Prevención de incidentes;
± Reducción de riesgos
± Confianza
Selección de los procesos de seguridad

˜ Se basa en
± Estimación de amenazas;
± Estimación de vulnerabilidades
± Análisis del impacto en las actividades
± Análisis de riesgos
± Análisis del resultado de la inversión en
seguridad
˜ El resultado de la inversión en seguridad se
defina como el cociente de las perdidas
evitadas a los costos de la inversión el
seguridad.
˜ Es una forma de mejorar la asignación de
recursos escasos.
˜ La administración estratégica cumple las
siguientes funciones:
± Liderazgo y coordinación de la seguridad de la
información Seguridad física
± Seguridad den entorno de trabajo m ajeno a ISM3)
± Interacción con las unidades operativas
± Revisión y mejoría de la administración del
sistema de seguridad
± Asignación de recursos a la seguridad de la
información
± Definición de los objetivos de seguridad que sean
consistentes con los objetivos de la organización
protegiendo los intereses de los interesados
± Define los esquemas de delegación de
responsabilidades..
˜ La administración táctica es responsable
ante la administración estratégica del
funcionamiento : del sistema ISM y del uso
de recursos.
˜    ! %
± Proporcionar información a la administración
estratégica
± Definir el entorno de la administración operativa :
± Definir los objetivos de seguridad
± Definir la métrica de la eficacia y eficiencia
± Definir las clases de información, las prioridades,
la duración y la calidad de los grupos.
± Definir los entornos y ciclos de vida
± Seleccionar los procesos apropiados para lograr
los objetivos de seguridad
± Administrar el presupuesto, los recursos
humanos y otros recursos asigados a la
seguridad de la información
˜ La selección de los procesos apropiados
para lograr los objetivos de seguridad se
basan en distintas evaluaciones o tipos de
análisis:
˜ Análisis de amenazas
˜ Análisis de vulnerabilidades
˜ Análisis del impacto en las actividades
˜ Análisis de riesgos
˜ Análisis del resultado de la inversión en
seguridad.
˜ Las responsabilidades y los canales de
entrega de reportes deben estar claramente
definidos y documentados.
˜ Los informes estratégicos deben ponerse a
disposición de los interesados según se
estime conveniente y sea consistente con la
legislación, reglamentación y estándares de
gobernabilidad de la organización
˜ Los informes operativos deben estar
disponibles a los administradores
estratégicos y tácticos
˜ Los informes tácticos deben estar
disponibles a los administradores
estratégicos,.
˜ INTEGRACIÓN DE UN SISTEMA DE GESTIÓN DE
SEGURIDAD DE LA INFORMACIÓN CON UN
SISTEMA DE GESTIÓN DE LA CALIDAD
± ANDREA MARCELA BARRIENTOS ARCILA
± KAREN ALEXANDRA AREIZA CÓRDOBA
˜ UNIVERSIDAD EAFIT
˜ DEPARTAMENTO DE INFORMÁTICA Y SISTEMAS
˜ MEDELLÍN 2005
˜ El CMMI es un modelo de procesos mno de
mejora) que muestra la madurez de una
organización basándose en la capacidad de
sus procesos y surge como la integración del
CMM mCapability Maturity Model) v.2.0 y de
la ISO 15504 Draft Standar v.1.00.
˜ Basado en el Modelo CMMI y en la Norma
ISO/IEC 17799 se desarrollo un modelo de
madurez para la seguridad de la información,
˜ con el propósito de ayudar a los encargados
de evaluar la seguridad de la información de
la organización,
± a determinar en que nivel o grado se encuentra
está y así tomar ecisiones al respecto que
permitan
± a identificar las fallas que se tienen en un
determinado nivel.