1. Universidad Veracruzana Facultad de Administracin de EmpresasExperiencia Educativa:Administracin de las tecnologas de InformacinTema:Ensayo de estndares en el contexto mexicanoRealizado por: Flores Ruano Eva Patricia Mata Barradas Ana Emilia Ordoez Lorenzo Gabriela Vidal Snchez Mara del CarmenFecha de entrega:Jueves 1 de Diciembre del 2011

2. Introduccin:Se entiende por seguridad de la informacin a todas aquellas medidas preventivasy reactivas del hombre, de las organizaciones y de los sistemas tecnolgicos quepermitan resguardar y proteger la informacin buscando mantener laconfidencialidad, la disponibilidad e Integridad de la misma.El concepto de seguridad de la informacin no debe ser confundido con el deseguridad informtica, ya que este ltimo slo se encarga de la seguridad en elmedio informtico, pudiendo encontrar informacin en diferentes medios o formas.Para el hombre como individuo, la seguridad de la informacin tiene un efectosignificativo respecto a su privacidad, la que puede cobrar distintas dimensionesdependiendo de la cultura del mismo.En la seguridad de la informacin es importante sealar que su manejo estbasado en la tecnologa y debemos de saber que puede ser confidencial: lainformacin est centralizada y puede tener un alto valor. Puede ser divulgada,mal utilizada, ser robada, borrada o saboteada. Esto afecta su disponibilidad y lapone en riesgo. La informacin es poder, y segn las posibilidades estratgicasque ofrece tener a acceso a cierta informacin, sta se clasifica como:Crtica: Es indispensable para la operacin de la empresa.Valiosa: Es un activo de la empresa y muy valioso.Sensible: Debe de ser conocida por las personas autorizadas.Adems, la seguridad de la informacin involucra la implementacin de estrategiasque cubran los procesos en donde la informacin es el activo primordial. Estasestrategias deben tener como punto primordial el establecimiento de polticas,controles de seguridad, tecnologas y procedimientos para detectar amenazas quepuedan explotar vulnerabilidades y que pongan en riesgo dicho activo, es decir,que ayuden a proteger y salvaguardar tanto informacin como los sistemas que laalmacenan y administran. La seguridad de la informacin incumbe a gobiernos,entidades militares, instituciones financieras, los hospitales y las empresasprivadas con informacin confidencial sobre sus empleados, clientes, productos,investigacin y su situacin financiera. 3. Contexto mexicano:Qu normas son usadas en nuestro pas? Dentro de cualquier empresa la informacin es un recurso vital, producidopor los sistemas de informacin. Las organizaciones utilizan tambin otrosrecursos como materiales, materias primas, energa y recursos humanos, todosellos sujetos a cada vez mayores restricciones en su uso y crecimiento, debido aproblemas de escasez y, por tanto, de coste. Debe considerarse que un sistema de informacin no tiene porqu serasociado a los sistemas informticos, con los que muchas veces se les confunde.Por el contrario, un sistema de informacin puede ser una persona, undepartamento, toda la empresa (o al menos toda parte o elemento de la empresa,o relacin entre los mismos, que trate con informacin). El Sistema de Informacincomprende, pues, planificacin, recursos humanos y materiales, objetivosconcretos a corto, medio y largo plazo, etc., aunque tambin tecnologa y tcnicas. Con los adelantos tecnolgicos actuales, sobre todo en las tecnologas deinformacin, es casi imposible que una empresa no haga uso de la informacinpara el desarrollo de sus actividades cotidianas; tan solo tener la informacinadecuada de un estado financiero no necesariamente en computadorasdemuestra que es necesaria la informacin para todo tipo de actividades y si aesto le agregamos el uso de computadoras como herramientas junto con sistemascapaces de ofrecernos la informacin en forma rpida, ordenada, y concreta,adems que la Internet se ha vuelto tan importante y popular para cualquier tipode persona como para cualquier tipo de empresa sabiendo de antemano que lainformacin es vital en todos los aspectos, muchas empresas emplean Internetcomo medio de informacin con sus posibles consumidores, proveedores, socios.Es por ello que la informacin es de gran importancia para unaorganizacin, por lo cual debe ser protegida mediante un estndar denormas que regulen su seguridad. Una norma de seguridad define qu hay que proteger y en qu condiciones,pero para situaciones ms concretas. Sirven para establecer unos requisitos quese sustentan en la poltica y que regulan determinados aspectos de seguridad.Una norma debe ser clara, concisa y no ambigua en su interpretacin. Se puedenagrupar en base a las diferentes reas de la seguridad dentro de la organizacin:normas de seguridad fsica, normas de control de acceso a sistemas, normas degestin de soportes, normas de clasificacin de informacin, etc. 4. A continuacin se enlistan algunas normas que se encuentran en nuestropas para regular la seguridad en los sistemas de la informacin:ISO/IEC 27001 El estndar para la seguridad de la informacin ISO/IEC 27001 (Informationtechnology - Security techniques - Information security management systems -Requirements) fue aprobado y publicado como estndar internacional en octubrede 2005 por International Organization for Standardization y por la comisinInternational Electrotechnical Commission.Especifica los requisitos necesarios para establecer, implantar, mantener ymejorar un Sistema de Gestin de la Seguridad de la Informacin (SGSI) segn elconocido Ciclo deDeming: PDCA - acrnimo de Plan, Do, Check, Act (Planificar,Hacer, Verificar, Actuar). Es consistente con las mejores prcticas descritas enISO/IEC 17799 (actual ISO/IEC 27002) y tiene su origen en la norma BS 7799-2:2002, desarrollada por la entidad de normalizacin britnica, la British StandardsInstitution (BSI).La certificacin de un SGSI es un proceso mediante el cual una entidad decertificacin externa, independiente y acreditada audita el sistema, determinandosu conformidad con ISO/IEC 27001, su grado de implantacin real y su eficacia y,en caso positivo, emite el correspondiente certificado. Antes de la publicacin del estndar ISO 27001, las organizacionesinteresadas eran certificadas segn el estndar britnico BS 7799-2.Desde finales de 2005, las organizaciones ya pueden obtener lacertificacin ISO/IEC 27001 en su primera certificacin con xito o mediante surecertificacin trienal, puesto que la certificacin BS 7799-2 ha quedadoreemplazada.Su implantacin ISO/IEC 27001 en una organizacin es un proyecto quesuele tener una duracin entre 6 y 12 meses, dependiendo del grado de madurezen seguridad de la informacin y el alcance, entendiendo por alcance el mbito dela organizacin que va a estar sometido al Sistema de Gestin de la Seguridad dela Informacin (en adelante SGSI) elegido. En general, es recomendable la ayudade consultores externos. Aquellas organizaciones que hayan adecuado previamente de formarigurosa sus sistemas de informacin y sus procesos de trabajo a las exigenciasde las normativas legales de proteccin de datos (p.ej., en Espaa la conocidaLOPD y sus normas de desarrollo, siendo el ms importante el Real Decreto 5. 1720/2007, de 21 de diciembre de desarrollo de la Ley Orgnica de Proteccin deDatos) o que hayan realizado un acercamiento progresivo a la seguridad de lainformacin mediante la aplicacin de las buenas prcticas de ISO/IEC 27002,partirn de una posicin ms ventajosa a la hora de implantar ISO/IEC 27001.El equipo de proyecto de implantacin debe estar formado porrepresentantes de todas las reas de la organizacin que se vean afectadas por elSGSI, liderado por la direccin y asesorado por consultores externosespecializados en seguridad informtica generalmente Ingenieros o IngenierosTcnicos en Informtica, derecho de las nuevas tecnologas, proteccin de datos ysistemas de gestin de seguridad de la informacin (que hayan realizado un cursode implantador de SGSI).ISO 17799 La norma UNE/ISO/IEC 17799 es un cdigo de buenas prcticas paragestionar la seguridad de la informacin de una organizacin, de tal forma que lepermita en todo momento la confidencialidad, integridad y disponibilidad de lainformacin que maneja. La creacin de esta norma responde a la necesidad deproporcionar una base comn, a las organizaciones, de normas yrecomendaciones desde la triple ptica tcnica, organizativa y jurdica, y cuyocumplimiento implique mediante una acreditacin que dicha organizacinmantiene una infraestructura y un esquema de funcionamiento que garantizan laseguridad de la informacin que manejan. Esta norma tiene su origen en el British Standard BS 7799. Esta normabritnica est constituida por un cdigo de buenas prcticas y un conjunto decontroles o requerimientos que han sido adoptados por numerosas empresas anivel mundial con el objeto de conseguir una certificacin en seguridad de lainformacin por parte de BSI (British Standard Institute) a travs de la cual puedenacreditar frente a terceros (clientes, proveedores...etc) que la empresa maneja suinformacin de forma segura, fijndose de este modo un criterio que determina laconfianza en la entidad. La primera parte del BS 7799 (Part I) fue propuesta comoun estndar ISO en octubre de 1999. Su aprobacin se produjo en octubre del aosiguiente, de forma tal que en diciembre del ao 2000 fue publicado el ISO/IEC17799. Esta norma constituye un cdigo de buenas prcticas sin que sea posibleobtener una certificacin en base a sus disposiciones, puesto que todava no hasido aprobado la segunda parte de esta norma ISO. 6. En Espaa se tom la iniciativa de desarrollar una norma a travs de lacual, las empresas espaolas puedan obtener una certificado similar al del BSI. Eneste sentido, el organismo encargado de desarrollar una norma equivalente alISO/ IEC 17799 en nuestro pas es AENOR a travs del Subcomit 27 deSeguridad de la Informacin, dependiente del Comit Tcnico de Normalizacin(CTN 71). De este modo, en diciembre del 2002 fue publicada la UNE 71501, estaprimera parte es el fiel reflejo de la BS 7799 (Parte 1) y de la ISO / IEC 17799(Parte I), constituyendo en s misma un cdigo de buenas prcticas cuyo objetivoes servir como instrumento a las empresas para gestionar la seguridad de lainformacin.COSO El Committee of Sponsoring Organizations of Treadway Commission(COSO) es una iniciativa del sector privado estadounidense formada en 1985. Suobjetivo principal es identificar los factores que causan informes financierosfraudulentos y hacer recomendaciones para reducir su incidencia. COSO haestablecido una definicin comn de controles internos, normas y criterios contralos cuales las empresas y organizaciones pueden evaluar sus sistemas de control.COSO est patrocinado y financiado por cinco de las principalesasociaciones e institutos profesionales de contabilidad: American Institute ofCertified Public Accountants (AICPA), American Accounting Association (AAA),Financial Executives Institute (FEI), The Institute of Internal Auditors (IIA) y TheInstitute of Management Accountants (IMA). El modelo COSO ERM-Framework de 2004 introduce nuevos elementos amodelos anteriores (CoCo de 1995 y COSO de 1992/94). Existe una relacin directa entre los objetivos que la entidad desea lograr ylos componentes de la gestin de riesgos corporativos, que representan lo quehace falta para lograr aquellos. La relacin se representa con una matriztridimensional, en forma de cubo.Las cuatro categoras de objetivos (estrategia, operaciones, informacin yconformidad) estn representadas por columnas verticales, los ocho componenteslo estn por filas horizontales y las unidades de la entidad, por la terceradimensin del cubo. 7. Desde este enlace se puede acceder a la lista completa de publicacionesque incorpora.Informacin adicional en el informe ejecutivo y marco general de lanorma.COSO se puede combinar con CobiT o con ITIL como modelo de controlpara procesos y gestin TI.COSO est teniendo una difusin muy importante en relacin a la conocidacomo Ley Sarbanes-Oxley. No se trata de un marco o estndar especfico deseguridad de la informacin pero, por el impacto que est teniendo en muchasempresas y por sus implicaciones indirectas en la seguridad de la informacin,conviene mencionarlo en esta seccin.COBITLa evaluacin de los requerimientos del negocio, los recursos y procesosIT, son puntos bastante importantes para el buen funcionamiento de unacompaa y para el aseguramiento de su supervivencia en el mercado. El COBIT es precisamente un modelo para auditar la gestin y control delos sistemas de informacin y tecnologa, orientado a todos los sectores de unaorganizacin, es decir, administradores IT, usuarios y por supuesto, los auditoresinvolucrados en el proceso.Las siglas COBIT significan Objetivos de Control para Tecnologa deInformacin y Tecnologas relacionadas (Control Objectives for InformationSystems and related Technology). El modelo es el resultado de una investigacincon expertos de varios pases, desarrollado por ISACA (Information Systems Auditand Control Association). La estructura del modelo COBIT propone un marco de accin donde seevalan los criterios de informacin, como por ejemplo la seguridad y calidad, seauditan los recursos que comprenden la tecnologa de informacin, como porejemplo el recurso humano, instalaciones, sistemas, entre otros, y finalmente serealiza una evaluacin sobre los procesos involucrados en la organizacin. El COBIT es un modelo de evaluacin y monitoreo que enfatiza en elcontrol de negocios y la seguridad IT y que abarca controles especficos de ITdesde una perspectiva de negocios.La adecuada implementacin de un modelo COBIT en una organizacin,provee una herramienta automatizada, para evaluar de manera gil y consistenteel cumplimiento de los objetivos de control y controles detallados, que aseguranque los procesos y recursos de informacin y tecnologa contribuyen al logro de 8. los objetivos del negocio en un mercado cada vez ms exigente, complejo ydiversificado, seal un informe de ETEK. COBIT, lanzado en 1996, es una herramienta de gobierno de TI que hacambiado la forma en que trabajan los profesionales de tecnologa. Vinculandotecnologa informtica y prcticas de control, el modelo COBIT consolida yarmoniza estndares de fuentes globales prominentes en un recurso crtico para lagerencia, los profesionales de control y los auditores. COBIT se aplica a los sistemas de informacin de toda la empresa,incluyendo los computadores personales y las redes. Est basado en la filosofade que los recursos TI necesitan ser administrados por un conjunto de procesosnaturalmente agrupados para proveer la informacin pertinente y confiable querequiere una organizacin para lograr sus objetivos. El conjunto de lineamientos y estndares internacionales conocidos comoCOBIT, define un marco de referencia que clasifica los procesos de las unidadesde tecnologa de informacin de las organizaciones en cuatro dominiosprincipales, a saber: Planificacin y organizacin Adquisicin e implantacin Soporte y Servicios Monitoreo Estos dominios agrupan objetivos de control de alto nivel, que cubren tantolos aspectos de informacin, como de la tecnologa que la respalda. Estosdominios y objetivos de control facilitan que la generacin y procesamiento de lainformacin cumplan con las caractersticas de efectividad, eficiencia,confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad. Asimismo, se deben tomar en cuenta los recursos que proporciona latecnologa de informacin, tales como: datos, aplicaciones, plataformastecnolgicas, instalaciones y recurso humano. Cualquier tipo de empresa puede adoptar una metodologa COBIT, comoparte de un proceso de reingeniera en aras de reducir los ndices deincertidumbre sobre vulnerabilidades y riesgos de los recursos IT yconsecuentemente, sobre la posibilidad de evaluar el logro de los objetivos delnegocio apalancado en procesos tecnolgicos, finaliz el informe de ETEK. 9. ITIL ITIL (Information Technologies Infrastructure Library ); Biblioteca deInfraestructura de Tecnologas de la Informacin, es un conjunto de mejoresprcticas para la direccin y gestin de servicios de tecnologas de la informacinen lo referente a Personas, Procesos y Tecnologa, desarrollado por la OGC(Office of Government Commerce) del Reino Unido, que cumple ydesarrolla la norma BS15000 de la BSI (British Standards Institution). A travs de las Mejores Prcticas especificadas en ITIL se hace posiblepara departamentos y organizaciones reducir costos, mejorar la calidad delservicio tanto a clientes externos como internos y aprovechar al mximo lashabilidades y experiencia del personal, mejorando su productividad. ITIL es un conjunto de libros, cuya referencia se da en la seccin Bibliotecade este Sitio, que permiten mejorar notablemente la calidad de los servicios detecnologas de la informacin y que presta una organizacin a sus clientes o undepartamento a su organizacin.Existen tres niveles de certificacin ITIL para profesionales: Foundation Certificate (Certificado Bsico): acredita un conocimiento bsico de ITIL en gestin de servicios detecnologas de la informacin y la comprensin de la terminologa propia de ITIL.Est destinado a aquellas personas que deseen conocer las buenas prcticasespecificadas en ITIL. El examen para conseguir este certificado se puede haceren ingls, francs, espaol, alemn, portugus, chino, japons y ruso. Practitioners Certificate (Certificado de Responsable): Destinado a quienes tienen responsabilidad en el diseo de procesos deadministracin de departamentos de tecnologas de la informacin y en laplanificacin de las actividades asociadas a los procesos. Este examen slo sepuede hacer en ingls. Managers Certificate (Certificado de Director): Garantiza que quien lo posee dispone de profundos conocimientos entodas las materias relacionadas con la administracin de departamentos detecnologas de la informacin, y lo habilita para dirigir la implantacin desoluciones basadas en ITIL. Este examen se puede hacer en ingls, alemn yruso. 10. Pese a que los exmenes de los certificados Foundation y Managers sepueden hacer en idiomas distintos del ingls, para superarlos es necesarioconocer la terminologa inglesa de ITIL. Actualmente no existe certificacin ITIL para empresas, slo parapersonas. Esto es importante saberlo, ya que hay empresas que aseguran estaren posesin de tal certificado. A partir de 2006, se homolog la ISO 20000,basadaen ITIL que permite a las empresas obtener la certificacin de calidad por losservicios de IT que ofrecen. Grupo de usuarios ITIL itSMF es el nico foro independiente reconocidointernacionalmente dedicado a la administracin de servicios de tecnologas de lainformacin, y adems de permitir intercambio de ideas y experiencias, se haconvertido en un grupo influyente en desarrollos comerciales. Adems coopera con ISEB, EXIN, OGC y The Stationery Office para laelaboracin de estndares en administracin de servicios de las tecnologas de lainformacin. Los miembros de itSMF tienen acceso a una revista bimensual,pueden participar en la especificacin de nuevas buenas prcticas, participan engrupos de discusin y acceden a reas restringidas de la web de itSMF. Existe una organizacin internacional sin nimo de lucro, integrada porgrupos de proveedores y usuarios, denominada itSMF (IT Service ManagementForum) que promueve y desarrolla el uso de buenas prcticas en administracinde servicios de tecnologas de la informacin.ISO 20000La ISO 20000 fue publicada en diciembre de 2005 y es la primera norma en elmundo especficamente dirigida a la gestin de los servicios de TI. La ISO 20000fue desarrollada en respuesta a la necesidad de establecer procesos yprocedimientos para minimizar los riesgos en los negocios provenientes de uncolapso tcnico del sistema de TI de las organizaciones.ISO20000 describe un conjunto integrado de procesos que permiten prestar enforma eficaz servicios de TI a las organizaciones y a sus clientes. La esperadapublicacin de la ISO 20000 el 15 de diciembre de 2005 representa un gran pasoadelante hacia el reconocimiento internacional y el desarrollo de la certificacin deITSM.Hoy en da la aparicin de la norma ISO 20000 est causando un aumentoconsiderable del inters en aquellas organizaciones interesadas en implementar 11. ITSM. Estudios revelan como dicho anhelo crecer internacionalmente tomandocomo base la reconocida certificacin ISO 20000.La implantacin de la ISO 20000 le permitir gestionar de forma ptima susservicios de TI, a travs de la definicin y el establecimiento de los procesos quedicta la norma. La norma ISO 20000 contempla las mejores prcticas descritas enITIL.La consultora ISO 20000 incluye: Auditora inicial del cumplimiento con respecto a la norma Anlisis de procesos aplicables Estudio de recursos necesarios / necesidades Implantacin de procesos ISO 20000 Auditora interna ISO 20000 Formacin ISO 20000La aparicin de la serie 20000 ha supuesto el primer sistema de gestin enservicio de TI certificable bajo norma reconocida a nivel mundial. Hasta ahora, lasorganizaciones podan optar por aplicar el conjunto de mejoras prcticas dictadaspor ITIL o certificar su gestin contra el estndar local britnico BS 15000.La parte 1 de la norma ISO 20000, ISO 20000-1:2005 representa el estndarcertificable. En Febrero de 2006, AENOR (organizacin delegada en Espaa deISO/IEC) inici el mecanismo de adopcin y conversin de la norma ISO 20000 anorma UNE. En Junio de 2006, itSMF hace entrega a AENOR de la versintraducida de la norma. En el BOE del 25 de julio de 2007 ambas partes seratificaron como normas espaolas con las referencias o partes de la ISO 20000mostradas en el punto anterior. Acceda a ms informacin acerca del proceso decertificacin ISO 20000. 12. LEY SARBANES-OXLEYLa Ley SarbanesOxley, la ms importante regulacin surgida despus de losescndalos financieros en Estados Unidos, cumpli ms de cinco aos desdeaplicacin.El SOX, abreviatura para Sarbanes-Oxley Act es una ley americana que ha sidoemitida en el 2002 en los Estados Unidos, para dar una respuesta firme a losrepetidos escndalos financieros que se haban producido en los aosinmediatamente anteriores. La confianza de los inversores en la informacinfinanciera emitida por las empresas estaba muy mermada, con efectos negativossobre la eficiencia de los mercados de capitales. Asustados por las repercusioneseconmicas que el prolongarse de esta situacin hubiese podido causar, lasautoridades americanas decidieron que la mejor solucin para devolver laconfianza a los inversores pasaba por endurecer los controles impuestos a lasempresas. De hecho, veremos que el SOX endurece bastante los controles quedeben existir en una empresa para la formulacion de sus cuentas anuales y otrosinformes financieros que tenga que emitir.El cuerpo legal propuesto por el diputado Michael G. Oxley y el Senador Paul S.Sarbanes en el Congreso estadounidense tiene efectos que van mucho ms allde la auditora financiera propiamente tal, y sus brazos son bastante largos.La SOX naci como respuesta a una serie de escndalos corporativos queafectaron a empresas estadounidenses a finales del 2001, producto de quiebras,fraudes y otros manejos administrativos no apropiados, que mermaron laconfianza de los inversionistas respecto de la informacin financiera emitida porlas empresas.As, en Julio de 2002, el gobierno de Estados Unidos aprob la ley Sarbanes-Oxley, como mecanismo para endurecer los controles de las empresas y devolverla confianza perdida. El texto legal abarca temas como el buen gobiernocorporativo, la responsabilidad de los administradores, la transparencia, y otrasimportantes limitaciones al trabajo de los auditores.Las principales novedades introducidas por la nueva ley son:El titulo 1 del SOX regula la creacin y funcionamiento de un rgano que supervisela actividad de las empresas de auditoria (Public accounting firms). Es evidenteque los legisladores pretenden monitorear ms de cerca la actividad de las firmasde auditora. 13. El titulo 2 del SOX establece algunas importantes limitaciones a la actividad de lasfirmas de auditora. Se establece as, entre otros, el principio general en base alcual no se permite a las firmas de auditora ofrecer a sus clientes de otrosservicios distintos al de auditora de cuentas anuales. Se establece adems laobligacin de rotacin del socio responsable del encargo cada 5 aos. Muyinteresante es el llamado periodo del Cooling-off en base al cual una firma deauditoria no puede ofreces sus servicios de auditora a una empresa en la que elDirector General o Administrador, Director Financiero, Controller, DirectorAdministrativo o Director de Contabilidad han sido miembros del equipo deauditoria en el ao anterior.El titulo 3 y el titulo 4 contienen las novedades ms impactantes y conflictivas detoda la ley, y ser necesario analizarlos en profundidad. El titulo 3 introduce elnuevo concepto de responsabilidad corporativa, mientras que el titulo 4 contieneimportantes novedades en tema de emisin de informacin financiera.BASILEA IIBasilea II es el segundo de los Acuerdos de Basilea. Dichos acuerdos consistenen recomendaciones sobre la legislacin y regulacin bancaria y son emitidos porel Comit de supervisin bancaria de Basilea. El propsito de Basilea II, publicadoinicialmente en junio de 2004, es la creacin de un estndar internacional quesirva de referencia a los reguladores bancarios, con objeto de establecer losrequerimientos de capital necesarios, para asegurar la proteccin de las entidadesfrente a los riesgos financieros y operativos.La principal limitacin del acuerdo de Basilea I es que es insensible a lasvariaciones de riesgo y que ignora una dimensin esencial: la de la calidadcrediticia y, por lo tanto, la diversa probabilidad de incumplimiento de los distintosprestatarios. Es decir, consideraba que los crditos tenan la misma probabilidadde incumplir.El Nuevo Acuerdo de Capital o Basilea II brinda un conjunto de principios yrecomendaciones del Comit de Basilea sobre Supervisin Bancaria y tiene comoobjetivo propiciar la convergencia regulatoria hacia estndares ms avanzadossobre medicin y gestin de los principales riesgos en la industria bancaria. ElComit de Basilea forma parte del Banco Internacional de Pagos (BIS por sussiglas en ingls) y fue creado por acuerdo de los representantes de los BancosCentrales de los 10 pases ms industrializados con el propsito de formular unaserie principios y estndares de supervisin bancaria, los que han sido acogidosno solamente por los pases miembros, sino por la mayora de pases en elmundo. 14. El Per, por medio de la SBS, es consciente de las ventajas en seguridad yestabilidad que genera un esquema como el propuesto en Basilea II y no est almargen de esta reforma internacional de la regulacin bancaria. El cronograma deimplementacin seguido en Per se inici en el ao 2007 con los estudios deimpacto y la emisin de la normativa necesaria para la implementacin del NAC.Esta primera fase dur hasta junio del 2009 y a partir de julio del 2009 entr envigencia del mtodo estandarizado para riesgo de crdito y riesgo de mercado, yel mtodo bsico y estndar alternativo para riesgo operacional. Asimismo, es apartir de esta fecha que las empresas pueden postular para el uso de modelosinternos.A raz de la reciente crisis financiera internacional, que evidenci la necesidad defortalecer la regulacin, supervisin y gestin de riesgos del sector bancario, elComit de Basilea inici en el 2009 la reforma de Basilea II, actualmente llamadaBasilea III. En este sentido, la SBS actualmente est evaluando la implementacinde estos cambios de acuerdo a la realidad peruana.La SBS pone a su disposicin esta pgina web donde podr encontrar informacinsobre los principales aspectos de Basilea II y Basilea III y la implementacin estosestndares en el Per.Acerca de las Pymes Mexicanas:Cules son los pasos para implantar una norma?Qu norma es viable implementar en una pymemexicana?Entre las normas a implementar en una PyME, asi como los pasos a seguir seencuentran las siguientes:Diseo e implementacin de un S.G.S.I. ISO 27001La solucin de Diseo e Implantacin de Sistemas de Gestin de Seguridad de laInformacin, rompe con la antigua visin de actuar de facto ante la seguridad, estoes, tener el mejor firewall del mercado por tenerlo o disponer un determinadoantivirus porque hay que tenerlo. AGEDUM enfoca su solucin de seguridad haciala gestin. Alinea la Gestin de la Seguridad de la Informacin con los objetivos denegocio, optimizando las inversiones realizadas en controles o salvaguardas queprotejan los activos. 15. Para ello, utilizamos como norma gua la ISO 27001:2005, la cual nos ayuda deforma solvente a enfrentarnos a los retos a los que nos somete el propio entorno.ISO 27001:2005 es reconocida como una de las mejores prcticas a nivel mundialpara gestionar la seguridad de la informacin, y es contemplada como su solucinpor mltiples organizaciones de distinto tamao, independientemente de suubicacin geogrfica.Beneficios que se alcanzan:Cambia la postura reactiva por la postura proactiva para la seguridadDispone de polticas y objetivos para la seguridad de la informacinAsignacin formal de responsabilidades al personal involucradoOrientacin de la organizacin hacia la seguridad en sus tareasGestiona la seguridad segn los riesgos presentes en la actividadSe crea una estructura formal para la seguridad en la empresaProporciona mtricas de cmo se est desarrollando la seguridadAplica controles de seguridad por reas de influenciaPermite optimizar costes vinculados con la bsqueda de la seguridadOtros beneficios inherentes al proyectoNuestro equipo de profesionalesAGEDUM dispone de profesionales con contratada experiencia en la implantacinde este tipo de soluciones profesionales. Nuestros consultores, vienen trabajandodesde hace aos en soluciones de Gestin de la Seguridad de la Informacin yhan estado presentes en proyectos para acercar la gestin a las empresas denuestro entorno: como el Proyecto CAMERSEC, promovido por la Cmara deComercio de Mlaga. Estamos avalados por nuestros clientes, experiencia ycualificacin para llevar su proyecto a buen puerto. Asimismo, contamos conpartners tecnolgicos para ofrecer aplicaciones relacionadas con el proyecto aprecios competitivos, caso de ser necesarias para la empresa cliente. 16. Fases para la implantacin de un S.G.S.I. ISO 270011.- Visita informativa Realizamos una visita totalmente sin compromiso a nuestros clientes parainformarle del proceso de ejecucin del proyecto y emitir un presupuesto amedida.2.- Formalizacin del contrato Las condiciones de colaboracin son llevadas al contrato que formaliza la relacinentre partes para su firma3.- Equipo de trabajo Definimos el equipo de trabajo para la ejecucin formal del proyecto. Se asignanlas responsabilidades a tal efecto y los objetivos de cada etapa.4.- Anlisis de la organizacin Se realiza un profundo anlisis diferencial de seguridad, comparando la situacinactual de la empresa con los requisitos de ISO 27001, determinando tambin otrasmedidas de seguridad adicionales que puedan ponerse de manifiesto durante elproceso de anlisis. Se acta sobre dominios como:- Poltica de Seguridad- Organizacin de la seguridad- Gestin de los Activos- Seguridad vinculada al personal- Seguridad fsica y del entorno- Comunicaciones y operaciones- Control de accesos- Adquisicin y mantenimiento de sistemas- Gestin de incidencias- Continuidad de negocio- Conformidad legal 17. - Etc.5.- Documentacin y formatos Proporcionando soporte a la organizacin, se trabaja en la elaboracin de ladocumentacin para el sistema de Gestin de Seguridad de la Informacin, ascomo los formatos para dejar registro de las prcticas en l incluidas.6.- Implantacin y tutelaUna vez desarrollado el trabajo documental, se procede a implantar lasmetodologas creadas, tutelando el cumplimiento de la misma.7.- Auditora interna Realizamos una auditora para verificar el cumplimiento de los requisitos delsistema y detectar posibles desviaciones, de cara a solventarlas.8.- Auditora de certificacin La estructura que creamos es certificable. Por eso, si el cliente decide certificar susistema de seguridad, le damos soporte en la auditora de certificacin.LA NORMA ISO/IEC 1779910 dominios de control que cubren (casi) por completo la Gestin de laSeguridad de la Informacin:Poltica de seguridad: Se necesita una poltica que refleje las expectativasde la organizacin en materia de seguridad a fin de suministrar administracin condireccin y soporte. La poltica tambin se puede utilizar como base para elestudio y evaluacin en curso.Organizacin de la seguridad: Sugiere disear una estructura deadministracin dentro la organizacin que establezca la responsabilidad de losgrupos en ciertas reas de la seguridad y un proceso para el manejo de respuestaa incidentes.Control y clasificacin de los recursos de informacin: Necesita uninventario de los recursos de informacin de la organizacin y con base en esteconocimiento, debe asegurar que se brinde un nivel adecuado de proteccin.Seguridad del personal: Establece la necesidad de educar e informar a losempleados actuales y potenciales sobre lo que se espera de ellos en materia de 18. seguridad y asuntos de confidencialidad. Tambin determina cmo incide el papelque desempean los empleados en materia de seguridad en el funcionamientogeneral de la compaa. Se debe tener implementar un plan para reportar losincidentes.Seguridad fsica y ambiental: Responde a la necesidad de proteger lasreas, el equipo y los controles generales. Manejo de las comunicaciones y las operaciones: Los objetivos de estaseccin son:1.Asegurar el funcionamiento correcto y seguro de las instalaciones deprocesamiento de la informacin.2.Minimizar el riesgo de falla de los sistemas.3.Proteger la integridad del software y la informacin.4. Conservar la integridady disponibilidad del procesamiento y lacomunicacin de la informacin.5. Garantizar la proteccin de la informacin en las redes y de lainfraestructura de soporte.6. Evitar daos a los recursos de informacin e interrupciones en lasactividades de la compaa.7. Evitar la prdida, modificacin o uso indebido de la informacin queintercambian las organizaciones.Control de acceso: Establece la importancia de monitorear y controlar elacceso a la red y los recursos de aplicacin para proteger contra los abusosinternos e intrusos externos. Desarrollo y mantenimiento de los sistemas: Recuerda que en todalabor de la tecnologa de la informacin, se debe implementar y mantener laseguridad mediante el uso de controles de seguridad en todas las etapas delproceso.Manejo de la continuidad de la empresa: Aconseja estar preparado paracontrarrestar las interrupciones en las actividades de la empresa y para protegerlos procesos importantes de la empresa en caso de una falla grave o desastre. Cumplimiento: Imparte instrucciones a las organizaciones para queverifiquen si el cumplimiento con la norma tcnica ISO 17799 concuerda con otros 19. requisitos jurdicos, como la Directiva de la Unin Europea que concierne laPrivacidad, la Ley de Responsabilidad y Transferibilidad del Seguro Mdico(HIPAA por su sigla en Ingls) y la Ley Gramm-Leach-Billey (GLBA por su sigla eningls). Esta seccin tambin requiere una revisin a las polticas de seguridad, alcumplimiento y consideraciones tcnicas que se deben hacer en relacin con elproceso de auditora del sistema a fin de garantizar que las empresas obtengan elmximo beneficio.Beneficios de la norma tcnica ISO 17799Una empresa certificada con la norma tcnica ISO 17799 puede ganar frente a loscompetidores no certificados. Si un cliente potencial tiene que escoger entre dosservicios diferentes y la seguridad es un aspecto importante, por lo general optarpor la empresa certificada. Adems una empresa certificada tendr en cuenta losiguiente: Mayor seguridad en la empresa. Planeacin y manejo de la seguridad ms efectivos. Alianzas comerciales y e-commerce ms seguras. Mayor confianza en el cliente. Auditoras de seguridad ms precisas y confiables. Menor Responsabilidad civilLa norma tcnica ISO 17799Actualmente ISO est revisando la norma tcnica 17799 para que se adapte mejora su amplio pblico. ISO 17799 es la primera norma tcnica y se harn yampliarn sus recomendaciones y sugerencias bsicas en la medida en que seanecesario. Por ahora, ISO 17799 es la norma tcnica a seguir.Si su organizacin no ha adoptado un programa de proteccin definido de lainformacin, ISO 17799 puede servir de parmetro para que lo defina. Incluso sidecide no ser certificado, ISO 17799 le servir de gua para configurar la polticade seguridad de su empresa. En todo caso, tenga en cuenta que ISO 17799 es unbuen esquema de seguridad que su empresa puede adoptar. No obstante, ustedpuede descubrir que la certificacin ofrece ms beneficios. 20. COBITHacer uso de COBIT como marco de referencia en y tomar de ah algunos puntospara aplicarlos a la pyme, ya que COBIT provee a la gerencia y a los propietariosde los procesos del negocio, un modelo de administracin de TecnologaInformtica (TI) que ayude a comprender y administrar los riesgos asociados conTIEtapas para su implementacin:1. Requerimientos del negocio. El departamento TI cuenta con los recursostecnolgicos necesarios para cumplir los objetivos de la organizacin. Se tiene queplanear y organizar cuales son los requerimientos tecnolgicos o informticos quela organizacin requiere para lograr sus objetivos.La propuesta es verificar con que cuento, en infraestructura tecnolgica y quenecesito para lograr mis objetivos como organizacin.Planear y organizar, tiene que ver con identificar la manera en que TI puedacontribuir de la mejor manera al logro de los objetivos del negocio. Adems, larealizacin de la visin estratgica requiere ser planeada, comunicada yadministrada desde diferentes perspectivas. Finalmente, se debe implementar unaestructura organizacional y una estructura tecnolgica apropiada. Este dominiocubre los siguientes cuestionamientos tpicos de la gerencia: Estn alineadas las estrategias de TI y del negocio? La empresa est alcanzando un uso ptimo de sus recursos? Entienden todas las personas dentro de la organizacin los objetivos de TI? Se entienden y administran los riesgos de TI? Es apropiada la calidad de los sistemas de TI para las necesidades delnegocio? Definicin de un Plan Estratgico de Tecnologa de Informacin de acuerdo a sus necesidades Definicin de la Arquitectura de Informacin Determinacin de la direccin tecnolgica Definicin de la Organizacin y de las Relaciones de TI Manejo de la Inversin en Tecnologa de Informacin Comunicacin de la direccin y aspiraciones de la gerencia Administracin de Recursos Humanos 21. Aseguramiento del Cumplimiento de Requerimientos Externos Evaluacin de Riesgos Administracin de proyectos2. Recursos TI. Una vez que contamos con los recursos se tiene que buscar laforma de administrar e implementarlosAdquirir e implementar. Para llevar a cabo la estrategia de TI, las soluciones de TInecesitan ser identificadas, desarrolladas o adquiridas as como la implementacine integracin en los procesos del negocio. Adems, el cambio y el mantenimientode los sistemas existentes para garantizar que las soluciones sigan satisfaciendolos objetivos del negocio. Esta seccin, por lo general, cubre los siguientescuestionamientos de la gerencia: Los nuevos proyectos generan soluciones que satisfagan las necesidades delnegocio? Los nuevos proyectos son entregados a tiempo y dentro del presupuesto? Trabajarn adecuadamente los nuevos sistemas una vez sean implementados? Los cambios afectarn las operaciones actuales del negocio?Las siguientes actividades son indispensables en adquisicin e implementacin. Identificacin de Soluciones Adquisicin y Mantenimiento de Software de Aplicacin Adquisicin y Mantenimiento de Arquitectura de Tecnologa Desarrollo y Mantenimiento de Procedimientos relacionados con Tecnologa de Informacin Instalacin y Acreditacin de Sistemas Administracin de Cambios3. Procesos TI. Los procesos que se automatizan se entregan, se les da soportepero tambin se tienen que monitorear, para evaluar su desempeo y saber siestn dando resultados esperados o no.Entregar Y Dar Soporte se cubre la entrega en s de los servicios requeridos, loque incluye la prestacin del servicio, la administracin de la seguridad y de lacontinuidad, el soporte del servicio a los usuarios, la administracin de los datos y 22. de las instalaciones operacionales. Por lo general aclara las siguientes preguntasde la gerencia: Se estn entregando los servicios de TI de acuerdo con las prioridades delnegocio? Estn optimizados los costos de TI? Es capaz la fuerza de trabajo de utilizar los sistemas de TI de maneraproductiva y segura? Estn implantadas de forma adecuada la confidencialidad, la integridad y ladisponibilidad? Definicin de Niveles de Servicio Administracin de Servicios prestados por Terceros Administracin de Desempeo y Capacidad Aseguramiento de Servicio Continuo Garantizar la Seguridad de Sistemas Identificacin y Asignacin de Costos Educacin y Entrenamiento de Usuarios Apoyo y Asistencia a los Clientes de Tecnologa de Informacin Administracin de la Configuracin Administracin de Problemas e Incidentes Administracin de Datos Administracin de Instalaciones Administracin de OperacionesPara medir resultados del departamento TI, as como la optimizacin del trabajoautomatizado, la calidad y el desempeo de los sistemas implementados se tieneque realizar lo siguiente:MONITOREAR Y EVALUAR Todos los procesos de TI deben evaluarse de formaregular en el tiempo en cuanto a su calidad y cumplimiento de los requerimientosde control. La administracin del desempeo, el monitoreo del control interno, elcumplimiento regulatorio y la aplicacin del departamento TI. Por lo general abarcalas siguientes preguntas de la gerencia: Se mide el desempeo de TI para detectar los problemas antes de que seademasiado tarde? 23. La Gerencia garantiza que los controles internos son efectivos y eficientes? Puede vincularse el desempeo de lo que TI ha realizado con las metas delnegocio? Se miden y reportan los riesgos, el control, el cumplimiento y el desempeo?Como realizar el monitoreo: 1. Monitorear el marco de trabajo de control interno 2. Revisiones de Auditoria Monitorear y reportar la efectividad 3. Excepciones de control Registrar la informacin 4. Auto-evaluacin de control Evaluar la completitud y efectividad de loscontroles internos 5. Aseguramiento del control interno 6. Acciones correctivas Identificar e iniciar medidas correctivas basadas en lasevaluaciones y en los reportes de control.Esta informacin es obtenida de COBIT, cabe sealar que COBIT se implementacorporativos o empresas grandes y no por eso una pyme no pueda hacer uso del solo que tenemos que adecuarlo a nuestras necesidades, nuestra capacidad yanalizar nuestras soluciones.Algunos de los beneficios que obtenemos al implementar COBIT son:Define claramente roles y quin rinde cuentas a nivel estratgico, tctico yoperacional.Facilita la auto evaluacin del estado de la TI en la organizacin.Es una herramienta de auditoria de los controles de TI de la organizacin.Permite la medicin gerencial por medio de indicadores y del modelo demadurez.A nivel gerencialTomar decisiones relacionadas con la inversin en TIBalancear los riesgos y los controles de las inversiones en TILlevar a cabo un anlisis comparativo del entorno para establecer elambiente adecuado de tecnologa y de personas en el futuro. 24. A nivel usuarioObtener garanta del retorno de la inversin sobre la seguridad, los controles y losproductos y servicios que ellos adquieren interna y externamente.A nivel auditoriaSoportar ante la Gerencia su criterio acerca de los controles internos.IMPLEMENTACION DE ITILPaso 1: Definir el alcance del modelo de referencia. Definir el esfuerzo y costo deimplementacin.Paso 2: Definicin de la estructura de Servicios de TI y la CMDB.Paso 3: Determinar los procesos operativos bsicos:Es clave la definicin inicial del service desk y de los procesos que lo soportan, astambin se implantara de las gestiones de incidencias, problemas, cambios,configuraciones, versiones y niveles de servicio. Este proceso en una empresa tiene que facilitar la integracin de actividades deconfiguracin a travs de plataformas y tecnologas.Paso 4: Implantar los procesos tcticos requeridos por la organizacin:Permiten desde el inicio poner en prctica el nivel de servicio y garantizar elcumplimiento de los acuerdos con clientes, establecidos en el paso 3 como SLM;adems se implantaran las gestiones de disponibilidad, capacidad y continuidad.Paso 5: Construir los procesos alineados con la estrategia del negocio y con laseguridad de la informacin.Paso 6: Definir mtricas de calidad de servicio y desempeo de los procesos.Estos indicadores proveen el mecanismo de seguimiento, mejora continua yplanificacin, primordiales tanto hacia dentro del departamento como de cara a losusuarios.Paso 7: Garantizar la calidad de la informacin en la CMDB:Mediante la definicin de registros de informacin puntales y que permitan generarreportes de desempeo, as como formar la base para los procesos de auditora ala informacin y controles de validacin de datos en el cargue de los mismosPaso 8: Garantizar y monitorear la gestin de cambios. 25. Este elemento es la base fundamental para disponer de procesos que generenauto-aprendizaje y mejora continua. Un aspecto clave para ir adaptando losnuevos procedimientos y capacidades a la cambiante y dinmica realidad de unaempresa moderna.Paso 9: Entrenar al personal y hacer partcipes del proceso al resto de laorganizacin.El xito de la iniciativa depender en gran manera de la forma en que los nuevosprocedimientos se transformen una costumbre de trabajo, y que la alineacin yparticipacin del resto de la empresa en la definicin y toma de decisiones sehayan hecho presentesPaso 10: Seleccionar una herramienta adecuada que permita gestionaradecuadamente la informacin asociada con los procesos definidosBeneficios de ITIL: Mejora de la disponibilidad, fiabilidad y seguridad de los servicios de TI. Aumento de la eficiencia de la entrega de proyectos de TI. Reduccin del coste total de propiedad de los activos de TI de infraestructura yaplicaciones de TI. Aprovechar mejor los recursos, incluyendo niveles de disminucin de lareanudacin y la eliminacin de actividades redundantes. Provisin de servicios que satisfagan las empresas, clientes y las demandas delusuario, con un coste justificable de la calidad del servicio. Ms eficaz y mejor de tercera parte en las relaciones y los contratos.Dado que el marco de ITIL slo proporciona la orientacin necesaria sobre laestructura del proceso, muchos directores de sistemas no estn viendo lasmejoras que se espera-a pesar de una fuerte inversin en ITIL. Implementacin deITIL se establece en el contexto de un negocio o cambio de programa y, como tal,es ms que un simple conjunto de procesos que pueden desplegarse en seguida ysin compromisos. 26. Recomendaciones para una empresa:Se recomienda atender las siguientes actividades para implementar una norma deseguridad en un sistema de informacin:La Direccin deber definir:a)Plan de Accin.b)Polticas de comunicacin para con el personal referida a la implementacin,sus implicancias y la necesidad del compromiso de todos los actores.c)Previsin de mecanismos de resolucin de posibles situaciones conflictivasque pueden aparecer.d)Elaboracin de la Poltica de Calidad.e)Monitorear permanentemente el desarrollo del Plan de Accin.f) Realizar reuniones formales de revisin.FormacinDebern desarrollarse cursos de sensibilizacin para todos los integrantes de laDireccin y de quienes estn directamente involucrados en el desarrollo del SGCproveyendo de los conocimientos necesarios sobre norma ISO 9000-2005, 9001-2008 y 19011-2002.A partir del Plan de Accin elaborado por la Direccin, se podrn detallar ms lasactividades, conformando un Programa donde se tendr en cuenta:a)Perodos.b)Actividades.c)rea Responsable.Se identificarn los procesos relevantes para la implementacin, donde intervieneuna descripcin donde se definen claramente las interfaces del proceso,identificacin y definicin de responsabilidades, los alcances de cada tarea.La precisin con que se realice esta etapa definir la calidad, claridad y utilidad delos documentos elaborados que se generen. Toda la documentacin deber serrevisada con la finalidad de aclarar y corregir incoherencias o indefiniciones.En esta etapa se analizarn los procesos, tratando de detectar aspectos quepuedan ser optimizados con la finalidad de hacer ms eficientes procesos o 27. interfaces administrativos como para la gestin especfica de la documentacin,registros etc.Confeccin de la documentacin del Sistema de Informacin. o Manual principal. o Manual de Procedimientos Generales (Procesos) y Especficos (auditorias, documentos, etc). o Formularios para Registro y archivos.Puesta en funcionamiento.Previo a la puesta en marcha el personal debe tomar conocimiento del mismo,mediante capacitacin. 28. CONCLUSIONLa correcta seleccin de los controles es una tarea que requiere del apoyo deespecialistas en seguridad informtica, ya que cuando stos se establecen deforma inadecuada pueden generar un marco de trabajo demasiado estricto y pocoadecuado para las operaciones de la organizacin.Como todo estndar, se proporciona un marco ordenado de trabajo al cual debensujetarse todos los integrantes de la organizacin, y aunque no elimina el cien porciento de los problemas de seguridad, s establece una valoracin de los riesgos alos que se enfrenta una organizacin en materia de seguridad de la informacin.Dicha valoracin permite administrar los riesgos en funcin de los recursostecnolgicos y humanos con los que cuenta la organizacin; adicionalmente,establece un entorno que identifica los problemas de seguridad en tiemposrazonables, situacin que no es posible, la mayora de las veces, si no se cuentacon controles de seguridad como los establecidos en el ISO 17799, es decir, laaplicacin del estndar garantiza que se podrn detectar las violaciones a laseguridad de la informacin, situacin que no necesariamente ocurre en caso deno aplicarse el estndar.Estos principios en la proteccin de los activos de informacin constituyen lasnormas bsicas deseables en cualquier organizacin, sean instituciones degobierno, educativas e investigacin; no obstante, dependiendo de la naturaleza ymetas de las organizaciones, stas mostrarn especial nfasis en algn dominio orea de cualquier estndar.El objetivo de la seguridad de los datos es asegurar la continuidad de lasoperaciones de la organizacin, reducir al mnimo los daos causados por unacontingencia, as como optimizar la inversin en tecnologas de seguridad.