SEGURIDAD INFORMÁTICA

Mg. Yackeline Bautista Flores

 LOGROS DE LA SESIÓN

Al finalizar la sesión el estudiante

podrá distinguir:
ISO 27001 relación con estándares
COBIT e ITIL
 CRITERIOS DE COMPARACIÓN
NORMA ISO 27001 Y COBIT

Una certificación ISO 27001 prueba que se ha declarado conforme la

implementación del sistema de gestión de seguridad de la
información de la empresa en función a una norma internacional de
buenas prácticas.
Confidencialidad
ISO 27001
NORMA

Los requisitos de la Norma ISO 27001 norma nos aportan un Sistema

de Gestión de la Seguridad de la Información (SGSI), consistente en
medidas orientadas a proteger la información, indistintamente del Integridad
formato de la misma, contra cualquier amenaza, de forma que
garanticemos en todo momento la continuidad de las actividades de
la empresa.

Objetivos de SGSI Disponibilidad

 LOS PROS Y CONTRAS DE LAS
NORMAS ISO PARA TU EMPRESA Y
DEPARTAMENTO DE IT

POSITIVO NEGATIVO

• Competitividad, es el único modo que puede • Al iniciar existirá un sobrecargando en el

garantizar un equilibrio en las medidas de ritmo habitual de trabajo de toda la
seguridad entre esas partes. Y para decirlo organización.
crudamente, quien no la tenga, se quedará
fuera. • Una vez que se ha empezado el camino de
• Partiendo del AR que impone la norma, implementación de la norma ISO27001,
hasta la implementación de los controles, el tenemos la opción de certificar o no. Sea
conjunto de acciones adoptadas reducirá al cual fuere la elección, el cúmulo de
mínimo todo riesgo por robo, fraude, error actividades realizadas exige un
humano. mantenimiento y mejora continua.
• El estándar crea conciencia y compromiso
de seguridad en todos los niveles de la • Requiere esfuerzo continuo mantenimiento
empresa, no sólo al implantarla, sino que del nivel alcanzado.
será permanente pues se trata de un ciclo.
 COBIT
• Son un conjunto de herramientas orientadas a garantizar el
control y seguimiento de gobernabilidad de Sistemas de
Información a largo plazo a través de auditorías.

• Enmarca todo el proceso de información de la empresa. Compila

y organiza desde la creación de la información hasta su
disposición final para garantizar un control de calidad preciso.

Planificar y organizar

• Dominios y procesos: COBIT 4 está Adquirir e Implementar

estructurado por 34 objetivos de control y 4
dominios:
Entrega y soporte

Monitorear y Evaluar
 COBIT 5: EMPRESARIAL
COMPLETOfor

Gobierno Corporativo de TI
Evolución del Alcance

Gobierno de TI

Val IT 2.0
Administración (2008)

Control
Risk IT
(2009)
Auditoría

COBIT1 COBIT2 COBIT3 COBIT4.0/4.1 COBIT 5

1996 1998 2000 2005/7 2012

7
LOS PROS Y CONTRAS DE COBIT

POSITIVO NEGATIVO

• Ideal para todo tipo de empresa, PYME o

gran empresa • Se limita a temas particulares, y hay que
• Expande la base de conocimiento a todos adoptarlos por separado (gestión, seguridad,
los sectores productivos de la industria. calidad, desarrollo, continuidad, etc ).
• Centrado en los documentos.
• Mejora los criterios para la toma de • Requiere un tiempo prudencial para
decisiones informados a las gerencias. adoptarlos.
• Define los planes estratégicos de TI basados
en la arquitectura de red, información y • Pronuncia el abismo entre gerencias y
equipos asociados. operaciones.
• Asegura el servicio continuo.
• Ayuda en los procesos de auditoria.
 ISO 27001 Y COBIT
ISO 27001 COBIT ITIL

Es un conjunto de conceptos y
La norma ISO 27001 es el que nos mejores prácticas referentes a la
brinda el conocimiento sobre la Es una herramienta que se
gestión de servicios TI, ofrece la
Definición seguridad de la información el cual basa en la serie de recursos
orientación sobre la prestación de
se implementa a través de un utilizados para la gestión de
servicios de calidad de TI y
sistema de gestión de seguridad TI
procesos, funciones y otras
de la información (SGSI) capacidades necesarias.

Es una herramienta de solución de El ciclo de vida que propone ITIL

mejora continua que se basa en el Permite a las organizaciones para la correcta Gestión de los
Características desarrollo de una base a la cual minimizar los perfiles de Servicios y para entenderlos de
puede desarrollar SGSI. Este riesgo a través de la forma global es el siguiente:
sistema permite evaluar todos los administración correcta de la justificación, diseño, construcción,
tipos de riesgos y amenazas que seguridad. pruebas, despliegue, mejora y
ponen en peligro a la organización retirada.

Por ser norma contiene un Las buenas practicas de

tratamiento de información de COBIT están enfocadas COBIT5 desde el negocio a las TI,
Diferencias forma idónea y de forma fuertemente en el control y e ITIL ®desde las TI al negocio
configurable de acorde a los menos en la ejecución.
requerimientos de la organización.
Information Technology Infrastructure Lybrary (Biblioteca de Infraestructura
ITIL
de TI) es una biblioteca de libros de libros de consulta basada en buenas
prácticas de organizaciones de éxito.
Describe el modo de dirigir TI como negocio desde la creación de
estrategia de servicios hasta el diseño de los servicios de negocio.
Information Technology Infrastructure
Lybrary (Biblioteca de Infraestructura de TI)
es una biblioteca de libros de libros de
consulta basada en buenas prácticas de
organizaciones de éxito.
Describe el modo de dirigir TI como negocio
desde la creación de estrategia de servicios
hasta el diseño de los servicios de negocio.
 Ciclo de vida del
Information Technology Infrastructure Lybrary (Biblioteca de Infraestructura
servicio de TI
de TI) es una biblioteca de libros de libros de consulta basada en buenas
prácticas de organizaciones de éxito.
Diseñar servicios, prácticas,
Describe
políticas y el modocapaces
procesos de dirigir
de TI como negocio desde la creación de
materializar
estrategia dela servicios
estrategia hasta el diseño de los servicios de negocio.

Mejorar la eficacia y la
eficiencia de los servicios y
procesos de forma continuada

dinar y llevar a termino las

dades requeridas para
gar y gestionar servicios en
veles acordados
Asegurar que los servicios
nuevos, modificados y retirados
alcanzan las expectativas de
negocio

Definir perspectiva, posición,

planes y patrones necesarios
para alcanzar los resultados de
negocio
 CICLO DE VIDA

Estrategia del Servicio

Es central al concepto de Ciclo de vida del servicio y
tiene como principal objetivo convertir la Gestión del
Servicio en un activo estratégico.
Diseño del Servicio
Diseñar nuevos servicios o modificar los ya existentes
para su incorporación al catálogo de servicios y su paso
al entorno de producción.
CICLO DE VIDA

Transición de servicio
Es hacer que los productos y servicios definidos en la fase de Diseño del
Servicio se integren en el entorno de producción y sean accesibles a los
clientes y usuarios autorizados.
Operaciones de servicio
Coordina actividades y procesos necesarios para gestionar servicios
destinados a usuarios y clientes de empresas dentro de los niveles de
servicios acordados.
Mejora contínua
Proporciona una guía para la creación y mantenimiento del valor ofrecido a
los clientes a traces de un diseño, transición y operación del servicio
optimizado.
 ISO 27001

La norma ISO 27001 se ha centrado en gestionar la

seguridad de la información y de ITIL, en un marco
público-privado que se centra en los servicios TI de
gestión, se encuentran relacionados considerando la
protección de la información, y como se puede utilizar en
conjunto para incrementar los beneficios del negocio.

L: n y e
CONCEPTOS GENERALES

ISO 27001 ITIL

 ESTRUCTURA DE ITIL Y SIMILITUDES Y
DIFERENCIAS CON LA NORMA ISO 27001
CICLO DE VIDA EN 5 ETAPAS:

Estrategia de servicio (4 procesos): se debe alinear la estrategia de TI con los objetivos y las
expectativas generales de la organización, para asegurarse de que se agrega valor a la empresa. Esta
etapa puede relacionarse con la cláusula 4 de la norma ISO 27001.
Diseño del servicio (7 procesos): se deben asegurar todos los servicios de TI para cumplir con los
objetivos del negocio equilibrando los costes, la funcionalidad y el rendimiento. Uno de los procesos de
diseño del servicio es la gestión de la seguridad, ya que la utilización de muchos conceptos similares
puede estar cubierto por la cláusula 6 de la norma ISO 27001.
Transición del servicio (7 procesos): se asegura de que los nuevos, modificados y se retira el servicio
TI para que esté satisfecho con las necesidades de la organización, además de la gestión de los cambios
y se controlan de forma eficaz. Esta etapa se puede relacionar con la cláusula 8 de la norma.
Operación de servicio (5 procesos): se deben asegurar de que los servicios TI funcionan de forma
segura y fiable para apoyar las necesidades de negocio. Esta etapa puede estar relacionada con la
cláusula 8 de la norma.
Mejora continua del servicio (3 procesos): consiste en la mejora de la calidad, la eficacia y la eficiencia
de todos los servicios de TI, el tiempo reduce los costos. Esta etapa se puede relacionar con la cláusula 9
y 10 de la norma.
Aunque la norma ISO 27001 e ITIL tienen distintas prestaciones, comparten un enfoque similar al ciclo
PHVA, lo que facilita el trabajo con ellos juntos.
Ciclo PDCA Cláusulas de ISO 27001 Etapas de ITIL
 ¿CÓMO UTILIZAMOS ITIL E ISO
27001 JUNTOS?
No existe ninguna respuesta exacta a esta pregunta, ya que
depende de la empresa y sus requisitos. Un método consiste en
iniciar la implantación de la norma ISO 27001, ya que abarca la
gestión general de la seguridad de la información y después
de eso van para ITIL, que proporciona más detalles de
implantación. Otra alternativa es considerar los elementos de ISO
27001 para cada etapa de ITIL y se pone en práctica en la
secuencia de acuerdo con un programa de implantación de ITIL.
Lo importante aquí es que se va tanto en la norma ISO 27001 e
ITIL como material complementario que puede ayudar a una
empresa para proporcionar servicios al cliente con la
seguridad adecuada.
 BIBLIOGRAFÍA
• [Link]
Center/Research/Documents/Alineando-COBIT-4-1-ITIL-v3-y-ISO-
27002-en-beneficio-de-la-empresa_res_Spa_0108.pdf

• [Link]
internacionales/

• [Link]

• [Link]
_TI.php
 VIDEO

[Link]
[Link]
CONCLUSIONES

• Relacionar la ISO 27001, COBIT e ITIL.

• Definición de COBIT e ITIL.