COLEGIO DE EDUCACION PROFESIONAL TECNICA

ORGANISMO PUBLICO DESCENTRALIZADO DEL ESTADO

R.A. 1.2 Elabora el plan de seguridad en cómputo acorde con los riesgos determinados
y estándares de protección.

CONTENIDO

A. Analiza modelos y buenas prácticas de seguridad informática.

MODELOS DE SEGURIDAD INFORMATICA:

 ITIL
 Cobit
 ISM3
 MODELOS DE SEGURIDAD INFORMATICA ITIL
Information Technology Infrastructure Library
(Biblioteca de Infraestructura de Tecnologías de Información)

Desarrollada a finales de 1980, la Biblioteca de Infraestructura de Tecnologías de la Información (ITIL)

se ha convertido en el estándar mundial de defecto en la Gestión de Servicios Informáticos. Iniciado
como una guía para el gobierno de UK.

Es un marco de trabajo de las mejores prácticas destinadas a facilitar la entrega de servicios de

tecnologías de la información (TI) de alta calidad. ITIL resume un extenso conjunto de procedimientos
de gestión ideados para ayudar a las organizaciones a lograr calidad y eficiencia en las operaciones de
TI. Estos procedimientos son independientes del proveedor y han sido desarrollados para servir de guía
para que abarque toda infraestructura, desarrollo y operaciones de TI.
Desarrollada la estructura base ha demostrado ser útil para las organizaciones en todos los sectores a
través de su adopción por innumerables compañías como base para consulta, educación y soporte
de herramientas de software.

ITIL fue desarrollada al reconocer que las organizaciones dependen cada vez más de la Informática

para alcanzar sus objetivos corporativos. Esta dependencia en aumento ha dado como resultado una
necesidad creciente de servicios informáticos de calidad que se correspondan con los objetivos del
negocio, y que satisfagan los requisitos y las expectativas del cliente.   
 Ventajas

 Mejora la comunicación con los clientes y usuarios finales a través de los diversos puntos de
contacto acordados.  

 Los servicios se detallan en lenguaje del cliente y con más detalles.

 Se maneja mejor la calidad y los costos de los servicios.

 La entrega de servicios se enfoca más al cliente, mejorando con ello la calidad de los mismos y
relación entre el cliente y el departamento de IT.

 Una mayor flexibilidad y adaptabilidad de los servicios.

 Desventajas 

 Tiempo y esfuerzo necesario para su implementación.

 Que no dé el cambio en la cultura de las áreas involucradas.

 Que no se vea reflejada una mejora, por falta de entendimiento sobre procesos, indicadores y como pueden ser
controlados.

 Que el personal no se involucre y se comprometa.

 La mejora del servicio y la reducción de costos puede no ser visible.

 Que la inversión en herramientas de soporte sea escasa.

 Los procesos podrán parecer inútiles y no se alcancen las mejoras en los servicios.
 Ventajas 

1. A los Auditores de Sistemas de información, cuando en la empresa se trabaja aplicando Cobit, esto les permite dar
soporte a las opiniones mostradas a la administración sobre lo controles internos.

2. Se provee información a través de la utilización óptima (más productiva y económica) de recursos, en otras palabras
trabajar con eficiencia.

3. Disponibilidad de la información cuando ésta se requiere por el proceso de negocio en todo momento. Al mismo
tiempo asegurar la protección de los recursos que necesita la organización con sus respectivas capacidades.

4. Cumplir con las leyes, regulaciones y acuerdos contractuales a los que los procesos del negocio está sujeto. Para los
usuarios, Cobit les permite obtener una garantía en cuanto a la seguridad y controles de los servicios de tecnología de
información proporcionados internamente o por terceras partes (proveedores).
 MODELOS DE SEGURIDAD INFORMATICA COBIT

Objetivos de Control para Información y Tecnologías Relacionadas (COBIT, en inglés: Control

Objectives for Information and related Technology) es una guía de mejores prácticas presentado como
framework, dirigida al control y supervisión de tecnología de la información (TI).

Determina, con el respaldo de las principales normas técnicas internacionales, un conjunto de mejores
prácticas para la seguridad, la calidad, la eficacia y la eficiencia en TI que son necesarias para alinear
TI con el negocio, identificar riesgos, entregar valor al negocio, gestionar recursos y medir el
desempeño, el cumplimiento de metas y el nivel de madurez de los procesos de la organización.

Ayuda la dirección en la definición de un plan de TI estratégico, la definición de la arquitectura de la

información, la adquisición del hardware necesario TI y el software para ejecutar una estrategia TI, la
aseguración del servicio continuo, y la supervisión del funcionamiento del sistema TI.
 Ventajas 

1. A los Auditores de Sistemas de información, cuando en la empresa se trabaja aplicando Cobit, esto les permite dar
soporte a las opiniones mostradas a la administración sobre lo controles internos.

2. Se provee información a través de la utilización óptima (más productiva y económica) de recursos, en otras palabras
trabajar con eficiencia.

3. Disponibilidad de la información cuando ésta se requiere por el proceso de negocio en todo momento. Al mismo
tiempo asegurar la protección de los recursos que necesita la organización con sus respectivas capacidades.

4. Cumplir con las leyes, regulaciones y acuerdos contractuales a los que los procesos del negocio está sujeto. Para los
usuarios, Cobit les permite obtener una garantía en cuanto a la seguridad y controles de los servicios de tecnología de
información proporcionados internamente o por terceras partes (proveedores).
 Ventajas 

5. Se provee información a través de la utilización óptima (más productiva y económica) de recursos, en otras palabras
trabajar con eficiencia.

6. Proteger la información sensible contra la divulgación no autorizada, es decir lograr la confidencialidad de la

información.

7. Proporciona a gerentes, interventores, y usuarios de TI un conjunto de medidas, indicadores, procesos y mejores

prácticas; que los ayuda a maximizar las ventajas del uso de las tecnologías de información y el desarrollo del gobierno
de TI para el efectivo control en una empresa.
 Desventajas 

1. Los estándares no cubren todos los temas en detalle.

2. No existe un estándar que abarque todos los temas (gestión, seguridad, calidad, desarrollo, continuidad, etc.).

3. Se requiere de un esfuerzo de la organización, para adoptar los estándares.

4. Evolución Gestión aceptado internacionalmente que se adopta por las empresas y se Contemple en el día a día por
los gerentes de negocio.
 MODELOS DE SEGURIDAD INFORMATICA ISM3

Es un modelo de madurez para la seguridad, con 5 niveles que facilita la mejora y alineación con las
necesidades del negocio de los sistemas de gestión de la seguridad de organizaciones de cualquier tipo
y tamaño.

Permite hacer de la seguridad de la información un proceso medible mediante métricas. Esto permite la
mejora continua, gracias a que el estándar define criterios para medir la eficiencia y calidad. Además,
enlaza los conceptos de madurez y métricas, mostrando como la gestión de seguridad es más madura
cuanto más sofisticadas son las prácticas de gestión.

Pretende alcanzar un nivel de seguridad definido, también conocido como riesgo aceptable, en lugar de
buscar la invulnerabilidad. ISM3 ve como objetivo de la seguridad de la información el garantizar la
consecución de objetivos de negocio. La visión tradicional de que la seguridad de la información trata
de la prevención de ataques
 CARACTERISTICAS ALCANCES

 Aumento de la seguridad efectiva de los

Sistemas de información.
 Métricas de Seguridad de la Información.
 Correcta planificación y gestión de la
 Niveles de Madurez.
seguridad.
 Basado el Procesos.  Garantías de continuidad del negocio.
 Adopción de las Mejores Prácticas.  Mejora continua a través del proceso de
Auditoría interna.
 Certificación.
 Incremento de los niveles de confianza
 Accesible
de los clientes y socios de negocios.

 Aumento del valor comercial y mejora

de la imagen de la organización.
 Ventajas 

 Es un modelo que permite ver los sistemas seguridad con una visión de procesos.

 Permite definir el nivel de madurez de un sistema de seguridad.

 Es simple y flexible y se adapta a organizaciones cualquier índole.

 Puede ser aplicado sin o con sistema de seguridad implementado.

 Toma las ventajas y desecha las desventajas de otros modelos como 17799, CMMI, etc.

 Esta pensado para poder ser certificable a través del sistema ISO 9000.
 Desventajas 

 ISM3 es un modelo de seguridad muy nuevo.

 Es nuevo que no hay organización que lo hubiese implementado todavía.

 El modelo salio a mitad del año pasado.