FACULTAD DE

INGENIERIA

DEPARTAMENTO DE INGENIERIA EN SISTEMAS

NOMBRE DE LA ACTIVIDAD:
Tarea 2.1
CLASE:
SEGURIDAD INFORMATICA

CATEDRÁTICO:
Rafael E. Diaz del Valle O.
ALUMNO:
Jakmeni Jasiel Quilico Valeriano 20161004456

SECCIÓN:
0800
TEGUCIGALPA, HONDURAS, junio 2022
 CONTENIDO:

INTRODUCCIÓN:............................................................................................................3

OBJETIVOS:.....................................................................................................................4

Objetivo General:...........................................................................................................4

Objetivo Específico:......................................................................................................4

MARCO TEÓRICO..........................................................................................................5

ITIL:...............................................................................................................................5

COBIT:..........................................................................................................................7

ISO 27000......................................................................................................................9

COMPARATIVA:.......................................................................................................11

CONCLUSIONES:..........................................................................................................12

BIBLIOGRAFÍA.............................................................................................................13
 INTRODUCCIÓN:

En un mercado como el actual, las organizaciones buscan demostrar

confianza a sus clientes y compromiso con la seguridad de la información que

manejan. Para ello, el hecho de poseer una certificación de algún estándar o norma

ISO referente a Seguridad supone una ventaja competitiva, ya que es consecuencia

de una correcta gestión de los requisitos de seguridad en los procesos de tratamiento

de la información.

En el análisis comparativo de los modelos COBIT, ITIL e ISO 27002, se

encarga en especificar el enfoque que tiene cada uno de ellos. COBIT tiene su

enfoque en controles y métricas de TI, aunque en sus objetivos de control no tiene un

detalle de los pasos que se deben de realizar para cumplirlos. ISO 27000 es un

estándar que tiene un enfoque exclusivo en los controles de seguridad, aunque no

presenta mucho detalle en cómo realizar las cosas. ITIL tiene su fortaleza en los

procesos, aunque se enfoca demasiado en lo que se debe hacer y no mucho en el

desarrollo de sistemas y seguridad.

 OBJETIVOS:

Objetivo General:

 Realizar una comparación entre los 3 modelos mencionados, enfocándose en

sus funciones, el motivo de su implementación y quienes son los encargados

para evaluar el correcto desempeño.

Objetivo Específico:

 Comparar COBIT, ITIL e ISO 27000.

 Orientar en el uso de COBIT, ITIL e ISO 27000.

 MARCO TEÓRICO

ITIL:

Las siglas ITIL significan Information Technology Infrastructure Library,

que traduciríamos literalmente como Biblioteca de Infraestructura de Tecnologías de

Información. ITIL es una guía de buenas prácticas para la gestión de servicios de

tecnologías de la información (TI). La guía ITIL ha sido elaborada para abarcar toda

la infraestructura, desarrollo y operaciones de TI y gestionarla hacia la mejora de la

calidad del servicio.

ITIL es una metodología de gestión que abarca una serie de prácticas y

actividades a seguir para una buena gestión de los servicios de IT, ayudando a las

empresas de cualquier sector a reorganizar la manera en que trabajan, en especial al

departamento de IT, para lograr dicho objetivo.

Los pilares de ITIL son los siguientes principios:

 Procesos, necesarios para la gestión de TI de acuerdo a la alineación

de los mismos dentro de la organización.

 Calidad, entendida como la entrega a cliente del producto o servicio

óptimos, es decir, incluyendo las características acordadas.

 Cliente, su satisfacción es el objetivo de la mejora de los servicios,

siendo, por lo tanto, el beneficiario directo de la implantación de las

buenas prácticas de ITIL.

 Independencia, siempre deben mantenerse buenas prácticas a pesar de

los métodos establecidos para cada proceso y de los proveedores

existentes.
Las principales características de la metodología ITIL son:

 Está dirigida a directivos, tanto de empresas pequeñas como de empresas

grandes

o Abarca enfoques de gestión de estrategia empresarial y de IT.

o Las configuraciones se reflejan en una base de datos central que rastrea

automáticamente un ciclo de vida (en el que se registran todos los

cambios, incidentes, errores conocidos, etc.).

 El ciclo de vida de ITIL tiene las siguientes fases: estrategia, diseño, transición,

operación y mejora continua.

 Explica cómo planificar y coordinar actividades de diseño.

 Gestión de eventos, problemas y cumplimiento de solicitudes.

 Se enfoca en la creación de valor para el cliente, más que en la simple prestación

de servicios.

Etapas de ITIL

Estas son las etapas del ciclo de vida del servicio de ITIL:

 Estrategia de servicio: Facilita a las organizaciones el establecimiento de metas

empresariales y el desarrollo de una estrategia que pueda satisfacer los requisitos

y prioridades de los clientes.

 Diseño del servicio: Incluye el diseño de procesos y funciones. Esto se refiere

tanto al diseño de los procesos, como de la tecnología, la infraestructura y los

productos de la gestión del servicio.

 Transición del servicio: Se centra en mantener el estado actual del servicio

mientras se implementa un nuevo cambio organizacional. Garantiza que los

 riesgos y los efectos estén bajo control, de manera que no haya interrupciones en

ninguno de los servicios en curso.

 Operación del servicio: La operación del servicio garantiza que las tareas

operacionales diarias no sean interrumpidas. Eso incluye la monitorización de la

infraestructura y los servicios relacionados y permite a las empresas satisfacer

los requisitos y prioridades de los clientes.

 Mejora continua de los servicios: Se trata de una parte del control de calidad

que tiene como objetivo la mejora continua de los procesos de forma progresiva.

Esto ocurre a lo largo del ciclo de vida del servicio.

COBIT:

COBIT significa “Objetivos de control para las tecnologías de la información

y relacionadas”. Es un marco de trabajo para gobernanza de TI y un conjunto de

herramientas desarrolladas por la ISACA que permiten supervisar la tecnología de la

información.

COBIT nace con la misión de investigar, desarrollar, publicar y promover un

conjunto de objetivos de control de tecnología de información, guías, actualizados,

internacionales y aceptados para ser utilizados diariamente por gerentes de negocio y

auditores. Su misión es consolidarse como líder mundialmente reconocido en materia

de gobierno, control y aseguramiento de la gestión de TI.

Su objetivo es mantener el equilibrio entre los recursos empleados y los

beneficios que una empresa obtiene, por lo que se usa como herramienta de auditoría

para la gestión de procesos de las empresas. COBIT asegura que todos los

interesados dentro de una organización (incluyendo los que están fuera del

departamento de IT) cumplan su papel en el sistema de servicios de IT. Por lo tanto,

 se trata de un enfoque más holístico que tiene en cuenta los objetivos de toda la

empresa utilizando un único marco general de normas.

Principios de COBIT 5

 Satisfacer las necesidades del accionista

 Considerar la empresa de punta a punta

 Aplicar un único modelo de referencia integrado

 Posibilitar un enfoque holístico

 Separar gobierno de la gestión.

Características de COBIT

Las principales características de la metodología COBIT son:

 Se usa como guía de auditoría.

 Hace una clasificación de los procesos de la siguiente manera: planificación y

organización; adquisición; entrega; soporte del servicio, supervisión y

evaluación.

 Se divide en tres fases: dominio, proceso y actividades.

 Está dirigido al personal de todos los departamentos, incluyendo a los auditores

para implementar un gobierno de IT.

 Mejora la comunicación y cooperación entre auditores y administradores.

 Se enfoca en necesidades comerciales y requisitos legales. Alineando las

prácticas de IT y las de negocio.

 Mejora la gestión de incidentes y solicitudes a través del enfoque en las

capacidades de soporte.
 ISO 27000
Las normas que forman la serie ISO/IEC-27000 son un conjunto de

estándares creados y gestionados por la Organización Internacional para la

Estandarización (ISO) y la Comisión Electrónica Internacional (IEC). Ambas

organizaciones internacionales están participadas por multitud de países, lo que

garantiza su amplia difusión, implantación y reconocimiento en todo el mundo.

Las series 27000 están orientadas al establecimiento de buenas prácticas en

relación con la implantación, mantenimiento y gestión del Sistema de Gestión de

Seguridad de la Información (SGSI) o por su denominación en inglés Information

Security Management System (ISMS). Estas guías tienen como objetivo establecer

las mejores prácticas en relación con diferentes aspectos vinculados a la gestión de la

seguridad de la información, con una fuerte orientación a la mejora continua y la

mitigación de riesgos.

 ISO 27000: facilita las bases y lenguaje común para el resto de las normas de la

serie.

 ISO 27000: contiene el vocabulario en el que se apoyan el resto de normas. Es

similar a una guía/diccionario que describe los términos de todas las normas de

la familia.

 ISO 27001: es el conjunto de requisitos para implementar un SGSI. Es la única

norma certificable de las que se incluyen en la lista y consta de una parte

principal basada en el ciclo de mejora continua y un Anexo A, en el que se

detallan las líneas generales de los controles propuestos por el estándar.

 ISO 27002: se trata de una recopilación de buenas prácticas para la Seguridad

de la Información que describe los controles y objetivos de control. Actualmente

cuentan con 14 dominios, 35 objetivos de control y 114 controles.

 ISO 27003: es una guía de ayuda en la implementación de un SGSI. Sirve como

apoyo a la norma 27001, indicando las directivas generales necesarias para la

correcta implementación de un SGSI. Incluye instrucciones sobre cómo lograr la

implementación de un SGSI con éxito.

 ISO 27004: describe una serie de recomendaciones sobre cómo realizar

mediciones para la gestión de la Seguridad de la Información. Especifica cómo

configurar métricas, qué medir, con qué frecuencia, cómo medirlo y la forma de

conseguir objetivos.

 ISO 27005: es una guía de recomendaciones sobre cómo abordar la gestión de

riesgos de seguridad de la información que puedan comprometer a las

organizaciones. No especifica ninguna metodología de análisis y gestión de

riesgos concreta, pero incluye ejemplos de posibles amenazas, vulnerabilidades

e impactos.

 ISO 27006: es un conjunto de requisitos de acreditación para las organizaciones

certificadoras.

 ISO 27007: es una guía para auditar SGSIs. Establece qué auditar y cuándo,

cómo asignar los auditores adecuados, la planificación y ejecución de la

auditoría, las actividades claves, etc.

COMPARATIVA:
Cuadro comparativo:

Desde la vista implementación, TIL es el estándar más fácil de implementar.

Debido a que, ITIL podría implementarse parcialmente y aún no tener impacto en el

rendimiento. Por ejemplo, si el departamento de TI carece de presupuesto y el puede

optar por implementar sólo la capa de prestación de servicios de Ti, y el próximo año

tratará de implementar la gestión de versiones de Ti o la gestión de problemas de TI.

Sin embargo, COBIT e ISO27001 es bastante difícil de implementar

parcialmente, ya que debería ver un proceso en mayor visión primero antes de que

pudieran implementarse parcialmente.

Por o general, el proveedor de COBIT proviene de Publci Accounting Firm

que tiene un brazo de auditoria de TI, por ejemplo, PWC, DTT, KPMG, EY. Este

tipo de proveedor es la mejor opción para COBIT. ya que también trabajan para la

implementación COBIT derivado como COBIT para Sarbanes Oxley. La otra

norma /TIL e S027001 suelen venir de compañías de consultoría de TI, por ejemplo,

BM, Accenture, Y para S027001 la mayoría de la empresa de redes de TI también

podría ofrecer esta consulta estándar.

 CONCLUSIONES:

 Los 3 estandares mencionados en este informe han sido creados para apoyar a la

gobernanza de los activos tecnológicos, COBIT puede ayudar en los análisis,

monitoreo de tecnologías y procesos de una forma general ente tanto TIL puede

ser subdividida su utilización y/o aplicación en la organización.

 COBIT sirve para planear, organizar, dirigir y controlar toda la función

informática dentro de una empresa. Actúa sobre la dirigencia y ayuda a

estandarizar a organización. ITIL actúa sobre los procesos y, a través del

conjunto de buenas prácticas que lo conforman, mejorar el servicio que ofrece la

empresa y medirlos (para una mejora continua).

 La norma ISO27001:2013 es una herramienta efectiva para manejar un Sistema

de Gestión de Seguridad de la Información en cualquier organización, sin

importar a que se dedique esta, debido a que es un tema de extrema

trascendencia y permanente actualidad. Es de uso global y además es

certificable.

BIBLIOGRAFÍA
 Alonso, C. (12 de Noviembre de 2020). Global Suite. Obtenido de

https://www.globalsuitesolutions.com/es/que-es-itil-y-para-que-sirve/

#:~:text=Las%20siglas%20ITIL%20significan%20Information,de%20la

%20informaci%C3%B3n%20(TI).

 Dirección General de Modernización Administrativa, Procedimientos e Impulso

de la Administración Electrónica. (2012). MAGERIT – versión 3.0.

Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información.

Madrid: Ministerio de Hacienda y Administraciones Públicas.

 Esp, E. (2 de Diciembre de 2020). Freshworks. Obtenido de

https://freshservice.com/es/itil/itil-vs-cobit-que-marco-es-mas-recomendable-

blog/

 ISO Tools. (21 de Enero de 2015). Obtenido de

https://www.isotools.org/2015/01/21/familia-normas-iso-27000/

 Nextech. (12 de Mayo de 2021). Obtenido de https://nextech.pe/que-es-cobit-y-

para-que-sirve/