2013

UNIVERSIDAD AUTONOMA GABRIEL RENE MORENO

UNIDAD DE POSTGRADO FACULTAD INTEGRAL DEL CHACO
ANALISIS DE NORMAS: COSO, ITIL, COBIT, 27000, CMMI

ESTUDIANTE: Gustavo Fernando Martnez Saldias DOCENTE: Ing. Karem Infantas 15/03/2013

UNIVERSIDAD AUTONOMA GABRIEL RENE MORENO

ANLISIS DE LAS PRINCIPALES NORMAS 1. ITIL La Biblioteca de Infraestructura de Tecnologas de Informacin es un marco de trabajo de las buenas prcticas destinadas a facilitar la entrega de servicios de tecnologas de la informacin (TI). Resume un extenso conjunto de procedimientos de gestin ideados para ayudar a las organizaciones a lograr calidad y eficiencia en las operaciones de TI. Certifica a los individuos, pero una organizacin que haya implementado las guas de ITIL puede lograr certificarse bajo la ISO/IEC 20000. Es un marco de trabajo de las mejores prcticas destinadas a facilitar la entrega de servicios de tecnologas de la informacin (TI) de alta calidad. ITIL resume un extenso conjunto de procedimientos de gestin ideados para ayudar a las organizaciones a lograr calidad y eficiencia en las operaciones de TI. Estos procedimientos son independientes del proveedor y han sido desarrollados para servir de gua para que abarque toda infraestructura, desarrollo y operaciones de TI. Aunque se desarroll durante los aos 1980, ITIL no fue ampliamente adoptada hasta mediados de los aos 1990. SI es una certificacin. ITIL se considera a menudo junto con otros marcos de trabajo de mejores prcticas como la Information Services Procurement Library (ISPL, Biblioteca de adquisicin de servicios de informacin), la Application Services Library (ASL, Biblioteca de servicios de aplicativos), el mtodo de desarrollo de sistemas dinmicos, el Modelo de Capacidad y Madurez (CMM/CMMI) y a menudo se relaciona con la gobernanza de tecnologas de la informacin mediante COBIT. Comprende los siguientes 10 elementos del Cdigo de Prcticas para la administracin de la seguridad de la informacin: 1. Polticas de seguridad. Proporciona a la alta direccin apoyo para la seguridad de la informacin. 2. Organizacin de la seguridad. Ayuda a administrar la seguridad de la informacin dentro de la organizacin. 3. Clasificacin y control de activos. Provee las medidas de seguridad necesarias para proporcionar una proteccin adecuada a los activos de la organizacin. 4. Seguridad del personal. Necesaria para reducir los riesgos de errores humanos, robo, fraude o mal uso de las instalaciones y equipo. 5. Seguridad fsica y ambiental. Previene el acceso fsico no autorizado a los sistemas de informacin, as como posibles daos a las instalaciones y a la informacin del negocio.
ANALISIS DE LAS PRINCIPALES NORMAS Pgina 2

UNIVERSIDAD AUTONOMA GABRIEL RENE MORENO

6. Administracin de comunicaciones y operaciones. Permite garantizar la operacin correcta y segura de las instalaciones de procesamiento de la informacin. 7. Control de acceso. Previene el acceso lgico y cambio, no autorizado, a la informacin y a los sistemas de informacin, otorgando confidencialidad en la informacin, para evitar interrupciones en los procesos normales de produccin. 8. Desarrollo y mantenimiento de los sistemas. Permite incorporar la seguridad a los sistemas de informacin. 9. Administracin de la continuidad del negocio. Contrarresta las interrupciones a las actividades del negocio y protege los procesos crticos del negocio contra los efectos causados por fallas mayores o desastres. 10. Conformidad. Contribuye a evitar infracciones a las leyes civiles, jurdicas, obligaciones reguladoras o contractuales y cualquier otro requerimiento de seguridad.

2. COSO Committee of Sponsoring Organizations of the Treadway Commission (COSO). Creado en 1985. Es una organizacin del sector privado, dedicada a mejorar la calidad de los reportes financieros mediante la tica de negocio, controles internos eficaces y gobierno corporativo. Marco Integrado de Control Interno publicado en 1992 es importante porque proporciona un marco integral del control interno y herramientas de evaluacin para sistemas de control Proporciona una terminolologa utilizada comunmente y principios usados como gua para desarrollar una arquitectura efectiva para la administracin de riesgos Proporciona una visin integral del sistema de control institucional. A nivel organizacional, este documento destaca la necesidad de que la alta direccin y el resto de la organizacin comprendan cabalmente la trascendencia del control interno, la incidencia del mismo sobre los resultados de la gestin, el papel estratgico a conceder a la auditora y esencialmente la consideracin del control como un proceso integrado a los procesos operativos de la empresa y no como un conjunto pesado, compuesto por mecanismos burocrticos. A nivel regulatorio o normativo, el Informe COSO ha pretendido que cuando se plantee cualquier discusin o problema de control interno, tanto a nivel
Pgina 3

ANALISIS DE LAS PRINCIPALES NORMAS

UNIVERSIDAD AUTONOMA GABRIEL RENE MORENO

prctico de las empresas, como a nivel de auditora interna o externa, o en los mbitos acadmicos o legislativos, los interlocutores tengan una referencia conceptual comn, lo cual hasta ahora resultaba complejo, dada la multiplicidad de definiciones y conceptos divergentes que han existido sobre control interno.

3. COBIT Los Objetivos de Control COBIT brindan buenas prcticas a travs de un marco de trabajo de dominios y procesos, y presenta las actividades en una estructura manejable y lgica. Representan el consenso de expertos. Enfocadas fuertemente en el control y menos en la ejecucin. Ayudan a optimizar las inversiones facilitadas por la TI, asegurarn la entrega del servicio y brindarn una medida contra la cual juzgar cuando las cosas no vayan bien (IT Governance Instituye, 2006). COBIT es la fusin entre prcticas de informtica (ITIL, ISO/IEC 17799) y prcticas de control (COSO), las cuales plantean tres tipos de requerimientos de negocio para la informacin: De calidad (calidad, costo y entrega de servicio). Fiduciarios (efectividad y eficiencia de operaciones, confiabilidad de la informacin y cumplimiento de las leyes y regulaciones). De Seguridad (confidencialidad, integridad y disponibilidad).

4. ISO 27000 Con el fin de proporcionar un marco de Gestin de la Seguridad de la Informacin utilizable por cualquier tipo de organizacin se ha creado un conjunto de estndares con el nombre de ISO/IEC 2700, estas normas nos permiten disminuir de forma significativa el impacto de los riesgos sin necesidad de realizar grandes inversiones de software y sin contar con una gran estructura de personal Para la adecuada gestin de la seguridad de la informacin, es necesario implantar un sistema que aborde esta tarea de una forma metdica, documentada y basada en unos objetivos claros de seguridad y una evaluacinde los riesgos a los que est sometida la informacin de la organizacin. En este apartado se resumen las
ANALISIS DE LAS PRINCIPALES NORMAS Pgina 4

UNIVERSIDAD AUTONOMA GABRIEL RENE MORENO

distintas normas que componen la serie ISO 27000 y se indica cmo puede una organizacin implantar un sistema de gestin de seguridad de la informacin (SGSI) basado en ISO 27001.

La serie ISO 27000 es la que aglomera todas las normativas en materia de seguridad de la informacin. Las ms importantes de esta familia son las normas ISO 27001 e ISO 27002. 4.1. Control de accesos

Requisitos de negocio para el control de accesos; gestin de acceso de usuario; Responsabilidades del usuario; control de acceso en red; control de acceso al sistema Operativo; control de acceso a las aplicaciones e informaciones; informtica y conexin mvil. Evitar el acceso fsico no autorizado, daos o interferencia a las instalaciones y a la informacin de la organizacin. Se recomienda que las instalaciones de procesamiento de informacin crtica o sensible estn ubicadas en reas seguras, protegidas en un permetro de seguridad definido con barreras y controles de accesos fsico apropiados. Se recomienda que estn fsicamente protegidas de accesos no autorizados, daos e interferencias 5. CMMI Modelo de madurez y capacidad integrado desarrollado por el SEI. Constituye el estndar de facto a nivel mundial para los proyectos de mejora para diferentes tipos de organizaciones segn su objetivo de negocio, ya sea el desarrollo, adquisicin u operacin de productos y servicios. Caractersticas: Se acomoda a las organizaciones con varios programas Est enfocada hacia el desarrollo concreto de software Se restringe al proceso de produccin de forma ms especfica y tambin, por tanto ms eficaz. Realiza cambios en la organizacin. Mueve al sistema de calidad de la organizacin en una direccin de mejora continua. 5.1. Ventajas La gran ventaja de CMMI es que ha demostrado ser una metodologa de gran eficacia, que ha permitido mejoras de gran impacto en procesos de desarrollo de productos software, tales como:
ANALISIS DE LAS PRINCIPALES NORMAS Pgina 5

UNIVERSIDAD AUTONOMA GABRIEL RENE MORENO

5.2. Reduccin del coste de desarrollo. Localizacin y resolucin de defectos. Mejora en la fiabilidad de la planificacin, en trminos de dedicacin y de calendario. Aumento de la productividad. Reduccin de los trabajos derivados de correcciones tras las fases de pruebas. Aumento de la efectividad sobre la planificacin realizada Mejora en la calidad de producto. Reduccin del nmero de defectos y deteccin en las fases tempranas de su ciclo de vida. Mejora de la Imagen de Marca. Desventaja

El problema de CMMI es su falta de adecuacin al enfoque a servicio que est experimentando el sector de las TI (procesos de desarrollo de productos de software) en todas sus lneas de actividad, as como el alto esfuerzo de implantacin que exige.

ANALISIS DE LAS PRINCIPALES NORMAS

Pgina 6