actividades son planificadas y ejecutadas

para satisfacer dichos objetivos.

• Comprender las necesidades normativas, la

gestión de la reputación de la organización y

las expectativas de los usuarios.

• Establecer los planes de continuidad de

negocio y recuperación de desastres en el

ámbito de las tecnologías de la información.

• Estar al tanto de los cambios normativos,

debiendo informarse de las consecuencias

para las actividades de la organización y

proponiendo las medidas oportunas para

adecuarse al nuevo marco normativo.

(INCIBE, 2016)
4. Listado de códigos de buenas prácticas de servicios TI y gestión de seguridad

informática.

SERVICIOS TI

CÓDIGOS DE BUENAS
DESCRIPCIÓN
PRÁCTICAS

ITIL (IT Infrastructure Library, Es un marco de referencia que proporciona buenas

biblioteca de infraestructura de TI) prácticas para la gestión de servicios TI

Propone la implementación de procesos integrados

ISO/IEC 20000 para garantizar la entrega de un buen servicio que

cumpla con la expectativas del cliente

Es un modelo que ofrece a las empresas prestadoras

de servicio TI la manera adecuada de establecer,

CMMI-SVC
entregar y administrar los servicios, mediante una

guía de buenas practicas

GESTIÓN DE SEGURIDAD INFORMÁTICA

CÓDIGOS DE BUENAS
DESCRIPCIÓN
PRÁCTICAS

Norma internacional de buenas prácticas para

ISO/IEC 27002 gestión de la seguridad de la información y la base

para la implementación de los SGSI

 Este proceso; recopila políticas y procedimientos
ITSCM (gestión de la continuidad del
orientados a ayudar a la organización a responder
servicio de TI)
de forma efectiva ante fallas del sistema

Es un compendio de buenas prácticas para el

manejo de la información creado por ISACA, se

COBIT
puede catalogar como un marco de referencia para

la dirección IT

5. Cuadro con las características de los modelos de madurez, Características de la

declaración SOA y PTR.

Modelo y declaración Características

*Un modelo de madurez se puede definir como un marco de referencia

que describe el proceso ideal hacia la mejora a través de etapas

secuenciales.

* El modelo de madurez OPM3 es un marco de referencia que provee

una amplia visión organizacional para la ayuda en la consecución de las

Modelos de Madurez buenas prácticas, la mejora de capacidades y la efectividad de los

resultados

* El modelo PMMM consta de 5 niveles los cuales representa un grado

especifico de madurez. Nivel 1: La organización reconoce la

importancia de la gestión de proyectos; Nivel 2: La compañía reconoce

los procesos comunes; Nivel 3: Combinación de metodologías

 organizacionales; Nivel 4: Reconocimiento en la mejora de procesos;

Nivel 5: Evaluación de resultados

* El modelo CMMI provee a la organización una guía para mejorar los

procesos organizacionales y la capacidad para dirigir el desarrollo,

adquisición, y mantenimiento de sus productos o servicios.

* El modelo Berkeley es un modelo de madurez totalmente integrado,

para medir, localizar, y comparar el actual estado de madurez en gestión

de proyectos, su objetivo es motivar a lar organizaciones a alcanzar

niveles más óptimos de madurez (Salas, 2017)

*La declaración SOA es un documento en el cual se mencionan los

controles de seguridad establecidos en el Anexo A del estándar ISO/IEC

27001.

*Esta declaración se realizar luego de haber desarrollado el tratamiento

y evaluación de los riesgos; esta acción tiene como objetivo la

definición de acciones para mitigar riesgos que ya han sido identificados

y analizados.
Declaración SOA
*Las declaraciones SOA deben incluir los objetivos de control y los

controles seleccionados según el estándar ISO/IEC 27001.

*Debe indicar los objetivos de control y los controles que ya se

encuentran implementados, los que hayan sido descartados y la

justificación de la implementación de cada uno de estos.

*La declaración SOA es un documento indispensable para la

implementación de un SGSI, ya que este suele ser consultado en

 procesos de auditoria para conocer los controles seguridad utilizados por

una compañía.

Permite resumir las amenazas identificadas y analizadas durante la

evaluación de riesgos debido a que se encuentran relacionadas con los

controles implementados.

*La declaración SOA también permite realizar un análisis de brechas

para comparar los controles implementados con respectos a los

establecidos en el estándar ISO/IEC 27001 (Mendoza, 2015)

*El objetivo de un plan de tratamiento de riesgos (PTR) es diseñar,

evaluar, seleccionar e implementar acciones para la gestión de los

riesgos identificados en una organización.

*El PTR incluye procedimientos para: Eliminar el riesgo, asumir el

riesgo, disminuir la probabilidad del riesgo, disminuir el impacto del

riesgo, compartir el riesgo y retener el mismo.

*El PTR debe identificar en el orden en el cual se deben implementar

PTR las acciones y la forma en la cual se van a integrar con cada uno de los

procesos de la compañía

*El plan de tratamiento de riesgos debe incluir: Justificación para el uso

de las opciones de tratamiento de riesgos seleccionado, roles y

responsabilidades en el plan, acciones de mejora, recursos, valores de

medición para determinar la eficacia del plan, limitación del mismo,

acciones de monitorio y plazos para el cumplimiento de acciones

(Escuela Europe de Excelencia, 2018).

 6. Plan general de costos de implementación del SGSI.

Recurso Descripción Valor – Hora Cantidad Total

Asesorías de un experto para

la implementación del SGSI

Asesor $60.000 200 horas $12.000.000
según la norma ISO/IEC

27001:2013

Experto que realice la 8 horas

Analistas $50.000 $400.000/día
implementación del SGSI diarias

Capacitaciones para el uso de

Capacitaciones $300.000 2 $600.000
SGIS

Material

referente a la Material requerido para las

norma capacitaciones e $150.000 1 $150.000

ISO/IEC implementación de SGSI

27001: 2013

Papelería Fotocopia, impresiones, etc… 300.000 1 300.000

Total $13.450.000