Estándares para gestión SI
Juan Carlos Benavidez C, Bryam Fernando Chimbo A, Mayra Priscila Llanos Q, Wilson Daniel Calle S.
Ingenieria de Sistemas
Cuenca, Ecuador
jbenavidezc1@est.ups.edu.ec,bchimboa1@est.ups.edu.ec, mllanosq@est.ups.edu.ec, wcalles@est.ups.edu.ec
Resumen—Este documento tiene los enfoques para la
evaluación de los sistemas de información como son COBIT,
ITIL, ISO 9001, ISO 27001; cada enfoque para esta mejora son
ITIL que es un conjunto de procesos, que agrupados bajo una
estructura loica permite a una organización Gestionar sus
Servicios de TI de la mejor forma, según la experiencia de una
serie de organizaciones que demostraron lo eficiente que resulta
ser, en el caso de ISO 9001 este tiene grandes beneficios en el
ámbito organizacional, con respecto a ISO 27001 actualmente las
organizaciones enfrentan riesgos e inseguridades, esto significa
que los activos de información están asociados a riesgos y
amenazas que explotan un gran número de vulnerabilidades los
cuales se pueden tratar implementando esta norma y con COBIT
nace con la misión de investigar, desarrollar, publicar y
promover un conjunto de objetivos de control de tecnología de
información, guías, actualizados, internacionales y aceptados
para ser utilizados diariamente por gerentes de negocio y
auditores.
Palabras Claves—ISO, COBIT, ITIL
I. INTRODUCCIÓN
La competitividad es el motor que impulsa la excelencia,
mantiene viva la inventiva y el esfuerzo para destacar
iguales. Se crearon términos y estándares necesarios para
participar y garantizar que todo lo que se avance sea limpio,
justo y seguro. Dado que existen estas normas y estándares
se vine la pregunta de cuál se adapta mejor a tu empresa y
eso es lo que analizaremos en este documento.
II. MARCO TEORICO
ITIL.
Information Technology Infrastructure Library o en español
“Biblioteca de Infraestructura de Tecnologías de
Información” abreviada ITIL, consiste en un marco de
trabajo de las mejores prácticas destinadas a facilitar la
entrega de servicios de tecnologías de la información de alta
calidad, donde contiene un extenso conjunto de
procedimientos de gestión ideados para ayudar a las
organizaciones a lograr calidad y eficiencia en las
operaciones de TI.
En definitiva, es un conjunto de procesos, que agrupados
bajo una estructura loica permite a una organización
Gestionar sus Servicios de TI de la mejor forma, según la
experiencia de una serie de organizaciones que demostraron
lo eficiente que resulta ser.
Enfoque de ciclo de vida del servicio de ITIL
El modelo ITIL utiliza la estrategia de servicio como el
núcleo del ciclo de vida del servicio contiene cinco
elementos:
• El modelo ITIL utiliza la estrategia de servicio
como el núcleo del ciclo de vida del servicio que
contiene cinco elementos:
• Estrategia del servicio: Aquí se toman las
decisiones estratégicas relacionadas con los
servicios que se desarrollarán para alcanzar sus
objetivos.
• Diseño de servicio: diseña o proyecta los servicios,
teniendo en cuenta los objetivos de utilidad y
garantía.
• Transición del servicio: los servicios se desarrollan,
prueban y se liberan de forma
controlada.
• Operación del servicio: gestiona los servicios en
producción para asegurarse de que se alcanzan los
objetivos de utilidad y garantía.
• Mejora continua del servicio: evalúa los servicios e
identifica maneras de mejorar su utilidad y garantía
como soporte.
COBIT.
La misión de COBIT es consolidarse como líder mundial
y ser reconocido en materia de gobierno, control y
aseguramiento de la gestión de TI.
En 1992 comenzó la actualización de los objetivos de
control de ISACA y, en 1996, ISACA proporcionó a los
profesionales de TI un marco de prácticas control de la TI
generalmente aplicables y aceptadas.
La evolución de COBIT:
1. COBIT1 (1996): Audit
2. COBIT2 (1998): Control
3. COBIT3 (2000): Management
4. COBIT4 (2005/2007): IT Governance
o Val IT 2.0
o Risk IT
5. COBIT5 (2012): Governance of Enterprise IT
COBIT evolucionó de una herramienta para auditoria a un
marco de buen gobierno de TIC, con la publicación de
COBIT 4 en 2005 y COBIT 5 en 2012.
 Este modelo se aplica a los sistemas de información de
toda la empresa siendo así que debe de estar en las
computadoras personales y redes.
A. Beneficios
• Mejor alineación basado en una focalización sobre
el negocio.
• Visión comprensible de TI para su administración.
• Clara definición de propiedad y responsabilidades.
• Aceptabilidad general con terceros y entes
reguladores.
• Entendimiento compartido entre todos los
interesados basados en un lenguaje común.
• Cumplimiento global de los requerimientos de TI
planteados en el Marco de Control Interno de
Negocio COSO.
B. Características
• Orientado al negocio.
• Alineado con estándares y regulaciones "de facto".
• Basado en una revisión crítica y analítica de las
tareas y actividades en TI.
• Alineado con estándares de control y auditoria
(COSO, IFAC, IIA, ISACA, AICPA).
Requerimientos de Calidad: Calidad, Costo y Entrega.
Requerimientos Fiduciarios: Efectividad y Eficiencia
operacional, Confiabilidad de los reportes financieros y
Cumplimiento le leyes y regulaciones
C. Efectividad
La información debe ser relevante y pertinente para los
procesos del negocio y debe ser proporcionada en forma
oportuna, correcta, consistente y utilizable.
CONFIABILIDAD proveer la información apropiada para
que la administración tome las decisiones adecuadas para
manejar la empresa y cumplir con sus responsabilidades.
EFICIENCIA Se debe proveer información mediante el
empleo óptimo de los recursos (la forma más productiva y
económica).
CUMPLIMIENTO de las leyes, regulaciones y
compromisos contractuales con los cuales está
comprometida la empresa.
Requerimientos de Seguridad: Confidencialidad, Integridad
y Disponibilidad
CONFIDENCIALIDAD Protección de la información
sensible contra divulgación no autorizada.
INTEGRIDAD Refiere a lo exacto y completo de la
información, así como a su validez de acuerdo con las
expectativas de la empresa.
DISPONIBILIDAD Accesibilidad a la información cuando
sea requerida por los procesos del negocio y la salvaguarda
de los recursos y capacidades asociadas a la misma. En
COBIT se establecen los siguientes recursos en TI
necesarios para alcanzar los objetivos de negocio:
DATOS Todos los objetos de información. Considera
información interna y externa, estructurada o no, gráficas,
sonidos, etc.
APLICACIONES Entendidas como sistemas de
información, que integran procedimientos manuales y
sistematizados.
TECNOLOGÍA incluye hardware y software básico,
sistemas operativos, sistemas de administración de bases de
datos, de redes, telecomunicaciones, multimedia, etc.
INSTALACIONES Incluye los recursos necesarios para
alojar y dar soporte a los sistemas de información.
RECURSO HUMANO Por la habilidad, conciencia y
productividad del personal para planear, adquirir, prestar
servicios, dar soporte y monitorear los sistemas de
Información, o de procesos de TI.
ISO 9001.
Existe una serie de estándares de calidad que son creadas
por organizaciones internacionales, en este caso hablamos
de “INTERNATIONAL ORGANIZATION FOR
STANDARDIZATION”(ISO) la cual promueve ciencia,
tecnología y economía; la ISO 9000 es un estándar
internacional que estandariza a las organizaciones con los
sistemas de gestión de calidad siempre y cuando cumplan
con los requisitos dados por la norma, en la actualidad esa
norma fue actualizada para lo cual se creó la norma ISO
9001:2000 que es considerada una certificación muy
importante para las empresas puesto que tiene grandes
beneficios en el ámbito organizacional por lo tanto toda
empresa que obtenga esta certificación da a entender que esa
empresa tiene un muy buen rendimiento además de un buen
control estratégico el cual permite obtener muy bueno
resultados con respecto a beneficios de desempeño
organizacional.
Esta norma se basa en algunos principios como son el de
planificar, hacer, controlar y actuar; todos estos principios
son tomados en cuenta para poder cumplir un objetivo el
cual siempre será la mejora continua. Para tener un buen
control estratégico es muy importante llevar a cabo un buen
manejo de la información, con esto se puede llegar a una
resolución como es que un buen control estratégico es lo que
mejor funciona en una organización, después va una buena
implementación. Se dice que las organizaciones que buscan
la certificación de la ISO 9001 es porque tienen una buena
iniciativa y un potencial grado de calidad.
Todos los requisitos de esta norma son genéricos y están
destinados a ser aplicables en todas las organizaciones
independientemente del tipo, tamaño o producto.
D. Infraestructura
La infraestructura para lograr la conformidad con los
requisitos del producto debe ser:
• edificios, ritmo de trabajo y servicios asociados
• equipos de proceso (tanto hardware como
software),
• servicios de apoyo (como sistemas de transporte,
comunicación o información).
La infraestructura debe incluir hardware, software,
herramientas e instalaciones para el desarrollo, operación o
mantenimiento de software.
La infraestructura puede incluir herramientas de software
que respalden el proceso de diseño y desarrollo, que
incluyen lo siguiente:
• herramientas, tales como análisis, diseño y
desarrollo.
• desarrollo de aplicaciones y entornos de soporte.
• gestión del conocimiento, intranet, herramientas de
extranet; herramientas de red, que incluyen
seguridad, respaldo, protección antivirus y firewall.
• mesa de ayuda y herramientas de mantenimiento
• controles de acceso
• bibliotecas de software
ISO 27001.
ISO 27001 es una norma internacional de Sistemas de
Gestión de la Seguridad de la Información permite la
confidencialidad, el aseguramiento y la integridad de los
datos, así como de los sistemas que la procesan, se
fundamenta principalmente en la identificación y análisis.
Esta norma puede ser implementada en cualquier tipo de
organización, con o sin fines de lucro, privada o pública,
pequeña o grande.
ISO 27001 se ha convertido en la principal norma a nivel
mundial para la seguridad de la información y muchas
empresas han certificado su cumplimiento.
Una amenaza se puede definir como cualquier evento que
puede afectar los activos de información y se relaciona,
principalmente, con recursos humanos, eventos naturales o
fallas técnicas como por ejemplo ataques informativos
externos, infecciones con malware o desastres naturales.
Se intenta elaborar una adecuada gestión de riesgos que
permita a las organizaciones conocer cuales son los
principales puntos débiles de sus activos de información.
Un correcto proceso de identificación de riesgos implica:
• Identificar todos aquellos activos de información
que tienen algún valor para la organización.
• Asociar las amenazas relevantes con los activos
identificados.
• Determinar las vulnerabilidades que puedan ser
aprovechadas por dichas amenazas.
• Identificar el impacto que podría suponer una
pérdida de confidencialidad, integridad y
disponibilidad para cada activo.
E. Análisis y evaluación de los riesgos
Se debe analizar el impacto en el negocio de un fallo de
seguridad que suponga la pérdida de confidencialidad,
integridad o disponibilidad de un activo de información,
evaluando de forma realista la probabilidad de ocurrencia de
un fallo de seguridad en relación a las amenazas,
vulnerabilidades e impactos en los activos.
También es necesario analizar sus consecuencias potenciales
por ejemplo una dispersión de información, perdida o robo
de información confidencial o importante para la
organización
Una metodología de información está conformada por las
siguientes fases:
• Recogida y preparación de la información.
• Identificación, clasificación y valoración los grupos
de activos.
• Reconocer y clasificación de las amenazas.
• Identificación y estimación de las vulnerabilidades.
• Establecimiento y valoración de impactos:
identificar, tipificar y valorar los impactos.
• Evaluación y análisis del riesgo.[]
F. Estado crítico del riesgo
Se debe tener en cuenta las consecuencias potenciales
para poder evaluar su criticidad entre:
Riesgo aceptable
Es imposible eliminar totalmente el riesgo entonces
se trata de reducir la posibilidad de que ocurra y
minimizar las consecuencias a un nivel que la
organización se pudiese hacer cargo sin que se
perjudique gravemente en todos los niveles:
económico, logístico, credibilidad, etc.
Riesgo residual
Es cuando riesgo permanece y subsiste a pesar de
haber sido tratado mediante los controles que
realiza una organización con Sistema de Gestion
de la Seguridad de la informacion.
G. Compromiso de liderazgo
La norma ISO 27001 es de gran importancia para la
dirección, esta debe ejercer el liderazgo del sistema de
seguridad, después de esto se debe integrar un plan de
trabajo en que quede definido la segregación de tareas, es
decir que se tiene que establecer exactamente quien tiene
que hacer cada función y como la debe ejecutar.
H. Los dueños del riesgo
Se asocia a cada amenaza potencial a un responsable, a la
persona que se asegure que se lleve a cabo las distintas
actividades. Es necesario definir la estructura organizacional
del SGSI, seleccionado el personal idóneo dependiendo del
tamaño de la empresa y el alcance definido para la
implantación del SGSI.
I. Por que es importante implementar la ISO?
Cumplir con los requerimientos legales
Hay una cantidad de normas y requerimientos relacionados
a la seguridad de la información, la mayoría de los se
pueden implementar resolviendo ISO 27001.
J. Obtener una ventaja comercial
Si la empresa obtiene la certificación posible obtener una
ventaja frente a los competidores ya que a los clientes les
interesa mantener de forma segura su información.
K. Menores costos
El objetivo de la norma es evitar que se produzcan
incidentes de seguridad los cuales cuestan dinero, el cual la
empresa pudiese ahorrar, y es mucho más barato invertir en
la norma de seguridad que un incidente con graves
consecuencias.
L. Mejor organizacion
La ISO 27001 ayuda a escribir a las empresas sus
principales procesos incluso que no estén relacionados con
la seguridad que le permite aumentar su productividad y
reducir el tiempo perdido a sus empleados
M. Como obtener la certificación?
Existen dos tipos de certificados ISO 27001:
• Para las organizaciones
Se debe implementar la norma y luego se debe
aprobar la auditoría que realiza la entidad de
certificación. La auditoría de certificación se
realiza siguiendo estos pasos:
1° paso de la auditoría (revisión de
documentación): los auditores revisarán toda la
documentación.
2° paso de la auditoría (auditoría principal): los
auditores realizarán la auditoría in situ para
comprobar si todas las actividades de una empresa
cumplen con ISO 27001 y con la documentación
del SGSI.
Visitas de supervisión: después de que se emitió el
certificado, y durante su vigencia de 3 años, los
auditores verificarán si la empresa mantiene su
SGSI.
N. Para las personas
Las personas pueden asistir a diversos cursos para obtener
certificados. Los más populares son:
Curso de Auditor Líder en ISO 27001: este curso de 5
días le enseñará cómo realizar auditorías de certificación y
está orientado a auditores y consultores.
Curso de Implementador Principal de ISO 27001: este
curso de 5 días le enseñará cómo implementar la norma y
está orientado a profesionales y consultores en seguridad de
la información.
Curso de auditor interno en ISO 27001: este curso de 2 ó
3 días le enseñará los conceptos básicos de la norma y cómo
llevar a cabo una auditoría interna; está orientado a
principiantes en este tema y a auditores internos.
Similitudes.
Similitud entre estos tres modelos es que todos se utilizan
para generar una competencia limpia, justa y segura, Genera
mayor eficiencia, Estimula la moral de los empleados,
Ofrece reconocimiento internacional, Mejora la gestión de
procesos, Ofrece niveles más altos de satisfacción del
cliente.
Diferencias.
ISO Son normas y estándares internacionales diseñados para
ser aplicadas en el desarrollo de productos y servicios que
deben usar las empresas para mejorar su eficiencia y
rentabilidad económica. COBIT Son un conjunto de
herramientas orientadas a garantizar el control y
seguimiento de gobernabilidad de Sistemas de Información
a largo plazo a través de auditorías. ITIL es una colección de
mejores prácticas para la administración efectiva de los
Sistemas de Información (SI).
III. CONCLUSIONES
En el caso de COBIT enmarca todo el proceso de
información de la empresa. Compila y organiza desde la
creación de la información hasta su disposición final para
garantizar un control de calidad preciso, en la metodología
ITIL han evolucionado a lo largo del tiempo por el
desarrollo de la tecnología. Hoy en día sus aplicaciones son
estándares principales a nivel mundial para gestionar
servicios de TI, que tiene como objetivo agregar valor a los
negocios. Una adecuada gestión de servicios de TI ayuda a
las organizaciones a obtener mayores beneficios de las
inversiones realizadas en TI, ayudando a gestionar la
entrega de los servicios y la organización de las actividades
de TI dentro de los procesos de principio a fin, Además
ofrece una guía para la definición de funciones, roles y
responsabilidades relacionadas al servicio con un enfoque
aplicable a cualquier tipo de organización, independiente de
su tamaño, sector o tipo de servicio, en el caso de la ISO
9001 permite tener una buena aplicación de esta, puesto que
prevé una buena evaluación de la estrategia, un mejor
control estratégico y por lo tanto se obtiene un sistema de
buena calidad y por último la ISO 27001 se ha convertido en
la principal norma a nivel internacional para la seguridad de
la información y muchas empresas han certificado su
cumplimiento.
REFERENCIAS
[1] IEEE, «IEEE Xplore Digital Library,» 28 Septiembre
2015. [En línea]. Available:
https://ieeexplore.ieee.org/document/7274039.
[2] Alojail, M. (14 de agosto del 2014). Modelo de Madurez
del outsourcin e TI: evidencia de un usuario
lider. Barcelona : IEEE.
[3] Eikebrokk, T. R. (11 de Octubre del 2012).
Implementacion del ITIL: en el papel del Software ITIL
y calidad del proyecto. Viena, Austria: IEEE.
[4] Calidad, A. E. (2018). QAEC. Obtenido de
https://www.aec.es/web/guest/centro-
conocimiento/cobit
[5] EAFIT, U. (2007). COBIT:MODELO PARA
AUDITORIA Y CONTROL DE SISTEMAS
DE INFORMACIÓN. Area de uditoria y
Control.
[6] Postgrado, C. E. (2019). OCEUPE. Obtenido de
https://www.ceupe.com/blog/que-es-cobit.html