1.2 Elabora el plan de seguridad en cmputo acorde con los riesgos determinados y estndares de proteccin.

1.2 Elabora el plan de seguridad en cmputo acorde con los riesgos determinados y estndares de proteccin.Analiza estndares internacionales de seguridad informticaestndar

Iso e iecISO es el acrnimo de International Organization for Standardization. Se trata de la organizacin desarrolladora y publicadora de Estndares Internacionales IEC IEC nace en 1906 en London, Reino Unido, y desde entonces ha estado proporcionando estndares globales a las industrias electrotcnicas mundiales.

Serie iso 27000La informacin es un activo vital para el xito y la continuidad en el mercado de cualquier organizacin. El aseguramiento de dicha informacin y de los sistemas que la procesan es, por tanto, un objetivo de primer nivel para la organizacin.Para la adecuada gestin de la seguridad de la informacin, es necesario implantar un sistema que aborde esta tarea de una forma metdica, documentada y basada en unos objetivos claros de seguridad y una evaluacin de los riesgos a los que est sometida la informacin de la organizacin.ISO/IEC 27000 es un conjunto de estndares desarrollados -o en fase de desarrollo- por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestin de la seguridad de la informacin utilizable por cualquier tipo de organizacin, pblica o privada, grande o pequea.

ISO/IEC 27001:

Es la norma principal de la serie y contiene los requisitos del sistema de gestin de seguridad de la informacin. Es la norma con arreglo a la cual se certifican por auditores externos de las organizaciones. ISO/IEC 27001 es una norma adecuada para cualquier organizacin, grande o pequea, de cualquier sector o parte del mundo. La norma es particularmente interesante si la proteccin de la informacin es crtica, como en finanzas, sanidad sector pblico y tecnologa de la informacin (TI).ISO/IEC 27001 tambin es muy eficaz para organizaciones que gestionan la informacin por encargo de otros, por ejemplo, empresas de subcontratacin de TI. Puede utilizarse para garantizar a los clientes que su informacin est protegida

ISO/IEC 27002 (Bs 17799)ISO/IEC 27002 es un cdigo de prcticas o de orientacin o documento de referencia se basa en las mejores prcticas de seguridad de la informacin, esto define un proceso para evaluar, implementar, mantener y administrar la seguridad de la informacin. CaractersticasISO/IEC 27002 consta de 11 secciones principales, 39 objetivos de control y controles de 134Poltica de Seguridad de la Informacin.Organizacin de la Seguridad de la Informacin.Gestin de Activos de Informacin.Seguridad de los Recursos Humanos.Seguridad Fsica y Ambiental.

Gestin de las Comunicaciones y Operaciones.Control de Accesos.Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin.Gestin de Incidentes en la Seguridad de la Informacin.Gestin de Continuidad del Negocio.Cumplimiento.

Alcance-Aumento de la seguridad efectiva de los Sistemas de informacin.- Correcta planificacin y gestin de la Seguridad- Garantas de continuidad del negocio. Auditora interna- Incremento de los niveles de confianza de los clientes y socios de negocios.- Aumento del valor comercial y mejora de la imagen de la organizacin.

Iso 20000Es el estndar reconocido internacionalmente en gestin de servicios de TI (Tecnologas de la Informacin).Una entrega efectiva de los servicios de TI es crucial para las empresas. Hay una percepcin de que estos servicios no estn alineados con las necesidades y requisitos del negocio. Esto es especialmente importante tanto si se proporciona servicios internamente a clientes como si se est subcontratando proveedores. Una manera de demostrar que los servicios de TI estn cumpliendo con las necesidades del negocio es implantar un Sistema de Gestin de Servicios de TI (SGSTI) basado en los requisitos de la norma ISO/IEC 20000. Ventajas Norma ISO 20000

La norma ISO/IEC 20000 est formada por tres partes bajo el mismo ttulo Tecnologa de la informacin. Gestin del servicio:ISO 20000-1: EspecificacionesEsta parte de la norma ISO 20000 establece los requisitos que necesitan las empresas para disear, implementar y mantener la gestin de servicios TI. Esta norma ISO 20000 plantea un mapa de procesos que permite ofrecer servicios de TI con una calidad aceptable para los clientes.ISO 20000-2: Cdigo de buenas prcticasDescribe las mejoras prcticas adoptadas por la industria en relacin con los procesos de gestin del servicio TI, que permite cubrir las necesidades de negocio del cliente, con los recursos acordados, as como asumir un riesgo entendido y aceptable.

ISO 20000-3: Gua sobre la definicin del alcance y aplicabilidad de la norma ISO/IEC 20000-1 Proporciona orientacin sobre la definicin del alcance, aplicabilidad y la demostracin de la conformidad con los proveedores de servicios orientados a satisfacer los requisitos de la norma ISO 20000-1, as como los proveedores de servicios que estn planeando mejoras en el servicio con la intencin de utilizar la norma como un objetivo de negocio.

ITILDesarrollada a finales de los 80s, ITIL se ha convertido en un estndar para la administracin de servicios. ITIL, Information Technology Infrastructure Library, es una coleccin de las mejores prcticas observadas en la industria de TI. Es un conjunto de libros en los cuales se encuentran documentados todos los procesos referentes a la provisin de servicios de tecnologa de informacin hacia las organizaciones.ITIL por medio de procedimientos, roles, tareas, y responsabilidades que se pueden adaptar a cualquier organizacin de TI, genera una descripcin detallada de mejores practicas, que permitirn tener mejor comunicacin y administracin en la organizacin de TI. Proporciona los elementos necesarios para determinar objetivos de mejora y metas que ayuden a la organizacin a madurar y crecer. ITIL esta dividido en 10 procesosIncident management Problem management Configuration management Change management Release management Funcin de service deskService Level management Financial management for IT service Availability management Capacity management IT service continuity management Security managementLas ventajas de ITIL para los clientes y usuarios

Mejora la comunicacin con los clientes y usuarios finales a travs de los diversos puntos de contacto acordados. Los servicios se detallan en lenguaje del cliente y con ms detalles. Se maneja mejor la calidad y los costos de los servicios. La entrega de servicios se enfoca mas al cliente, mejorando con ello la calidad de los mismos y relacin entre el cliente y el departamento de IT. Una mayor flexibilidad y adaptabilidad de los servicios.

Ventajas de ITIL para TI

La organizacin TI desarrolla una estructura ms clara, se vuelve ms eficaz, y se centra ms en los objetivos de la organizacin. La administracin tiene un mayor control, se estandarizan e identifican los procedimientos, y los cambios resultan ms fciles de manejar. La estructura de procesos en IT proporciona un marco para concretar de manera mas adecuada los servicios de outsourcing. A travs de las mejores prcticas de ITIL se apoya al cambio en la cultura de TI y su orientacin hacia el servicio, y se facilita la introduccin de un sistema de administracin de calidad. ITIL proporciona un marco de referencia uniforme para la comunicacin interna y con proveedores.

Desventajas

Tiempo y esfuerzo necesario para su implementacin. Que no de se de el cambio en la cultura de las rea involucradas. Que no se vea reflejada una mejora, por falta de entendimiento sobre procesos, indicadores y como pueden ser controlados. Que el personal no se involucre y se comprometa. La mejora del servicio y la reduccin de costos puede no ser visible. Que la inversin en herramientas de soporte sea escasa. Los procesos podrn parecer intiles y no se alcancen las mejoras en los servicios.

COBIT, en ingls: Control Objectives for Information and related TechnologyEs una gua de mejores prcticas presentado como framework, dirigida al control y supervisin de tecnologa de la informacin (TI).COBIT tiene 34 procesos que cubren 210 objetivos de control (especficos o detallados) clasificados en cuatro dominios:Planificacin y Organizacin (Plan and Organize))Adquisicin e Implantacion (Acquire and Implement)Entrega y Soporte (Deliver and Support)Supervisin y Evaluacin (Monitor and Evaluate)

frameworkEn el desarrollo de software, un framework o infraestructura digital, es una estructura conceptual y tecnolgica de soporte definido, normalmente con artefactos o mdulos de software concretos, que puede servir de base para la organizacin y desarrollo de software. Tpicamente, puede incluir soporte de programas, bibliotecas, y un lenguaje interpretado, entre otras herramientas, para as ayudar a desarrollar y unir los diferentes componentes de un proyecto.COBIT 5 para seguridad de la informacin puede ayudar a las empresas a reducir sus perfiles de riesgo a travs de la adecuada administracin de la seguridad. La informacin especfica y las tecnologas relacionadas son cada vez ms esenciales para las organizaciones, pero la seguridad de la informacin es esencial para la confianza de los accionistasism3(Information Security Management Maturity Model, que se pronuncia ISM), es un estandar de ISECOM para la gestin de la seguridad de la informacin. Est pensado para una mejorar la integracin con otras metodologas y normas como COBIT, ITIL o CMMI. Ofrece muchas ventajas para la creacin de sistemas de gestin de la seguridad de la informacin.SM3 pretende alcanzar un nivel de seguridad definido, tambin conocido como riesgo aceptable, en lugar de buscar la invulnerabilidad. La visin tradicional de que la seguridad de la informacin trata de la prevencin de ataques es incompleta. ISM3 relaciona directamente los objetivos de negocio (como entregar productos a tiempo) de una organizacin con los objetivos de seguridad (como dar acceso a las bases de datos slo a los usuarios autorizados).

Algunas caractersticas significativas de ISM3 son:

Mtricas de Seguridad de la Informacin: "Lo que no se puede medir, no se puede gestionar, y lo que no se puede gestionar, no se puede mejorar", ISM3 hace de la seguridad un proceso medible mediante mtricas de gestin de procesos, siendo probablemente el primer estndar que lo hace. Esto permite la mejora continua del proceso, dado que hay criterios para medir la eficacia y eficiencia de los sistemas de gestin de seguridad de la informacin.

Niveles de Madurez: ISM3 se adapta tanto a organizaciones maduras como a emergentes mediante sus niveles de madurez, los cuales se adaptan a los objetivos de seguridad de la organizacin y a los recursos que estn disponibles.

Basado en Procesos: ISM3 est basado en procesos, lo que lo hace especialmente atractivo para organizaciones que tienen experiencia con ISO9001 o que utilizan ITIL como modelo de gestin de TIC. El uso de ISM3 fomenta la colaboracin entre proveedores y usuarios de seguridad de la informacin, dado que la externalizacin de procesos de seguridad se simplifica gracias a mecanismos explcitos, como los ANS y la distribucin de responsabilidades.

Adopcin de las Mejores Prcticas: Una implementacin de ISM3 tiene ventajas como las extensas referencias a estndares bien conocidos en cada proceso, as como la distribucin explcita de responsabilidades entre los lderes, gestores y el personal tcnico usando el concepto de gestin Estratgica, Tctica y Operativa.

Certificacin: Los sistemas de gestin basados en ISM3 pueden certificarse bajo ISO9001 o ISO27001, lo que quiere decir que se puede usar ISM3 para implementar un SGSI basado en ISO 27001. Esto tambin puede ser atractivo para organizaciones que ya estn certificadas en ISO9001 y que tienen experiencia e infraestructura para ISO9001.

Accesible: Una de las principales ventajas de ISM es que los Accionistas y Directores pueden ver con mayor facilidad la Seguridad de la Informacin como una inversin y no como una molestia, dado que es mucho ms sencillo medir su rentabilidad y comprender su utilidad.

REFRENCIAS:http://www.soporteremoto.com.mx/help_desk/articulo04.htmlhttp://es.wikipedia.org/wiki/Objetivos_de_control_para_la_informaci%C3%B3n_y_tecnolog%C3%ADas_relacionadashttp://estandares-y-buenas-practicas.wikispaces.com/ISM3