Scribd Logo
Upload

Welcome to Scribd!

  • Kain U1 A3

    Uploaded by

    studiosax
    244 views7 pages

    Original Title

    KAIN_U1_A3

    Copyright

    © © All Rights Reserved

    Available Formats

    DOCX, PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document

    Copyright:

    © All Rights Reserved
    Download as DOCX, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    244 views7 pages

    Kain U1 A3

    Uploaded by

    studiosax

    Copyright:

    © All Rights Reserved
    Download as DOCX, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 7

    Alejandro Rodrguez Pulido | Actividad III |Reporte de Normas

    Norma: ISO 20000


    Es la primera norma en el mundo especficamente dirigida a la gestin de los
    servicios de TI (tecnologa de la informacin). Fue desarrollada en respuesta a
    la necesidad de establecer procesos y procedimientos para minimizar los
    riesgos en los negocios provenientes de un colapso tcnico del sistema de TI
    de las organizaciones.
    La gestin de los servicios de tecnologa informtica (GSTI) es un enfoque
    integrado basado en procesos que alinea la prestacin de servicios de TI con
    las necesidades de la organizacin que los presta. El enfoque tiene como
    objetivo poner nfasis en los beneficios para el usuario final.
    Dicha norma consta de:

    13 procesos definidos
    Un proceso de planificacin e implementacin de servicios
    Requisitos de un sistema de gestin
    Ciclo de mejora continua (PDCA)

    Organizacin de un sistema de gestin de servicios TI

    Alejandro Rodrguez Pulido | Actividad III |Reporte de Normas

    Los 13 procesos de la ISO 20000


    Entre otras cosas, la ISO 20000 describe 13 procesos, que deben aplicarse a los
    servicios que, normalmente, presta el departamento de tecnologas de la
    informacin, con el objetivo de mejorar y gestionar la calidad de dichos
    servicios. Estos procesos se agrupan en 4 bloques, y son los siguientes:
    Procesos ISO 20000 de Provisin del Servicio

    Gestin de Nivel de Servicio


    Generacin de Informes del Servicio
    Gestin de la Continuidad y Disponibilidad del Servicio
    Elaboracin de Presupuesto y Contabilidad de los Servicios
    Gestin de la Capacidad
    Gestin de la Seguridad de la Informacin

    Procesos ISO 20000 de Relacin

    Gestin de las Relaciones con el Negocio


    Gestin de Suministradores

    Procesos ISO 20000 de Resolucin

    Gestin de Incidencias y peticiones de servicio


    Gestin de Problemas

    Procesos ISO 20000 de Control

    Gestin de la Configuracin
    Gestin de Cambios
    Gestin de la entrega y despliegue

    Gestin de Resolucin: se encarga de la recuperacin de los servicios a los


    usuarios tan pronto como sea posible, y gestin del problema tiene la misin
    de identificar y eliminar las causas de los incidentes para que no vuelvan a
    producirse.
    Gestin de la capacidad: es la encargada de que todos los servicios TI se
    vean respaldados por una capacidad de proceso y almacenamiento suficiente y
    correctamente dimensionada.
    Sin una correcta Gestin de la Capacidad, los recursos no se aprovechan
    adecuadamente y se realizan inversiones innecesarias que acarrean gastos

    Alejandro Rodrguez Pulido | Actividad III |Reporte de Normas


    adicionales de mantenimiento y administracin. O an peor, los recursos son
    insuficientes con la consecuente degradacin de la calidad del servicio.
    Gestin de la seguridad de la informacin: Es un conjunto de polticas de
    administracin de la informacin, como por ejemplo para una empresa el
    diseo, implantacin, mantenimiento de un conjunto de procesos para
    gestionar eficientemente la accesibilidad de la informacin, buscando asegurar
    la confidencialidad, integridad y disponibilidad de los activos de informacin
    minimizando a la vez los riesgos de seguridad de la informacin.

    Norma: ISO 27001


    ISO 27001 es una norma internacional emitida por la Organizacin
    Internacional de Normalizacin (ISO) y describe cmo gestionar la seguridad de
    la informacin en una empresa.
    ISO 27001 puede ser implementada en cualquier tipo de organizacin, con o
    sin fines de lucro, privada o pblica, pequea o grande. Est redactada por los
    mejores especialistas del mundo en el tema y proporciona una metodologa
    para implementar la gestin de la seguridad de la informacin en una
    organizacin. Tambin permite que una empresa sea certificada; esto significa
    que una entidad de certificacin independiente confirma que la seguridad de la
    informacin ha sido implementada en esa organizacin en cumplimiento con la
    norma ISO 27001.
    Este estndar Internacional promueve la adopcin de un enfoque del proceso
    para establecer, implementar, operar, monitorear, revisar, mantener y mejorar
    el SGSI de una organizacin.
    En primer lugar creo muy relevante hacer constar que la ciber-seguridad no es
    una moda sino ms bien una amenaza invisible que no todo el mundo es
    consciente de que exista o lo que es peor an, de que pueda impactarle.
    Obviamente no es cuestin tampoco de dramatizar porque todo este tipo de
    daos afecta a la informacin pero cada vez ms las consecuencias de la
    inseguridad sobre los datos pueden alterar el mundo fsico y provocar ya daos
    tangibles y concretos sobre el mundo real. Conscientes de la necesidad de
    hacer visible este tipo de amenazas, empresas del mundo de la seguridad han
    empezado a mostrar diferentes tipos de visualizaciones sobre el anlisis de
    trfico en tipo real que muestra como efectivamente estas cosas suceden.
    http://www.normas-iso.com/iso-20000
    https://seguinfo.wordpress.com/2007/06/03/iso-20000-y-la-gestion-de-serviciosde-ti/

    Alejandro Rodrguez Pulido | Actividad III |Reporte de Normas


    http://www.javiergarzas.com/2012/07/iso-20000-dummies.html
    http://www.calidadti.cetecna.com/?page_id=37
    http://www.dnvba.com/es/Certificacion/Sistemas-de-Gestion/Seguridad-de-laInformacion/Pages/Sistema-de-Gestion-de-Seguridad-de-la-Informacion-ISO27001.aspx

    Alejandro Rodrguez Pulido | Actividad III |Reporte de Normas


    Tipo de Auditora: Auditora de Seguridad.
    Empresa Auditada: Solutech S.A de C.V.
    Puntos a auditar:

    Revisar si las relaciones entre las cuentas contables y los sistemas


    informacin son correctos.
    Verificar que la configuracin informtica sea la adecuada para
    empresa
    Evaluar la efectividad del sistema de control interno existente
    Verificar la existencia e implementacin de estndares de seguridad
    datos
    Verificar la existencia e implementacin de un plan maestro
    infomtica u otro documento equivalente

    de
    la

    de
    de

    Resultados/Dictamen:
    Debilidades:

    Los controles implementados son deficientes


    No hay logs de auditora
    Se trabaja con material que necesita modernizarse
    La seguridad de los procesos de la empresa no es eficiente
    No hay una adecuada segregacin de funciones
    No existe un correcto plan de contingencia
    La metodologa de desarrollo formalizada no es la aplicada actualmente
    Hay controles no implementados en los mecanismos de operacin lo que
    genera un mayor grado de riesgo
    No se tiene software de seguridad dedicados a factores crticos
    Uso de sistemas operativos obsoletos ( sun solaris 2.51 ao 1996 y win
    95 y 98)

    Fortalezas:
    En base al anlisis realizado por parte del equipo auditor externo, no existen
    fortalezas actuales en cuanto a la seguridad informtica de la
    empresa/organizacin.
    Nota: dicho informe est tomado de la auditora realizada en marzo de 2014
    por parte del equipo de auditores del cual fui integrante.

    Alejandro Rodrguez Pulido | Actividad III |Reporte de Normas


    Tipo de Auditora: Redes y Comunicaciones.
    Empresa Auditada: Listos S.A.
    Puntos a auditar:

    Analizar con que documentos de gestin y tcnicos cuentan.


    Evaluar la seguridad fsica de la red.
    Anlisis de las claves de acceso, control y seguridad.

    Resultados/Dictamen:
    Debilidades:

    Los equipos de comunicaciones (Switch, Router) no se mantienen en


    habitaciones cerradas
    La seguridad fsica de los equipos de comunicaciones (Switch, Router) es
    inadecuada
    No se restringe el acceso a persona no autorizadas a los dispositivos
    mayores ni menores
    Cable en el piso y deteriorado e impidiendo el paso de las personas.

    Fortalezas:

    El punto que hay que destacar es que el cableado de red se encuentra


    apartado de la red elctrica.

    Bibliografa.
    PIATTINI, Mario. Auditora Informtica: Un Enfoque Prctico. Editorial
    Alfaomega-Rama. Segunda Edicin. 2004.
    WHITTINGTON. Principios de Auditora, Mxico, Mac Graw Hill, 2004,
    Dcimo Cuarta Edicin.

    Alejandro Rodrguez Pulido | Actividad III |Reporte de Normas


    Tipo de Auditora: Auditora de Sistemas
    Empresa Auditada: Usi de Mxico
    Puntos a auditar:

    Analizar los equipos para verificar si son ptimos para las necesidades
    de la empresa
    Evaluar la seguridad fsica de la red.
    Evaluar el sistema de base de datos para su eficiente rendimiento
    Evaluar los controles de acceso a los programas utilizados
    Verificar licenciamiento de software

    Resultados/Dictamen:
    Debilidades:

    Falta de licencias de software.


    Falta de software de aplicaciones actualizados
    No se restringe el acceso a persona no autorizadas para el uso de
    programas especiales
    Los servidores son obsoletos

    Fortalezas:

    La base de datos est correctamente diseada

    Bibliografa.
    WHITTINGTON. Principios de Auditora, Mxico, Mac Graw Hill, 2004,
    Dcimo Cuarta Edicin.
    Auditora Informtica, Xiomar Delgado Rojas

    You might also like