T Uce 0011 96

UNIVERSIDAD CENTRAL DEL ECUADOR
FACULTAD DE INGENIERA, CIENCIAS FSICAS Y

MATEMTICA
CARRERA DE INGENIERA INFORMTICA
PROCEDIMIENTOS DE AUDITORIA PARA DISPOSITIVOS DE
DEFENSA DE REDES LAN
TRABAJO DE GRADUACIN PREVIO A LA OBTENCIN DEL

TTULO DE INGENIERO INFORMTICO
AUTOR: Juan Pablo Ypez Herdoiza
TUTOR: Ing. Jairo Rene Navarro Bustos
Quito Ecuador
2014
DEDICATORIA
A Dios, por permitirme llegar a este momento tan especial en mi vida. Por los triunfos y
momentos difciles que me han enseado a valorarlo cada da ms. A mi abuelita
Mamines que en paz descanse, gracias a ella me he convertido en la persona que soy
ahora, me enseo que la vida no es fcil hay que luchar, solo se lo logra con mucha
perseverancia y resistencia.
A mi madre, que me formo de buenos sentimientos, hbitos y valores, lo cual me ha
ayudado a salir adelante en los momentos ms difciles.
De igual forma, a mi padre me enseo los principios, mi carcter, mi empeo, mi
perseverancia, mi coraje para conseguir mis objetivos.
A Ana lucia, Mara Fernanda que estuvieron siempre presentes y a mis sobrinos Ethan y
Liam quienes ha sido una motivacin, inspiracin y felicidad.
A Gaby, quien me supo dar fuerzas en mis momentos de flaqueza, para no rendirme
dndome amor y comprensin.
A mis mejores amigos quienes me brindaron su apoyo incondicional y sincero.
JUAN PABLO
II
AGRADECIMIENTO
Me gustara expresar mi ms profundo y sincero agradecimiento a las personas que con

su ayuda han colaborado en la realizacin del presente trabajo, al Ing. Jairo Navarro y
mis revisores Ing. Rene Carrillo e Ing. Aldrin Flores, por la orientacin, el seguimiento y
la supervisin continua de la misma pero sobre todo por la motivacin y el apoyo recibido
por estos meses.
A todos y cada uno de los seores profesores de la Facultad de Ingeniera Ciencias Fsicas
y Matemticas, que con sus enseanzas, su dedicacin y su tiempo, hicieron enriquecer
mis conocimientos.
De igual forma, a la Universidad Central del Ecuador por a verme acogido en sus aulas
para formarme profesionalmente y como persona, para servir a la patria.
JUAN PABLO
III
AUTORIZACIN DE LA AUTORA INTELECTUAL
IV
CERTIFICACIN
APROBACION DE TESIS
VI
RESULTADO DEL TRABAJO DE GRADO

(Calificacin)
VII
VIII
CONTENIDO
DEDICATORIA .................................................................................................................................II
AGRADECIMIENTO ........................................................................................................................III
AUTORIZACIN DE LA AUTORA INTELECTUAL ............................................................................ IV
CERTIFICACIN.............................................................................................................................. V
APROBACION DE TESIS................................................................................................................. VI
RESULTADO DEL TRABAJO DE GRADO ........................................................................................ VII
CONTENIDO ................................................................................................................................. IX
LISTA DE IMGENES .................................................................................................................... XII
LISTA DE TABLAS ........................................................................................................................ XIII
RESUMEN .................................................................................................................................... XV
ABSTRACT................................................................................................................................... XVI
CERTIFICADO DE TRADUCCIN ................................................................................................. XVII
TTULO DEL TRADUCTOR ......................................................................................................... XVIII
CAPTULO 1 ....................................................................................................................................1
1. PRESENTACIN DEL PROBLEMA ................................................................................................1
1.1
Planteamiento del Problema. ........................................................................................ 1
1.2
Formulacin del Problema. ........................................................................................... 1
1.3 Interrogantes de la Investigacin. ....................................................................................... 1

1.4 Objetivos de la Investigacin. ............................................................................................. 2
1.4.1.
Objetivo General. .................................................................................................. 2
1.4.2.
Objetivos Especficos............................................................................................ 2
1.5
Justificacin .................................................................................................................. 2
CAPTULO 2 ....................................................................................................................................4
2. REVISIN BIBLIOGRAFICA ..........................................................................................................4
2.1 Antecedentes ....................................................................................................................... 4
IX
Fundamentacin Terica ............................................................................................... 4
2.2
2.2.1.
Definicin de Auditora ........................................................................................ 4
2.2.2.
Normas, Tcnicas, Estndares y Procedimientos de Auditoria ............................. 5
2.2.3.
Metodologa COBIT ............................................................................................. 7
2.2.4.
Metodologa ITIL ................................................................................................ 12
2.2.5.
Norma ISO .......................................................................................................... 14
2.2.6
Seguridades en Firewall ...................................................................................... 16
CAPTULO 3 ..................................................................................................................................21
3. PROCEDIMIENTOS DE AUDITORIA ...........................................................................................21
3.1
Marco de trabajo de COBIT ....................................................................................... 21
3.1.1.
Requerimientos de Negocio ................................................................................ 21
3.1.2.
Recursos de IT .................................................................................................... 21
3.2
Descripcin de procesos de COBIT ............................................................................ 22
3.3
Priorizacin de procesos de COBIT............................................................................ 23
3.4
Comparacin entre COBIT 4.1 y COBIT 5 ................................................................ 24
3.5.
Relacin entre COBIT 4.1 y ITIL ............................................................................... 26
3.6.
Relacin entre COBIT 4.1 y ISO 27002 ..................................................................... 33
3.7.
Alineamiento COBIT 4.1, COBIT 5.0, ITIL y ISO 27002 ......................................... 41
CAPTULO 4 ...............................................................................................................................53
4.
GUIAS DE LOS PROCESOS .............................................................................................53

4.1.
Gestionar el Riesgo ..................................................................................................... 54
4.2.
Gestionar la Identificacin y la Construccin de Soluciones...................................... 55
4.3.
Gestionar los Cambios ................................................................................................ 56
4.4.
Gestionar la Continuidad ............................................................................................ 57
4.5.
Gestionar los Servicios de Seguridad.......................................................................... 58
4.6.
Gestionar la Configuracin ......................................................................................... 59
4.7.
Gestionar los Problemas ............................................................................................. 60
CAPTULO 5 ...............................................................................................................................61
5.
DETALLE DE CONTROL .................................................................................................61
CAPTULO 6 ...............................................................................................................................76
X
6.
NIVEL DE MADUREZ ......................................................................................................76

6.1.
Evaluacin del proceso de Gestionar el Riesgo .......................................................... 77
6.2.
Evaluacin del proceso de Gestionar la Identificacin y la Construccin de Soluciones

86
6.3.
Evaluacin del proceso de Gestionar los Cambios ..................................................... 98
6.4.
Evaluacin del proceso de Gestionar la Continuidad ............................................... 106
6.5.
Evaluacin del proceso de Gestionar los Servicios de Seguridad............................. 115
6.6.
Evaluacin del proceso de Gestionar la Configuracin ............................................ 124
6.7.
Evaluacin del proceso de Gestionar los Problemas................................................. 132
CAPTULO 7 .............................................................................................................................140
7.
CONCLUSIONES Y RECOMENDACIONES .................................................................140

7.1.
Conclusiones ............................................................................................................. 140
7.2.
Recomendaciones ..................................................................................................... 141
BIBLIOGRAFA.............................................................................................................................142
ANEXOS ......................................................................................................................................144
Anexo A - GLORARIO ........................................................................................................ 144
Anexo B ................................................................................................................................ 145
Anexo C ................................................................................................................................ 147
XI
LISTA DE IMGENES
Figura 2.1 Cubo de Cobit ...................................................................................................... 8

Figura 2.2 Marco de Trabajo de Cobit .................................................................................. 9
Figura 2.3 reas Clave de Gobierno y Gestin ................................................................. 11
Figura 2.4 Modelo de Referencia de Procesos de COBIT 5 ............................................... 12
Figura 2.5 reas a las que se dirige ITIL ............................................................................ 13
Figura 2.6 Contenido de las cinco etapas del ciclo de vida de los servicios en ITIL v3 ..... 14
Figura 2.7 Pirmide de Dominio ......................................................................................... 15
XII
LISTA DE TABLAS
Tabla 3.1 (Procesos Escogidos) .......................................................................................... 23

Tabla 3.2 (Procesos Priorizados) ........................................................................................ 24
Tabla 3.3 (Comparacin Cobit 4.1 y 5) .............................................................................. 26
Tabla 3.4 (Procesos ITIL utilizados)................................................................................... 29
Tabla 3.5 (Comparacin Cobit 4.1 e ITIL) ......................................................................... 33
Tabla 3.6 (Procesos ISO utilizados) .................................................................................... 36
Tabla 3.7 (Comparacin Cobit 4.1 e ISO) .......................................................................... 41
Tabla 3.8 (Alineamiento entre procesos) ............................................................................ 52
Tabla 4.1 (Gua Gestionar el Riesgo).................................................................................. 54
Tabla 4.2 (Gua Gestionar Soluciones) ............................................................................... 55
Tabla 4.3 (Gestionar los Cambios) ..................................................................................... 56
Tabla 4.4 (Gestionar la Continuidad) .................................................................................. 57
Tabla 4.5 (Gestionar los Servicios de Seguridad) ............................................................... 58
Tabla 4.6 (Gestionar la Configuracin) .............................................................................. 59
Tabla 4.7 (Gestionar los Problemas) ................................................................................... 60
Tabla 5.1 (Evaluacin de Gestionar el Riesgo) .................................................................... 63
Tabla 5.2 (Evaluacin de Gestionar Soluciones) ................................................................. 65
Tabla 5.3 (Evaluacin de Gestionar los Cambios) ............................................................... 67
Tabla 5.4 (Evaluacin de Gestionar la Continuidad) ........................................................... 69
Tabla 5.5 (Evaluacin de Gestionar los Servicios de Seguridad) ......................................... 71
Tabla 5.6 (Evaluacin de Gestionar la Configuracin) ........................................................ 73
Tabla 5.7 (Evaluacin de Gestionar los Problemas) ............................................................ 74
Tabla 6.1 (Autoevaluacin del Riesgo) ................................................................................ 78
Tabla 6.2 (Practicas Bsicas del Riesgo) ............................................................................ 79
Tabla 6.3 (Atributos del Riesgo) ......................................................................................... 85
Tabla 6.4 (Autoevaluacin de las Soluciones) .................................................................... 86
Tabla 6.5 (Practicas Bsicas de las Soluciones) ................................................................. 90
Tabla 6.6 (Atributos de las Soluciones) .............................................................................. 97
XIII
Tabla 6.7(Autoevaluacin de los Cambios) ........................................................................ 98

Tabla 6.8 (Practicas Bsicas de los Cambios)..................................................................... 99
Tabla 6.9 (Atributos de los Cambios) ............................................................................... 105
Tabla 6.10 (Autoevaluacin de la Continuidad) ............................................................... 106
Tabla 6.11 (Practicas Bsicas de la Continuidad) ............................................................. 108
Tabla 6.12 (Atributos de la Continuidad) ......................................................................... 114
Tabla 6.13 (Autoevaluacin de los Servicios de Seguridad) ............................................ 115
Tabla 6.14 (Practicas Bsicas de los Servicios de Seguridad) .......................................... 117
Tabla 6.15 (Atributos de los Servicios de Seguridad)....................................................... 123
Tabla 6.16 (Autoevaluacin de la Configuracin) ............................................................ 124
Tabla 6.17 (Practicas Bsicas de la Configuracin).......................................................... 125
Tabla 6.18 (Atributo de la Configuracin)........................................................................ 131
Tabla 6.19 (Autoevaluacin de los Problemas) ................................................................ 132
Tabla 6.20 (Practicas Bsicas de los problemas) .............................................................. 133
Tabla 6.21 (Atributos de los problemas) ........................................................................... 139
XIV
RESUMEN
PROCEDIMIENTOS DE AUDITORIA PARA DISPOSITIVOS DE DEFENSA

DE REDES LAN
En el presente trabajo se trata de informar y orientar al lector en todo lo que

corresponda en alinear a las buenas prcticas en los marcos de referencia de las normas
internacionales tales como: Cobit, ITIL e ISO 27002.
En el primer captulo hablamos del planteamiento de algunos casos de los
problemas ms frecuentes que surgieron con la carencia de normas y polticas, as tambin
de los objetivos tanto generales como especficos que se tuvieron presentes en la
elaboracin de este proyecto.
En el segundo captulo se profundizo ms en el tema dando a conocer las
terminologas y sustentando cada una de las partes que conforman esta tesis en las buenas
practicas.
En el tercer captulo se enfatiza en los requerimientos de negocio y de los recursos,
para enfocarse en los procesos idneos para este tema, y as poder realizar las
comparaciones y alineamientos de cada uno de los procesos de las normas expuestas.
En el cuarto y quinto captulo, de acuerdo con los procesos escogidos, se realiza
las guas en base a las entradas, salidas y diagramas de flujo que nos exponen las
metodologas tomadas encuentra en esta tema de investigacin y luego con sustento de
estas guas realizar las preguntas de control.
Por tanto en el ltimo captulo se realiza el modelo de evaluacin de procesos
basado en los niveles de madurez para determinar el cumplimiento de las guas dentro de
la organizacin.
DESCRIPTORES: AUDITORIA DE LAS REDES LAN / COBIT / ITIL / ISO /

SEGURIDADES DE LOS DISPOSITIVOS DE DEFENSA / NIVELES DE MADUREZ
XV
ABSTRACT
AUDIT PROCEDURES FOR DEFENSE NETWORK DEVICES LAN
The aim of present work is to inform and guide the reader into how align with
good practice frameworks of international standards such as COBIT, ITIL and ISO
27002.
In the first chapter we talk about the approach of some cases of the most common
problems encountered with the lack of standards and policies, and also of both general
and specific objectives that were taken into account in the development of this project.
The second chapter deepened more on the subject by publicizing the terminologies
and supporting each of the parts that make up this thesis in good practices.
The third chapter emphasizes business requirements and resources, and later
focuses on the appropriate processes to this topic, so you can make comparisons and
alignments of each of the processes to the standards set.
In the fourth and fifth chapter, according to the chosen processes, guidelines were
made based on the inputs, outputs and flow charts that expose the methods taken in this
research topic and then based on these guidelines, make the control questions.
So, in the last chapter the evaluation model is carried out based on maturity
levels to determine compliance with the guidelines in the organization.
WORDS: AUDIT NETWORK LAN / COBIT / ITIL / ISO / ASSURANCES OF

DEFENSE DEVICES / MATURITY LEVELS
XVI
CERTIFICADO DE TRADUCCIN
XVII
TTULO DEL TRADUCTOR
XVIII
CAPTULO 1
1. PRESENTACIN DEL PROBLEMA
1.1 Planteamiento del Problema.
En la actualidad muchas organizaciones se encuentran vulnerables a los ataques
informticos, la idea es mantener una red segura, o fiable, consiste bsicamente en
garantizar cuatro aspectos: confidencialidad, integridad, disponibilidad y no repudio. La
confidencialidad, requiere que la informacin sea accesible nicamente por aquellos que
estn autorizados. La integridad, que la informacin se mantenga inalterada ante
accidentes o intentos maliciosos. La disponibilidad significa que los dispositivos de
defensa de la red se mantenga trabajando sin sufrir ninguna degradacin en cuanto a
accesos y ofrezca los recursos que requieran los usuarios autorizados cuando stos los
necesiten. Por ltimo, el no repudio garantiza al emisor que la informacin fue entregada
y ofrece una prueba al receptor del origen de la informacin recibida.
1.2 Formulacin del Problema.
Cules seran sus ventajas al realizar los procedimientos de auditora de los dispositivos
de defensa en una red?
1.3 Interrogantes de la Investigacin.
Se han planteado las siguientes interrogantes de acuerdo a las amenazas que se dan en la
actualidad:
Porqu es importante tener procedimientos de auditora en los dispositivos de

defensa de la red?
Es necesario tener un plan contingencia ante las posibles eventualidades?
Los dispositivos de proteccin de la red cumplen con los procedimientos de

auditora?
Es beneficioso realizar una planificacin a los sistemas de defensa

procedimientos?
1.4 Objetivos de la Investigacin.

1.4.1. Objetivo General.
Crear los procedimientos de auditoria de los dispositivos de defensa cumpliendo con los
estndares internacionales como son ITIL1, COBIT2, ISO3, para lo cual se debe apoyar
en un estudio cuidadoso de los riesgos potenciales de la seguridad de la red que tiene la
organizacin.
1.4.2. Objetivos Especficos.
Comprobar
que
los
procedimientos
se
encuentren
integrados
la
confidencialidad, disponibilidad e integridad en los dispositivos de defensa.
Elaborar un procedimiento al realizar cambios y as lograr minimizar el impacto

de los riesgos potenciales en las redes LANs.
Realizar recomendaciones de los procedimientos de auditoria de todas las

falencias de configuraciones, incidencias y riesgos, para que no se vuelvan a
repetir.
1.5 Justificacin
Actualmente, el aumento del conocimiento sobre el funcionamiento de los sistemas,
conlleva una mayor preparacin de los intrusos y un mayor acceso a herramientas con las
que determinar las debilidades de los sistemas y explotarlas para obtener los privilegios
necesarios para realizar cualquier accin daina. A todo esto hay que sumar los problemas
de configuracin, y la falta de recursos para instalar los parches de seguridad necesarios.
En definitiva, se hace patente la necesidad de concienciar y ensear en torno a la
seguridad informtica. Tambin hay que tener en cuenta la dificultad que conlleva la
creacin de software, ya que ste es cada vez ms complejo y el ciclo de vida del software
se est reduciendo significativamente debido al aumento de la competitividad del
mercado. Este hecho acarrea la consecuencia de realizar diseos pobres, traducindose
en errores en el software.
Biblioteca de Infraestructura de Tecnologas de Informacin

Objetivos de Control para Informacin y Tecnologas Relacionadas
3
Organizacin Internacional de Normalizacin
2
En este marco nos encontramos con el uso de procedimientos de seguridad, como las
tcnicas de encriptacin y los cortafuegos (firewalls). Si bien estos elementos aunque
proveen una primera lnea de defensa para asegurar los recursos de la red, deben ser
complementados con herramientas que permitan monitorizar el comportamiento del
trfico y las actividades de los usuarios de la red. En esta lnea, surgen los sistemas de
deteccin de intrusos, como uno de los campos ms investigados en los ltimos aos.
CAPTULO 2
2. REVISIN BIBLIOGRAFICA
2.1 Antecedentes
Por sondeos realizados algunas empresas, no se han realizado un proyecto de
investigacin sobre los procedimientos de auditoria para dispositivos de defensa de red,
y que cuenten con una Infraestructura Tecnolgica moderna TIC4, en donde se encuentran
instaladas diferentes aplicaciones informticas; y para su acceso o interaccin,
necesitamos de equipos y perifricos tangibles. Muchas de las actividades administrativas
son apoyadas en gran medida por las TIC, tecnologas que exigen recursos y medios de
comunicacin entre ellos tenemos: Computadoras personales, impresoras, scanner,
cmaras digitales, equipos de audio, telfonos IP, etc.
2.2 Fundamentacin Terica

A continuacin se definir una serie de trminos importantes para la correcta comprensin
del proyecto.
2.2.1. Definicin de Auditora

A travs de la norma ISO 19011:2002 indic la definicin de auditora es un proceso
metdico, autnoma y documentado para obtener evidencias de la auditora y valorarlas
de manera puntual con la finalidad de establecer la extensin en que se desempean los
criterios de auditora.
Paulk et al. (1993) indicaron que Auditora es una evaluacin independiente de un

resultado o conjunto de resultados, para determinar la conformidad con las
especificaciones, estndares, acuerdos contractuales, u otro criterio. Piattini & Del Peso
(1998) explicaron lo siguiente:
Conceptualmente la auditora, toda y cualquier auditora, es la accin que consistente en
el pronunciamiento de una opinin de un experto sobre si el objeto sometido a anlisis
Tecnologas de la Informacin y la Comunicacin
muestra adecuadamente la realidad que pretende plasmar y cumple con las medios que le
han sido prescritas.
Segn la NTP-ISO/IEC5 12207:2006 (INDECOPI6, 2006), el proceso de Auditoria sirve
para establecer el desempeo con los requerimientos, mtodos y el contrato, segn se lo
quiera aplicar. Se determina adems que este proceso puede ser utilizado por cualquiera
de las partes, donde una de ellas en este caso la auditoria, audita los productos software o
acciones de la otra parte seria la auditada. Segn ISACA 7 (2008), la auditora de los
sistemas de informacin se especifica como cualquier auditora que incluye la revisin y
evaluacin de todos los aspectos (o de cualquier parte de ellos) de los sistemas
automticos de procesamiento de la informacin.
2.2.2. Normas, Tcnicas, Estndares y Procedimientos de Auditoria

Tipos de Auditoras de Redes
Existen diversos tipos de auditoras de redes determinados principalmente a la
personalizacin adquirida y al nivel de escalabilidad. De forma recopilada, se puede
describir de los tres tipos de auditoras de redes, que pueden ser concluidas como
referencia las auditoras ad-hoc.
a. Auditora de Rendimiento de Redes
Se basa fundamentalmente en proporcionar datos del rendimiento, siendo el beneficio de
la misma en la obtencin de recomendaciones, en la generacin de informes que apoyen
a determinar las mejoras que obliga la red para garantizar las obligaciones de los usuarios
en los aplicativos, tanto en el presente como a futuro.
b. Auditora de la Arquitectura de Redes
Se basa fundamentalmente, en la elaboracin de un mapa bsico de la topologa de red,
como referencia en el diseo del entorno de red en su totalidad. Mientras tanto, el
beneficio de estas auditoras es la obtencin de recomendaciones para las reas
vulnerables de cambio y/o modernizacin de la organizacin, evitando el fallo y puntos
crticos en la red auditada.
5
Comisin Electrotcnica Internacional

Instituto Nacional de Defensa de la Competencia y de la Proteccin de la Propiedad Intelectual
7
Asociacin de Auditoria y Control de Sistemas de Informacin
6
c. Auditora de la Disponibilidad de Redes

Se basa fundamentalmente en el conocimiento amplio de los requerimientos para lograr
y conservar la disponibilidad y fiabilidad de la red que la organizacin precisa. El proceso
de esta auditora se fundamenta en un conjunto de audiencias a los miembros clave de la
plantilla de la empresa u organizacin en sus propias dependencias, que tratan sobre los
siguientes aspectos:
Administrar cambios: incorporaciones y cambio; algunas previas comprobaciones

previas en la red antes de realizar modificaciones a la red y procedimientos de
actualizacin de software.
Entorno fsico: consideraciones ambientales, seguridad fsica, estrategia de

cableado estructurado y rotulado, accesos a los emplazamientos a mantenedores
y suministradores.
Estructura de la organizacin: funciones, dependencias y responsabilidades,

personal facultado para gestionar la red, necesidades de capacitacin y
conocimientos especficos,
Seguridad: mtodos y polticas para la autentificacin de intranet y extranet,

revisin de reglas en firewalls, acceso remoto.
Relaciones con el proveedor: contratos de soporte, comunicaciones y tipos de

soporte.
Administrar fallos e incidencias: precaucin y estrategias de aislamiento de fallos

en la red, procedimientos de seguimiento y anlisis, procedimientos de control de
incidencias en el servicio, escalado tcnico, escalado gerencial.
Planificacin de servicios: acuerdos de servicios SLA 8 y administracin de

niveles, objetivos de alta disponibilidad, aplicaciones y sistemas crticos de la red.
Planificacin de contingencias: evaluacin, planificacin, pruebas de viabilidad y

ejecucin.
Tcnicas de Auditora de Redes

8
Service Level Agreement
Cuestionarios
Entrevistas
Encuestas
Levantamiento de inventario
Listas de chequeo
Logs
Matriz FODA9
Modelos de simulacin
Tcnicas de muestreo
Tcnicas de observacin
Tcnicas de revisin documental
Trazas o Huellas
2.2.3. Metodologa COBIT
COBIT es una metodologa informada en 1996 por ISACA y el Instituto de Control de

TI, que se utiliza para evaluar el departamento de TI de una organizacin.
Se encuentra orientada por un ndice de referencia de procesos, KGI10 y KPI11 que se usan
para evaluar los procesos para acumular datos que la compaa puede alcanzar sus
objetivos.
La gua de COBIT presenta 34 procesos organizados en 4 reas funcionales donde
contienen los 318 objetos (Figura 2.2):
Entrega y Soporte
Monitorear y Evaluar
Planificar y Organizar
Adquirir e Implementar
Fortalezas, Oportunidades, Debilidades y Amenazas

indicadores de objetivos clave
11
indicadores de rendimiento clave
10
Figura 2.1 Cubo de Cobit

(Fuente: Cobit 4.1 ISACA)
Criterios de Informacin
Para cumplir las necesidades de los objetivos del negocio, la informacin requiere
acoplarse a ciertos criterios de control, los cuales son descritos en COBIT como
requerimientos de informacin del negocio. En base a estos requerimientos, en lo que
tiene que ver en la calidad y seguridad, se detallaron los siguientes siete criterios de
informacin (Figura 2.1):
Efectividad tiene que ver con que la informacin sea relevante y oportuna a los procesos
del negocio, y se proporcione de una manera pertinente, correcta y utilizable.12
Eficiencia se refiere a la informacin sea generada con el ptimo en el uso de los
recursos.13
Confidencialidad se refiere a salvaguardar de informacin vulnerable contra
manifestacin no autorizada.14
Integridad est involucrada con la completitud y precisin de la informacin, as como
su validez de acuerdo a las expectativas del negocio y valores.15
12
ISACA Cobit 4.1 IT overnance Institute, Pag,: 10

14
15
ISACA Cobit 4.1 IT overnance Institute, Pag.: 11
13
Disponibilidad se describe a que la informacin est disponible cuando sea solicitada

por los procesos del negocio en cualquier momento. Tambin a la proteccin de los
recursos y las capacidades necesarias asociadas.16
Cumplimiento tiene que ver con las leyes, reglamentos y acuerdos establecidos, a los
cuales est ligado el proceso de negocios, es decir, criterios de negocios asignados
externamente, as como polticas internas.17
Confiabilidad se describe a suministrar la informacin adecuada para que la gerencia
administre la organizacin y realice sus responsabilidades con prudencia y diligencia.18
Figura 2.2 Marco de Trabajo de Cobit

(Fuente: Cobit 4.1 ISACA)
16

18
17
Cobit 5
El COBIT 5 es sucesor del modelo de proceso de COBIT 4.1. Una de las directivas en
COBIT es la distincin hecha entre gobierno y gestin, se espera que todas las empresas
implementen varios procesos de gobierno y varios procesos de gestin para proporcionar
un gobierno y una gestin del entorno IT profundos.
Al considerar los procesos para gobierno y gestin en el contexto de la empresa, los tipos
de procesos se diferencian por los objetivos:
Procesos de Gobierno - Los procesos de gobierno tratan de los objetivos de

gobierno de las partes involucradas como: entrega de valor, optimizacin del
riesgo y de recursos e incluye prcticas y actividades orientadas a valorar las
opciones estratgicas, aportando a la direccin de TI y controlando la salida
(Evaluar, orientar y supervisar).
Procesos de Gestin - Relacionados con la definicin de gestin las prcticas y

actividades de los procesos de gestin cubren las reas de responsabilidad de
PCEM 19 de TI de la empresa y tienen que proporcionar cobertura de TI extremo
a extremo.
Aunque las salidas de ambos tipos de procesos son diferentes y est destinada a distinta
audiencia, internamente, en el contexto del proceso, todos los procesos requieren
actividades de planificacin, construccin o implementacin, ejecucin y supervisin del
proceso.
Las empresas efectan un gobierno y una gestin de los procesos, de tal forma que las
reas clave se las tome en cuenta, en otros trminos una empresa puede ordenar sus
procesos como estime ventajosamente. En lo que tiene que ver a empresas pequeas a lo
mejor solo cumplan pocos procesos, caso contrario en las empresas ms grandes y
19
Procesos de Gestin: Planifica, Construye, Ejecuta y Monitorea
10
complejas posiblemente tengan ms procesos, al fin y al cabo todos van a cubrir los
mismos objetivos.
Figura 2.3 reas Clave de Gobierno y Gestin

(Fuente: Cobit 5 ISACA)
En COBIT 5 el modelo de referencia de procesos, los procesos de gobierno y de gestin

de TI de una organizacin se subdivide, en dos principales reas de actividad, gobierno y
gestin divididos en dominios de procesos:
Gobierno: Este nuevo dominio incluye cinco procesos de gobierno; en cada uno
de los proceso, se han definido las prcticas EDM20.
Gestin: En estos cuatro dominios estn ligados con las reas de responsabilidad
de PBRM (una evolucin de los dominios COBIT 4.1), que proveen de cobertura
de TI extremo a extremo. Cada dominio contiene varios procesos, como en
COBIT 4.1 y en sus versiones anteriores.
Figura 2.4 muestra el conjunto completo de los 37 procesos de gobierno y gestin.
20
Dominio de Proceso: Evaluar, Dirigir y Monitorear
11
Figura 2.4 Modelo de Referencia de Procesos de COBIT 5

(Fuente: Cobit 5 ISACA)
2.2.4. Metodologa ITIL

Por varios aos, las organizaciones han realizado inversiones muy importantes en su
infraestructura y descubierto de oportunidades de negocio en la utilizacin de IT, por tal
motivo, estas inversiones les permita lograr varios de los objetivos como: mejorar el
proceso de toma de decisiones y el control de la gestin, disminuir costos, ganar ventaja
competitiva, modificar y redisear procesos, optimizar la calidad, proporcionar procesos
administrativos y brinden funcionalidad en sus productos y el servicio al cliente.
Desde el enfoque del negocio, el plan de la gestin de la infraestructura de IT es mejorar
la aportacin y ayuda de esta infraestructura, para obtener sus metas de negocio. En
relacin de la gestin de procesos de IT, marcos de referencia evidentes y las normas
dicen claramente Qu Hacer, entretanto que la base de conocimientos ITIL, desarrolla
tambin en detalle el Cmo Hacerlo.
12
Los estndares ITIL obligan a una reconsideracin en el rea tecnolgica y la definicin

de los elementos y procesos "crticos" dentro de una organizacin.
ITIL brinda pautas para la gestin de los procesos de TI relacionados como en la Figura
2.5:
Figura 2.5 reas a las que se dirige ITIL

(Fuente: FELIPE DONOSO JAURS-Metodologa ITIL-Universidad de Chile)
El "ciclo de vida del servicio" de la versin 3 se visualiza en formato lineal, es el eje

conductor. La realidad es que esta representacin lineal, define mejor una cadena de
fabricacin de servicios.
13
Figura 2.6 Contenido de las cinco etapas del ciclo de vida de los servicios en ITIL
v3
(Fuente: Sitio Web oficial de ITIL http://itilv3.osiatis.es/)
2.2.5. Norma ISO

La ISO 27002 es una referencia de las buenas prcticas para la gestin de seguridad de la
informacin que est constituida de los 11 dominios, 39 objetivos de control y una amplia
serie de controles de seguridad Figura 2.8. Esta norma es la nica que no solo cumple
con la problemtica de seguridad, sino que realiza una vista integral a la seguridad de la
informacin organizacional, incluyendo todas las funcionalidades de una organizacin
que se trata. La norma involucra los riesgos fsicos, operacionales y organizacionales de
una empresa.
14
Figura 2.7 Pirmide de Dominio

(Fuente: Sitio Web oficial de ISO 27002 http://iso27002.es/)
Como lo expresamos con anterioridad el Estndar Internacional ISO 27002, est sujeta a
un nmero de categoras de seguridad principales, en donde se lo observa en la Figura 2.7
con los 11 dominios:21
21
Gestin de incidentes en la seguridad de la informacin.
Gestin de la continuidad del negocio.
Gestin de comunicaciones y operaciones.
Adquisicin, desarrollo y mantenimiento de los sistemas de informacin.
Seguridad fsica y ambiental.
Seguridad ligada a los recursos humanos.
Gestin de activos.
Control de acceso.
Aspectos organizativos de la seguridad de la informacin.
Poltica de seguridad.
Cumplimiento.
http://iso27002.es/
15
Figura 2.8 Modelo de Gestin de la Seguridad

(Fuente: Sitio Web oficial de ISO 27002 http://iso27002.es/)
2.2.6
Seguridades en Firewall
2.2.6.1 Amenazas y ataques
Hoy en da toda organizacin est expuesta a mltiples amenazas de seguridad por la

conexin a Internet. Hemos encontrado nueve tipos y estilos bsicos de ataques, que se
alcanzara cuando las redes se encuentren conectadas a Internet:
Ataque a accesos de confianza, este tipo de ataques se caracteriza en el uso sobre

sistemas UNIX, ya que algunos mecanismos de confianza (telnet, ftp o rlogin) son
sumamente frgiles. De tal forma que los hackers solo averiguar el nombre de una
mquina de confianza para acceder muy fcilmente al sistema.
Ataques basados en contraseas, son los ataques ms comunes que existen. El

mecanismo funciona, a travs de un identificador de un usuario acompaado de
16
la contrasea, intentando una y varias vez hasta descubrir con la contrasea

correcta. A partir de esto, comenzar un nuevo estilo de ataque, ataque basado en
diccionario, que consiste en ataques automatizados a las contraseas, a travs de
un programa que prueba todas las palabras de un diccionario.
Secuestro de sesiones, es un ataque mucho ms simple que el de prediccin de

nmeros de secuencia, consiste cuando el intruso establece la conexin entre el
servidor y cliente, mediante el ingreso a los dispositivos de la red desprotegidos o
firewalls poco apropiados, y este encuentra los nmeros de secuencia entre
usuarios. El intruso se aduea de las direcciones de un usuario real, secuestrando
su sesin. Despus, el anfitrin se desconecta de su usuario y el intruso tiene todo
el acceso libre a los archivos a los que poda acceder el usuario legtimo.
Prediccin de nmeros de secuencia, es una tcnica de falsificacin de

direcciones IP en redes UNIX.
Direcciones IP falsas, el envi de datos de un computador a otro, se involucra

tanto la identificacin del emisor como la del receptor. Este sistema lo utiliza un
hacker enviando informacin falsa como la identidad de un ordenador a la red. De
tal forma dispone de todos los paquetes entrantes (no los que salen) tanto en los
sistemas y servicios de los mismos. Tomemos en cuenta, que todas las respuestas
a consultas y peticiones no llegaran al impostor, sino al ordenador que se intenta
copiar.
Interceptacin de paquetes (packet sniffer), es de la ms compleja de todos los

ataques. Pueden obstruir todo tipo de paquetes, transferencias de los nmeros de
las tarjetas de crdito, mensajes de inicio de sesin, correo electrnico, etc., una
vez retenido el paquete, se tiene toda la informacin almacenada en l, tales como
el nombre del dispositivo, identidad del usuario y la contrasea. Regularmente,
este ataque es el primero antes que el ataque usando direcciones IP falsas.
17
Ataques dirigidos a aprovechar los puntos vulnerables de la tecnologa, en los

sistemas operativos unos ms que otros poseen sus puntos dbiles. La posibilidad
de que uno o varios intrusos descubran algn punto dbil es considerablemente
reducida.
Ataques de Ingeniera social son cada vez ms habituales y peligrosos,

consiste en enviar un correo al usuario, hacindole cree que es el administrador
del sistema, logrando as que entregue su contrasea. Este ataque todo depender
del grado de conocimiento del usuario acerca de computadores y de redes.
Ataques dirigidos a aprovechar las bibliotecas compartidas, este mecanismo

se da en sistemas operativos UNIX, mediante la utilizacin de dos bibliotecas
compartidas. Los intrusos cambian estos archivos por otros nuevos, para cumplir
con su propsito, y as tener todo acceso de administrador.
2.2.6.2 Tipos de Firewall

Existen tres tipos de firewall, segn su manera de operar, que son los siguientes:
Firewalls de filtrado de paquetes o a nivel de red: Trabaja a nivel de red (capa 3 del
modelo OSI y la capa 2 de los protocolos TCP/IP) como examinador de paquetes IP para
establecer si el paquete tiene permisos de ingresar a la red.
El firewall maneja la informacin almacenada en la cabecera del paquete para filtrar
campos de nivel de transporte, como el puerto origen y destino, o tambin a nivel de
enlace de datos como seria la direccin MAC. Para el perfecto funcionamiento del mismo,
debemos decir que informacin deseamos bloquear de los paquetes de direcciones de los
sitios de destino. En otras palabras, bloquear toda una red entera, pero no un solo usuario
o un dispositivo determinado de otra red. Segn como lo programemos en el archivo del
ruteado, para lograr identificar y realizara las acciones definidas para cada uno de los
tipos incluidos en l. Tambin para permisos a los usuarios como ingresos a Internet y la
transferir archivos a su servidor usando FTP22. Casi siempre se configurar para tomar en
cuenta lo siguiente:
22
File Transfer Protocol
18
Direccin de origen/destino de los datos.
Protocolo de sesin de los datos. ICMP23, UDP24 o TCPI25.
El paquete es el inicio de una peticin de conexin.
El puerto de aplicacin de origen/destino del servicio esperado.
Este tipo de cortafuegos es muy rpido y transparente para los usuarios.
Servidores proxy o firewalls a nivel de aplicacin:

Acta a nivel de aplicacin (capa 7 del modelo OSI), de tal modo que los filtrados se
pueden acoplarse a las caractersticas propias de los protocolos que contiene este nivel,
es decir, se trata de servidores que dirigen el trfico entre varias redes, que consiguen en
el filtrado segn la URL a la que se est queriendo acceder, y tambin pueden aplicar
polticas en relacin a los parmetros que contengan en un formulario web.
Este Firewall trabaja a nivel 7 de trfico HTTP suele llamarse proxy, y permite que los
dispositivos de una empresa ingresen a Internet de forma controlada. Un proxy esconde
las direcciones de red de manera eficaz.
El servidor se comunica de una red a otra realizando una copia aislando a cada paquete
autorizado. Estos cortafuegos enmascaran el origen de la conexin inicial y protegen la
informacin de la red privada de usuarios que intenten acceder a la misma. Estos equipos
son genricos y reconocen todos los protocolos de red, y as configurar para controlar los
servicios que proporcione nuestra red.
Tomar en cuenta que nuestros usuarios de la red, pueden utilizar programas internos que
requieren trabajar con proxy. De esta forma mejorar el rendimiento de la red.
23
Internet Control Message Protocol

User Datagram Protocol
25
Transmission Control Protocol
24
19
Firewalls a nivel de circuito: Parecido al anterior tipo, ya que estos dos ltimos son
proxies. Debemos tomar en cuenta que los firewalls a nivel de aplicacin siempre utilizar
de un software de proxy especficamente para cada servicio que lo requiera la red, tanto
para: FTP, HTTP26, etc. Al contrario este tipo de Cortafuegos crea un vnculo (circuito)
entre el cliente y el servidor, con la finalidad que la aplicacin desconozca del servicio.
No interfiere en la transaccin que est ejecutando y Protegiendo al inicio del mismo.
26
HyperText Transfer Protocol
20
CAPTULO 3
3. PROCEDIMIENTOS DE AUDITORIA
3.1
Marco de trabajo de COBIT
Antes de continuar con la investigacin de este proyecto tenemos que definir los
requerimientos de negocio y los recursos de IT, para tener claro el panorama de la
clasificacin de procesos.
3.1.1. Requerimientos de Negocio
Segn el tema se ha determinado los criterios de informacin, para las seguridades de los
dispositivos de defensa de la red, como se los defini en la seccin 2.2.3 Metodologa de
COBIT, esta son los siguientes:
Confidencialidad
Integridad
Disponibilidad
3.1.2. Recursos de IT
Los recursos de TI de COBIT que se utilizar en este proyecto a continuacin:

Informacin: Son los datos en todas sus formas, de entrada, procesados y generados por
los sistemas de informacin, en cualquier forma en que sean utilizados por el negocio.27
Infraestructura: Es la tecnologa y las instalaciones de hardware, sistemas operativos en
el caso de Firewall, redes, as como el sitio donde se encuentran y el ambiente que los
soporta que permiten el procesamiento de las aplicaciones.28
27
28

21
3.2
Descripcin de procesos de COBIT
Hemos escogido 21 procesos de los 34 de COBIT 4.1 que cumplen con los dos criterios
para los dispositivos de seguridad de la red para la organizacin.
A continuacin tenemos las siguientes inciales para la clasificacin de los procesos:
P= Facilitador Primario
PROCESO
P02 Definir la
Arquitectura
de la
Informacin
P08
Administrar la
Calidad
P09 Evaluar y
Administrar
los Riesgos de
TI
AI2 Adquirir y
Mantener
Software
Aplicativo
AI3 Adquirir y
Mantener
Infraestructura
Tecnolgica
AI4 Facilitar la
Operacin y el
Uso
AI6
Administrar
Cambios
AI7 Instalar y
Acreditar
Soluciones y
Cambios
DS1 Definir y
Administrar
los Niveles de
Servicio
DS2
Administrar
los Servicios
de Terceros
S= Facilitador Secundario
REQUERIMIENTOS DE NEGOCIO
Confidencialida
Integrida
Disponibilida
d
d
d
RECURSOS
Informaci
Infraestructur
n
a
22
DS3
Administrar el
Desempeo y
la Capacidad
DS4
Garantizar la
Continuidad
del Servicio
DS5
Garantizar la
Seguridad de
los Sistemas
DS9
Administrar la
Configuracin
DS10
Administraci
n de
Problemas
DS11
Administraci
n de Datos
DS12
Administraci
n del
Ambiente
Fsico
DS13
Administraci
n de
Operaciones
ME1
Monitorear y
Evaluar el
Desempeo de
TI
ME2
Monitorear y
Evaluar el
Control
Interno
ME4
Proporcionar
Gobierno de
TI
Tabla 3.1 (Procesos Escogidos)

3.3
Priorizacin de procesos de COBIT
23
Realizamos una seleccin puntual de los procesos del punto anterior, se han recalificado
7 determinando la importancia segn el criterio personal y de la investigacin de las
actividades que desempean cada una de ella.
PROCESO
P09 Evaluar y
Administrar los
Riesgos de TI
AI3 Adquirir y
Mantener
Infraestructura
Tecnolgica
AI6
Administrar
Cambios
DS4Garantizar
la Continuidad
del Servicio
DS5Garantizar
la Seguridad de
los Sistemas
DS9Administra
r la
Configuracin
DS10
Administracin
de Problemas
REQUERIMIENTOS DE NEGOCIO
Confidencialida
Integrida
Disponibilida
d
d
d
RECURSOS
Informaci Infraestructur
n
a
Tabla 3.2 (Procesos Priorizados)
3.4
Comparacin entre COBIT 4.1 y COBIT 5

PLANEAR Y ORGANIZAR
Procesos de COBIT 4.1
Procesos de COBIT 5
PO9 Evaluar y Administrar los Riesgos de TI

APO12 Gestionar el Riesgo
PO9.1 Marco de Trabajo de Administracin de APO01.03 Mantener los elementos catalizadores del
Riesgos
sistema de gestin
PO9.2 Establecimiento del Contexto del Riesgo APO12.03 Mantener un perfil de riesgo
PO9.3 Identificacin de Eventos
APO12.01 Recopilar datos
PO9.4 Evaluacin de Riesgos
APO12.02 Analizar el riesgo
PO9.5 Respuesta a los Riesgos
APO12.06 Responder al riesgo
PO9.6 Mantenimiento y Monitorizacin de un
Plan de Accin de Riesgos
APO12.05 Definir un portafolio de acciones para la

gestin de riesgos.
ADQUIRIR E IMPLEMENTAR
24
AI3 Adquirir y Mantener Infraestructura

Tecnolgica
BAI03 Gestionar la Identificacin y la

Construccin de Soluciones
AI3.1 Plan de Adquisicin de Infraestructura

BAI03.04 Obtener los componentes de la
Tecnolgica
solucin
AI3.2 Proteccin y Disponibilidad del Recurso BAI03.03 Desarrollar los componentes de la solucin
de Infraestructura
AI3.3 Mantenimiento de la Infraestructura
BAI03.10 Mantener soluciones
AI3.4 Ambiente de Prueba de Factibilidad
BAI03.07 Preparar pruebas de la solucin
AI6 Administrar Cambios
AI6.1 Estndares y Procedimientos para
Cambios
AI6.2 Evaluacin de Impacto, Priorizacin y
Autorizacin
BAI06 Gestionar los Cambios

BAI06.01 Evaluar, priorizar y autorizar peticiones de
cambio
BAI06.01 Evaluar, priorizar y autorizar peticiones de
cambio
AI6.3 Cambios de Emergencia

BAI06.02 Gestionar cambios de emergencia
AI6.4 Seguimiento y Reporte del Estado de los BAI06.03 Hacer seguimiento e informar de cambios
Cambio
de estado
AI6.5 Cierre y Documentacin del Cambio
BAI06.04 Cerrar y documentar los cambios
ENTREGAR Y DAR SOPORTE

DS4 Garantizar la Continuidad del Servicio
DSS04 Gestionar la Continuidad
DS4.1 Marco de Trabajo de Continuidad de TI
DSS04.01 Definir la poltica de continuidad del

negocio, objetivos y alcance
DS4.2 Planes de Continuidad de TI
DSS04.03 Desarrollar e implementar una respuesta a

la continuidad del negocio
DS4.3 Recursos Crticos de TI
DSS04.04 Ejercitar, probar y revisar el plan de

continuidad
DS4.4 Mantenimiento del Plan de Continuidad DSS04.05 Revisar, mantener y mejorar el plan de
continuidad.
de TI
DS4.5 Pruebas del Plan de Continuidad de TI
DSS04.04 Ejercitar, probar y revisar el plan de
continuidad
DS4.6 Entrenamiento del Plan de Continuidad de DSS04.06 Proporcionar formacin en el plan de
TI
continuidad
DS4.7 Distribucin del Plan de Continuidad de
TI

DS4.8 Recuperacin y Reanudacin de los

Servicios de TI
DS4.9 Almacenamiento de Respaldos Fuera de
las Instalaciones

DS4.10 Revisin Post Reanudacin
DSS04.08 Ejecutar revisiones post-reanudacin
DSS04.07 Gestionar acuerdos de respaldo
DS5 Garantizar la Seguridad de los Sistemas

DSS05 Gestionar los Servicios de Seguridad
DS5.1 Administracin de la Seguridad de TI
APO13.03 Supervisar y revisar el SGSI29
29
Sistema de Gestin de Seguridad de la Informacin
25
DS5.2 Plan de Seguridad de TI
APO13.02 Definir y gestionar un plan de tratamiento

del riesgo de la seguridad de la informacin
DS5.3 Administracin de Identidad
DSS05.04 Gestionar la identidad del usuario y el

acceso lgico
DS5.4 Administracin de Cuentas de Usuario
DSS05.04 Gestionar la identidad del usuario y el

acceso lgico
DS5.5 Pruebas, Vigilancia y Supervisin de la

Seguridad
DS5.6 Definicin de Incidente de Seguridad
DSS05.07 Supervisar la infraestructura para detectar

eventos
DSS02.01 Definir
esquemas
clasificacin de
relacionados
con ladeseguridad.
incidentes y peticiones de servicio
DS5.7 Proteccin de la Tecnologa de Seguridad DSS05.05 Gestionar el acceso fsico a los activos de
DS5.8 Administracin de Claves Criptogrficas DSS05.03 TI
Gestionar la seguridad de los puestos de
usuario final
DS5.9 Prevencin, Deteccin y Correccin de
Software Malicioso
DSS05.01 Proteger contra software malicioso

(malware)
DS5.10 Seguridad de la Red
DSS05.02 Gestionar la seguridad de la red y las

conexiones
DS5.11 Intercambio de Datos Sensibles
DSS05.02 Gestionar la seguridad de la red y las

conexiones
DS9 Administrar la Configuracin

DS9.1 Repositorio y Lnea Base de
Configuracin
DS9.2 Identificacin y Mantenimiento de
Elementos de Configuracin
DS9.3 Revisin de Integridad de la
Configuracin
BAI10 Gestionar la Configuracin

BAI10.02 Establecer y mantener un repositorio de
configuracin y una base de referencia
BAI10.03 Mantener y controlar los elementos de
configuracin
BAI10.05 Verificar y revisar la integridad del
repositorio de configuracin
DS10 Administracin de Problemas
DSS03 Gestionar los Problemas
DS10.1 Identificacin y Clasificacin de

Problemas
DSS03.01 Identificar y clasificar problemas
DS10.2 Rastreo y Resolucin de Problemas
DSS03.02 Investigar y diagnosticar problemas
DS10.3 Cierre de Problemas
DSS03.04 Resolver y cerrar problemas
DS10.4 Integracin de las Administraciones de

Incidentes, Configuracin y Problemas
DSS03.05 Realizar una gestin de problemas

proactiva
Tabla 3.3 (Comparacin Cobit 4.1 y 5)
3.5. Relacin entre COBIT 4.1 y ITIL
Antes de realizar el alineamiento entre COBIT 4.1, COBIT 5, ITIL e ISO, se debe realizar
un anlisis entre COBIT 4.1 y ITIL, como lo est explicado en la tabla 4 los objetos de
control que se estn utilizando en la comparacin de la tabla 5, que procesos y sus etapas
26
de vida del servicio estn cumpliendo, en este caso ocupa las 7 etapas, pero las etapas que
obtienen la mayor carga son las dos: Operacin del Servicio (SO) y Transicin del Servicio (ST).
Estrategia de Servicio(SS)
Conceptos bsicos
SS 8.2
Interfaces del servicio
SS 9.5
Gestin de riesgos
Diseo del Servicio(SD)
Principios del diseo SD 3
SD 3.2
Diseo balanceado
SD 3.7
Actividades subsiguientes del diseo
SD 3.6.3
Diseo de la arquitectura tecnolgica
SD Apndice K
Contenido tpico de un plan de recuperacin
Gestin de la seguridad de la informacin SD 4.6
SD 4.6.4
Polticas, principios y conceptos bsicos
SD 4.6.5.1
Controles de seguridad
SD 4.6.5.2
Gestin de brechas de seguridad e incidentes
Gestin de la continuidad del servicio de TI SD 4.5
SD 4.5.5.1
Inicio
SD 4.5.5.2
Requisitos y estrategia
SD 4.5.5.3
Implementacin
SD 4.5.5.4
Operacin continua
SD 8.1
Anlisis de impacto en el negocio
Gestin de la disponibilidad SD 4.4
SD 4.4.5.2
Actividades proactivas de la gestin de la
disponibilidad
Transicin del Servicio (ST)
Planeamiento de la transicin, principios, soporte y ejecucin ST 4.1
ST 3.2
Polticas para la transicin del servicio
ST 3.2.1
Definir e implementar una poltica formal para la
transicin del servicio
ST 3.2.13
Asegurar la calidad de un servicio nuevo o
modificado
ST 3.2.14
ST 3.2.2
ST 3.2.7
ST 4.1.4
ST 4.1.5.2
ST 4.1.5.3
ST 4.1.6
ST 5
ST 6
Mejora proactiva de la calidad durante la

Implementar todos los cambios a los servicios a
travs de la transicin del servicio
Establecer controles y disciplinas eficaces
Polticas, principios y conceptos bsicos
Preparacin para la transicin del servicio
Planificar y coordinar la transicin del servicio
Brindar soporte al proceso de transicin
Actividades comunes de operacin en la
Organizacin para la transicin del servicio
27
ST 6.3
Modelos organizacionales para apoyar la

transicin de servicios
ST 6.4
Relacin de la transicin del servicio con otras
etapas del ciclo de vida
ST 9.0
Desafos, factores crticos de xito y riesgos
Gestin de cambios ST 4.2
ST 4.2.6.1
Procedimiento de cambio normal
ST 4.2.6.2
Crear y registrar la solicitud de cambio
ST 4.2.6.3
Revisar la solicitud de cambio
ST 4.2.6.4
Valorar y evaluar el cambio
ST 4.2.6.5
Autorizar el cambio
ST 4.2.6.6
Coordinar la implementacin del cambio
ST 4.2.6.7
Revisar y cerrar el registro del cambio
ST 4.2.6.8
Consejo consultivo de cambios
ST 4.2.6.9
Cambios de emergencia
Gestin de la configuracin y de los activos del servicio ST 4.3
ST 4.3.5.3
Identificacin de la configuracin
ST 4.3.5.4
Control de la configuracin
ST 4.3.5.5
Contabilizacin y registro de estados
ST 4.3.5.6
Auditora y verificacin
Gestin de la liberacin y distribucin
ST 4.4.5.1
Planificacin
ST 4.4.5.2
Preparacin para la construccin, pruebas y
despliegue
ST 4.4.5.3
Construccin y pruebas
Validacin y prueba del servicio
ST 4.5.5.7
Limpieza y cierre de las pruebas
ST 4.5.7
Gestin de informacin
Soporte temprano y cierre dela implementacin
ST 4.4.5.10
Revisar y cerrar la transicin del servicio
ST 4.4.5.9
Revisar y cerrar un despliegue
Evaluacin ST 4.6
Operacin del Servicio (SO)
Gestin de problemas
SO 4.4.5.1
Deteccin de problemas
SO 4.4.5.2
Log de problemas
SO 4.4.5.3
Clasificacin de problemas
SO 4.4.5.4
Priorizacin de problemas
SO 4.4.5.5
Investigacin y diagnstico de problemas
SO 4.4.5.6
Soluciones provisionales
SO 4.4.5.7
Registro de errores conocidos
SO 4.4.5.8
Resolucin de problemas
SO 4.4.5.9
Cierre de problemas
SO 4.4.5.10
Revisin de problemas mayores
Gestin de acceso SO 4.5
SO 4.5.5.1
Peticiones de acceso
28
SO 4.5.5.2
SO 4.5.5.3
SO 4.5.5.4
SO 4.5.5.5
SO 4.5.5.6
SO 4.6.1
SO 5.4
SO 5.5
SO 5.7
SO 5.8
SO 5.9
SO 5.10
SO 5.11
SO 5.13
Verificacin
Habilitar privilegios
Monitorear el estado de la identidad
Registro y seguimiento de accesos
Eliminar o restringir privilegios
Gestin de operaciones
Gestin de cambios (actividades operativas)
Soporte y gestin de servidores
Gestin de redes
Administracin de bases de datos
Gestin de servicios de directorio
Soporte de estaciones de trabajo
Gestin de middleware
Gestin Internet/web
Gestin de seguridad de la informacin y la
operacin del servicio
Atencin de peticiones
Seleccin por men
Aprobacin financiera
Otras aprobaciones
Cierre
SO 4.3.5.1
SO 4.3.5.2
SO 4.3.5.3
SO 4.3.5.5
Principios y ejecucin de la operacin del servicio
Consideraciones de tecnologa
SO 7
Mejora Continua del Servicio (CSI)
CSI 5 Mtodos y tcnicas de CSI
CSI 5.6.3
Gestin de continuidad de servicios de TI
SO Apndice C
Kepner y Tregoe
SO Apndice D
Diagramas de Ishikawa
Tabla 3.4 (Procesos ITIL utilizados)
Lo antes mencionado la tabla 5 refleja la relacin de los 4 Dominios y los 7 procesos

que cumplen de COBIT 4.1.
PLANEAR Y ORGANIZAR
SS 9.5 Riesgos
PO9.1 Marco de trabajo de gestin de
riesgos
SD 4.5.5.1 Etapa 1 Inicio
SS 9.5 Riesgos
PO9.2 Establecimiento del Contexto del
Riesgo
SD 4.5.5.2 Etapa 2 Requisitos y estrategia
SS 9.5 Riesgos
ST 9 Desafos, factores crticos de xito y
riesgos
29
CSI 5.6.3 Gestin de continuidad de servicios

de TI
SS 9.5 Riesgos
PO9.4 Evaluacin de Riesgos de TI
SD 8.1 Anlisis de impacto en el negocio (sin
detalle)
ST 4.6 Evaluacin
SS 9.5 Riesgos
SD 4.5.5.3 Etapa 3-Implementacin
ST 4.6 Evaluacin
SS 9.5 Riesgos
PO9.6 Mantenimiento y Monitoreo de
un Plan de Accin de Riesgos
SD 4.5.5.4 Etapa 4 Operacin continua
AI3 Adquirir y Mantener Infraestructura Tecnolgica
SD 3.6.3 Diseo de la arquitectura tecnolgica
AI3.1 Plan de adquisicin de
infraestructura tecnolgica
SD 4.6.5.1 Controles de seguridad
AI3.2 Proteccin y disponibilidad de la
SO 5.4 Gestin y soporte de servidores
infraestructura
AI3.3 Mantenimiento de la
infraestructura
SO 5.5 Gestin de redes
SO 5.7 Administracin de bases de datos
SO 5.8 Gestin de servicios de directorio
SO 5.9 Soporte de estaciones de trabajo
SO 5.10 Gestin de middleware
SO 5.11 Gestin Internet/web
ST 4.4.5.1 Planificacin
AI3.4 Ambiente de prueba de
factibilidad
ST 4.4.5.2 Preparacin para la construccin,
pruebas y despliegue
ST 4.4.5.3 Construccin y pruebas
ST 4.5.5.7 Limpieza y cierre de las pruebas
ST 4.5.7 Gestin de informacin
AI6.1 Estndares y Procedimientos para SD 3.2 Diseo balanceado
Cambios
SD 3.7 Actividades subsiguientes del diseo
ST 3.2 Polticas para la transicin del servicio
ST 3.2.1 Definir e implementar una poltica
formal para la transicin del servicio
ST 3.2.2 Implementar todos los cambios a los
servicios a travs de la transicin del servicio
ST 3.2.7 Establecer controles y disciplinas
eficaces
ST 4.1 Planificacin y soporte para la transicin
ST 4.1.4 Polticas, principios y conceptos
bsicos
ST 4.2 Gestin de cambios
ST 4.2.6.1 Procedimiento de cambio normal
ST 5 Actividades comunes de operacin en la
30
ST 6 Organizacin para la transicin del

servicio
ST 6.3 Modelos organizacionales para apoyar la
transicin de servicios
ST 6.4 Relacin de la transicin del servicio con
otras etapas del ciclo de vida
SO 4.6.1 Gestin de cambios (actividades
operativas)
ST 4.2.6.2 Crear y registrar la solicitud de
AI6.2 Evaluacin de Impacto,
cambio
Priorizacin y Autorizacin
ST 4.2.6.3 Revisar la solicitud de cambio
ST 4.2.6.4 Valorar y evaluar el cambio
ST 4.2.6.5 Autorizar el cambio
ST 4.2.6.6 Coordinar la implementacin del
cambio
ST 4.2.6.8 Consejo consultivo de cambios
ST 4.6 Evaluacin
SO 4.3.5.1 Seleccin por men
SO 4.3.5.2 Aprobacin financiera
SO 4.3.5.3 Otras aprobaciones
ST 4.2.6.9 Cambios de emergencia
AI6.4 Seguimiento y Reporte del Estado ST 3.2.13 Asegurar la calidad de un servicio
nuevo o modificado
de los Cambio
ST 3.2.14 Mejora proactiva de la calidad
durante la transicin del servicio
ST 4.1.5.3 Planificar y coordinar la transicin
del servicio
ST 4.1.6 Brindar soporte al proceso de
transicin
ST 4.2.6.4 Valorar y evaluar el cambio
AI6.5 Cierre y Documentacin del
Cambio
ST 4.2.6.7 Revisar y cerrar el registro del
cambio
ST 4.4.5.10 Revisar y cerrar la transicin del
servicio
ST 4.4.5.9 Revisar y cerrar un despliegue
SO 4.3.5.5 Cierre
SD 4.5 Gestin de continuidad de servicios de
DS4.1 Marco de Trabajo de
TI
Continuidad de TI
CSI 5.6.3 Gestin de continuidad de servicios
de TI
SD 4.5.5.3 Etapa 3 Implementacin
SD Apndice K Contenido tpico de un plan de
recuperacin
SD 4.4.5.2 Actividades proactivas de la gestin
de la disponibilidad
31
DS4.4 Mantenimiento del Plan de

Continuidad de TI
DS4.5 Pruebas del Plan de Continuidad
de TI

SD 4.5.5.3 Etapa 3
Implementacin
SD 4.5.5.3 Etapa 3
DS4.6 Entrenamiento del Plan de
Continuidad de TI
Implementacin
SD 4.5.5.3 Etapa 3
DS4.7 Distribucin del Plan de
Continuidad de TI
Implementacin
SD 4.4.5.2 Actividades proactivas de la gestin
DS4.8 Recuperacin y Reanudacin de
de la disponibilidad
los Servicios de TI
DS4.9 Almacenamiento de Respaldos
Fuera de las Instalaciones
SO 5.2.3 Respaldo y restauracin
SD 4.5.5.3 Etapa 3
Implementacin
SD 4.6 Gestin de seguridad de la informacin
DS5.1 Administracin de la Seguridad
de TI
SO 5.13 Gestin de seguridad de la informacin
y la operacin del servicio
SD 4.6.4 Polticas, principios y conceptos
bsicos
SD 4.6.5.1 Controles de seguridad (cobertura a
alto nivel, sin detalle)
SO 4.5 Gestin de acceso
DS5.4 Administracin de Cuentas del
Usuario
SO 4.5.5.1 Peticiones de acceso
SO 4.5.5.2 Verificacin
SO 4.5.5.3 Habilitar privilegios
SO 4.5.5.4 Monitorear el estado de la identidad
SO 4.5.5.5 Registro y seguimiento de accesos
SO 4.5.5.6 Eliminar o restringir privilegios
SO 4.5.5.6 Eliminar o restringir privilegios
DS5.5 Pruebas, Vigilancia y Monitoreo
de la Seguridad
SO 5.13 Gestin de seguridad de la informacin
SD 4.6.5.1 Controles de seguridad (cobertura de
DS5.6 Definicin de Incidente de
alto nivel, sin detalle)
Seguridad
SD 4.6.5.2 Gestin de brechas de seguridad e
incidentes
SO 5.4 Gestin y soporte de
DS5.7 Proteccin de la Tecnologa de
Seguridad
servidores
DS5.8 Administracin de Llaves
Criptogrficas
32
DS5.9 Prevencin, Deteccin y

Correccin de Software Malicioso
DS5.11 Intercambio de Datos Sensitivos
SS 8.2 Interfaces del servicio
DS9.1 Repositorio y lnea base
ST 4.1.5.2 Preparacin para la transicin del
de configuracin
servicio
ST 4.3.5.2 Gestin y planificacin
ST 4.1.5.2 Preparacin para la transicin del
DS9.2 Identificacin y
servicio
mantenimiento de elementos de la
ST 4.3.5.3 Identificacin de la configuracin
configuracin
ST 4.3.5.4 Control de la configuracin
ST 4.3.5.5 Contabilizacin y registro de estados
ST 4.3.5.6 Auditora y verificacin
DS9.3 Revisin de integridad de la
configuracin
SO 7 Consideraciones de tecnologa
(especialmente para licenciamiento, mencionado
en SO 7.1.4)
SO 4.4.5.1 Deteccin de problemas
DS10.1 Identificacin y
SO 4.4.5.3 Clasificacin de problemas
clasificacin de problemas
SO 4.4.5.4 Priorizacin de problemas
SO Apndice C Kepner y Tregoe
SO Apndice D Diagramas de Ishikawa
SO 4.4.5.2 Log de problemas
DS10.2 Seguimiento y
SO 4.4.5.5 Investigacin y diagnstico de
resolucin de problemas
problemas
SO 4.4.5.6 Soluciones provisionales
SO 4.4.5.7 Registro de errores conocidos
SO 4.4.5.8 Resolucin de problemas
SO 4.4.5.9 Cierre de problemas
DS10.3 Cierre de problemas
SO 4.4.5.10 Revisin de problemas mayores
DS10.4 Integracin de la gestin de
configuracin, incidentes y problemas
Tabla 3.5 (Comparacin Cobit 4.1 e ITIL)
3.6. Relacin entre COBIT 4.1 y ISO 27002
Poltica de seguridad
5.1.1 Documento de poltica de seguridad de la informacin
5.1.2 Revisin de la poltica de seguridad de la informacin
Aspectos organizativos de la seguridad de la informacin
6.1.1 Compromiso de la Direccin con la Seguridad de la Informacin
33
6.1.2 Coordinacin de la Seguridad de la Informacin

6.1.4 Proceso de Autorizacin de Recursos para el Tratamiento de la Informacin
6.1.5 Acuerdos de Confidencialidad
6.1.6 Contacto con las Autoridades
6.1.7 Contacto con Grupos de Inters Especial
6.1.8 Revisin Independiente de la Seguridad de la Informacin
6.2.1. Identificacin de los riesgos derivados del acceso de terceros
6.2.2 Tratamiento de la seguridad en la relacin con los clientes
6.2.3 Tratamiento de la seguridad en contratos con terceros.
Gestin de activos
7.1.1 Inventario de activos
7.1.2 Propiedad de los activos
7.2.2 Etiquetado y manejo de la informacin
Seguridad ligada a los recursos humanos
8.1.1 Inclusin de la seguridad en las responsabilidades laborales
8.2.2 Formacin y capacitacin en seguridad de la informacin
8.2.3 Procedimiento disciplinario
8.3.1 Cese de responsabilidades
8.3.3 Cancelacin de permisos de acceso
Seguridad fsica y ambiental
9.1.5 Trabajo en reas seguras
9.1.6 reas aisladas de carga y descarga
9.2.1 Instalacin y proteccin de equipos
9.2.3 Seguridad del cableado
9.2.4 Mantenimiento de equipos
Gestin de comunicaciones y operaciones
10.1.2 Gestin de cambios
10.1.3 Segregacin de tareas
10.1.4 Separacin de los entornos de desarrollo, pruebas y produccin
10.4.1 Medidas y controles contra software malicioso
10.4.2 Medidas y controles contra cdigo mvil
10.5.1 Recuperacin de la informacin
10.6.1 Controles de red
10.6.2 Seguridad en los servicios de red
10.7.4 Seguridad de la documentacin de sistemas
10.8.4 Mensajera electrnica
10.10.1 Registro de incidencias
10.10.2 Supervisin del uso de los sistemas
10.10.3 Proteccin de los registros de incidencias
10.10.4 Diarios de operacin del administrador y operador
10.10.5 Registro de fallos
10.10.6 Sincronizacin del reloj
Control de acceso
11.1.1 Poltica de control de accesos
11.2.1 Registro de usuario
11.2.2 Gestin de privilegios
34
11.2.4 Revisin de los derechos de acceso de los usuarios

11.3.1 Uso de contrasea
11.3.2 Equipo informtico de usuario desatendido
11.3.3 Polticas para escritorios y monitores sin informacin
11.4.1 Poltica de uso de los servicios de red
11.4.2 Autenticacin de usuario para conexiones externas
11.4.3 Autenticacin de nodos de la red
11.4.4 Proteccin a puertos de diagnstico remoto
11.4.5 Segregacin en las redes
11.4.6 Control de conexin a las redes
11.4.7 Control de encaminamiento en la red
11.5.1 Procedimientos de conexin de terminales
11.5.3 Sistema de gestin de contraseas
11.5.4 Uso de utilitarios del sistema
11.5.5 Desconexin automtica de terminales
11.5.6 Limitacin del tiempo de conexin
11.6.1 Restriccin de acceso a la informacin
11.6.2 Aislamiento de sistemas sensibles
11.7.1 Informtica mvil
11.7.2 Tele trabajo
Adquisicin, desarrollo y mantenimiento de los sistemas de informacin
12.1.1 Anlisis y especificacin de los requisitos de seguridad
12.2.3 Autenticacin de mensajes
12.3.1 Poltica de uso de los controles criptogrficos
12.3.2 Cifrado
12.4.1 Control del software en explotacin
12.4.2 Proteccin de los datos de prueba de sistema
12.5.1 Procedimientos de control de cambios
12.5.2 Revisin tcnica de las aplicaciones luego de cambios en el sistema operativo
12.5.3 Restricciones en los cambios a los paquetes de software
12.6.1 Control de vulnerabilidades tcnicas
Gestin de incidentes en la seguridad de la informacin
13.1.1 Reporte de eventos de seguridad de informacin
13.1.2 Reporte de debilidades de seguridad
13.2.1 Identificacin de responsabilidades y procedimientos
13.2.2 Aprendiendo de los incidentes de seguridad de informacin
13.2.3 Recogida de pruebas
Gestin de la continuidad del negocio
14.1.1 Incluir la seguridad de informacin en el proceso de gestin de continuidad del negocio
14.1.2 Continuidad del negocio y evaluacin de riesgos
14.1.3 Redaccin e implantacin de planes de continuidad
14.1.4 Marco de planificacin para la continuidad del negocio
14.1.5 Prueba, mantenimiento y reevaluacin de planes de continuidad
Cumplimiento
15.1.5 Prevencin del uso indebido de instalaciones de procesamiento de informacin
15.1.6 Reglamentacin de los controles de cifrados
15.2.2 Comprobacin de la conformidad tcnica
35
15.3.1 Controles de auditora de sistemas

15.3.2 Proteccin de las herramientas de auditora de sistemas
Tabla 3.6 (Procesos ISO utilizados)
PLANEAR Y ORGANIZAR
14.1.1 Incluir la seguridad de informacin en el
PO9.1 Marco de trabajo de gestin de
proceso de gestin de continuidad del negocio
riesgos
14.1.2 Continuidad del negocio y evaluacin de
riesgos
14.1.1 Incluir la seguridad de informacin en el
PO9.2 Establecimiento del Contexto del
proceso de gestin de continuidad del negocio
Riesgo
riesgos
13.1.1 Reporte de eventos de seguridad de
informacin
13.1.2 Reporte de debilidades de seguridad
5.1.2 Revisin de la poltica de seguridad de la
PO9.4 Evaluacin de Riesgos de TI
informacin
riesgos
PO9.6 Mantenimiento y Monitoreo de un
Plan de Accin de Riesgos
AI3.1 Plan de adquisicin de
infraestructura tecnolgica
12.1.1 Anlisis y especificacin de los requisitos de
AI3.2 Proteccin y disponibilidad de la
seguridad
infraestructura
9.1.5 Trabajo en reas seguras
9.2.4 Mantenimiento de equipos
12.5.2 Revisin tcnica de las aplicaciones luego de
cambios en el sistema operativo
10.1.4 Separacin de los entornos de desarrollo,
AI3.4 Ambiente de prueba de factibilidad
pruebas y produccin
AI6.1 Estndares y Procedimientos para
Cambios
12.5.3 Restricciones en los cambios a los paquetes
de software
AI6.2 Evaluacin de Impacto, Priorizacin 10.1.2 Gestin de cambios
y Autorizacin
12.5.1 Procedimientos de control de cambios
de software
AI3.3 Mantenimiento de la infraestructura
36

11.5.4 Uso de utilitarios del sistema
12.5.1 Procedimiento de control de cambios
de software
AI6.4 Seguimiento y Reporte del Estado de

los Cambio
AI6.5 Cierre y Documentacin del Cambio 10.1.2 Gestin de cambios
DS4.1 Marco de Trabajo de Continuidad
de TI
14.1.1 Proceso de la gestin de continuidad del
negocio
14.1.2 Continuidad del negocio y anlisis de
impactos
14.1.4 Marco de planificacin para la continuidad
del negocio
14.1.3 Redaccin e implantacin de planes de
continuidad
14.1.1 Proceso de la gestin de continuidad del
negocio
14.1.2 Continuidad del negocio y anlisis de
impactos
14.1.5 Prueba, mantenimiento y reevaluacin de
DS4.4 Mantenimiento del Plan de
planes de continuidad
Continuidad de TI
DS4.5 Pruebas del Plan de Continuidad de 14.1.5 Prueba, mantenimiento y reevaluacin de
TI
DS4.6 Entrenamiento del Plan de
Continuidad de TI
DS4.7 Distribucin del Plan de
Continuidad de TI
DS4.8 Recuperacin y Reanudacin de los 14.1.1 Proceso de la gestin de continuidad del
negocio
Servicios de TI
14.1.3 Redaccin e implantacin de planes de
continuidad
10.5.1 Recuperacin de la informacin
DS4.9 Almacenamiento de Respaldos
Fuera de las Instalaciones
6.1.1 Compromiso de la Direccin con la Seguridad
DS5.1 Administracin de la Seguridad de
de la Informacin
TI
6.1.2 Coordinacin de la Seguridad de la
Informacin
37
DS5.4 Administracin de Cuentas del

Usuario
DS5.5 Pruebas, Vigilancia y Monitoreo de

la Seguridad
6.2.3 Tratamiento de la seguridad en contratos con

terceros.
8.2.2 Formacin y capacitacin en seguridad de la
informacin
5.1.1 Documento de poltica de seguridad de la
informacin
informacin
Informacin
informacin
11.7.2 Tele trabajo
5.1.1 Documento de poltica de seguridad de la
informacin
informacin
Informacin
informacin
11.7.2 Tele trabajo
6.2.1. Identificacin de los riesgos derivados del
acceso de terceros
6.2.2 Tratamiento de la seguridad en la relacin con
los clientes
8.1.1 Inclusin de la seguridad en las
responsabilidades laborales
8.3.1 Cese de responsabilidades
8.3.3 Cancelacin de permisos de acceso
10.1.3 Segregacin de tareas
11.2.2 Gestin de privilegios
11.2.4 Revisin de los derechos de acceso de los
usuarios
11.5.3 Sistema de gestin de contraseas
11.6.1 Restriccin de acceso a la informacin
6.1.8 Revisin Independiente de la Seguridad de la
Informacin
38
DS5.6 Definicin de Incidente de

Seguridad
DS5.7 Proteccin de la Tecnologa de

Seguridad
DS5.8 Administracin de Llaves

Criptogrficas
10.10.2 Supervisin del uso de los sistemas

10.10.4 Diarios de operacin del administrador y
operador
12.6.1 Control de las vulnerabilidades tcnicas.
13.1.2 Comunicacin de debilidades en seguridad
15.3.1 Controles de auditora de sistemas
8.2.3 Procedimiento disciplinario
13.1.1 Comunicacin de eventos en seguridad
13.2.1 Identificacin de responsabilidades y
procedimientos
6.1.4 Proceso de Autorizacin de Recursos para el
Tratamiento de la Informacin
9.1.6 reas aisladas de carga y descarga
9.2.1 Instalacin y proteccin de equipos
9.2.3 Seguridad del cableado
10.10.1 Registro de incidencias
10.10.4 Diarios de operacin del administrador y
operador
10.10.6 Sincronizacin del reloj
11.3.2 Equipo informtico de usuario desatendido
11.3.3 Polticas para escritorios y monitores sin
informacin
11.5.4 Uso de los servicios del sistema
11.5.5 Desconexin automtica de terminales
11.5.6 Limitacin del tiempo de conexin
11.7.2 Tele trabajo
12.4.1 Control del software en explotacin
12.6.1 Control de las vulnerabilidades tcnicas.
15.3.2 Proteccin de las herramientas de auditora
de sistemas
10.8.4 Mensajera electrnica
12.2.3 Autenticacin de mensajes
39
12.3.1 Poltica de uso de los controles criptogrficos

12.3.2 Cifrado
15.1.6 Reglamentacin de los controles de cifrados
DS5.9 Prevencin, Deteccin y Correccin 10.4.1 Medidas y controles contra software
malicioso
de Software Malicioso
10.4.2 Medidas y controles contra cdigo mvil
6.2.1 Identificacin de los riesgos derivados del
acceso de terceros
11.4.2 Autenticacin de usuario para conexiones
externas
6.2.1 Identificacin de los riesgos derivados del
DS5.11 Intercambio de Datos Sensitivos
acceso de terceros
11.4.2 Autenticacin de usuario para conexiones
externas
DS9.1 Repositorio y lnea base de
configuracin
12.4.1 Control del software de operaciones
DS9.2 Identificacin y mantenimiento de
elementos de la configuracin
7.1.2 Propiedad de los activos
11.4.3 Identificacin de equipos en redes
de software
15.1.5 Prevencin del uso indebido de instalaciones
de procesamiento de informacin
40

12.5.2 Revisin tcnica de las aplicaciones luego de
cambios en el sistema operativo
15.1.5 Prevencin del uso indebido de instalaciones
de procesamiento de informacin
13.2.2 Aprendiendo de los incidentes de seguridad
DS10.1 Identificacin y clasificacin de
de informacin
problemas
13.2.2 Aprendiendo de los incidentes de seguridad
DS10.2 Seguimiento y resolucin de
de Informacin
problemas
DS10.3 Cierre de problemas
DS10.4 Integracin de la gestin de
configuracin, incidentes y problemas
DS9.3 Revisin de integridad de la
configuracin
Tabla 3.7 (Comparacin Cobit 4.1 e ISO)
3.7. Alineamiento COBIT 4.1, COBIT 5.0, ITIL y ISO 27002
COBIT 4.1
PO9.1 Marco de
trabajo de gestin
de riesgos
PLANEAR Y ORGANIZAR
COBIT 5.0
ITIL v3
APO01.03Mantener SS 9.5 Riesgos
los elementos
catalizadores del
sistema de gestin
PO9.2
Establecimiento del
Contexto del
Riesgo
APO12.03
Mantener un perfil
de riesgo
SS 9.5 Riesgos
SD 4.5.5.2 Etapa 2
PO9.3
Identificacin de
Eventos
APO12.01
Recopilar datos
PO9.4 Evaluacin
de Riesgos de TI
APO12.02 Analizar
el riesgo
SS 9.5 Riesgos
SD 4.5.5.2 Etapa 2
ST 9 Desafos, factores
crticos de xito y riesgos
CSI 5.6.3 Gestin de
continuidad de servicios de
TI
SS 9.5 Riesgos
SD 4.5.5.2 Etapa 2
SD 8.1 Anlisis de impacto
en el negocio (sin detalle)
ST 4.6 Evaluacin
41
ISO 27002
14.1.1 Incluir la seguridad
de informacin en el
proceso de gestin de
continuidad del negocio
14.1.2 Continuidad del
negocio y evaluacin de
riesgos
14.1.1 Incluir la seguridad
de informacin en el
proceso de gestin de
riesgos
13.1.1 Reporte de eventos
de seguridad de
informacin
13.1.2 Reporte de
debilidades de seguridad
5.1.2 Revisin de la
poltica de seguridad de la
informacin
riesgos
PO9.5 Respuesta a
los Riesgos
APO12.06
Responder al riesgo
PO9.6
Mantenimiento y
Monitoreo de un
Plan de Accin de
Riesgos
APO12.04 Expresar
el riesgo
AI3.1 Plan de
adquisicin de
infraestructura
tecnolgica
AI3.2 Proteccin y
disponibilidad de la
infraestructura
AI3.3
Mantenimiento de
la infraestructura
AI3.4 Ambiente de
prueba de
factibilidad
AI6.1 Estndares y
Procedimientos
para Cambios
SS 9.5 Riesgos
SD 4.5.5.3 Etapa 3Implementacin
ST 4.6 Evaluacin
SS 9.5 Riesgos
SD 4.5.5.4 Etapa 4
Operacin continua
BAI03.04Obtener
SD 3.6.3 Diseo de la
los componentes de arquitectura tecnolgica
la solucin
BAI03.03
Desarrollar los
componentes de la
solucin
DSS02.03Verificar,
aprobar y resolver
peticiones de
servicio
BAI03.10Mantener
soluciones
SD 4.6.5.1 Controles de
seguridad
servidores

servidores
SO 5.7 Administracin de
bases de datos
SO 5.8 Gestin de servicios
de directorio
SO 5.9 Soporte de
estaciones de trabajo
SO 5.10 Gestin de
middleware
SO 5.11 Gestin
Internet/web
BAI03.07 Preparar
ST 4.4.5.1 Planificacin
pruebas de la
ST 4.4.5.2 Preparacin para
solucin
la construccin, pruebas y
BAI03.08Ejecutar
despliegue
pruebas de la
ST 4.4.5.3 Construccin y
solucin
pruebas
ST 4.5.5.7 Limpieza y cierre
de las pruebas
ST 4.5.7 Gestin de
informacin
BAI06.01 Evaluar,
SD 3.2 Diseo balanceado
priorizar y autorizar SD 3.7 Actividades
peticiones de
subsiguientes del diseo
cambio.
42
12.1.1 Anlisis y
especificacin de los
requisitos de seguridad
9.1.5 Trabajo en reas

seguras
9.2.4 Mantenimiento de
equipos
12.4.2 Proteccin de los
datos de prueba de
sistema
12.5.2 Revisin tcnica de
las aplicaciones luego de
cambios en el sistema
operativo
12.6.1 Control de
vulnerabilidades tcnicas
10.1.4 Separacin de los
entornos de desarrollo,
pruebas y produccin

12.5.3 Restricciones en
los cambios a los paquetes
de software
AI6.2 Evaluacin
de Impacto,
Priorizacin y
Autorizacin
BAI06.01 Evaluar,
priorizar y autorizar
peticiones de
cambio.
ST 3.2 Polticas para la

ST 3.2.1 Definir e
implementar una poltica
formal para la transicin del
servicio
ST 3.2.2 Implementar todos
los cambios a los servicios a
travs de la transicin del
servicio
ST 3.2.7 Establecer
controles y disciplinas
eficaces
ST 4.1 Planificacin y
soporte para la transicin
ST 4.1.4 Polticas,
principios y conceptos
bsicos
ST 4.2 Gestin de cambios
ST 4.2.6.1 Procedimiento de
cambio normal
ST 5 Actividades comunes
de operacin en la transicin
del servicio
ST 6 Organizacin para la
ST 6.3 Modelos
organizacionales para
apoyar la transicin de
servicios
ST 6.4 Relacin de la
transicin del servicio con
otras etapas del ciclo de vida
SO 4.6.1 Gestin de
cambios
(actividades operativas)
ST 4.2.6.2 Crear y registrar
la solicitud de cambio
ST 4.2.6.3 Revisar la
solicitud de cambio
ST 4.2.6.4 Valorar y evaluar
el cambio
ST 4.2.6.5 Autorizar el
cambio
ST 4.2.6.6 Coordinar la
implementacin del cambio
ST 4.2.6.8 Consejo
consultivo de cambios
ST 4.6 Evaluacin
SO 4.3.5.1 Seleccin por
men
43

12.5.1 Procedimientos de
control de cambios
de software
12.6.1 Control de
AI6.3 Cambios de
Emergencia
BAI06.02 Gestionar
cambios de
emergencia
AI6.4 Seguimiento
y Reporte del
Estado de los
Cambio
BAI06.03 Hacer
seguimiento e
informar de
cambios de estado
AI6.5 Cierre y
Documentacin del
Cambio
DS4.1 Marco de
Trabajo de
Continuidad de TI
SO 4.3.5.2 Aprobacin
financiera
SO 4.3.5.3 Otras
aprobaciones
ST 4.2.6.9 Cambios de
emergencia
ST 3.2.13 Asegurar la
calidad de un servicio nuevo
o modificado
ST 3.2.14 Mejora proactiva
de la calidad durante la
ST 4.1.5.3 Planificar y
coordinar la transicin del
servicio
ST 4.1.6 Brindar soporte al
proceso de transicin
BAI06.04 Cerrar y
ST 4.2.6.4 Valorar y evaluar
documentar los
el cambio
cambios
ST 4.2.6.7 Revisar y cerrar
el registro del cambio
la transicin del servicio
un despliegue
SO 4.3.5.5 Cierre
DSS04.01 Definir la SD 4.5 Gestin de
poltica de
continuidad de
TI
negocio, objetivos y SD 4.5.5.1 Etapa 1 Inicio
alcance
CSI 5.6.3 Gestin de
TI
44

11.5.4 Uso de utilitarios
del sistema
12.5.1 Procedimiento de
control de cambios
de software
12.6.1 Control de
6.1.6 Contacto con las

Autoridades
6.1.7 Contacto con
Grupos de Inters
Especial
14.1.1 Proceso de la
gestin de continuidad del
negocio
negocio y anlisis de
impactos
14.1.4 Marco de
planificacin para la
DS4.2 Planes de
Continuidad de TI
DSS04.03
Desarrollar e
implementar una
respuesta a la
continuidad del
negocio
SD 4.5.5.2 Etapa 2
SD 4.5.5.3 Etapa 3
Implementacin
SD Apndice K Contenido
tpico de un plan de
recuperacin
DS4.3 Recursos
Crticos de TI
DSS04.04 Ejercitar,
probar y revisar el
plan de continuidad
SD 4.4.5.2 Actividades
proactivas de la gestin de
la disponibilidad
SD 4.5.5.4 Etapa 4
Operacin continua
DS4.4
Mantenimiento del
Plan de
Continuidad de TI
DS4.5 Pruebas del
Plan de
Continuidad de TI
DSS04.02 Mantener
una estrategia de
continuidad
SD 4.5.5.4 Etapa 4
Operacin continua
DSS04.04 Ejercitar,
probar y revisar el
plan de continuidad
DS4.6
Entrenamiento del
Plan de
Continuidad de TI
DSS04.06 Revisar,
mantener y mejorar
el plan de
continuidad
DS4.7 Distribucin
del Plan de
Continuidad de TI
DSS04.03
Desarrollar e
implementar una
respuesta a la
continuidad del
negocio
DSS04.03
Desarrollar e
implementar una
respuesta a la
continuidad del
negocio
SD 4.5.5.3 Etapa 3
Implementacin
SD 4.5.5.4 Etapa 4
Operacin continua
SD 4.5.5.3 Etapa 3
Implementacin
SD 4.5.5.4 Etapa 4
Operacin continua
SD 4.5.5.3 Etapa 3
Implementacin
SD 4.5.5.4 Etapa 4
Operacin continua
DS4.8
Recuperacin y
Reanudacin de los
Servicios de TI
DS4.9
Almacenamiento
de Respaldos Fuera
de las Instalaciones
DS4.10 Revisin
Post Reanudacin
DS5.1
Administracin de
la Seguridad de TI
SD 4.4.5.2 Actividades
proactivas de la gestin de
la disponibilidad
SD 4.5.5.4 Etapa 4
Operacin continua
SD 4.5.5.2 Etapa 2
SO 5.2.3 Respaldo y
restauracin
DSS04.08 Ejecutar
SD 4.5.5.3 Etapa 3
revisiones post
Implementacin
reanudacin
SD 4.5.5.4 Etapa 4
Operacin continua
APO13.01
SD 4.6 Gestin de seguridad
Establecer y
de la informacin
mantener un SGSI
DSS04.07 Gestionar
acuerdos de
respaldo
45
6.1.6 Contacto con las

Autoridades
6.1.7 Contacto con
Grupos de Inters
Especial
14.1.3 Redaccin e
implantacin de planes de
continuidad
negocio
negocio y anlisis de
impactos
14.1.5 Prueba,
mantenimiento y
reevaluacin de planes de
continuidad
14.1.5 Prueba,
mantenimiento y
continuidad
14.1.5 Prueba,
mantenimiento y
continuidad
14.1.5 Prueba,
mantenimiento y
continuidad
negocio
14.1.3 Redaccin e
implantacin de planes de
continuidad
10.5.1 Recuperacin de la
informacin
14.1.5 Prueba,
mantenimiento y
continuidad
6.1.1 Compromiso de la
Direccin con la
Seguridad de la
Informacin
SO 5.13 Gestin de
seguridad de la informacin
DS5.2 Plan de
Seguridad de TI
APO13.02 Definir y
gestionar un plan de
tratamiento del
riesgo de la
seguridad de la
informacin
SD 4.6.4 Polticas,
principios y conceptos
bsicos
seguridad (cobertura a alto
nivel, sin detalle)
DS5.3
Administracin de
Identidad
DSS05.04 Gestionar
la identidad del
usuario y el acceso
lgico
DS5.4
Administracin de
Cuentas del
Usuario
DSS05.04 Gestionar
la identidad del
usuario y el acceso
lgico

SO 4.5.5.1 Peticiones de
acceso
SO 4.5.5.2 Verificacin
SO 4.5.5.3 Habilitar
privilegios
46
6.1.2 Coordinacin de la
Seguridad de la
Informacin
6.2.3 Tratamiento de la
seguridad en contratos con
terceros.
8.2.2 Formacin y
capacitacin en seguridad
de la informacin
5.1.1 Documento de
informacin
5.1.2 Revisin de la
informacin
Seguridad de la
Informacin
6.1.5 Acuerdos de
Confidencialidad
8.2.2 Formacin y
de la informacin
11.1.1 Poltica de control
de accesos
11.7.2 Tele trabajo
5.1.1 Documento de
informacin
5.1.2 Revisin de la
informacin
Seguridad de la
Informacin
6.1.5 Acuerdos de
Confidencialidad
8.2.2 Formacin y
de la informacin
de accesos
11.7.2 Tele trabajo
6.1.5 Acuerdos de
Confidencialidad
6.2.1. Identificacin de los
riesgos derivados del
acceso de terceros
SO 4.5.5.4 Monitorear el
estado de la identidad
SO 4.5.5.5 Registro y
seguimiento de accesos
SO 4.5.5.6 Eliminar o
restringir privilegios
DS5.5 Pruebas,
Vigilancia y
Monitoreo de la
Seguridad
DSS05.07
Supervisar la
infraestructura para
detectar eventos
relacionados con la
seguridad.
SO 4.5.5.6 Eliminar o
restringir privilegios
SO 5.13 Gestin de
seguridad de la informacin
DS5.6 Definicin
de Incidente de
Seguridad
DSS02.01 Definir
esquemas de
clasificacin de
incidentes y
seguridad (cobertura de alto
nivel, sin detalle)
47
6.2.2 Tratamiento de la
seguridad en la relacin
con los clientes
8.1.1 Inclusin de la
seguridad en las
responsabilidades
laborales
8.3.1 Cese de
responsabilidades
8.3.3 Cancelacin de
permisos de acceso
10.1.3 Segregacin de
tareas
de accesos
11.2.2 Gestin de
privilegios
11.2.4 Revisin de los
derechos de acceso de los
usuarios
conexin de terminales
11.5.3 Sistema de gestin
de contraseas
11.6.1 Restriccin de
acceso a la informacin
6.1.8 Revisin
Independiente de la
Seguridad de la
Informacin
10.10.2 Supervisin del
uso de los sistemas
registros de incidencias
10.10.4 Diarios de
operacin del
administrador y operador
12.6.1 Control de las
vulnerabilidades tcnicas.
13.1.2 Comunicacin de
debilidades en seguridad
15.2.2 Comprobacin de
la conformidad tcnica
15.3.1 Controles de
auditora de sistemas
8.2.3 Procedimiento
disciplinario
eventos en seguridad
DS5.7 Proteccin
de la Tecnologa de
Seguridad
peticiones de
servicio
SD 4.6.5.2 Gestin de
brechas de seguridad e
incidentes
DSS05.05 Gestionar
el acceso fsico a los
activos de TI

servidores
48
13.2.1 Identificacin de
responsabilidades y
procedimientos
13.2.3 Recogida de
pruebas
6.1.4 Proceso de
Autorizacin de Recursos
para el Tratamiento de la
Informacin
9.1.6 reas aisladas de
carga y descarga
9.2.1 Instalacin y
proteccin de equipos
9.2.3 Seguridad del
cableado
10.6.2 Seguridad en los
servicios de red
10.7.4 Seguridad de la
documentacin de
sistemas
10.10.1 Registro de
incidencias
registros de incidencias
10.10.4 Diarios de
operacin del
administrador y operador
10.10.6 Sincronizacin
del reloj
11.3.2 Equipo informtico
de usuario desatendido
11.3.3 Polticas para
escritorios y monitores sin
informacin
11.4.3 Autenticacin de
nodos de la red
11.4.4 Proteccin a
puertos de diagnstico
remoto
conexin de terminales
11.5.4 Uso de los
servicios del sistema
11.5.5 Desconexin
automtica de terminales
11.5.6 Limitacin del
tiempo de conexin
11.6.2 Aislamiento de
sistemas sensibles
DS5.8
Administracin de
Llaves
Criptogrficas
DSS05.03 Gestionar
la seguridad de los
puestos de usuario
final
DS5.9 Prevencin,
Deteccin y
Correccin de
Software Malicioso
DSS05.01 Proteger
contra software
malicioso
(malware)
DS5.10 Seguridad
de la Red
DSS05.02 Gestionar
la seguridad de la
red y las conexiones
49

11.7.2 Tele trabajo
12.4.1 Control del
software en explotacin
12.6.1 Control de las
vulnerabilidades tcnicas.
13.2.3 Recogida de
pruebas
15.2.2 Comprobacin de
la conformidad tcnica
15.3.2 Proteccin de las
herramientas de auditora
de sistemas
10.8.4 Mensajera
electrnica
mensajes
12.3.1 Poltica de uso de
los controles
criptogrficos
12.3.2 Cifrado
15.1.6 Reglamentacin de
los controles de cifrados
10.4.1 Medidas y
controles contra software
malicioso
10.4.2 Medidas y
controles contra cdigo
mvil
6.2.1 Identificacin de los
acceso de terceros
servicios de red
los servicios de red
usuario para conexiones
externas
nodos de la red
11.4.4 Proteccin a
remoto
11.4.5 Segregacin en las
redes
11.4.6 Control de
conexin a las redes
DS5.11
Intercambio de
Datos Sensitivos
DS9.1 Repositorio
y lnea base
de configuracin
DS9.2
Identificacin y
11.4.7 Control de
encaminamiento en la red
sistemas sensibles
6.2.1 Identificacin de los
acceso de terceros
servicios de red
los servicios de red
usuario para conexiones
externas
nodos de la red
11.4.4 Proteccin a
remoto
11.4.5 Segregacin en las
redes
11.4.6 Control de
conexin a las redes
11.4.7 Control de
encaminamiento en la red
sistemas sensibles
DSS05.02 Gestionar
la seguridad de la
red y las conexiones

BAI10.01Establecer SS 8.2 Interfaces del
y mantener un
servicio
modelo de
ST 4.1.5.2 Preparacin para
configuracin
BAI10.02
ST 4.3.5.2 Gestin y
Establecer y
planificacin
mantener un
repositorio de
configuracin y una
base de referencia
BAI10.04 Generar
informes de estado
y configuracin
DSS02.01Definir
esquemas de
clasificacin de
incidentes y
peticiones de
servicio
BAI10.03 Mantener ST 4.1.5.2 Preparacin para
y controlar los
elementos de
ST 4.3.5.3 Identificacin de
configuracin
la configuracin
50
7.2.2 Etiquetado y manejo

de la
informacin
12.4.1 Control del
software de
operaciones
datos de prueba de
sistema

7.1.2 Propiedad de los
activos
mantenimiento de
elementos de la
configuracin
DS9.3 Revisin de
integridad de la
configuracin
DS10.1
Identificacin y
clasificacin de
problemas
DS10.2
Seguimiento y
resolucin de
problemas
ST 4.3.5.4 Control de la
configuracin
ST 4.3.5.5 Contabilizacin y
registro de estados
BAI10.04 Generar
informes de estado
y configuracin
BAI10.05Verificar
y revisar la
integridad del
repositorio de
configuracin
DSS02.05 Resolver
y recuperarse de
incidentes
ST 4.3.5.6 Auditora y
verificacin
servidores
SO 7 Consideraciones de
tecnologa (especialmente
para licenciamiento,
mencionado en SO 7.1.4)

DSS03.01
SO 4.4.5.1 Deteccin de
Identificar y
problemas
clasificar problemas SO 4.4.5.3 Clasificacin de
DSS03.02Investigar
y diagnosticar
problemas
problemas
SO 4.4.5.4 Priorizacin de
problemas
SO Apndice C Kepner y
Tregoe
SO Apndice D Diagramas
de Ishikawa
SO 4.4.5.2 Log de
problemas
SO 4.4.5.5 Investigacin y
diagnstico de problemas
SO 4.4.5.6 Soluciones
provisionales
SO 4.4.5.7 Registro de
errores conocidos
SO 4.4.5.8 Resolucin de
51
7.2.2 Etiquetado y manejo

de la informacin
documentacin de
sistemas
11.4.3 Identificacin de
equipos en redes
datos de prueba de
sistema
de software
12.6.1 Control de
15.1.5 Prevencin del uso
indebido de instalaciones
de procesamiento de
informacin
documentacin de
sistemas
12.5.2 Revisin tcnica de
las aplicaciones luego de
cambios en el sistema
operativo
15.1.5 Prevencin del uso
indebido de instalaciones
de procesamiento de
informacin
13.2.2 Aprendiendo de los
incidentes de seguridad de
informacin
13.2.2 Aprendiendo de los

incidentes de seguridad de
informacin
DS10.3 Cierre de
problemas
DSS03.03Levantar
errores conocidos
DSS03.04Resolver
y cerrar problemas
DS10.4 Integracin
de la gestin de
configuracin,
incidentes y
problemas
DSS03.05 Realizar
una gestin de
problemas proactiva
problemas
SO 4.4.5.9 Cierre de
problemas
SO 4.4.5.10 Revisin de
problemas mayores
Tabla 3.8 (Alineamiento entre procesos)
52
CAPTULO 4
4. GUIAS DE LOS PROCESOS

El uso de las metodologas expuestas en esta tesis ayudo para que las guas puedan
complementarse, cada una tiene su base terica, su debido proceso y control enmarcado
dentro las metodologas analizadas.
Estas guas estn conformadas por entradas, salidas y un diagrama de flujo, cada una de
ellas fueron analizadas y seleccionadas de las diferentes metodologas, no necesariamente
de una sola metodologa se deben centrar, puede que sean una mezcla de las
metodologas, esta eleccin nos permite en las guas darnos una idea o referencia de cmo
se debe plantear las preguntas en el captulo siguientes.
La Guas son las que permitirn al final emitir los debidos informes que incluir
observaciones, conclusiones, correctivos y mejoras que se debe aplicar.
53
4.1. Gestionar el Riesgo
Tabla 4.1 (Gua Gestionar el Riesgo)
54
4.2. Gestionar la Identificacin y la Construccin de Soluciones
Tabla 4.2 (Gua Gestionar Soluciones)
55
4.3. Gestionar los Cambios
Tabla 4.3 (Gestionar los Cambios)
56
4.4. Gestionar la Continuidad
Tabla 4.4 (Gestionar la Continuidad)
57
4.5. Gestionar los Servicios de Seguridad
Tabla 4.5 (Gestionar los Servicios de Seguridad)
58
4.6. Gestionar la Configuracin
Tabla 4.6 (Gestionar la Configuracin)
59
4.7. Gestionar los Problemas
Tabla 4.7 (Gestionar los Problemas)
60
CAPTULO 5
5. DETALLE DE CONTROL
En el actual captulo se desarrollaran las preguntas de control para ejecutar la auditoria
de los dispositivos de defensa en este caso el principal componentes seria el Firewall,
cada una de las preguntas estn ligadas con las entradas, las salidas y los diagramas de
flujo en cada uno de los 7 procesos analizados en el captulo 4, la casilla de Detalle de
Proceso contiene las estructuras de los procesos de salida, aclarando que no
necesariamente las estructuras de los documentos son estndares, cada estructura de
salida en la presente tesis fue analizada y estudiada de forma general, cada gua tiene
casillas de verificacin del procedimiento, esta verificacin puede ser Parcial, Total o No
cumple, en la casilla de Pruebas de la gua se detalla las evidencias que sean presentadas
como respaldo de los procedimientos auditados, la casilla de Observaciones permite
detallar todos los sucesos encontrados.
Cada pregunta fueron analizadas detenidamente y que tengan un sustento justificado para
los detalles de control con su debido proceso, estas preguntas tienen que tener relacin
con las guas del captulo anterior, caso contrario estaran mal planteadas las entradas,
salidas y el diagrama.
61
Preguntas de Control
Documento de anlisis de riesgos?
Qu estrategias adopta frente al riesgo?
Cmo clasifica los riesgos?
Qu parmetros usa para evaluar el impacto del riesgo?
Realiza reportes de los riesgos?

Posee una base de conocimiento de riesgo?
GESTIONAR EL RIESGO
Detalle de Control
Estimulacin de frecuencia e
impacto
Desarrollo del escenario del
riesgo
Identificacin de actores, tipo de
amenaza, acciones, recursos y
tiempo
Indicadores de riesgo
Definicin y priorizacin de
riesgos
Documento de estrategia de
riesgo y clasificacin de riesgo
Tolerancia de riesgos
Respuesta al riesgo
Evitar Riesgos
Reduccin de riesgos/mitigacin
Riesgos
compartidos/transferencia
Aceptacin de riesgo
Seleccin y priorizacin de
respuesta al riesgo
Plan de accin y plan de
contingencia
Riesgos genricos
Riesgos de tamao de
plantilla de personal y
su experiencia
Riesgos del negocio
Riesgos de la relacin
con el cliente
Riesgos especficos
Riesgo de tamao
Riesgo tecnolgico
Riesgo del proceso
Anlisis de impacto al negocio
Costo/beneficio
Tiempo
Incluye tipo de riesgo,
clasificacin, solucin y costo
Soluciones
62
Total
Parcial
No cumple
Pruebas
Observacin
ELABORADO POR:
FECHA
FIRMA:
SUPERVISADO POR:
FIRMA:
FECHA
NOMBRE DEL
ENTREVISTADO:
FIRMA Y SELLO
Tabla 5.1 (Evaluacin de Gestionar el Riesgo)
63
FECHA
Desarrollo de soluciones tecnolgicas de TIC?
Plan de pruebas?
Procedimiento de pruebas?
ELABORADO POR:
FIRMA:
GESTIONAR LA IDENTIFICACIN Y LA CONSTRUCCIN DE SOLUCIONES

Detalle de Control
Total
Parcial
Documento de visin de la
solucin tecnolgica de TIC
Documento de especificacin de
requerimientos de soluciones
tecnolgicas
Diagrama conceptual de la
solucin tecnolgica
Documento de registro de
validacin de requerimientos
Arquitectura tecnolgica de la
solucin
Reporte de evaluacin de
alternativas de solucin
Documento de registro de
pruebas unitarias
Reporte de revisiones y cambios
Pruebas unitarias
Pruebas de integracin
Pruebas del sistema
Pruebas de implantacin
Pruebas de aceptacin
Fase de integracin
Fase de pruebas de verificacin
de la generacin
Fase de pruebas funcionales
Fase de pruebas de
administracin
Fase de prueba de escritura
tcnica
Fase de pruebas de seguridad
FECHA
SUPERVISADO POR:
FIRMA:
64
No cumple
Pruebas
Observacin
FECHA
FECHA
NOMBRE DEL
ENTREVISTADO:
FIRMA Y SELLO
Tabla 5.2(Evaluacin de Gestionar Soluciones)
65
Documento de RFC?
Existe un plan de gestin de cambios?
Tipos de Cambios?
Acciones de cambio aprobada?
Documento de cambios hechos?
Documento de cierre de cambios?
ELABORADO POR:
FIRMA:
GESTIONAR LOS CAMBIOS

Detalle de Control
Total
Solicitud de cambio aprobados o
rechazadas
Requerimientos
Aprobacin preliminar
Aprobacin final
Fecha de entrega de cambios
Tipos de cambio
Solicitud de cambio
Verificar solicitud de cambio
Evaluar impactos
Toma decisin y re planificar
Implantar el cambio
Concluir con el proceso
Accin correctiva
Accin preventiva
Insercin al cambio
Documento formal
Firma de autorizacin del
departamento de tecnologa
Documento de cambios
aprobados por los interesados
Firma de aprobacin por las
partes interesadas
Firma de aprobacin de cambios
FECHA
SUPERVISADO POR:
FIRMA:
66
Parcial
No cumple
Pruebas
Observacin
FECHA
FECHA
NOMBRE DEL
ENTREVISTADO:
FIRMA Y SELLO
Tabla 5.3 (Evaluacin de Gestionar los Cambios)
67
Informe de revisin post-reanudacin?
Polticas de ITSCM revisadas?
Qu es el Anlisis de riesgos?
Planes de recuperacin ante desastres, pruebas y gestin de crisis?
Gestin de continuidad del negocio?
ELABORADO POR:
GESTIONAR LA CONTINUIDAD
Detalle de Control
Total
Determinar la gerencia de IT
Procedimientos valorados en el
plan
Actualizar el plan en
consecuencia
Establecer el alcance
Asignar los recursos
Establecer las bases para la
organizacin del proceso
Identificacin del peligro
Evaluacin del riesgo
Gestin del riesgo
Comunicacin del riesgo
La puesta en marcha de los
planes preestablecidos.
La supervisin de los mismos.
La coordinacin con la Gestin
de Continuidad del Negocio.
La asignacin de recursos
necesarios.
Proceso de la gestin de
continuidad del negocio.
Continuidad del negocio y
anlisis de impactos.
Redaccin e implantacin de
planes de continuidad.
Marco de planificacin para la
continuidad del negocio.
Prueba, mantenimiento y
continuidad.
FECHA
SUPERVISADO POR:
68
Parcial
No cumple
Pruebas
Observacin
FECHA
FIRMA:
FIRMA:
FECHA
NOMBRE DEL
ENTREVISTADO:
FIRMA Y SELLO
Tabla 5.4 (Evaluacin de Gestionar la Continuidad)
69
Asigna roles y responsabilidades?
Qu procedimientos usa para la notificacin de incidentes?
Posee un documento de incidentes?

Posee respaldo de la informacin?
Qu procedimientos usa para auditar a los dispositivos de defensa en
la red?
Poltica de gestin de seguridad de la informacin?

Poltica de Control de Accesos?
Poltica de uso de los controles criptogrficos?
GESTIONAR LOS SERVICIOS DE SEGURIDAD

Detalle de Control
Total
Documento de recursos
Documento de roles y
responsabilidades
Guas de incidentes
Distribucin de documento de
incidentes
Documentos de respaldo
Documento de incidentes
Documento de control
Fecha de respaldo
Fecha de implementacin de
seguridad
Personal responsable (Roles y
responsabilidades)
Tipo de control aplicado
Documento de seguimiento del
control
Documento de la poltica
Revisin de la poltica
Identificar los requerimientos de
seguridad
Establecer criterios entre esta
Poltica y la Poltica de
Clasificacin de Informacin
Identificar la legislacin aplicable
y las obligaciones contractuales
con respecto a la proteccin del
acceso a datos y servicios.
Definir los perfiles de acceso de
usuarios estndar
Administrar los derechos de
acceso en un ambiente
distribuido y de red
Utilizarn controles
criptogrficos
Desarrollar procedimientos de la
administracin de claves
Asignacin de funciones en el
rea informtica
70
Parcial
No cumple
Pruebas
Observacin
Utilizar algoritmos de cifrado y

tamaos de clave
ELABORADO POR:
FECHA
FIRMA:
SUPERVISADO POR:
FIRMA:
FECHA
NOMBRE DEL
ENTREVISTADO:
FIRMA Y SELLO
Tabla 5.5 (Evaluacin de Gestionar los Servicios de Seguridad)
71
FECHA
Informes de estado de configuracin?
Qu es la administracin de configuraciones?
GESTIONAR LA CONFIGURACIN
Detalle de Control
Total
Plan de seguridad y actualizacin
Informes y auditoria
Planificacin de configuraciones
Identificacin de configuraciones
Control de las configuraciones
Registro y creacin de informes
sobre el estado de las
configuraciones
Verificacin y auditora de las
configuraciones
Parcial
No cumple
Pruebas
Observacin
Documento de modelo de configuracin?
Qu debe incluir en un repositorio?
ELABORADO POR:
Servicios
Activos
Infraestructura
Hardware
Parmetros
Documentos
Procedimientos
Herramientas para el
funcionamiento
Servicios
Numero de versiones
Detalle de la licencia
FECHA
FIRMA:
SUPERVISADO POR:
FIRMA:
FECHA
NOMBRE DEL
ENTREVISTADO:
FIRMA Y SELLO
72
FECHA
Tabla 5.6 (Evaluacin de Gestionar la Configuracin)
Documento de registro y clasificacin de problemas?
Procesos con que integra la gestin de incidentes?
Base de incidentes?
Cierre de problemas?
Documento de control de incidentes?
Acciones y comunicaciones de respuesta a incidentes?
GESTIONAR LOS PROBLEMAS

Detalle de Control
Total
Firma de aprobacin del
documento RFC
Escalamiento de problemas
Priorizacin de problemas
Identificacin de problemas
Solucin de problemas
Gestin de la seguridad
Gestin de tcnicas
Catlogos de servicios
Gestin de la peticiones
Tipo de problemas
Solucin de problemas
Confirmacin de solucin de
problemas
Incorporacin a la base de
problemas
Cierre de problemas
Monitoreo del servicio
Optimizacin de recursos
Identificacin de errores y
control de errores
Documento de informes
estadsticos
Realizar una evaluacin inicial.
Comunicar el incidente.
Contener el dao y minimizar el
riesgo.
Identificar el tipo y la gravedad
del ataque.
Proteger las pruebas.
Notificar a los organismos
externos, si corresponde.
73
Parcial
No cumple
Pruebas
Observacin
Soporte de incidentes?
Resolucin de Incidentes?
ELABORADO POR:
Recuperar los sistemas.

Compilar y organizar la
documentacin del incidente.
Valorar los daos y costos del
incidente.
Revisar las directivas de
respuesta y actualizacin.
Reporte de un incidente a ser
atendido
Registro y documentacin del
incidente reportado
Preparacin de la solucin del
incidente
Confirma con los usuarios la
solucin satisfactoria del mismo.
Incorpora el proceso de
resolucin a la base de
conocimiento.
Reclasifica el incidente si fuera
necesario.
Actualiza la informacin en la
CMDB sobre los elementos de
configuracin implicados en el
incidente.
Cierra el incidente.
FECHA
FIRMA:
SUPERVISADO POR:
FIRMA:
FECHA
NOMBRE DEL
ENTREVISTADO:
FIRMA Y SELLO
Tabla 5.7 (Evaluacin de Gestionar los Problemas)
74
FECHA
75
CAPTULO 6
6. NIVEL DE MADUREZ
Introduccin PAM
ISACA presenta el nuevo modelo de evaluacin de procesos de COBIT es un modelo
bidimensional de la capacidad del proceso. En una dimensin, la dimensin de proceso,
los procesos se definen y se clasifica en categoras de procesos. En la otra dimensin, la
dimensin de la capacidad, un conjunto de atributos de proceso se agrupan en niveles de
capacidad se define. Los atributos de proceso proporcionan las caractersticas medibles
de la capacidad del proceso. El modelo de evaluacin de proceso cumple con la norma
ISO / IEC 15504-2.
Caractersticas
Establece un marco y requisitos para cualquier proceso de evaluacin de procesos.
Proporciona requisitos para cualquier modelo de evaluacin de organizaciones.
Proporciona guas para la definicin de las competencias de un evaluador de

procesos.
Componentes del PAM

En el modelo de capacidad de procesos de COBIT 5, existen seis niveles de capacidad
que puede alcanzar un proceso:
(0) Proceso Incompleto: Proceso no implementado o no alcanza.
(1) Proceso Ejecutado: Proceso implementado alcanza su propsito.
(2) Proceso Gestionado: Proceso implementado de forma gestionada.
(3) Proceso Establecido: Proceso gestionado y alcanza sus resultados.
76
(4) Proceso Predecible: Proceso establecido y ejecutado dentro de lmites definidos

para alcanzar sus resultados.
(5) Proceso Optimizado: Proceso predecible y mejorado de forma contina para
cumplir con las metas empresariales presentes y futuras.
Uso de escalas y ratios de la ISO/IEC 15504. Esta escala consiste en los siguientes ratios:
N (No alcanzado): Poca o ninguna evidencia de que se alcanza el atributo (o al 15 por
ciento)
P (Parcialmente alcanzado): Alguna evidencia de aproximacin y algn logro del
atributo. Algunos aspectos del logro del atributo pueden ser impredecibles. (15 a 30 por
ciento)
L (En gran parte Alcanzado): Evidencias de un enfoque sistemtico y de un logro
significativo del atributo. Pueden encontrarse algunas debilidades. (50 a 85 por ciento)
F (Completamente alcanzado): Evidencia de un completo y sistemtico enfoque y un
logro completo del atributo. No existen debilidades significativas. (85 a 100 por ciento)
Fases de la autoevaluacin
I.
Decidir qu proceso se evaluara
II.
Determinar capacidad en nivel 1
III.
Determinar capacidad en niveles 2-5
IV.
Registrar y consolidar niveles de capacidad
V.
6.1.
Plan de mejora del proceso
Evaluacin del proceso de Gestionar el Riesgo

77
Proceso de Autoevaluacin
Nombre del Proceso
Nivel 0
Nivel 1
PA 1.1
L
APO12
Puntuacin de los Criterios
Nivel de Capacidad
Alcanzado
Nivel 2
PA
PA
2.1
2.2
L
L
Nivel 3
PA
PA
3.1
3.2
F
L
Nivel 4
PA
PA
4.1
4.2
F
L
Nivel 5
PA
PA
5.1
5.2
F
P
Tabla 6.1 (Autoevaluacin del Riesgo)
No
Alcanzado
(0-15%)
Parcialmente
Alcanzado
(15-50%)
En gran parte Completamente

Alcanzado
Alcanzado
(50-85%)
(85-100%)
L

Proceso: APO012 Gestionar el Riesgo
Descripcin: Continuamente identificar, evaluar y reducir los riesgos relacionados con
la TI dentro de los niveles de tolerancia establecidos por la direccin ejecutiva de la
empresa.
Propsito: Integrar la gestin de riesgos de la empresa relacionadas con la TI sobre todo
de ERM,
y el
balance
de los
costos
y beneficios
de la
gestin de
Riesgos empresariales relacionados con la TI.

Practicas Bsicas (PBs)
Numero
Descripcin
APO12-BP1
Recopilar datos.
Identificar y recopilar los datos relevantes
que permitan la identificacin efectiva
relacionada con el riesgo, anlisis y
presentacin de informes.
APO12-BP2
Analizar los riesgos.

Desarrollar informacin til para apoyar
78
las decisiones de riesgo que tengan en

cuenta la relevancia empresarial de
factores de riesgo.
APO12-BP3
Mantener un perfil de riesgo.

Mantener un inventario de los riesgos
conocidos y atributos de riesgo
(incluyendo frecuencia esperada, el
impacto potencial y las respuestas) y de
los recursos relacionados, las capacidades
y las actividades de control actuales.
APO12-BP4
Riesgo Articular.
Proporcionar informacin sobre el estado
actual de las exposiciones relacionadas
con la informtica y oportunidades en el
momento correcto a todos los
involucrados necesarios para una
respuesta adecuada
APO12-BP5
Definir un portafolio de acciones de

gestin de riesgos.
Gestione oportunidades para reducir el
riesgo a un nivel aceptable como un
portafolio
APO12-BP6
Responder a los riesgos.

Responder de manera oportuna con
medidas eficaces para limitar la magnitud
de la prdida de los acontecimientos
relacionados con la TI.
Tabla 6.2 (Practicas Bsicas del Riesgo)
79
Atributos del proceso:

Gestionar el Riesgo
APO12
Propsito
Evaluar si se han
alcanzado los siguientes
resultados.
El proceso no se lleva a
Nivel 0
cabo, o no lograr su
Incompleto
propsito proceso.
Nivel 1
PA 1.1 El proceso
Realizado implementado logra su
propsito proceso.
Integrar la gestin de riesgos de la empresa relacionadas con la TI sobre todo de ERM, y el balance de los costos y beneficios de la
gestin de Riesgos empresariales relacionados con la TI.
Criterios
Criterios
que se
cumplan
S/N
Comentario
No tiene la implementacin
correcta
En este nivel, hay poca o ninguna

evidencia de cualquier logro del
propsito del proceso.
Los siguientes resultados del proceso se
estn logrando:
Parcialme
nte
Alcanzado
(15% 50%)
En gran
parte
Alcanzad
o (50% 85%)
Completam
ente
Alcanzado
(85-100%)
Evaluacin general del proceso
APO12-O1 riesgos relacionados con TI se

identifica, analiza, gestiona y report.
Mediante anlisis de riesgo
APO12-O2 Existe un perfil actual y

completa del riesgo.
Mediante reportes de los

riesgos
Mediante impacto del riesgo
APO12-O3 Todas las acciones

significativas de gestin de riesgos se
gestionan y bajo control.
APO12-O4 Las acciones de gestin de
riesgos se apliquen efectivamente.
PA 2.1 Gestin de
Rendimiento - Una
medida en el grado en
Nivel 2
que se gestiona el
Gestionado
rendimiento del proceso.
No
Alcanzad
o
(0-15%)
Como resultado de la completa

consecucin de este atributo:
a) Se identifican objetivos para el

desempeo del proceso.
b) Se organiz y se control el
Mediante conocimiento de
riesgo
80
L
P
c)
Rendimiento del proceso se
ajusta para satisfacer planes.
d) Las responsabilidades y
autoridades para llevar a cabo el proceso
estn definidos, asignados y
comunicados.
e) Los recursos y la informacin
necesaria para llevar a cabo el proceso
son identificados, puestos a disposicin,
asignados y utilizados.
f)
Interfaces entre las partes
involucradas se gestionan para garantizar
tanto la comunicacin efectiva y clara
asignacin de responsabilidades.
PA 2.2 Administracin del
Producto de Trabajo - Una
que los productos de
trabajo producidos por el
proceso se gestionan
adecuadamente. Los
productos de trabajo (o
salidas del proceso) se
definen y controlan.
PA 3.1 Definicin del

Nivel 3
Establecido proceso - Una medida en
riesgo
Mediante estrategias frente al

riesgo

a)
Requisitos para los productos de
trabajo del proceso estn definidos.

riesgo
b)
Requisitos para la
documentacin y el control de los
productos de trabajo estn definidos.

riesgo
c)
Los productos de trabajo estn
debidamente identificados,
documentados y controlados.
d)
Los productos de trabajo se
revisarn de acuerdo con los planes
previstos, y se ajustan si es necesario
para cumplir con los requisitos.

81
el grado en que se
mantiene un proceso
estndar para apoyar el
despliegue del proceso
definido.
a)
Un proceso estndar, incluyendo
las guas de adaptacin adecuadas, se
define que describe los elementos
fundamentales que deben ser
incorporados en un proceso definido.
b)
La secuencia y la interaccin del
proceso estndar con otros procesos se
determina.

riesgo
c)
Competencias y roles
necesarios para llevar a cabo un proceso
se identifican como parte del proceso
estndar.
d)
Infraestructura necesaria y el
medio ambiente de trabajo para realizar
un proceso se identifican como parte del
proceso estndar.
e)
Los mtodos adecuados para el
seguimiento de la eficacia y adecuacin
del proceso se determinan.
PA 3.2 Implementacin de
procesos - Una medida en
el grado en que el proceso
estndar se despliega con
eficacia como un proceso
definido para alcanzar sus
resultados del proceso.

a)
Un proceso definido se
implementa sobre la base de un proceso
estndar seleccionado apropiadamente y
/ o adaptado.
b)
Roles necesarios,
responsabilidades y autoridades para
llevar a cabo el proceso definido se
asignan y se comunican.
c)
El personal que realiza el
proceso definido son competentes sobre
la base de una educacin adecuada,
capacitacin y experiencia.
82

riesgo

riesgo
d)
Recursos necesarios y la
informacin necesaria para realizar el
proceso definido se hacen disponibles,
e)
medio ambiente de trabajo para llevar a
cabo el proceso definido se ponen a
disposicin, archivarse y conservarse.
f)
Los datos apropiados se recogen
y se analizan como una base para
entender el comportamiento, y para
demostrar la idoneidad y la eficacia del
proceso, y para evaluar donde la mejora
continua del proceso se puede hacer.
Nivel 4
Predecible
PA 4.1 Proceso de medida

- Una medida en el grado
en que se utilizan los
resultados de las
mediciones para asegurar
que el rendimiento del
proceso es compatible
con el logro de los
objetivos de rendimiento
de los procesos
pertinentes en apoyo de
los objetivos de negocio
definidos.

a)
Establecer las necesidades de los
procesos de informacin en apoyo de los
objetivos de negocio correspondientes.

riesgo
b)
Objetivos de medicin de
procesos se derivan de las necesidades
de informacin de proceso.

riesgo

riesgo
c)
Se establecen objetivos
cuantitativos para el desempeo del
proceso en apoyo de los objetivos de
negocio relevantes.
d)
Las reglas y frecuencia de las
mediciones se identifican y se definen de
acuerdo con los objetivos de medicin de
procesos y objetivos cuantitativos para el
83
e)
Los resultados de la medicin se
recogen, se analizaron e informaron a fin
de vigilar el grado en que se cumplen los
objetivos cuantitativos de desempeo
del proceso.
f)
Los resultados de medicin se
utilizan para caracterizar el desempeo
del proceso.
PA 4.2 Control de
Procesos - Una medida en
a) Tcnicas de anlisis y de control
es gestionado
se determinan y aplican en su
cuantitativamente para
caso.
producir un proceso que
b)
Los lmites de control de la
es estable, capaz y
variacin se establecen para la ejecucin
predecible dentro de
normal del proceso.
lmites definidos.
c)
Los datos de medicin se
analizan las causas especiales de
variacin.
d) Se toman las acciones correctivas
para hacer frente a las causas especiales
de variacin.
Mediante reporte de los

riesgos

riesgos
e) Los lmites de control se

restablecen (cuando sea necesario)
despus de la accin correctiva.
PA 5.1 La innovacin de
el grado en que los
cambios en el proceso son
identificadas a partir del
Nivel 5
Optimizado anlisis de las causas
comunes de la variacin
en el rendimiento, ya
partir de las
investigaciones de

a) Objetivos de mejora de procesos
para el proceso se definen de apoyo de
los objetivos de negocio relevantes.

riesgo

riesgos
b) Los datos apropiados son

analizados para identificar las causas
comunes de las variaciones en el
84

riesgo
enfoques innovadores
para la definicin e
implementacin del
proceso.
c) Los datos apropiados son

analizados para identificar las
oportunidades de mejores prcticas y la
innovacin.
d) Se identifican oportunidades de
mejora, derivados de las nuevas
tecnologas y conceptos de proceso.
e) Se ha establecido una estrategia
de implementacin para alcanzar los
objetivos de mejora de procesos.
PA 5.2 Optimizacin de
el grado en que los
cambios a la definicin, la
gestin y el rendimiento
de los resultados en el
proceso de impacto
efectivo que logre los
objetivos de mejora de
procesos pertinentes.

a) Impacto de los cambios
propuestos se evala con los objetivos
del proceso definido y el proceso
estndar.
b) La aplicacin de todos los
cambios acordados se las arregl para
asegurar que cualquier interrupcin en el
desempeo de los procesos se entiende
y se acte en consecuencia.

riesgo
c)
En base a los resultados reales,
la eficacia del cambio de proceso se
evala con los requisitos de los
productos definidos y objetivos del
proceso para determinar si los resultados
se deben a causas comunes o especiales.
riesgo
riesgo
riesgo
Tabla 6.3 (Atributos del Riesgo)
85
6.2.
Evaluacin del proceso de Gestionar la Identificacin y la Construccin de
Soluciones
Nombre del Proceso
Nivel 0
Nivel 1
PA 1.1
L
BAI03
Nivel de Capacidad
Alcanzado
Nivel 2
PA
PA
2.1
2.2
P
P
Nivel 3
PA
PA
3.1
3.2
P
L
Nivel 4
PA
PA
4.1
4.2
N
P
Nivel 5
PA
PA
5.1
5.2
N
P
Tabla 6.4 (Autoevaluacin de las Soluciones)

No
Alcanzado
(0-15%)
Parcialmente
Alcanzado
(15-50%)

Alcanzado
Alcanzado
(50-85%)
(85-100%)
L

Proceso: BAI03 Gestionar la Identificacin y la Construccin de Soluciones
Descripcin: Establecer y mantenerlas soluciones identificadas en funcin de las
necesidades empresariales que abarcan el diseo, el desarrollo, la adquisicin/compra de
componentes y la asociacin con los proveedores/vendedores. Administrar la
configuracin,
preparacin
de
exmenes,
pruebas,
requisitos
gestin y mantenimiento de los procesos de negocio, aplicaciones, informacin/datos,

infraestructura y servicios.
Propsito: Establecer soluciones oportunas y rentables capaces de apoyar los objetivos
estratgicos y operativos de la empresa.
Numero
Descripcin
BAI03-BP1
Disear soluciones de alto nivel.

Desarrollar y documentar los diseos de
alto nivel utilizando fases acordadas y
apropiada o tcnicas rpidas de
86
desarrollo. Asegurar la alineacin con la

estrategia de TI y la arquitectura de la
empresa.
Vuelva a evaluar y actualizar los diseos
cuando se producen problemas
significativos durante el diseo detallado
o fases de construccin o medida que
evoluciona la solucin. Asegrese de que
las partes interesadas participen
activamente en el diseo y aprueban cada
versin.
BAI03-BP2
Disear componentes detallados de

solucin.
Desarrollar, documentar y elaborar
progresivamente diseos detallados
utilizando fases acordadas y apropiadas o
tcnicas rpidas de desarrollo, abordando
todos los componentes (procesos de
negocio y los controles automatizados y
manuales relacionados, el apoyo a
aplicaciones informticas, servicios de
infraestructura y productos de tecnologa
y socios/proveedores). Asegrese de que
el diseo detallado incluye los SLA y
OLA internos y externos.
BAI03-BP3
Desarrollar componentes de la
solucin.
Desarrollar componentes de la solucin
progresivamente segn diseos detallados
siguiendo mtodos de desarrollo y los
estndares de documentacin, los
87
requisitos de garanta de calidad (QA) y

los estndares de aprobacin. Asegrese
de que se aborden todos los requisitos de
control de los procesos de negocio, el
apoyo a aplicaciones de TI y servicios de
infraestructura, servicios y productos de
tecnologa y socios/proveedores que estn
dirigidos.
BAI03-BP4
Adquirir componentes de la solucin.

Adquirir componentes de la solucin
basada en el plan de adquisicin de
acuerdo con los requisitos y los diseos
detallados, los principios y estndares de
arquitectura, y los procedimientos de la
empresa global de adquisiciones y
contratos, requisitos de control de calidad
y las normas de homologacin.
Asegrese de que todos los requisitos
legales y contractuales son identificados
y abordados por el proveedor.
BAI03-BP5
Construir soluciones.
Instalacin y configuracin de soluciones
y la integracin con las actividades del
proceso de negocio. Implementar
medidas de control, seguridad y
capacidad de auditora durante la
configuracin, y durante la integracin de
hardware y software de infraestructura,
para proteger los recursos y garantizar la
disponibilidad y la integridad de los
88
datos. Actualizar el catlogo de servicios

para reflejar las nuevas soluciones.
BAI03-BP6
Realizar control de calidad (QA).

Desarrollar, recursos y ejecutar un plan
de control de calidad en consonancia con
el SGC para obtener la calidad
especificada en la definicin de los
requisitos y las polticas y procedimientos
de calidad de la empresa.
BAI03-BP7
Preprese para la prueba de la

solucin.
Establecer un plan de pruebas y entornos
necesarios para probar los componentes
de la solucin individuales e integrados,
incluidos los procesos de negocio y
servicios de apoyo, las aplicaciones y la
infraestructura.
BAI03-BP8
Ejecute las pruebas de la solucin.

Ejecutar pruebas de forma continua
durante el desarrollo, incluidas las
pruebas de control, de conformidad con
el plan de pruebas definido y prcticas de
desarrollo en el entorno adecuado.
Involucrar a los dueos de procesos de
negocio y los usuarios finales en el
equipo de pruebas. Identificar, registrar y
dar prioridad a los errores y los
problemas detectados durante las
pruebas.
BAI03-BP9
Administrar cambios en los requisitos.

Realizar el seguimiento del estado de las
89
necesidades individuales (incluyendo

todos los requerimientos rechazados)
durante todo el ciclo de vida del producto
y gestionar la aprobacin de los cambios
en los requisitos.
BAI03-BP10
Mantener las soluciones.

Desarrollar y ejecutar un plan para el
mantenimiento de la solucin y los
componentes de infraestructura. Incluye
revisiones peridicas contra las
necesidades del negocio y los requisitos
operacionales.
BAI03-BP11
Definir los servicios de TI y mantener

el portafolio de servicios.
Definir y acordar servicios nuevos o
modificados de TI y opciones de nivel de
servicio. Documentar definiciones nuevas
o modificadas de servicios y opciones de
nivel de servicio para ser actualizados en
el portafolio de servicios.
Tabla 6.5 (Practicas Bsicas de las Soluciones)
90

Gestionar la Identificacin y la Construccin de Soluciones
BAI03
Establecer soluciones oportunas y rentables capaces de apoyar los objetivos estratgicos y operativos de la empresa.
Propsito
Evaluar si se han
resultados.
Nivel 0
Incompleto
propsito proceso.
PA 1.1 El proceso
implementado logra su
propsito proceso.
Nivel 1
Realizado
Criterios
Criterios
que se
cumplan
S/N
Comentario
correcta

estn logrando:
No
Alcanzad
o
(0-15%)
Parcialme
nte
Alcanzado
(15% 50%)
En gran
parte
Alcanzad
o (50% 85%)
BAI03-O1 El diseo de la solucin,

incluyendo los componentes
pertinentes, cumple con las necesidades
de la empresa, se alinea con las normas
y aborda todos los riesgos identificados.
Mediante desarrollo de
soluciones tecnolgicas
BAI03-O2 La solucin se ajusta al diseo,

es de conformidad con las normas de
organizacin, y tiene un control
adecuado, seguridad y auditoria.
BAI03-O3 La solucin es de calidad

aceptable y ha sido probado con xito.
BAI03-O4 Los cambios aprobados en los

requisitos se han incorporado
correctamente en la solucin.
BAI03-O5 Las actividades de

mantenimiento con xito, frente a las
91
Completam
ente
Alcanzado
(85-100%)
necesidades empresariales y
tecnolgicas.
PA 2.1 Gestin de
Rendimiento - Una
que se gestiona el
Nivel 2
Gestionado


Mediante plan de pruebas
c)
autoridades para llevar a cabo el
proceso estn definidos, asignados y
comunicados.
f)
involucradas se gestionan para
garantizar tanto la comunicacin
efectiva y clara asignacin de
responsabilidades.
PA 2.2 Administracin del Como resultado de la completa
Producto de Trabajo - Una consecucin de este atributo:
a)
Requisitos para los productos
de
trabajo
del proceso estn definidos.
b)
Requisitos para la
adecuadamente. Los
92
Mediante procedimiento de
pruebas
pruebas


proceso - Una medida en
el grado en que se
mantiene un proceso
definido.
Nivel 3
Establecido
c)
d)

a)
Un proceso estndar,
incluyendo las guas de adaptacin
adecuadas, se define que describe los
elementos fundamentales que deben
ser incorporados en un proceso
definido.
b)
determina.
c)
necesarios para llevar a cabo un proceso
se identifican como parte del proceso
estndar.
d)
proceso estndar.
e)
PA 3.2 Implementacin de Como resultado de la completa

procesos - Una medida en consecucin de este atributo:
pruebas
93

a)
estndar se despliega con implementa sobre la base de un proceso
eficacia como un proceso estndar seleccionado apropiadamente
definido para alcanzar sus y / o adaptado.
b)
Roles necesarios,
c)
proceso definido son competentes
sobre la base de una educacin
adecuada, capacitacin y experiencia.
Nivel 4
Predecible

resultados de las
d)
e)
pruebas
f)
Los datos apropiados se
recogen y se analizan como una base
para entender el comportamiento, y
para demostrar la idoneidad y la eficacia
del proceso, y para evaluar donde la
mejora continua del proceso se puede
hacer.
a)
Establecer las necesidades de
los procesos de informacin en apoyo
de los objetivos de negocio
correspondientes.
94
No tiene
proceso es compatible con

el logro de los objetivos
de rendimiento de los
procesos pertinentes en
apoyo de los objetivos de
negocio definidos.
b)
c)
negocio relevantes.
d)
mediciones se identifican y se definen
de acuerdo con los objetivos de
medicin de procesos y objetivos
proceso.
e)
recogen, se analizaron e informaron a
fin de vigilar el grado en que se cumplen
los objetivos cuantitativos de
f)
del proceso.
PA 4.2 Control de
es gestionado
caso.
b)
es estable, capaz y
normal del proceso.
lmites definidos.
c)
variacin.
d) Se toman las acciones
correctivas para hacer frente a las
causas especiales de variacin.
No tiene
No tiene
No tiene
pruebas
pruebas
95
No tiene
No tiene
e)
Los lmites de control se
el grado en que los
anlisis de las causas
partir de las
investigaciones de
para la definicin e
implementacin del
proceso.
Nivel 5
Optimizado

a) Objetivos de mejora de procesos

innovacin.
d) Se identifican oportunidades de
e) Se ha establecido una estrategia
el grado en que los
proceso de impacto

estndar.
asegurar que cualquier interrupcin en
el desempeo de los procesos se
entiende y se acte en consecuencia.
No tiene
No tiene
No tiene
96
c)
proceso para determinar si los
resultados se deben a causas comunes o
especiales.
pruebas
Tabla 6.6 (Atributos de las Soluciones)
97
6.3.
Evaluacin del proceso de Gestionar los Cambios

Nombre del Proceso
Nivel 0
Nivel 1
PA 1.1
F
BAI06
Nivel de Capacidad
Alcanzado
Nivel 2
PA
PA
2.1
2.2
F
F
Nivel 3
PA
PA
3.1
3.2
L
L
Nivel 4
PA
PA
4.1
4.2
L
L
Nivel 5
PA
PA
5.1
5.2
L
L
Tabla 6.7(Autoevaluacin de los Cambios)

No
Alcanzado
(0-15%)
Parcialmente
Alcanzado
(15-50%)

Alcanzado
Alcanzado
(50-85%)
(85-100%)
L

Proceso: BAI06 Gestionar los Cambios
Descripcin: Administrar todos los cambios de una manera controlada, incluyendo
cambios estndar y el mantenimiento de emergencia relacionadas con los procesos de
negocio, aplicaciones e infraestructura. Esto incluye las normas y los procedimientos de
cambio, la evaluacin del impacto, la priorizacin y autorizacin, los cambios de
emergencia, seguimiento, presentacin de informes, el cierre y la documentacin.
Propsito: Habilitar la entrega rpida y fiable de los cambios en el negocio y la
mitigacin de los riesgos de un impacto negativo en la estabilidad o integridad de los
cambios del entorno.
Numero
Descripcin
BAI06-BP1
Evaluar, priorizar y autorizarlas

solicitudes de cambio.
Evaluar todas las solicitudes de cambio
para determinar el impacto en los
procesos de negocio y servicios de TI, y
98
para evaluar si el cambio va a afectar

negativamente al entorno operativo y
presentar un riesgo inaceptable.
Asegrese de que los cambios se
registran, priorizan, clasifican, evalan,
autorizados, planificadas y programadas.
BAI06-BP2
Administrar los cambios de

emergencia.
Manejar con cuidado los cambios de
emergencia para minimizar nuevos
incidentes y asegurarse de que el cambio
est controlado y se lleva a cabo de forma
segura. Compruebe que los cambios de
emergencia son evaluados y autorizados
despus del cambio de manera apropiada.
BAI06-BP3
Seguimiento e informar el estado de

cambio.
Mantener un sistema de seguimiento y
presentacin de informes para
documentar los cambios rechazados,
comunicar el estado de los cambios
aprobados y en curso de fabricacin, y
los cambios completos. Asegrese de que
aprobaron los cambios se implementen
segn lo previsto.
BAI06-BP4
Cerrar y documentar los cambios.

Siempre que se apliquen los cambios,
actualizaren consecuencia la solucin y
documentacin del usuario y los
procedimientos afectados por el cambio.
Tabla 6.8 (Practicas Bsicas de los Cambios)
99

Gestionar los Cambios
BAI06
Propsito
Evaluar si se han
resultados.
Nivel 0
Incompleto propsito proceso.
PA 1.1 El proceso
propsito proceso.
Nivel 1
Realizado
Habilitar la entrega rpida y fiable de los cambios en el negocio y la mitigacin de los riesgos de un impacto negativo en la
estabilidad o integridad de los cambios del entorno.
Criterios

Criterios
que se
cumplan
S/N
Comentario
correcta
Los siguientes resultados del proceso

se estn logrando:
No
Alcanzad
o
(0-15%)
Parcialme
nte
Alcanzado
(15% 50%)
En gran
parte
Alcanzad
o (50% 85%)
Completame
nte
Alcanzado
(85-100%)
BAI06-O1 Los cambios autorizados se

harn de manera oportuna y con un
mnimo de errores.
Mediante RFC
BAI06-O2 Las evaluaciones de impacto

revelan el efecto del cambio en todos
los componentes afectados.
Mediante plan de gestin de

cambios
BAI06-O3 Todos los cambios de

emergencia son revisados y
autorizados despus del cambio.
Mediante RFC
BAI06-O4 Los principales interesados

son informados de todos los aspectos
del cambio.
Mediante cambios hechos
PA 2.1 Gestin de
Rendimiento - Una medida consecucin de este atributo:
Nivel 2
Gestionado en el grado en que se
F
L

S
100

cambios
gestiona el rendimiento
del proceso.
Mediante RFC
c)
Mediante RFC

cambios

cambios
Mediante acciones de cambio

aprobada
autoridades para llevar a cabo el
proceso estn definidos, asignados y
comunicados.
son identificados, puestos a
disposicin, asignados y utilizados.

medida en el grado en que
los productos de trabajo
producidos por el proceso
se gestionan
adecuadamente. Los

Nivel 3
Establecido proceso - Una medida en
f)
involucradas se gestionan para
garantizar tanto la comunicacin
efectiva y clara asignacin de
responsabilidades.
a)
Requisitos para los productos
de trabajo del proceso estn definidos.

aprobada
b)
Requisitos para la

aprobada
c)
Los productos de trabajo
estn debidamente identificados,

cambios
d)

cambios

101
el grado en que se
mantiene un proceso
definido.
a)
Un proceso estndar,
incluyendo las guas de adaptacin
adecuadas, se define que describe los
elementos fundamentales que deben
ser incorporados en un proceso
definido.
b)
La secuencia y la interaccin
del proceso estndar con otros
procesos se determina.
Mediante RFC

cambios
c)
necesarios para llevar a cabo un
proceso se identifican como parte del
proceso estndar.

cambios
d)
medio ambiente de trabajo para
realizar un proceso se identifican como
parte del proceso estndar.

cambios
e)
Los mtodos adecuados para
el seguimiento de la eficacia y
adecuacin del proceso se determinan.

cambios

a)
implementa sobre la base de un
proceso estndar seleccionado
apropiadamente y / o adaptado.
b)
Roles necesarios,
c)
proceso definido son competentes
sobre la base de una educacin
adecuada, capacitacin y experiencia.

aprobada

aprobada

aprobada
102
Nivel 4
Predecible

resultados de las
proceso es compatible con
el logro de los objetivos de
rendimiento de los
negocio definidos.
d)

aprobada
e)
medio ambiente de trabajo para llevar
a cabo el proceso definido se ponen a

aprobada

aprobada
f)
Los datos apropiados se
recogen y se analizan como una base
para entender el comportamiento, y
para demostrar la idoneidad y la
eficacia del proceso, y para evaluar
donde la mejora continua del proceso
se puede hacer.
a)
Establecer las necesidades de
los procesos de informacin en apoyo
de los objetivos de negocio
correspondientes.
b)
c)
negocio relevantes.
d)
mediciones se identifican y se definen
de acuerdo con los objetivos de
medicin de procesos y objetivos
proceso.

aprobada

aprobada
No tiene

aprobada
103
PA 4.2 Control de Procesos

en que el proceso es
gestionado
es estable, capaz y
lmites definidos.
e)
Los resultados de la medicin
se recogen, se analizaron e informaron
a fin de vigilar el grado en que se
cumplen los objetivos cuantitativos de
Mediante cierre de cambios
f)
del proceso.

a) Tcnicas de anlisis y de
control se determinan y aplican en su
caso.
b)
variacin se establecen para la
ejecucin normal del proceso.
c)
variacin.
d) Se toman las acciones
correctivas para hacer frente a las
causas especiales de variacin.
el grado en que los
Nivel 5
Optimizado cambios en el proceso son

a) Objetivos de mejora de
procesos para el proceso se definen de
apoyo de los objetivos de negocio
relevantes.

S

cambios

aprobada

cambios

aprobada

aprobada
104

aprobada
partir de las
investigaciones de
para la definicin e
implementacin del
proceso.

oportunidades de mejores prcticas y
la innovacin.
d) Se identifican oportunidades
de mejora, derivados de las nuevas
e) Se ha establecido una
estrategia de implementacin para
alcanzar los objetivos de mejora de
procesos.
el grado en que los
proceso de impacto

estndar.
asegurar que cualquier interrupcin en
el desempeo de los procesos se
entiende y se acte en consecuencia.
c)
proceso para determinar si los
resultados se deben a causas comunes
o especiales.

cambios

cambios

cambios

aprobada

cambios

cambios
Tabla 6.9 (Atributos de los Cambios)
105
6.4.
Evaluacin del proceso de Gestionar la Continuidad

Nombre del Proceso
Nivel 0
Nivel 1
PA 1.1
L
DSS04
Nivel de Capacidad
Alcanzado
Nivel 2
PA
PA
2.1
2.2
F
L
Nivel 3
PA
PA
3.1
3.2
F
F
Nivel 4
PA
PA
4.1
4.2
F
L
Nivel 5
PA
PA
5.1
5.2
P
L
Tabla 6.10 (Autoevaluacin de la Continuidad)

No
Alcanzado
(0-15%)
Parcialmente
Alcanzado
(15-50%)

Alcanzado
Alcanzado
(50-85%)
(85-100%)
L

Proceso: DDS04 Gestionar la Continuidad
Descripcin: Establecer y mantener un plan para que el negocio y la TI para responder a
incidentes e interrupciones con el fin de continuar con la operacin de los procesos
crticos de negocio y requiere de servicios de TI y mantener la disponibilidad de la
informacin a un nivel aceptable para la empresa.
Propsito: Continuar las operaciones crticas del negocio y mantener la disponibilidad
de la informacin a un nivel aceptable para la empresa en caso de una interrupcin
significativa.
Numero
Descripcin
DSS04-BP1
Definir la poltica de continuidad de

negocio, objetivos y alcance.
Definir la poltica de continuidad de
negocio y alcance alineada con los
objetivos de la empresa y las partes
interesadas.
106
DSS04-BP2
Mantener una estrategia de

continuidad.
Evaluar las opciones de gestin de
continuidad de negocio y elegir una
estrategia de continuidad rentable y
viable que garantice la recuperacin de la
empresa y la continuidad frente a un
desastre o incidente importante o
interrupcin.
DSS04-BP3
Desarrollar e implementar una

respuesta de continuidad del negocio.
Desarrollar un plan de continuidad del
negocio (BCP) sobre la base de la
estrategia que documenta los
procedimientos y la informacin en
preparacin para su uso en un incidente
que permitan a la empresa continuar sus
actividades crticas.
DSS04-BP4
Ejercicio, probar y revisar el BCP.

Pruebe los mecanismos de continuidad de
forma regular para ejercer los planes de
recuperacin frente a los resultados
predeterminados y permitir soluciones
innovadoras para desarrollarse y
contribuir a la comprobacin a travs del
tiempo que el plan va a funcionar como
se esperaba.
DSS04-BP5
Revisar, mantener y mejorar el plan de

continuidad.
Llevar a cabo una revisin de la gestin
de la capacidad de continuidad a
107
intervalos regulares para asegurar su

continua conveniencia, adecuacin y
eficacia. Administrar los cambios en el
plan de acuerdo con el proceso de control
de cambios para asegurar el plan de
continuidad se mantiene actualizado y
refleja continuamente los requisitos de
negocio actuales.
DSS04-BP6
Realizar capacitacin del plan de

continuidad.
Proporcionar todas las partes interesadas
internas y externas, con sesiones
regulares de entrenamiento en relacin
con los procedimientos y sus funciones y
responsabilidades en caso de
interrupcin.
DSS04-BP7
Administrar arreglos de copia de

seguridad.
Mantenga la disponibilidad de la
informacin crtica para el negocio.
DSS04-BP8
Llevar a cabo la revisin posterior a la

reanudacin.
Evaluar la idoneidad del BCP tras la
reanudacin satisfactoria de los procesos
y servicios de oficina despus de una
interrupcin.
Tabla 6.11 (Practicas Bsicas de la Continuidad)
108

Gestionar la Continuidad
DSS04
Propsito
Evaluar si se han
resultados.
Nivel 0
Incompleto
propsito proceso.
PA 1.1 El proceso
propsito proceso.
Nivel 1
Realizado
PA 2.1 Gestin de
Nivel 2
Gestionado Rendimiento - Una
Continuar las operaciones crticas del negocio y mantener la disponibilidad de la informacin a un nivel aceptable para la empresa
en caso de una interrupcin significativa.
Criterios
Criterios
que se
cumplan
S/N
Comentario
correcta

estn logrando:
No
Alcanzad
o
(0-15%)
Parcialme
nte
Alcanzado
(15% 50%)
En gran
parte
Alcanzad
o (50% 85%)
Completam
ente
Alcanzado
(85-100%)
DSS04-O1 Informacin crtica para el

negocio est a disposicin del negocio en
lnea con los niveles mnimos de servicio
requerido.
DSS04-O2 Suficiente soporte en el
Firewall en los servicios crticos.
DSS04-O3 Pruebas de continuidad de
servicios han verificado la eficacia del
plan.
DSS04-O4 Un plan de continuidad actual
que refleje los requisitos de negocio.
Mediante informe de revisin

post-reanudacin
Mediante gestin de
Mediante gestin de
DSS04-O5 Las partes internas y externas

han sido capacitadas en el plan de
continuidad.
Mediante planes de
recuperacin ante desastres,
pruebas y gestin de crisis
Mediante planes de
109
L
L
L
que se gestiona el

c)
Mediante planes de
Mediante polticas de ITSCM

revisadas

revisadas

revisadas
estn definidos, asignados y
comunicados.
f)
adecuadamente. Los

a)

revisadas
b)
Requisitos para la

revisadas
c)
d)
Mediante planes de
110

el grado en que se
mantiene un proceso
definido.

a)
Mediante gestin de
b)
determina.
No tiene

revisadas

revisadas
Mediante gestin de
c)
Competencias y roles necesarios
para llevar a cabo un proceso se
identifican como parte del proceso
estndar.
d)
proceso estndar.
Nivel 3
Establecido
e)

a)
estndar seleccionado apropiadamente y
/ o adaptado.
Mediante gestin de
b)
Roles necesarios,

revisadas
111
c)
proceso definido son competentes sobre
la base de una educacin adecuada,
capacitacin y experiencia.
d)
e)
f)
Los datos apropiados se recogen
y se analizan como una base para
entender el comportamiento, y para
demostrar la idoneidad y la eficacia del
proceso, y para evaluar donde la mejora
continua del proceso se puede hacer.
Nivel 4
Predecible

resultados de las
con el logro de los
de los procesos
definidos.

revisadas

revisadas

revisadas

post-reanudacin

a)

revisadas
b)

revisadas
c)
negocio relevantes.
Mediante gestin de
112
d)
Mediante gestin de
e)
objetivos cuantitativos de desempeo
del proceso.

post-reanudacin

post-reanudacin
f)
del proceso.
PA 4.2 Control de
es gestionado
caso.
b)
es estable, capaz y
variacin
se establecen para la ejecucin
normal
del
proceso.
lmites definidos.
c)
variacin.
Nivel 5
Optimizado procesos - Una medida en

S
Mediante planes de
No tiene
Mediante planes de

de variacin.
Mediante planes de

No tiene

113
el grado en que los

partir de las
investigaciones de
para la definicin e
implementacin del
proceso.
a)
Objetivos de mejora de procesos
b) Los datos apropiados son analizados
para identificar las causas comunes de
las variaciones en el rendimiento del
proceso.
c)
Los datos apropiados son
innovacin.
d)
Se identifican oportunidades de
e)
Se ha establecido una estrategia
el grado en que los
proceso de impacto

a)
Impacto de los cambios
estndar.
b)
La aplicacin de todos los
asegurar que cualquier interrupcin en el
desempeo de los procesos se entiende
y se acte en consecuencia.
c)
proceso para determinar si los resultados
se deben a causas comunes o especiales.
Mediante gestin de
Mediante gestin de
Mediante planes de
Mediante gestin de
Mediante planes de

post-reanudacin
Tabla 6.12 (Atributos de la Continuidad)
114
6.5.
Evaluacin del proceso de Gestionar los Servicios de Seguridad

Nombre del Proceso
Nivel 0
Nivel 1
PA 1.1
F
DSS05
Nivel de Capacidad
Alcanzado
Nivel 2
PA
PA
2.1
2.2
F
F
Nivel 3
PA
PA
3.1
3.2
P
F
Nivel 4
PA
PA
4.1
4.2
P
L
Nivel 5
PA
PA
5.1
5.2
P
L
Tabla 6.13 (Autoevaluacin de los Servicios de Seguridad)

No
Alcanzado
(0-15%)
Parcialmente
Alcanzado
(15-50%)

Alcanzado
Alcanzado
(50-85%)
(85-100%)
L

Proceso: DSS05 Gestionar los Servicios de Seguridad
Descripcin: Proteger la informacin de la empresa para mantener el nivel de riesgo de
seguridad de la informacin aceptable para la empresa de acuerdo con la poltica de
seguridad. Establecer y mantener las funciones de seguridad de la informacin y los
privilegios de acceso y llevar a cabo la supervisin de seguridad.
Propsito: Minimizar el impacto en el negocio de la informacin, vulnerabilidades e
incidentes de seguridad operacional.
Numero
Descripcin
DSS05-BP1
Protege contra el malware.

Implementar y mantener las medidas de
prevencin, deteccin y correccin en su
lugar (parches de seguridad
especialmente actualizaciones y control
de virus) en toda la empresa para proteger
los sistemas de informacin y tecnologa,
115
de software malicioso (por ejemplo,

virus, gusanos, software espa, correo no
deseado).
DSS05-BP2
Administrar la red y la seguridad de la

conectividad.
Utilice las medidas de seguridad y
procedimientos de gestin relacionados
para proteger la informacin sobre todos
los mtodos de conectividad.
DSS05-BP3
Administrar la seguridad del punto

final.
Asegrese de que las terminales (por
ejemplo, un porttil, de escritorio,
servidores y otros dispositivos mviles,
de red o software) se fijan a un nivel que
es igual o mayor que los requisitos de
seguridad definidos de la informacin
tratada, almacenados o transmitidos.
DSS05-BP4
Gestione la identidad del usuario y de

acceso lgico.
Asegrese de que todos los usuarios
tienen derechos de acceso de informacin
de acuerdo con sus necesidades de
negocio y coordinar con las unidades de
negocio que gestionan sus propios
derechos de acceso dentro de los
procesos de negocio.
DSS05-BP5
Administrar el acceso fsico a los

activos de TI.
Definir e implementar procedimientos
para otorgar, limitar y revocar el acceso a
116
las instalaciones, edificios y reas, de

acuerdo a las necesidades del negocio,
incluidas las emergencias. Acceso a las
instalaciones, edificios y reas que deben
estar justificarse, autorizada, registrada y
supervisada. Esto debera aplicarse a
todas las personas que entren en las
instalaciones, incluido el personal,
personal temporal, clientes, proveedores,
visitantes o cualquier otro tercero.
DSS05-BP6
Administrar documentos sensibles y

dispositivos de salida.
Establecer las garantas apropiadas
fsicas, las prcticas contables y de
gestin de inventario, ms de los activos
de TI sensibles, tales como formularios
especiales, instrumentos negociables,
impresoras de propsito especial o tokens
de seguridad.
DSS05-BP7
Monitorear la infraestructura para

eventos relacionados con la seguridad
El uso de herramientas de deteccin de
intrusos, supervisar la infraestructura para
el acceso no autorizado y garantizar que
los eventos se integran con la supervisin
general de eventos y la gestin de
incidencias.
Tabla 6.14 (Practicas Bsicas de los Servicios de Seguridad)
117

Gestionar los Servicios de Seguridad
DSS05
Minimizar el impacto en el negocio de la informacin, vulnerabilidades e incidentes de seguridad operacional.
Propsito
Evaluar si se han
resultados.
Nivel 0
Incompleto
propsito proceso.
PA 1.1 El proceso
propsito proceso.
Nivel 1
Realizado
Criterios
Criterios
que se
cumplan
S/N
Comentario
correcta
En este nivel, hay poca o ninguna evidencia

de cualquier logro del propsito del
proceso.
estn logrando:
DSS05-O1 Redes y comunicaciones de
seguridad satisfacer las necesidades
empresariales.
DSS05-O2 La informacin procesada,
almacenada y transmitida por los
dispositivos terminales estn protegidos.
DSS05-O3 Todos los usuarios son
inequvocamente identificables y tener
derechos de acceso de acuerdo con su
funcin de negocio.
DSS05-O4 Las normas de seguridad fsicas
se han implementado para proteger la
informacin contra accesos no autorizados,
daos e interferencias al ser procesados,
almacenados o transmitidos.
DSS05-O5 La informacin electrnica se
encuentra segura cuando se almacena,
transmite o destruye de forma encriptada.
118
No
Alcanzad
o
(0-15%)
Parcialme
nte
Alcanzad
o (15% 50%)
En gran
parte
Alcanzad
o (50% 85%)
Completam
ente
Alcanzado
(85-100%)
Mediante poltica de gestin

de seguridad de la
informacin
Mediante procedimientos
para auditar a los dispositivos
de defensa
Mediante poltica de control

de accesos

de accesos
Mediante poltica de los

controles criptogrficos
PA 2.1 Gestin de
Rendimiento - Una
que se gestiona el
Como resultado de la completa consecucin

de este atributo:

c)
Rendimiento del proceso se ajusta
para satisfacer planes.
d) Las responsabilidades y autoridades

para llevar a cabo el proceso estn
definidos, asignados y comunicados.
necesaria para llevar a cabo el proceso son
Nivel 2
identificados, puestos a disposicin,
Gestionado
f)
PA 2.2 Administracin del Como resultado de la completa consecucin
Producto de Trabajo de este atributo:
Una medida en el grado
a)
en que los productos de
trabajo
del
proceso estn definidos.
b)
Requisitos para la documentacin y
adecuadamente. Los
el
control
de los productos de trabajo estn
definidos.
c)
debidamente identificados, documentados
y controlados.
119
de defensa
de defensa
de seguridad de la
informacin
Mediante asignar roles y

responsabilidades

responsabilidades

responsabilidades

S
para la notificacin de
incidentes
Mediante respaldo de la
informacin
Mediante respaldo de la
informacin

el grado en que se
mantiene un proceso
definido.
d)
previstos, y se ajustan si es necesario para
cumplir con los requisitos.
de este atributo:
a)
fundamentales que deben ser incorporados
en un proceso definido.
b)
determina.
c)
para llevar a cabo un proceso se identifican
como parte del proceso estndar.
d)
medio ambiente de trabajo para realizar un
proceso estndar.
e)
seguimiento de la eficacia y adecuacin del
proceso se determinan.
Nivel 3
Establecido
PA 3.2 Implementacin
de procesos - Una
que el proceso estndar
se despliega con eficacia
como un proceso
definido para alcanzar
sus resultados del
proceso.
120
de defensa
No tiene

responsabilidades

de accesos
de defensa

de este atributo:
a)
Un proceso definido se implementa
sobre la base de un proceso estndar
seleccionado apropiadamente y / o
adaptado.
b)
Roles necesarios, responsabilidades
y autoridades para llevar a cabo el proceso
definido se asignan y se comunican.
de defensa

de seguridad de la
informacin

responsabilidades
c)
El personal que realiza el proceso
definido son competentes sobre la base de
una educacin adecuada, capacitacin y
experiencia.
d)
e)
Infraestructura necesaria y el medio
ambiente de trabajo para llevar a cabo el
proceso definido se ponen a disposicin,
archivarse y conservarse.
Nivel 4
Predecible
PA 4.1 Proceso de
medida - Una medida en
el grado en que se
utilizan los resultados de
las mediciones para
asegurar que el
rendimiento del proceso
es compatible con el
logro de los objetivos de
rendimiento de los
negocio definidos.
f)
Los datos apropiados se recogen y
se analizan como una base para entender el
comportamiento, y para demostrar la
idoneidad y la eficacia del proceso, y para
evaluar donde la mejora continua del
proceso se puede hacer.
de este atributo:

responsabilidades
No tiene

de accesos
No tiene
a)
de defensa
b)
Objetivos de medicin de procesos
se derivan de las necesidades de
informacin de proceso.
de defensa
de defensa
de defensa
c)
negocio relevantes.
d)
121
PA 4.2 Control de
Procesos - Una medida
en el grado en que el
proceso es gestionado
es estable, capaz y
lmites definidos.
e)
recogen, se analizaron e informaron a fin de
vigilar el grado en que se cumplen los
objetivos cuantitativos de desempeo del
proceso.
f)
utilizan para caracterizar el desempeo del
proceso.
a)
Tcnicas de anlisis y de control se

determinan y aplican en su caso.
b)
normal del proceso.
c)
Los datos de medicin se analizan
las causas especiales de variacin.
para hacer frente a las causas especiales de
variacin.
e) Los lmites de control se restablecen
(cuando sea necesario) despus de la accin
correctiva.
procesos - Una medida
en el grado en que los
cambios en el proceso
son identificadas a partir
del anlisis de las causas
Nivel 5
Optimizado en el rendimiento, ya
partir de las
investigaciones de
para la definicin e

de este atributo:
a)
para el proceso se definen de apoyo de los
objetivos de negocio relevantes.

de accesos

de accesos

S
de defensa
No tiene

de accesos

de accesos
No tiene

de seguridad de la
informacin

para identificar las causas comunes de las
variaciones en el rendimiento del proceso.

de accesos
c)
innovacin.

de accesos
122
implementacin del
proceso.
procesos - Una medida
en el grado en que los
proceso de impacto
d)
mejora, derivados de las nuevas tecnologas
y conceptos de proceso.

de accesos
e)
Se ha establecido una estrategia de
implementacin para alcanzar los objetivos
de mejora de procesos.
No tiene

de este atributo:
a)
Impacto de los cambios propuestos
se evala con los objetivos del proceso
definido y el proceso estndar.
b)
La aplicacin de todos los cambios
acordados se las arregl para asegurar que
cualquier interrupcin en el desempeo de
los procesos se entiende y se acte en
consecuencia.
c)
En base a los resultados reales, la
eficacia del cambio de proceso se evala
con los requisitos de los productos definidos
y objetivos del proceso para determinar si
los resultados se deben a causas comunes o
especiales.

de accesos

de accesos

de accesos
Tabla 6.15 (Atributos de los Servicios de Seguridad)
123
6.6.
Evaluacin del proceso de Gestionar la Configuracin

Nombre del Proceso
Nivel 0
Nivel 1
PA 1.1
F
BAI10
Nivel de Capacidad
Alcanzado
Nivel 2
PA
PA
2.1
2.2
F
F
Nivel 3
PA
PA
3.1
3.2
F
F
Nivel 4
PA
PA
4.1
4.2
L
P
Nivel 5
PA
PA
5.1
5.2
L
P
Tabla 6.16 (Autoevaluacin de la Configuracin)

No
Alcanzado
(0-15%)
Parcialmente
Alcanzado
(15-50%)

Alcanzado
Alcanzado
(50-85%)
(85-100%)
L

Proceso: BAI10 Gestionar la Configuracin
Descripcin: Definir y mantener descripciones y relaciones entre los recursos y las
capacidades clave necesarias para la prestacin de servicios habilitados por la TI,
incluyendo la recogida de la informacin de configuracin, el establecimiento de lneas
de base, la verificacin y la informacin de configuracin de auditora, y la actualizacin
del repositorio de configuracin.
Propsito: Proporcionar informacin suficiente acerca de los activos de servicios para
que el servicio pueda ser gestionado con eficacia, evaluar el impacto de los cambios y
hacer frente a las incidencias del servicio.
Numero
Descripcin
BAI10-BP1
Establecer y mantener un modelo de

configuracin.
Establecer y mantener un modelo lgico
de los servicios, bienes e infraestructuras
y de la forma de registrar los elementos
124
de configuracin (CIs) y las relaciones

entre ellos. Incluirlos IC considera
necesario para gestionar con eficacia los
servicios y proporcionar una nica
descripcin fiable de los activos en un
servicio.
BAI10-BP2
Establecer y mantener un repositorio

de configuracin y de lnea de base.
Establecer y mantener un repositorio de
gestin de la configuracin y crear lneas
de base de configuracin controladas.
BAI10-BP3
Mantener y controlarlos elementos de

configuracin.
Mantener un repositorio actualizado de
los elementos de configuracin de
acuerdo a los cambios.
BAI10-BP4
Elaborar informes de estado y

configuracin.
Definir y elaborar informes de
configuracin en los cambios de estado
de los elementos de configuracin.
BAI10-BP5
Verificar y revisarla integridad del

depsito de configuracin.
Revisar peridicamente el depsito de
configuracin y verificarla integridad y
exactitud con la meta deseada.
Tabla 6.17 (Practicas Bsicas de la Configuracin)
125

Gestionar la Configuracin
BAI10
Propsito
Evaluar si se han
resultados.
Nivel 0
Incompleto
propsito proceso.
PA 1.1 El proceso
Nivel 1
propsito proceso.
Realizado
PA 2.1 Gestin de
Rendimiento - Una
que se gestiona el
Nivel 2
Gestionado
Proporcionar informacin suficiente acerca de los activos de servicios para que el servicio pueda ser gestionado con eficacia, evaluar
el impacto de los cambios y hacer frente a las incidencias del servicio.
Criterios
Criterios
que se
cumplan
S/N
Comentario
correcta

evidencia de cualquier logro del propsito
del proceso.
estn logrando:
No
Alcanzad
o
(0-15%)
Parcialme
nte
Alcanzad
o (15% 50%)
En gran
parte
Alcanzad
o (50% 85%)
Completam
ente
Alcanzado
(85-100%)
BAI10-O1 Repositorio de configuracin es

exacta, completa y actualizada.

Mediante repositorio

c)
estn definidos, asignados y comunicados.
126
Mediante administracin de
configuracin
configuracin
configuracin
configuracin
Mediante modelo de
configuracin
f)
Producto de Trabajo Una medida en el grado
adecuadamente. Los
Nivel 3
Establecido

el grado en que se
mantiene un proceso
definido.

configuracin
a)
configuracin
b)
Requisitos para la documentacin
y el control de los productos de trabajo
estn definidos.
configuracin
c)
y controlados.
configuracin
configuracin
d)
a)
b)
determina.
c)
para llevar a cabo un proceso se
identifican como parte del proceso
estndar.
127
configuracin
configuracin
configuracin
d)
proceso estndar.
e)
de procesos - Una medida
proceso estndar se
despliega con eficacia
como un proceso definido
para alcanzar sus
Mediante modelo de
configuracin
configuracin

a)
estndar seleccionado apropiadamente y /
o adaptado.
b)
Roles necesarios,
c)
experiencia.
d)
e)
f)
se analizan como una base para entender
el comportamiento, y para demostrar la
128
No tiene
configuracin
configuracin
Mediante modelo de
configuracin
Mediante modelo de
configuracin
Mediante estado de
configuracin

resultados de las
con el logro de los
de los procesos
definidos.
Nivel 4
Predecible

a)
configuracin
b)
procesos se derivan de las necesidades de
configuracin
configuracin
configuracin
Mediante estado de
configuracin
Mediante estado de
configuracin
c)
negocio relevantes.
d)
e)
proceso.
f)
proceso.
PA 4.2 Control de
Procesos - Una medida en consecucin de este atributo:
el grado en que el
a) Tcnicas de anlisis y de control se
b)
es estable, capaz y
normal del proceso.
c)
lmites definidos.
129

S
configuracin
configuracin
Mediante estado de
configuracin
el grado en que los
partir de las
investigaciones de
para la definicin e
implementacin del
proceso.
Nivel 5
Optimizado

de variacin.
Mediante estado de
configuracin

configuracin

a)

c)
innovacin.
d)
e)
el grado en que los
proceso de impacto

a)
propuestos se evala con los objetivos del
proceso definido y el proceso estndar.
configuracin
Mediante estado de
configuracin
Mediante estado de
configuracin
configuracin
configuracin
b)
consecuencia.
130
configuracin
configuracin
c)
con los requisitos de los productos
definidos y objetivos del proceso para
determinar si los resultados se deben a
causas comunes o especiales.
Mediante estado de
configuracin
Tabla 6.18 (Atributo de la Configuracin)
131
6.7. Evaluacin del proceso de Gestionar los Problemas

Nombre del Proceso
Nivel 0
Nivel 1
PA 1.1
F
DSS03
Nivel de Capacidad
Alcanzado
Nivel 2
PA
PA
2.1
2.2
F
L
Nivel 3
PA
PA
3.1
3.2
F
F
Nivel 4
PA
PA
4.1
4.2
F
L
Nivel 5
PA
PA
5.1
5.2
L
P
Tabla 6.19 (Autoevaluacin de los Problemas)

No
Alcanzado
(0-15%)
Parcialmente
Alcanzado
(15-50%)

Alcanzado
Alcanzado
(50-85%)
(85-100%)
L

Proceso: DSS03 Gestionar los Problemas
Descripcin: Identificar y clasificarlos problemas y sus causas fundamentales y
proporcionar la solucin oportuna para prevenir incidentes recurrentes. Proporcionar
recomendaciones para mejorar.
Propsito: Aumentar la disponibilidad, mejorar los niveles de servicio, reducir los costos
y mejorar la comodidad y satisfaccin del cliente mediante la reduccin del
nmero de problemas de funcionamiento.
Numero
Descripcin
DSS03-BP1
Identificar y clasificarlos problemas.

Definir y aplicarlos criterios y
procedimientos para reportar problemas
identificados, incluyendo la clasificacin
de problemas, la categorizacin y
priorizacin.
132
DSS03-BP2
Investigar y diagnosticar problemas.

Investigar y diagnosticar problemas
utilizando asuntos relevantes en gestin,
expertos para evaluar y analizarlas
causas fundamentales.
DSS03-BP3
Elevar los errores conocidos.

Tan pronto como se identifican las causas
raz de los problemas, crear registros de
errores conocidos y una solucin
adecuada, e identificar posibles
soluciones.
DSS03-BP4
Resolver y cerrar los problemas.

Identificar y poner en marcha soluciones
sostenibles que abordan la causa raz,
aumentando las solicitudes de cambio a
travs del proceso de gestin de cambios
establecido si es necesario para resolver
los errores. Asegrese de que el personal
afectado es consciente de las medidas
adoptadas y los planes desarrollados para
evitar incidentes en el futuro se
produzcan.
DSS03-BP5
Realizar la gestin proactiva de los

problemas.
Recopilacin y anlisis de datos de la
operacin (especialmente incidente y
registros de cambios) para identificar las
tendencias emergentes que pueden
indicar problemas. Ingresar registros de
problemas para permitir la evaluacin.
Tabla 6.20 (Practicas Bsicas de los problemas)
133

Gestionar los Problemas
DSS03
Propsito
Evaluar si se han
resultados.
Nivel 0
Incompleto
propsito proceso.
PA 1.1 El proceso
Nivel 1
propsito proceso.
Realizado
PA 2.1 Gestin de
Rendimiento - Una
que se gestiona el
Nivel 2
Gestionado
Aumentar la disponibilidad, mejorar los niveles de servicio, reducir los costos y mejorar la comodidad y satisfaccin del cliente
mediante la reduccin del nmero de problemas de funcionamiento.
Criterios
Criterios
que se
cumplan
S/N
Comentario
correcta
En este nivel, hay poca o ninguna evidencia

de cualquier logro del propsito del
proceso.
estn logrando:
DSS03-O1 Problemas relacionados con la
TI se resuelven de modo que no se repitan.
No
Alcanzad
o
(0-15%)
Parcialme
nte
Alcanzad
o (15% 50%)
En gran
parte
Alcanzad
o (50% 85%)
Completam
ente
Alcanzado
(85-100%)

Mediante resolucin de
incidentes

Mediante registro y
incidentes
c)
Mediante registro y
estn definidos, asignados y comunicados.
Mediante registro y

Mediante base de incidentes
134
P
F
f)
Producto de Trabajo Una medida en el grado
adecuadamente. Los

el grado en que se
mantiene un proceso
definido.
Nivel 3
Establecido

Mediante registro y
a)
Mediante registro y
b)
Requisitos para la documentacin
y el control de los productos de trabajo
estn definidos.
Mediante registro y
c)
y controlados.
Mediante registro y
Mediante registro y
d)
a)
b)
determina.
c)
para llevar a cabo un proceso se identifican
como parte del proceso estndar.
d)
medio ambiente de trabajo para realizar un
proceso estndar.
135
Mediante registro y
Mediante procesos integran la

gestin de incidentes
Mediante registro y

e)
de procesos - Una medida
proceso estndar se
despliega con eficacia
como un proceso definido
para alcanzar sus
Nivel 4
Predecible

Mediante registro y
a)
estndar seleccionado apropiadamente y /
o adaptado.
b)
Roles necesarios,
responsabilidades y autoridades para llevar
a cabo el proceso definido se asignan y se
comunican.
c)
experiencia.
d)
e)
f)
se analizan como una base para entender
el comportamiento, y para demostrar la
PA 4.1 Proceso de medida Como resultado de la completa
- Una medida en el grado consecucin de este atributo:
Mediante registro y
Mediante registro y
Mediante registro y


Mediante Cierre de problemas
136

resultados de las
con el logro de los
de los procesos
definidos.
a)

b)
Objetivos de medicin de procesos
se derivan de las necesidades de
Mediante acciones y
comunicaciones de respuesta
de incidentes
Mediante acciones y
de incidentes
incidentes
c)
negocio relevantes.
d)
e)
proceso.
f)
proceso.
PA 4.2 Control de
Procesos - Una medida en consecucin de este atributo:
el grado en que el
a)Tcnicas de anlisis y de control se
b)
es estable, capaz y
normal del proceso.
c)
lmites definidos.
para hacer frente a las causas especiales de
variacin.
137

S
Mediante registro y
No tiene
Mediante acciones y
de incidentes
L
N

el grado en que los
partir de las
investigaciones de
para la definicin e
implementacin del
proceso.
Nivel 5
Optimizado

a)

c)
innovacin.
d)
e)
el grado en que los
proceso de impacto
No tiene

a)
propuestos se evala con los objetivos del
proceso definido y el proceso estndar.
Mediante acciones y
de incidentes
Mediante registro y
Mediante registro y
Mediante registro y
Mediante acciones y
de incidentes
b)
consecuencia.
138
Mediante acciones y
de incidentes
Mediante acciones y
de incidentes
c)
con los requisitos de los productos
definidos y objetivos del proceso para
determinar si los resultados se deben a
causas comunes o especiales.
Tabla 6.21 (Atributos de los problemas)
139
CAPTULO 7
7. CONCLUSIONES Y RECOMENDACIONES
7.1.
Conclusiones
De acuerdo a la priorizacin de COBIT el calificador global de procesos de
entregar y dar soporte es el ms alto, sobresale temas como administracin de la
continuidad, identificacin y clasificacin de problemas, establecer y mantener un
repositorio de configuracin completo y preciso, administracin de acceso y
control de flujo de la informacin desde y hacia las redes, en segundo plano seria
de los procesos de adquirir e implementar, posee planes y metodologas bastante
adecuados en la adquirir, implementar y mantener la infraestructura tecnolgica,
y con poca participacin la de planear y organizar con la administracin de
riesgos.
Con este estudio se alineado una serie de directrices las que nos permite ayudar
con el negocio de TI, es decir gestionar los riesgos, cambios, continuidad del
servicio, seguridad, configuraciones, problemas e identificar las soluciones, y as
poder evaluar a cada uno, travs del nivel de madurez.
Mediante los estndares utilizados en este estudio, la toma de decisiones es ms

eficaz en: la definicin de la arquitectura, la definicin de un plan estratgico,
adquisicin de hardware necesario, la supervisin del control de accesos, el
aseguramiento del servicio continuo, adquisicin de un repositorio de
configuracin, manejo de un plan de gestin de cambios, registro de incidentes y
problemas y una gua de desarrollo de soluciones.
Los stakeholders son beneficiados en el desarrollo del proyecto, ya que este marco
de referencia les brinda soporte a los individuos en los temas de nivel de seguridad
y control para proteger los recursos (infraestructura e informacin).
140
7.2.
Recomendaciones
Hacer uso de este presente trabajo para tomarlo de referencia en futuras mejoras
en TI.
Incluir varios marcos metodolgicos que permitan tener una visin ms amplia de
la estructura de una auditoria y los procesos a seguir, con lo cual se asegura un
resultado ptimo de la misma.
Elegir criterios de informacin que abarquen los temas ms relevantes en

seguridad y control de accesos.
Guas con Procesos claros y con su debida estructura, con el fin de que todo quede
debidamente sustentado.
Realizar capacitaciones al personal informtico sobre el marco de referencia de

COBIT, ITIL e ISO, para el mejor entendimiento de este trabajo.
Evaluar peridicamente con el fin de medir el avance de cada uno de los procesos
estudiados en este trabajo.
141
BIBLIOGRAFA
1. MARTNEZ MARTNEZ Asier. Tcnicas de Deteccin de Intrusiones en

Redes 802.11.
2. Alineando Cobit 4.1, ITIL V3 e ISO/IEC 27002 en beneficio del negocio. IT
overnance Institute & Office of Government Commerce.
3. ISACA Cobit 4.1. IT overnance Institute
4. ISACA Cobit 5 Procesos Catalizadores
5. GMEZ Julio & BAOS Ral. Seguridad en Sistemas Operativos Windows y
Linux. Editorial Ra-Ma.
6. DONOSO JAURS Felipe & RAMREZ BRAVO Pa. Metodologa ITIL:
Universidad de Chile.
7. ISACA. http://www.isaca.org/spanish/Pages/default.aspx
8. ALZURO F., ARAUJO J., BELANDRIA C., & Betancourt J. Informe de
auditoria. Caracas: Programa nacional de formacion en informatica.
9. VAN BON Jan, DE JONG Arjen & KOLTHOF Axel. Fundamentos de la
Gestin de Servicios de IT Basada en ITIL. Van Haren Publishing, Zaltbommel
Tercera edicin.
10. HERNNDEZ HERNNDEZ E. Auditora en informtica: un enfoque
metodolgico y prctico. Mxico: Continental.
11. Implantacin de un Sistema de Deteccin de Intrusos: Universidad de Valencia.
12. ISACA. Certified Information Systems Auditor (CISA). (pg. 251).
13. ITIL, Osiatis http://itilv3.osiatis.es/
14. AMUTIO GMEZ Miguel ngel. Metodologa de Anlisis y Gestin de
Riesgos de los Sistemas de Informacin Libro 1. Direccin General de
Modernizacin Administrativa, Procedimientos e Impulso de la Administracin
Electrnica.
15. LPEZ Neira, A., & RUIZ Spohr, J. ISO 27001: Sistemas de Gestin de la
Seguridad de la Informacin.
16. ISO 27001: Sistemas de Gestin de la Seguridad de la Informacin:
http://www.iso27000.es/
142
17. PIATTINI VELTHUIS M. G. & DEL PESO NAVARRO E. Auditoria

Informatica: Espaa: computec RAMA.
18. Sistemas de Deteccin de intrusos y Snort.
http://www.maestrosdelweb.com/editorial/snort/
19. TAMAYO Alzate A. (2001). Auditoria de sistemas. Colombia: Centro de
Publicaciones.
20. Using COBIT 5 Process Assessment Model (PAM)
21. Using COBIT 5 Self-assessmente Guide
22. Control de acceso en red https://iso27002.wiki.zoho.com/11-4-Control-deacceso-en-red.html
143
ANEXOS
Anexo A - GLORARIO
TI.- Tecnologa de la Informacin.
COBIT.- Objetivos de Control para Informacin y Tecnologas Relacionadas.
ITIL.- Biblioteca de Infraestructura de Tecnologas de Informacin.
ISO.- Organizacin Internacional de Normalizacin.
Contrasea.- Palabra o clave privada utilizada para confirmar una identidad en un
sistema remoto que se utiliza para que una persona no pueda usurpar la identidad de otra.
Virus.- Es un pequeo programa escrito intencionalmente para instalarse en el
computador de un usuario sin el conocimiento o el permiso de este.
Malware.- Es un tipo de software que tiene como objetivo infiltrarse o daar una
computadora o sistema de informacin sin el consentimiento de su propietario.
Software.- Equipamiento lgico o soporte lgico de un sistema informtico, que
comprende el conjunto de los componentes lgicos necesarios que hacen posible la
realizacin de tareas especficas, en contraposicin a los componentes fsicos que son
llamados hardware.
Hardware.- Conjunto de dispositivos de los que consiste un sistema. Comprende
componentes tales como el teclado, el Mouse, las unidades de disco y el monitor.
Stakeholders.- Se los define como todos los actores sociales que, producto de las
decisiones y objetivos de una empresa se pueden ver afectados, ya sea de forma positiva
o negativa.
Red.- Es un grupo de computadoras que comparten informacin a travs de tecnologa de
cable o inalmbrica.
LAN.- Red de rea Local.
144
Firewall.- es un sistema de defensa basado en el hecho de que todo el trfico de entrada

o salida a la red debe pasar obligatoriamente por un sistema de seguridad capaz de
autorizar, denegar, y tomar nota de todo aquello que ocurre, de acuerdo con una poltica
de control de acceso entre redes.
TIC.- Tecnologa de la informacin y la comunicacin, agrupan los elementos y las
tcnicas usadas en el tratamiento y la transmisin de las informaciones, principalmente
de informtica, internet y telecomunicaciones.
Ataque.- Es un mtodo por el cual un individuo, mediante un sistema informtico, intenta
tomar el control, desestabilizar o daar otro sistema informtico.
Proxy.- Es un equipo intermediario situado entre el sistema del usuario e Internet.
Conmutador.- Es un dispositivo de interconexin de redes de otros dispositivos o
computadoras.
RFC.- La Solicitud de Cambio, es una requisicin formal de Cambio en espera de ser
implementada.
Incidente.- Es un evento, anomala o interrupcin de un servicio de seguridad de la
informacin, inesperado o no deseado, que tienen una probabilidad significativa de
comprometer las operaciones de un sistema y de amenazar la seguridad de la informacin
del mismo.
Criptografa.- Procedimiento que permite asegurar la transmisin de informaciones
privadas por las redes pblicas desordenndola matemticamente.
Anexo B
FACULTAD DE INGENIERIA, CIENCIAS FISICAS Y MATEMATICA
ESCUELA DE CIENCIAS
145
TESIS:SEGURIDADES DE REDES LAN UTILIZANDO SISTEMA DE DETECCION DE

INTRUSOS (IDS)
tem
N
Rubro
Cantidad
Valor Unitario
Valor Rubro
$
RECURSOS HUMANOS
Tutor de Trabajo de Graduacin
0,00
0,00
Tribunal de Trabajo de Graduacin
0,00
0,00
Investigador (Autor de Trabajo de Grado)
0,00
0,00
SUBTOTAL RECURSOS HUMANOS
0,00
RECURSOS MATERIALES
Material de Escritorio:
* Resma de papel
4,00
20,00
* Toner de Tinta B/N
160,00
160,00
* Cartucho a Color
25,00
25,00
300
0,02
6,00
* Internet
400
0,60
240,00
* Fotocopias de Libros
* Copias
Material Bibliogrfico :
300
0,02
6,00
Trascripcin Borrador Trabajo de Grado
0,00
0,00
Empastado del Trabajo de Grado
15,00
90,00
SUBTOTAL RECURSOS MATERIALES
547,00
OTROS
3
* Gastos varios
120,00
120,00
SUBTOTAL OTROS
120,00
TOTAL
667,00
IMPREVISTOS (5%)
TOTAL PRESUPUESTO
33,35
700,35
RESUMEN FINANCIAMIENTO
UCE
(ITEM 1)
EMPRESA
ALUMNO (ITEM 2+3)
$ 0,00
$ 997,80
146
DATOS DEL ALUMNO

Nombre:
CI:
Juan Pablo Ypez

1718261801
Anexo C
MES
MES 1
MES 2
SEMANA DEL MES
1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4
ACTIVIDAD / FECHA
Revisin Bibliogrfica
Seleccin y Formulacin del
Tema
Aspectos Generales
Planeacin estratgica
Ejecucin
Informe de la auditoria
CONCLUSIONES Y
RECOMENDACIONES
Revisin del Trabajo Borrador
Correccin del Informe
Defensa del Trabajo de Grado
147
MES 3
MES 4
MES 5
MES 6

T Uce 0011 96

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

T Uce 0011 96

Caricato da

Copyright:

Formati disponibili

UNIVERSIDAD CENTRAL DEL ECUADOR

FACULTAD DE INGENIERA, CIENCIAS FSICAS Y

TRABAJO DE GRADUACIN PREVIO A LA OBTENCIN DEL

AUTOR: Juan Pablo Ypez Herdoiza

TUTOR: Ing. Jairo Rene Navarro Bustos

Me gustara expresar mi ms profundo y sincero agradecimiento a las personas que con

AUTORIZACIN DE LA AUTORA INTELECTUAL

RESULTADO DEL TRABAJO DE GRADO

Planteamiento del Problema. ........................................................................................ 1

Formulacin del Problema. ........................................................................................... 1

1.3 Interrogantes de la Investigacin. ....................................................................................... 1

Objetivo General. .................................................................................................. 2

Fundamentacin Terica ............................................................................................... 4

Definicin de Auditora ........................................................................................ 4

Normas, Tcnicas, Estndares y Procedimientos de Auditoria ............................. 5

Metodologa COBIT ............................................................................................. 7

Metodologa ITIL ................................................................................................ 12

Norma ISO .......................................................................................................... 14

Seguridades en Firewall ...................................................................................... 16

Marco de trabajo de COBIT ....................................................................................... 21

Requerimientos de Negocio ................................................................................ 21

Descripcin de procesos de COBIT ............................................................................ 22

Priorizacin de procesos de COBIT............................................................................ 23

Comparacin entre COBIT 4.1 y COBIT 5 ................................................................ 24

Relacin entre COBIT 4.1 y ITIL ............................................................................... 26

Relacin entre COBIT 4.1 y ISO 27002 ..................................................................... 33

Alineamiento COBIT 4.1, COBIT 5.0, ITIL y ISO 27002 ......................................... 41

GUIAS DE LOS PROCESOS .............................................................................................53

Gestionar el Riesgo ..................................................................................................... 54

Gestionar la Identificacin y la Construccin de Soluciones...................................... 55

Gestionar los Cambios ................................................................................................ 56

Gestionar la Continuidad ............................................................................................ 57

Gestionar los Servicios de Seguridad.......................................................................... 58

Gestionar la Configuracin ......................................................................................... 59

Gestionar los Problemas ............................................................................................. 60

DETALLE DE CONTROL .................................................................................................61

NIVEL DE MADUREZ ......................................................................................................76

Evaluacin del proceso de Gestionar el Riesgo .......................................................... 77

Evaluacin del proceso de Gestionar la Identificacin y la Construccin de Soluciones

Evaluacin del proceso de Gestionar los Cambios ..................................................... 98

Evaluacin del proceso de Gestionar la Continuidad ............................................... 106

Evaluacin del proceso de Gestionar los Servicios de Seguridad............................. 115

Evaluacin del proceso de Gestionar la Configuracin ............................................ 124

Evaluacin del proceso de Gestionar los Problemas................................................. 132

CONCLUSIONES Y RECOMENDACIONES .................................................................140

Conclusiones ............................................................................................................. 140

Recomendaciones ..................................................................................................... 141

Figura 2.1 Cubo de Cobit ...................................................................................................... 8

Tabla 3.1 (Procesos Escogidos) .......................................................................................... 23

Tabla 6.7(Autoevaluacin de los Cambios) ........................................................................ 98

PROCEDIMIENTOS DE AUDITORIA PARA DISPOSITIVOS DE DEFENSA

En el presente trabajo se trata de informar y orientar al lector en todo lo que

DESCRIPTORES: AUDITORIA DE LAS REDES LAN / COBIT / ITIL / ISO /

AUDIT PROCEDURES FOR DEFENSE NETWORK DEVICES LAN

WORDS: AUDIT NETWORK LAN / COBIT / ITIL / ISO / ASSURANCES OF

TTULO DEL TRADUCTOR

Porqu es importante tener procedimientos de auditora en los dispositivos de

Es necesario tener un plan contingencia ante las posibles eventualidades?

Los dispositivos de proteccin de la red cumplen con los procedimientos de

Es beneficioso realizar una planificacin a los sistemas de defensa

1.4 Objetivos de la Investigacin.

1.4.2. Objetivos Especficos.

confidencialidad, disponibilidad e integridad en los dispositivos de defensa.