Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Elaborado por:
1. Introducción...........................................................................................................................................3
2. Buenas practicas en la gestión de servicios de TI..................................................................................5
2.1 ITIL.................................................................................................................................................6
2.2 COBIT.............................................................................................................................................6
2.3 CMMI-SVC.....................................................................................................................................7
2.4 ISO 20000........................................................................................................................................8
2.5 Beneficios del uso de buenas practicas en la gestión de servicios de TI.........................................8
3. Gestión de servicios de negocio (BSM).................................................................................................9
3.1 Beneficios de implementar BSM..................................................................................................10
4. Seguridad informática..........................................................................................................................11
4.1 Análisis y gestión de riesgos.........................................................................................................12
4.1.1 Gestión de continuidad del negocio (BCM)...........................................................................14
4.1.2 Gestión de la continuidad del servicio de TI (ITSCM)..........................................................14
4.2 Seguridad perimetral y de punto final...........................................................................................14
4.3 Riesgos legales..............................................................................................................................15
4.4 Delitos informáticos......................................................................................................................16
Victor Alfonso Fontalvo Ardila
Ingeniero Electrónico
Aspirante a Máster en seguridad Informática
1. Introducción
La dinámica del mercado actual ha hecho que las organizaciones tengan que adaptarse a
las diversas necesidades que demandan los clientes los cuales cada día suben sus
expectativas respecto a los productos y servicios que reciben. Esto ha provocado que las
organizaciones deban mejorar la eficacia y la eficiencia en la prestación de servicios
mediante la mejora de sus procesos de negocio.
Es evidente que en la actualidad las tecnologías de la información (TI) juegan un rol
fundamental en los diversos procesos de negocio de la gran mayoría de las
organizaciones razón por la cual las TI deben verse como un activo estratégico y no solo
como un activo operativo.
Para garantizar el uso eficiente de los recursos informáticos y convertir las TI en un activo
estratégico, se deben implementar buenas practicas en la gestión de los servicios de TI
que están definidas por diversos marcos de trabajo como ITIL, CMMI o normas
internacionales como la ISO 20000. Solo de esta manera las organizaciones encontraran
el camino de la mano de las TI hacia la mejora continua de sus procesos y servicios.
Aun cuando son muchas las ventajas que las organizaciones obtienen mediante el uso de
las TI, hay que considerar que su uso implica riesgos que deben ser gestionados mediante
las diversas técnicas, marcos de trabajo y normas internacionales existentes en seguridad
informática que garanticen que las TI sean un aliado en la consecución de los objetivos de
negocio. En caso de no gestionar debidamente los riesgos generados por el uso de las TI,
estas se convertirán mas en un problema que en una solución para la organización.
3 de 16
Victor Alfonso Fontalvo Ardila
Ingeniero Electrónico
Aspirante a Máster en seguridad Informática
Dentro de una organización el área de TI debe verse como un proveedor 1 de los servicios
de TI2 necesarios para la consecución de los objetivos de negocio. Estos servicios deben
tener la capacidad de adaptarse a los cambios, ser fiables, consistentes, de alta calidad y
a costos aceptables y coherentes con la realidad de la organización.
Puesto que “la calidad de un sistema o un producto está altamente influenciada por la
calidad del proceso empleado para desarrollarlo y mantenerlo 3” se debe evitar que el área
de TI opere de forma improvisada fuera de los marcos de trabajo estandarizados
mencionados anteriormente. Todo esto con el fin de entregar servicios eficaces y eficientes
a los usuarios internos y externos.4
1 Los servicios de TI pueden ser proporcionados por el área de TI interna de la organización o por prestadores de servicios
externos (outsourcing).
2 Los servicios de TI pueden ser tan diversos como: Internet, VPN's, servidor de aplicaciones, sistema de información
(ERP), Conexiones remotas a bases de datos, seguridad informática, etc.
3 Carnegie Mellon. (2013). CMMI para Servicios, Versión 1.3. España: CMMI Institute.
4 Los clientes externos son los funcionarios de la organización y los externos los clientes.
4 de 16
Victor Alfonso Fontalvo Ardila
Ingeniero Electrónico
Aspirante a Máster en seguridad Informática
pero el personal que entrega y el que hace uso de los servicios de TI no se rige por los
procedimientos establecidos en los modelos estándar, son escenarios en los que se
obtendrán servicios de TI deficientes que dificultan alcanzar los resultados deseados.
2.1 ITIL
Desarrollada a finales de 1980, la Biblioteca de Infraestructura de Tecnologías de la
Información (ITIL1) se ha convertido en el estándar mundial de de facto en la Gestión de
Servicios Informáticos. Iniciado como una guía para el gobierno de UK, la estructura base
ha demostrado ser útil para las organizaciones en todos los sectores a través de su
adopción por innumerables compañías como base para consulta, educación y soporte de
herramientas de software. Hoy, ITIL es conocido y utilizado mundialmente. Pertenece a la
OGC, pero es de libre utilización.
ITIL fue desarrollada al reconocer que las organizaciones dependen cada vez más de la
Informática para alcanzar sus objetivos corporativos. Esta dependencia en aumento ha
dado como resultado una necesidad creciente de servicios informáticos de calidad que se
correspondan con los objetivos del negocio, y que satisfagan los requisitos y las
expectativas del cliente. A través de los años, el énfasis pasó de estar sobre el desarrollo
de las aplicaciones TI a la gestión de servicios TI. La aplicación TI (a veces nombrada
como un sistema de información) sólo contribuye a realizar los objetivos corporativos si el
sistema está a disposición de los usuarios y, en caso de fallos o modificaciones
necesarias, es soportado por los procesos de mantenimiento y operaciones.
2.2 COBIT
Cobit2 es un conjunto de mejores prácticas para el manejo de información creado por la
Asociación para la Auditoría y Control de Sistemas de Información (ISACA), y el Instituto
de Administración de las Tecnologías de la Información (ITGI) en 1992.
Cobit es un marco de referencia para la dirección de IT, así como también de herramientas
5 de 16
Victor Alfonso Fontalvo Ardila
Ingeniero Electrónico
Aspirante a Máster en seguridad Informática
de soporte que permite a la alta dirección reducir la brecha entre las necesidades de
control, cuestiones técnicas y los riesgos del negocio. Cobit permite el desarrollo de
políticas claras y buenas prácticas para el control de TI en las organizaciones. Cobit
enfatiza el cumplimiento normativo, ayuda a las organizaciones a aumentar el valor
obtenido de TI, facilita su alineación y simplifica la implementación del marco de referencia
de Cobit.
2.3 CMMI-SVC
El modelo de CMMI1 para servicios es un modelo de capacidad que ofrece el marco de
referencia adecuado para administrar y entregar los servicios ofertados, proporcionando
guía para aplicar las mejores prácticas en una organización que provee servicios.
El modelo de CMMI-SVC cubre las actividades requeridas para establecer, entregar y
administrar uno o varios servicios.
6 de 16
Victor Alfonso Fontalvo Ardila
Ingeniero Electrónico
Aspirante a Máster en seguridad Informática
de referencia que proporcione guía para desarrollar y mejorar las prácticas de provisión de
servicios de las organizaciones como un medio para mejorar la satisfacción del cliente, el
desempeño y la rentabilidad de las organizaciones que proveen servicios.
7 de 16
Victor Alfonso Fontalvo Ardila
Ingeniero Electrónico
Aspirante a Máster en seguridad Informática
organización.
• Se garantiza el cumplimiento de las regulaciones existentes en el área de TI.
• Se logra una mayor flexibilidad lo que permite la introducción de cambios en el
negocio a la velocidad que el cliente necesita.
• Se minimiza el impacto sufrido por la empresa y sus clientes ante fallas inesperadas
en el servicio.
• La toma decisiones se realiza con base en indicadores de negocio y de TI.
• Al tener servicios de TI mas eficientes, se aumenta la satisfacción del cliente.
8 de 16
Victor Alfonso Fontalvo Ardila
Ingeniero Electrónico
Aspirante a Máster en seguridad Informática
2 KPI (Key Performance Indicator) es una medida del nivel del desempeño de un proceso.
9 de 16
Victor Alfonso Fontalvo Ardila
Ingeniero Electrónico
Aspirante a Máster en seguridad Informática
4. Seguridad informática
El uso de tecnologías de la información y comunicaciones (TIC) supone unos beneficios
evidentes para todos; pero también da lugar a ciertos riesgos que deben gestionarse
prudentemente con medidas de seguridad que sustenten la confianza de los usuarios de
los servicios.
“La seguridad no es una disciplina de todo o nada. No existen sistemas 100% seguros.
Cotidianamente realizamos innumerables acciones expuestas a diferentes riesgos:
conducimos el auto, montamos bici, volamos en avión, conducimos el auto por la noche,
bebemos el agua del grifo, pagamos con tarjeta de crédito en el restaurante, en fin, son
tantas las cosas que hacemos sujetas a riesgos que no podrían enumerarse todas. Y a
pesar de todo, las seguimos haciendo. Sabemos que podemos tener un accidente en el
auto, pero confiamos en nuestra pericia como conductores, en la tecnología de los
modernos automóviles, en las carreteras y hasta nos confiamos del que viene de frente.
Ponerse el cinturón o llevar un airbag de serie no evitará un accidente, pero mitigara el
daño en caso de producirse. No beber antes de conducir o circular de día puede reducir el
1 El outsourcing es un sistema de contratación externa de servicios y procesos que no hacen parte del core principal del
negocio, que permite a las empresas la concentración de los esfuerzos en las actividades esenciales a fin de obtener
competitividad y resultados tangibles.
10 de 16
Victor Alfonso Fontalvo Ardila
Ingeniero Electrónico
Aspirante a Máster en seguridad Informática
Los sistemas informáticos están expuestos a amenazas de todo tipo. Primero se deben
identificar, para poder evaluarlas y decidir que medidas de seguridad se adoptarán para
mitigar el riesgo que suponen. Decidir si vale la pena implantar una contramedida o si es
mejor aceptar el riesgo tal cual. Eliminar el riesgo por completo es Imposible. Se puede
reducir a niveles aceptables, que permitan convivir con él 1”.
Por medio del análisis de riesgos, una organización obtiene el conocimiento de a que está
1 Marañón, G. Á., & García, P. P. P. (2004). Seguridad informática para empresas y particulares. McGraw-Hill
Interamericana de España.
11 de 16
Victor Alfonso Fontalvo Ardila
Ingeniero Electrónico
Aspirante a Máster en seguridad Informática
expuesta, le permite identificar los riesgos que le podrían impedir lograr sus objetivos de
negocio, determinando su magnitud e identificando las áreas que requieren medidas de
salvaguarda1 o controles en función del riesgo detectado.
El análisis de riesgos permite determinar cómo es, cuánto vale y que tan protegido se
encuentra el sistema. En coordinación con los objetivos, estrategia y política de la
Organización, las actividades de tratamiento de los riesgos permiten elaborar un plan de
seguridad que, implantado y operado, satisfaga los objetivos propuestos con el nivel de
riesgo que acepta la Dirección. Al conjunto de estas actividades se le denomina Proceso
de Gestión de Riesgos.
Este esquema de trabajo debe ser repetitivo pues los sistemas de información rara vez
son inmutables; más bien se encuentran sometidos a evolución continua tanto propia
(nuevos activos) como del entorno (nuevas amenazas), lo que exige una revisión periódica
en la que se aprende de la experiencia y se adapta al nuevo contexto.
Para realizar el proceso de análisis y gestión de riesgos se pueden utilizar como referencia
marcos de trabajo como MAGERIT2 o normas internacionales como la ISO 31000 3.
A continuación se describen dos procesos que están directamente relacionados con el
1 Salvaguarda: mecanismos utilizados para mitigar los riesgos que implica una amenaza.
2 MAGERIT: Es una metodología de análisis y gestión de riesgos de los Sistemas de Información elaborada
por el Consejo Superior de Administración Electrónica para minimizar los riesgos de la implantación y uso de las
Tecnologías de la Información.
3 ISO 31000: El propósito de la norma ISO 31000:2009 es proporcionar principios y directrices para la gestión de
riesgos y el proceso implementado en el nivel estratégico y operativo.
12 de 16
Victor Alfonso Fontalvo Ardila
Ingeniero Electrónico
Aspirante a Máster en seguridad Informática
1 SGCN: Sistema de gestión de continuidad del negocio, actualmente basado en la norma ISO 22301.
2 Bon, J. van, Jong, A. de, Kolthof, A., Pieper, M., Tjassing, R., Veen, A. van der, & Verheijen, T. (2008). Fundamentos de
ITIL®. Van Haren.
3 Bruce Scheneier, “Secrets And Lies. Digital Security In a Networked World”, 2000.
13 de 16
Victor Alfonso Fontalvo Ardila
Ingeniero Electrónico
Aspirante a Máster en seguridad Informática
puesto que es la frontera entre una red “segura” (la de la organización) y una red no
segura (Internet), en la cual se mueven muchos agentes maliciosos que tienen como
objetivo ingresar de forma no autorizada en las organizaciones principalmente con fines
económicos. Para entender mejor este concepto hagamos la analogía con nuestro hogar
que sera nuestra red privada y el exterior es la red publica (Internet). En los tiempos en
que vivimos el dejar las puertas abiertas puede constituir un problema de seguridad puesto
que intrusos pueden ingresar en nuestro hogar y apropiarse de nuestras pertenencias.
Para solucionar este problema pues aseguramos nuestro hogar con una puerta y ventanas
seguras que aseguren nuestro hogar que es seguro del exterior que es inseguro. Lo
mismo pasa en nuestra red de trabajo, debemos asegurarnos de dar seguridad a nuestro
perímetro para lo que podemos utilizar diversas soluciones como son: Firewalls, IDS, IPS,
VPN, etc o dispositivos como los UTM's que integran todos los anteriores.
La seguridad de punto final son aquellas medidas que se toman para asegurar los equipos
de computo frente a las diversas amenazas que puedan surgir. A diferencia de la
seguridad perimetral que protege el perímetro de la red, la seguridad de punto final se
encargada de dar seguridad dentro de ese perímetro es decir dentro de la red.
Supongamos que un funcionario de la organización, introduce una memoria usb que esta
infectada con algún agente malicioso, los equipos de seguridad perimetral no tendrán
como detectar esa amenaza puesto que solo se encargan de vigilar el perímetro, es
entonces cuando entran en juego las medidas de protección de punto final como pueden
ser los antivirus, antimalware, aplicaciones firewall, etc.
14 de 16
Victor Alfonso Fontalvo Ardila
Ingeniero Electrónico
Aspirante a Máster en seguridad Informática
15 de 16
Victor Alfonso Fontalvo Ardila
Ingeniero Electrónico
Aspirante a Máster en seguridad Informática
16 de 16