Foro 1

Buenas noches Profesora y compañeros

COBIT (Control Objectives for Information Systems and Related Technology, en español Objetivos
de Control para Sistemas de Información y Tecnologías Relacionadas) es un marco de trabajo para
el gobierno y la gestión de empresas de tecnología de información, que consolida y armoniza
estándares de fuentes globales prominentes en un recurso crítico para la gerencia. Es un modelo
para auditar la gestión y control de los sistemas de información y tecnología, orientado a todos los
sectores de una organización, es decir, administradores IT, usuarios y, por supuesto, los auditores
involucrados en el proceso.

Buenas noches Profesora y compañeros

Los 5 principios básicos.

1. Satisfacción de las necesidades de las partes interesadas. Las necesidades de las partes interesadas deben
ser transformadas en una estrategia accionable para la organización. Las metas en cascada de COBIT traducen
las metas corporativas de alto nivel en otras metas más manejables, específicas, relacionadas con TI y
mapeándolas con procesos y prácticas específicas.

2. Cobertura de toda la empresa. Las organizaciones deben de cambiar su visión, con el objetivo de
considerar el área de tecnologías de la información como un activo y no un costo. Los directivos deben tomar
la responsabilidad de gobernar y gestionar los activos relacionados con las tecnologías de la información
dentro de sus propias funciones.

3. Aplicación de un marco de referencia único e integrado. Hay muchos estándares y mejores prácticas
relacionadas con tecnologías de la información, cada uno de los cuales suministra orientación con respecto a
un subconjunto de actividades de tecnologías de la información. COBIT se alinea con otros estándares y
marcos relevantes a un nivel alto y, de este modo, puede servir como el marco de referencia global para la
gestión y el gobierno de tecnologías de la información de la empresa.

4. Habilitación de un enfoque holístico. El gobierno de tecnologías de la información de la empresa requiere

de un enfoque holístico que tome en cuenta muchos componentes, también conocidos como habilitadores. Los
habilitadores influyen en que algo vaya a funcionar o no. COBIT incluye siete habilitadores para mejorar el
gobierno de tecnologías de la información, como los principios, las políticas y marcos, los procesos, la
cultura, la información y la gente.

5. Separación de gobierno y gestión. El gobierno asegura que se evalúen las necesidades, condiciones y
opciones de las partes interesadas para determinar objetivos equilibrados y acordados; se determine la
dirección a través de la priorización y la toma de decisiones; y se monitoree el desempeño y cumplimiento en
relación con la dirección y los objetivos acordados. La gerencia planifica, construye, ejecuta y monitorea
actividades en alineación con la dirección establecida por el órgano de gobierno para alcanzar los objetivos de
la empresa.

Saludos.
Foro 1-2

Buenas noches profesora y compañeros

De acuerdo a lo indicado por Peña (2012), los lineamientos y estándares internacionales conocidos como
COBIT, definen un marco de referencia que clasifica los procesos de las unidades de tecnología de
información de las organizaciones en cuatro dominios principales:

1. Planificación y organización: abarca las directrices, tácticas y forma en que la tecnología de información
ayuda al logro de la visión estratégica planeada, comunicada y administrada desde las diferentes perspectivas
del negocio y consecución de los objetivos estratégicos.

2. Adquisición e implantación: para ejecutar la estrategia de tecnologías de la información, las soluciones

deben ser identificadas, desarrolladas o adquiridas, además de implementadas e integradas dentro del proceso
de negocio. Este dominio cubre cambios o mantenimientos realizados a sistemas existentes.

3. Soporte y servicios: abarca los servicios requeridos desde operaciones tradicionales hasta el
entrenamiento, tomando en cuenta la seguridad y aspectos de continuidad. Para la definición de servicios se
deben establecer los procesos de soporte necesarios.

4. Monitoreo: todos los procesos deben ser evaluados constantemente para verificar su calidad y suficiencia
en cuanto a los requerimientos de control.

Saludos.

Foro 2

Buenas noches profesora y compañeros

IT

La Biblioteca de Infraestructura de Tecnologías de Información (IT Infrastructure Library, ITIL) fue

desarrollada por el gobierno del Reino Unido a mediados de la década de 1980, y se ha convertido 14 ESTE
DOCUMENTO CONTIENE LA SEMANA 2 en un estándar de facto para las mejores prácticas en la
provisión de gestión de infraestructura de tecnologías de la información y prestación de servicios. ITIL
proporciona una serie de referencias prácticas y normas específicas que son adaptables prácticamente a
cualquier organización. En su versión 3, consta de 5 libros basados en el ciclo de vida del servicio:

1. Estrategia del servicio.

2. Diseño del servicio.
3. Transición del servicio
4. Operación del servicio
5. Mejora continua del servicio.

ISO 27001
 Desde su creación en 1947, la Organización Internacional de Normalización (International
Organization for Standarization, ISO) ha creado una serie de normas para la gestión de la seguridad
de las redes, desarrollo de software y control de calidad, entre otras.

Según el portal de ISO27000.es (s. f.), existen tres términos que constituyen la base de la seguridad
de la información:

1. Confidencialidad
2. Integridad
3. Disponibilidad

Saludos.

Buenas noches profesora y compañeros

Familia de normas de la ISO 27000:

 ISO 27001: especifica los requisitos para la implantación del SGSI.
 ISO 27002: código de buenas prácticas para la gestión de seguridad de la información.
 ISO 27003: directrices para la implementación del SGSI.
 ISO 27004: métricas para la gestión de seguridad de la información.
 ISO 27005: gestión de riesgo en seguridad de la información.
 ISO 27006: requisitos para acreditación de organizaciones que proporcionan
certificaciones de SGSI.
 ISO 27007: es una guía para auditar al SGSI.
 ISO 27799: es una guía para implementar ISO 27002 en la industria de la salud.
 ISO 27035: actividades de detección, reporte y evaluación de incidentes de seguridad y
sus vulnerabilidades.

La norma ISO 27001 establece 133 controles en 11 áreas de la disciplina de la seguridad de

la información. De acuerdo a Davis y Schiller (2011), las 11 áreas son las siguientes:
 Política de seguridad.
 Organización de la seguridad de la información.
 Gestión de activos.
 Seguridad de los recursos humanos.
 Seguridad física y ambiental.
 Comunicaciones y gestión de operaciones.
 Control de acceso.
 Adquisición, desarrollo y mantención de sistemas.
 Gestión de incidentes de seguridad de la información.
 Gestión de la continuidad del negocio.
 Cumplimiento.
Saludos.