Este documento presenta una propuesta para implementar un gobierno de tecnología en una empresa comercial que vende productos y servicios a través de un portal web. Se describe el marco conceptual de la empresa, sus objetivos, valores y estrategias. Se propone implementar el marco COBIT para gobernanza TI e ITIL para gestión de servicios de TI. Finalmente, se discuten los requisitos y certificaciones necesarias para los miembros del equipo de trabajo.
Implementación Gobierno Tecnología Empresa Comercio Electrónico
1. MOMENTO NO. 3 - DESARROLLO DE LA ACTIVIDAD PRÁCTICA -
PROYECTO DE ANÁLISIS DE VULNERABILIDADES DE SEGURIDAD DE
LA INFORMACIÓN Y PROPUESTA DE SOLUCIÓN
Henry Jiménez Rosero
Andrés Orlando Rodríguez Santacruz
Universidad Nacional Abierta y a Distancia - UNAD
Escuela de Ciencias Básicas, Tecnología e Ingenierías
Especialización en Seguridad Informática
Modelos y Estándares de Seguridad Informática - Cód. 233002
Grupo Colaborativo No. 14
Colombia
hjimenezr@unad.edu.co
aorodriguezs@unad.edu.co
2. 2
1. INTRODUCCIÓN
Con el presente trabajo, el grupo colaborativo No. 14 pretende analizar el
caso de estudio propuesto por nuestro Tutor en la guía de la actividad No.
3, con el fin de plantear una propuesta de implementación de gobierno
de tecnología para una entidad comercial que vende productos y
servicios a través de su portal web, teniendo en cuenta su estructura
organizacional y su contexto comercial actual.
Lo anterior, a partir de la aplicación de los conceptos estudiados en el
módulo del curso de Modelos y Estándares en Seguridad Informática y en
el material complementario disponible en el aula virtual de la asignatura,
en los cuales se nos instruye acerca de los modelos y estándares aplicados
dentro de un sistema de gestión de seguridad informática, el concepto de
gobierno de tecnología, las certificaciones existentes dentro de esta
importante área de la ingeniería de sistemas y por último, la definición de
hacking ético y sus principales características.
UNAD - Modelos y estándares de Seguridad
Informática - Momento No. 3
3. 3
OBJETIVOS
UNAD - Modelos y estándares de Seguridad
Informática - Momento No. 3
2.1. Objetivo General
Realizar una propuesta para la implementación del gobierno de tecnología en una entidad
comercial que vende productos y servicios a través de su portal web.
2.2. Objetivos específicos.
• Definir el marco conceptual de la entidad comercial virtual.
• Establecer la estrategia más adecuada para la implementación del gobierno de tecnología
dentro de la entidad comercial virtual.
• Seleccionar el marco de trabajo para la implementación del gobierno de tecnología
dentro de la entidad comercial virtual.
• Determinar los tipos de certificaciones que deben tener los miembros del grupo de
trabajo dentro del proyecto de implementación del gobierno de tecnología dentro de la
entidad comercial virtual.
• Caracterizar el perfil profesional de un experto externo en hacking ético, para ser
contratado por la entidad para evaluar su seguridad informática.
4. UNAD - Modelos y estándares de Seguridad
Informática - Momento No. 3 4
5. 1.1 Misión: (La misión define principalmente, cual es nuestra labor o actividad
en el mercado): Proveer un portal web ágil, robusto, eficiente y seguro la para la
venta de servicios y productos de software.
1.2. Visión: (La visión define las metas que pretendemos conseguir en el
futuro): Posicionarse dentro de las cinco mejores empresas de servicios y
productos enfocados al comercio electrónico.
UNAD - Modelos y estándares de Seguridad
Informática - Momento No. 3 5
1.3. Valores:
•Liderazgo: Esforzarse en dar forma a mejores servicios.
•Integridad: Ser transparentes a las transacciones.
•Rendir cuentas: Ser responsables.
•Pasión: Estar comprometidos con el corazón y con la mente.
•Diversidad: Contar con un amplio abanico de productos y servicios.
•Calidad: Búsqueda de la excelencia. Basados en nuestra Doctrina Institucional
enmarcada en Principios y Valores, en nuestro Direccionamiento Estratégico
del Séptimo Quinquenio “Sustentabilidad” que nos conducirá a la equidad
social, equilibrio ambiental y crecimiento económico, nos comprometemos a
satisfacer las necesidades, expectativas y compromisos con nuestros grupos
sociales.
6. UNAD - Modelos y estándares de Seguridad
Informática - Momento No. 3 6
1.4. Política:
Proveer una doctrina institucional basada en valores y servicio al cliente que permita
comprometernos a satisfacer los requerimientos de las empresas y personas que hacen
parte de nuestro público objetivo.
1.5. Objetivos:
• El cumplimiento de las leyes de la República de Colombia, la normatividad aplicable a
nuestra actividad económica y la normativa institucional.
• El mejoramiento continúo mediante el estándar ISO 9001.
• Las buenas prácticas de Gobierno Corporativo y de responsabilidad social empresarial.
• La implementación de controles para blindar a la Compañía de actividades ilícitas.
• La gestión integral de riesgos orientada a prevenir hechos que afecten la información, la
infraestructura de la Compañía y la continuidad del proceso de negocio.
• La ejecución de las normas y modelos de seguridad de la información garantizando su
confidencialidad, integridad y disponibilidad.
• La disponibilidad de los recursos necesarios para el cumplimiento de la presente
política.
• Promover el uso de los productos y servicios entregados por la compañía.
7. UNAD - Modelos y estándares de Seguridad
Informática - Momento No. 3 7
1.6. Estrategias:
• Modernizar los sistemas de gestión, empleando una plataforma propia y
segura dentro de los estándares de seguridad internacionales.
• Fidelizar a los clientes (trato personalizado, facilidades de pago), añadiendo
novedades tecnológicas a precios asequibles para cualquier empresa: tarjetas de
puntos por compras y ventas (al estilo de las de las gasolineras), boletines o
newsletters online. Servicios para estar en contacto con los clientes habituales y
hacerles llegar ofertas, promociones y las posibilidades del WhatsApp.
• Excelencia en la atención al cliente: puede sin duda, convertirse en una de las
principales ventajas competitivas de los servicios prestados ya que la gente
aprecia la cercanía y los buenos consejos.
• Especialización e Innovación en producto y servicio: No todo está inventado,
se trata de introducir algún matiz, alguna mejora o novedad diferenciadora.
Tanto en el servicio como en los productos.
• Garantizar la seguridad de las compras y de la información de los clientes
mediante una plataforma segura que considere todos los riesgos y amenazas
existentes en un sistema de información.
8. 1.7. Tecnologías Empleadas en la empresa:
• El broker de la empresa está escrito completamente en lenguaje JAVA, sobre
un contenedor de aplicaciones Glassfish.
• Los servidores del dominio propio ejecutan el sistema operativo Ubuntu
Server. De la misma forma se utiliza una plataforma comercial propia que
garantiza la seguridad de las transacciones y la información de usuario.
UNAD - Modelos y estándares de Seguridad
Informática - Momento No. 3 8
1.8. Servicios:
• Ofrece a las empresas la oportunidad de vender y comprar insumos mediante
nuestra plataforma virtual, la cual está alineada con los principales estándares
de seguridad.
• Ofrece a personas naturales la oportunidad de vender bienes mediante la
plataforma virtual.
• Vende servicios informáticos tales como hosting, correo electrónico.
• Vende productos de software tales como gestores de proyectos, gestores de
calidad.
• Vende servicios de desarrollo de aplicaciones de software para servidor hecho a
la medida.
9. UNAD - Modelos y estándares de Seguridad
Informática - Momento No. 3 9
10. UNAD - Modelos y estándares de Seguridad
Informática - Momento No. 3 10
11. Lo primero, es describir a la gerencia o junta directiva los beneficios
económicos o valor agregado que un Gobierno de TI ofrecería a la
empresa este puede ser el punto de entrada estratégico que garantice
la implementación del sistema o framework en el caso de Cobit.
Se debe también enfatizar en que un gobierno de TI, no solo
optimizaría el uso de los recursos tecnológicos sino que además se
garantizaría la seguridad de los datos de negocio y de clientes, además
permitiría seguir las operaciones o adicionar trazabilidad mediante el
uso de indicadores.
Enfatizar que un Gobierno de TI debe ser sostenible, en la medida que
su implementación permite dar un valor agregado al negocio.
Permitirá además establecer roles y responsabilidades en el
aseguramiento de la calidad, de la operación y del servicio al cliente
en su interacción con el sistema informático.
UNAD - Modelos y estándares de Seguridad
Informática - Momento No. 3 11
12. UNAD - Modelos y estándares de Seguridad
Informática - Momento No. 3 12
13. UNAD - Modelos y estándares de Seguridad
Informática - Momento No. 3 13
14. El marco de gobernanza de T. I. COBIT está enfocado en el control de objetivos,
metas y resultados permitiendo la comunicación de esta información con los
propietarios del proceso, enfocado mas al manejo del riesgo, manejo de riesgos y
a medidas de desempeño, siendo una herramienta que le permitirá a esta
empresa controlar su modelo de negocio a nivel técnico, minimizando los
riesgos para su estructura organizacional, mediante la definición de unas
políticas claras y las mejores prácticas que garantizan el control de todos los
procesos y servicios ofertados por esta.
COBIT hace énfasis en el cumplimiento normativo y ayuda a una organización a
magnificar el valor de su infraestructura de tecnología, facilitando su alineación
y simplificando su implementación. Su propósito es brindar a los directivos de la
organización una tecnología de información que aporta valor al modelo de
gobierno a partir de la comprensión de los riegos asociados a este proceso y su
gestión. Además, ayuda a acortar diferencias entre los requerimientos del
negocio, las necesidades de control y las situaciones de tipo técnico. De esta
manera, obtenemos un modelo de control que satisface las necesidades de
gobierno de tecnología dentro de la organización y garantiza la integridad de sus
sistemas de información.
UNAD - Modelos y estándares de Seguridad
Informática - Momento No. 3 14
15. Por otra parte esta ITIL el cual ofrece un marco de trabajo de mejores prácticas para
manejar servicios de tecnología. Está conformado por cinco estrategias principales:
• Estrategia de servicio: Se enfoca en los objetivos del negocio y sus expectativas
asegurando una estrategia adecuada.
• Diseño de servicios: Inicia con un conjunto de cambios en los requerimientos de negocio
y termina con una solución que documente estas necesidades.
• Transición de servicios: Se enfoca en el manejo del cambio, de riesgos y de la calidad,
asegurando que durante el despliegue del servicio, su funcionamiento será soportado por
la infraestructura de forma controlada.
• Operación del servicio: Trata de que la operación se vuelva usual y sea fácilmente
comprendido en el entorno de producción.
• Operación continúa del servicio: La mejora continua del servicio provee una vista de su
funcionalidad y de sus posibles mejoras o de los procesos involucrados durante su
operación.
Debido al enfoque a servicios y a su control y gestión se escoge este marco de trabajo como
el idóneo para el caso en estudio.
UNAD - Modelos y estándares de Seguridad
Informática - Momento No. 3 15
16. Además, el marco de gobernanza ITIL provee los siguientes beneficios.
• Mejora la reutilización de recursos.
• Es más competitivo.
• Decremento del re-trabajo.
• Elimina el trabajo redundante.
• Mejora los debates respecto a un proyecto
• Mejora la viabilidad, confiabilidad y seguridad de servicios de misión
critica.
• Justifica el costo por la calidad del servicio
• Provee servicios dentro de las necesidades del negocio, del consumidor
y de las demandas del usuario.
• Integra procesos centrales.
• Documenta y comunica roles y responsabilidades en la provisión del
servicio.
• Aprende de la experiencia previa.
• Provee indicadores de desempeño demostrables.
UNAD - Modelos y estándares de Seguridad
Informática - Momento No. 3 16
17. UNAD - Modelos y estándares de Seguridad
Informática - Momento No. 3 17
18. Itil Foundations: Permite un conocimiento básico del framework y de
cómo puede ser usado para mejorar la calidad de los servicios. Por otra
parte las personas encargadas de la implementación y de la posterior
operación continúa Deben poseer un grado más avanzado en
conocimientos del framework y de la teoría de Gobierno de IT Para esto
será requerida la certificación en Itil intermediate o expert.
Itil Intermediate: Esta certificación ofrece una estructura modular
enfocada en el core de ITlL como tal: Estrategia del servicio, Diseño del
servicio, Transición del servicio, Operación del servicio y mejora
continúa del servicio.
Certificación en CGIT o CISSP: La persona líder del proceso de
implementación del gobierno de TI deberá tener competencias
superiores que involucren las anteriores pero que mantenga el norte
respecto a los lineamientos de la empresa y del gobierno de TI.
UNAD - Modelos y estándares de Seguridad
Informática - Momento No. 3 18
19. Curso en Sistemas de gestión de la seguridad de la información (SGSI) y
Tic´s: Dictado por el Instituto Colombiano de Normas Técnicas (ICONTEC). En
este módulo, el ICONTEC busca que los asistentes adquieran los conocimientos
y herramientas que les permitan implementar un SGSI, teniendo como base las
versiones más recientes de las normas técnicas internacionales conocidas como
“la familia ISO 27000”, específicamente las normas ISO/IEC 27000, ISO/IEC
27001, ISO/IEC 27002, ISO/IEC 27003, ISO/IEC 27004, ISO/IEC 27005 e ISO/IEC
27006.
Certificación Lead Auditor ISO: 27001. Este curso en nuestro país es ofertado
por la Fundación de Egresados de la Universidad Distrital (FEUD), en asocio con
The Professional Evaluation and Certification Board (PECB), órgano reconocido
internacionalmente para certificación de profesionales en torno a varios
estándares internacionales, incluyendo ISO 9001, ISO 14001, ISO/IEC 20000,
ISO 22301, ISO/IEC 27001, ISO/IEC 27005, OHSAS 18001, ISO 22000, ISO 26000
e ISO 28000, certificado por el Instituto Nacional Estadounidense de Estándares
(ANSI®) que supervisa el desarrollo de estándares para productos, servicios,
procesos y sistemas en los Estados Unidos.
UNAD - Modelos y estándares de Seguridad
Informática - Momento No. 3 19
20. UNAD - Modelos y estándares de Seguridad
Informática - Momento No. 3 20
21. • Trabajo en equipo
• Capacidad de comunicación asertiva y efectiva tanto a nivel
escrito como verbal.
• Análisis y toma de decisiones ante situaciones no resueltas.
• Capacidad de análisis.
• Capacidad de síntesis, es decir llegar a conclusiones tras el
análisis de una serie de datos.
• Inteligencia emocional
• Integridad
• Motivación para desempeñar actividades asignadas con
responsabilidad y entusiasmo
• Dominio del Inglés.
UNAD - Modelos y estándares de Seguridad
Informática - Momento No. 3 21
22. Debe poseer conocimientos de normativas, metodologías, estándares y
legislación vigente:
• Normativas y estándares de Seguridad de TI: Normas ISO, 27000, NIST, ITIL
,etc.
• Metodologías de análisis de riesgos.
• Metodologías de intrusión.
• Análisis Forense y evidencias electrónicas.
• Metodologías de desarrollo: Métrica, etc.
Además debe poseer conocimientos en:
• Sistemas operativos (Linux, Unix) a nivel de usuario avanzado.
• Telecomunicaciones
• Conocimientos en redes.
• Conocimientos de hardware y software.
•Administración de bases de datos.
UNAD - Modelos y estándares de Seguridad
Informática - Momento No. 3 22
23. 5. BIBLIOGRAFÍA
Autores varios. Manual de seguridad informática (2009).
Centro Europeo de Empresas e Innovación (2010). Sistema de Gestión de Seguridad de la
Información, ISO 27001 - Formación SGSI.
Constaín Moreno, Gustavo Eduardo (2014). Guía Integradora de la asignatura de Modelos y
Estándares de Seguridad Informática. UNAD - programa de Especialización en Seguridad
Informática.
Constaín Moreno, Gustavo Eduardo; Ramírez Villegas, Gabriel Mauricio (2014). Módulo de
la asignatura de Modelos y Estándares de Seguridad Informática. UNAD - programa de
Especialización en Seguridad Informática.
Fundación de Egresados de la Universidad Distrital (2014). Curso Auditor Líder ISO 27001.
Disponible en: http://www.egresadosudistrital.edu.co/index.php/capacitaciones/normas-tecnicas/
c-auditor-lider-iso-27001-por-pecb.
http://gsticperu.blogspot.com/2013/02/como-implementar-gobierno-de-ti-en-los.html
http://robertoespinosa.es/2012/10/14/como-definir-mision-vision-y-valores-en-la-empresa/
UNAD - Modelos y estándares de Seguridad
Informática - Momento No. 3 23
24. 5. BIBLIOGRAFÍA
http://www.cio.com/article/2395122/e-commerce/5-best-ecommerce-software-platforms-for-
UNAD - Modelos y estándares de Seguridad
Informática - Momento No. 3 24
small-business.html
http://www.redempresariosvisa.com/Ecommerce/Article/elementos-que-se-deben-considerar-
al-elegir-un-hosting
http://ieeexplore.ieee.org/xpl/login.jsp?tp=&arnumber=1579684&url=http%3A%2F%2Fiee
explore.ieee.org%2Fxpls%2Fabs_all.jsp%3Farnumber%3D1579684
http://www.cio.com.au/article/268217/it_governance_101_an_executive_guide_it_governa
nce/
ICONTEC (2014). Página web: Sistemas de gestión de la seguridad de la información
(SGSI) y Tic´s. Disponible en: http://www.icontec.org/index.php/es/inicio/programas-de-educacion/
44-colombia/educacion/398-sistemas-de-gestion-de-la-seguridad-de-la-informacion-
sgsi-y-tic-s.
Tarazona, Cesar (2012). Amenazas informáticas y seguridad de la información. Etek
Internacional.
Zavala, Sylvia (2012). Guía a la redacción en el estilo APA, 6ta edición. Puerto Rico:
Universidad Metropolitana.