ndicendiceIndice de IlustracionesIVObjetivosVObjetivo GeneralVObjetivos EspecficosVIntroduccinVIEtapa 1: Temas de investigacin11.PCI-DSS12.ISO 27001/ISO 270022ISO 270012ISO 2700243.ITIL8Historia8Objetivos de ITIL9Beneficios de ITIL9Versiones9Certificacin104.COBIT11Introduccin11Misin del COBIT12Beneficios COBIT12Estructura12Dominios COBIT12Caractersticas13Principios13Niveles COBIT13Componentes COBIT135.SOX15Requisitos17Privacidad17Conservacin de registros17Auditoras17No cumplimiento176.ISO 2700518Introduccin18El Contenido de la Norma ISO 2700518Fases del Anlisis de Riesgos19Procesos de Evaluacin de Riesgos19Evaluacin de Riesgos19Tratamiento de Riesgos sucede por19Administracin de criterios de decisin fabricacin19Toleracin Organizacional del Riesgo20Plan-Hacer-Comprobar-Actuar20Administracin Continua de Riesgos20Anexos217.AS/NZS 4360:200421Introduccin21Estructura228.PMI25Historia25Certificacin26Estndares mundiales26Captulos y comunidades de prctica26Capacitacin y educacin26Investigacin26Gobernabilidad279.BS 25999 e ISO 2230127BS 2599927ISO 223012910.ISO 1779931Objetivo de la norma ISO 1779931Historia32Estructura: dominios de control3211.Que es un BCP33Objetivo34Beneficios34Por qu es valioso un Plan de Continuidad del Negocio?35Metodologa para implementar un BCP3512.Que es un DRP37Razones para recurrir a un DRP37Prevencin ante los desastres38El Plan38Aspectos clave a considerar al planificar la recuperacin de desastres TI3913.Que es un BIA39Objetivo39Algunas preguntas que deberan responder un estudio BIA40Caractersticas40Metodologa4114.PMI Y SU PMBOK42PMP42PMBOK42reas de Conocimiento4515.Normas NIST aplicadas a tecnologas de Informacin46Laboratorios ms importantes de NIST4716.ISECOM47OSSTMM4817.OWASP49Historia50Proyectos5018.ISO 2000051Estructura52Certificacin53Procesos ISO 20000 Procesos de Servicios TI5419.ISO 3100055Principios Bsicos para la Gestin de Riesgos55Beneficios de la norma56Cuadro resumen57Etapa 260Normativa de tecnologas de la informacin de la CNBS60Reporte anual Verizon66Conclusiones72Bibliografa73

ndice de IlustracionesIlustracin 1: Alcance5Ilustracin 2 ITIL9Ilustracin 3 certificacin ITIL V311Ilustracin 4 Toleracin Organizacional del Riesgo20Ilustracin 5 Plan-Hacer-Comprobar-Actuar20Ilustracin 6 Proceso de Gestin del Riesgo segn la norma AN/NZS 4360:200423Ilustracin 7 la gestin del riesgo es parte de la gestin corporativa general.30Ilustracin 8 Objetivo de la norma ISO 1779931Ilustracin 9 Estructura dominios de control33Ilustracin 10 Ciclo de vida BCP36Ilustracin 11 Metodologa BIA42Ilustracin 10: reas de experiencia que necesita el equipo de direccin del proyecto44Ilustracin 13 Procesos ISO 2000055

Objetivos

Objetivo General

Realizar el trabajo de investigacin segn los lineamientos de la clase de seguridad informtica.

Objetivos Especficos

Investigar sobre cada uno de los estndares teniendo en cuenta lo aprendido en clase. Realizar una lectura, anlisis y comprensin para hacer un resumen de la normativa de TICs de la CNBS y reporte anual de Verizon. Poner en prctica lo aprendido de las lecturas y lo investigado realizando un cuadro resumen con comentarios personales.

Introduccin

El presente trabajo de investigacin da a conocer los diferentes estndares que hoy en da son aplicados en la mayora de las organizaciones y empresas a nivel mundial ya que necesitan (en ocasiones deben) demostrar que realizan una gestin competente y efectiva de la seguridad de los recursos y datos que gestionan.Los gerentes tienen un papel fundamental que cumplir con respecto a aplicar las normas y los controles necesarios dentro de cualquier empresa con el fin de salvaguardar los activos tangibles e intangibles, es por ello que nos vemos en la obligacin de tener planes de contingencia, plan de recuperacin ante cualquier desastre, etc., todo esto fortalece a una empresa y le da un valor como tal en la sociedad.

Etapa 1: Temas de investigacin

1. PCI-DSSPCI DSS, Payment Card Industry Data Security Standard, significa Estndar de Seguridad de Datos para la Industria de Tarjeta de Pago.Este estndar ha sido desarrollado por un comit conformado por las compaas de tarjetas (dbito y crdito) ms importantes, comit denominadoPCI SSC (Payment Card Industry Security Standards Council) como una gua que ayude a las organizaciones que procesan, almacenan y/o transmiten datos de tarjetahabientes (o titulares de tarjeta), a asegurar dichos datos, con el fin de prevenir los fraudes que involucran tarjetas de pago dbito y crdito.Las compaas que procesan, guardan o trasmiten datos de tarjetas deben cumplir con el estndar o arriesgan la prdida de sus permisos para procesar las tarjetas de crdito y dbito (Perdida de franquicias), enfrentar auditoras rigurosas o pagos de multas. Los Comerciantes y proveedores de servicios de tarjetas de crdito y dbito, deben validar su cumplimiento al estndar en forma peridica.Esta validacin es realizada por auditores autorizadosQualified Security Assessor (QSAs). Slo a las compaas que procesan menos de 80,000 transacciones por ao se les permite realizar una autoevaluacin utilizando un cuestionario provisto por el Consorcio del PCI (PCI SSC).Para los proveedores de dispositivos y fabricantes, el Consejo prev elPIN Transaccin Seguridad (PTS) requisitos, que contiene un conjunto nico de requisitos para todos los nmeros de identificacin personal (PIN) de terminales, incluidos los dispositivos POS, almohadillas PIN cifrado y terminales de pago no atendidas.Para ayudar a los proveedores de software y otros a desarrollar aplicaciones de pago seguras, el Consejo mantiene laaplicacin de pago Data Security Standard (PA-DSS)y unalista de aplicaciones de pago validadas.El Consejo ofrece tambin capacitacin a los profesionales de las empresas y los individuos para que puedan asistir a las organizaciones en sus esfuerzos de cumplimiento.El Consejo mantiene los recursos pblicos, tales comolas listas de los Asesores de Seguridad Calificados (QSA),la aplicacin de pago Asesores de Seguridad Calificados (QSA) PA-, ylos vendedores de escaneo aprobados (ASV).Las grandes empresas que buscan educar a sus empleados pueden tomar ventaja de la(ISA) Asesor de Seguridad Internaprograma de educacin.ISO 27001/ISO 27002 ISO 27001La norma ISO 27001 define cmo organizar la seguridad de la informacin en cualquier tipo de organizacin, con o sin fines de lucro, privada o pblica, pequea o grande. Es posible afirmar que esta norma constituye la base para la gestin de la seguridad de la informacin.La ISO 27001 es para la seguridad de la informacin lo mismo que la ISO 9001 es para la calidad: es una norma redactada por los mejores especialistas del mundo en el campo de seguridad de la informacin y su objetivo es proporcionar una metodologa para la implementacin de la seguridad de la informacin en una organizacin. Tambin permite que una organizacin sea certificada, lo cual significa que una entidad de certificacin independiente ha confirmado que la seguridad de la informacin se ha implementado en esa organizacin de la mejor forma posible.A raz de la importancia de la norma ISO 27001, muchas legislaturas han tomado esta norma como base para confeccionar las diferentes normativas en el campo de la proteccin de datos personales, proteccin de informacin confidencial, proteccin de sistemas de informacin, gestin de riesgos operativos en instituciones financieras, etc.Cuatro fases del sistema de gestin de seguridad de la informacinLa normaISO27001 determina cmo gestionar la seguridad de la informacin a travs de un sistema de gestin de seguridad de la informacin. Un sistema de gestin de este tipo, igual que las normasISO9001 o ISO14001, est formado por cuatro fases que se deben implementar en forma constante para reducir al mnimo los riesgos sobre confidencialidad, integridad y disponibilidad de la informacin.Las fases son las siguientes: La Fase de planificacin: esta fase sirve para planificar la organizacin bsica y establecer los objetivos de la seguridad de la informacin y para escoger los controles adecuados de seguridad. La Fase de implementacin: esta fase implica la realizacin de todo lo planificado en la fase anterior. La Fase de revisin: el objetivo de esta fase es monitorear el funcionamiento delSGSIy verificar si los resultados cumplen los objetivos establecidos. La Fase de mantenimiento y mejora: el objetivo de esta fase es mejorar todos los incumplimientos detectados en la fase anterior.El ciclo de estas cuatro fases nunca termina, todas las actividades deben ser implementadas cclicamente para mantener la eficacia delSGSI.Documentos de ISO 27001La norma ISO 27001 requiere los siguientes documentos: el alcance del SGSI; la poltica del SGSI; procedimientos para control de documentacin, auditoras internas y procedimientos para medidas correctivas y preventivas; todos los dems documentos, segn los controles aplicables; metodologa de evaluacin de riesgos; informe de evaluacin de riesgos; declaracin de aplicabilidad; plan de tratamiento del riesgo; registros.La cantidad y exactitud de la documentacin depende del tamao y de las exigencias de seguridad de la organizacin; esto significa que una docena de documentos sern suficientes para una pequea organizacin, mientras que las organizaciones grandes y complejas tendrn varios cientos de documentos en su SGSI.La Fase de planificacinEsta fase est formada por los siguientes pasos: determinacin del alcance del SGSI; redaccin de una Poltica de SGSI; identificacin de la metodologa para evaluar los riesgos y determinar los criterios para la aceptabilidad de riesgos; identificacin de activos, vulnerabilidades y amenazas; evaluacin de la magnitud de los riesgos; identificacin y evaluacin de opciones para el tratamiento de riesgos; seleccin de controles para el tratamiento de riesgos; obtencin de la aprobacin de la gerencia para los riesgos residuales; obtencin de la aprobacin de la gerencia para la implementacin del SGSI; redaccin de una declaracin de aplicabilidad que detalle todos los controles aplicables, determine cules ya han sido implementados y cules no son aplicables.La Fase de implementacinEsta fase incluye las siguientes actividades: redaccin de un plan de tratamiento del riesgo que describe quin, cmo, cundo y con qu presupuesto se deberan implementar los controles correspondientes; implementacin de un plan de tratamiento del riesgo; implementacin de los controles de seguridad correspondientes; determinacin de cmo medir la eficacia de los controles; realizacin de programas de concienciacin y capacitacin de empleados; gestin del funcionamiento normal del SGSI; gestin de los recursos del SGSI; implementacin de procedimientos para detectar y gestionar incidentes de seguridad.La Fase de verificacinEsta fase incluye lo siguiente: implementacin de procedimientos y dems controles de supervisin y control para determinar cualquier violacin, procesamiento incorrecto de datos, si las actividades de seguridad se desarrollan de acuerdo a lo previsto, etc.; revisiones peridicas de la eficacia del SGSI; medicin la eficacia de los controles; revisin peridica de la evaluacin de riesgos; auditoras internas planificadas; revisiones por parte de la direccin para asegurar el funcionamiento del SGSI y para identificar oportunidades de mejoras; actualizacin de los planes de seguridad para tener en cuenta otras actividades de supervisin y revisin; mantenimiento de registros de actividades e incidentes que puedan afectar la eficacia del SGSI.

La fase de mantenimiento y mejoraEsta fase incluye lo siguiente: implementacin en elSGSIde las mejoras identificadas; toma de medidas correctivas y preventivas y aplicacin de experiencias de seguridad propias y de terceros; comunicacin de actividades y mejoras a todos los grupos de inters; asegurar que las mejoras cumplan los objetivos previstos.

ISO 27002Anteriormente denominada ISO 17799 es un estndar para la seguridad de la informacin publicado por primera vez como ISO/IEC 17799:2000 por la International Organization for Standardizationy por laComisin Electrotcnica Internacionalen el ao2000, con el ttulo deInformation technology - Security techniques - Code of practice for information security management. Tras un periodo de revisin y actualizacin de los contenidos del estndar, se public en el ao2005el documento actualizado denominado ISO/IEC 17799:2005. El estndar ISO/IEC 17799 tiene su origen en el British Standard BS 7799-1 que fue publicado por primera vez en1995.

El documento del Estndar Internacional ISO/IEC 27002, despus de laintroduccin, se divide en quince captulos. En este documento se presentar un resumen yanlisisde cada uno de los quince captulos, de manera breve, pues el objetivo no es plasmar nuevamente lo que ya se encuentra en el documento original, sino que resaltar las ideas bsicas de forma muy resumida y con un anlisis propio sobre cada tema del cual se habla en ste importante Estndar Internacional para la seguridad en las tecnologas de informacin.

Ilustracin 1: AlcanceEste Estndar Internacional va orientado a la seguridad de la informacin en las empresas uorganizaciones, de modo que las probabilidades de ser afectados por robo, dao o prdida de informacin se minimicen al mximo.En la parte de trminos y definiciones se habla de un conjunto de trminos y definiciones que se presentan al final de este documento, en elGlosario.Estructura de este estndar Contiene un nmero de categoras de seguridad principales, entre las cuales se tienen once clusulas:a) Poltica de seguridad.b) Aspectos organizativos de la seguridad de la informacin.c) Gestin de activos.d) Seguridad ligada a los recursos humanos.e) Seguridad fsica y ambiental.f) Gestin de comunicaciones y operaciones.g) Control de acceso.h) Adquisicin, desarrollo y mantenimiento de los sistemas de informacin.i) Gestin de incidentes en la seguridad de la informacin.j) Gestin de la continuidad del negocio.k) Cumplimiento.Evaluacin de los riesgos de seguridad Se deben identificar, cuantificar y priorizar los riesgos de seguridad. Posterior a ello se debe dar un tratamiento a cada uno de los riesgos, aplicando medidas adecuadas de control para reducir la probabilidad de que ocurran consecuencias negativas al no tener una buena seguridad.Se debe saber que ningn conjunto de controles puede lograr la seguridad completa, pero que s es posible reducir al mximo los riesgos que amenacen con afectar la seguridad en una organizacin.Poltica de SeguridadSu objetivo es proporcionar a lagerencialadirecciny soporte para la seguridad de la informacin, en concordancia con los requerimientos comerciales y lasleyesy regulaciones relevantes. Esto por supuesto debe ser creado de forma particular por cada organizacin. Se debe redactar un"Documento de la poltica de seguridad de la informacin."Este documento debe ser primeramente aprobado por la gerencia y luego publicado y comunicado a todos los empleados y las partes externas relevantes.Las polticas de seguridad de la informacin no pueden quedar estticas para siempre, sino que por el contrario, tienen que ser continuamente revisadas y actualizadas para que se mantengan en condiciones favorables y en concordancia con los cambios tecnolgicos o cualquiertipo de cambioque se d. Gestin de activosSe deben asignar responsabilidades por cada uno de los activos de la organizacin, as como poseer uninventarioactualizado de todos los activos que se tienen, a quien/quienes les pertenecen, el uso que se les debe dar, y la clasificacin de todos los activos. Para esto el departamento decontabilidadtendr que hacer un buen trabajo en cuanto a esta clasificacin y desglose de activos, y el departamento de leyes de la empresa tambin tendr que ser muy metdico en estos procesos, ya que los activos son todos losbienesy recursos que posee una empresa, incluyendo bienes muebles e inmuebles,dinero, etc. Por lo tanto este es un asunto delicado y de gran importancia.Seguridad ligada a los recursos humanosEl objetivo de esto es asegurar que los empleados, contratistas y terceros entiendan sus responsabilidades, y sean idneos para los roles para los cuales son considerados, reduciendo elriesgode robo,fraudey mal uso de los medios. Es necesario definir claramente los roles y responsabilidades de cada empleado. Todo esto no debe ser simplemente mediante acuerdos verbales, sino que se debe plasmar en el contrato de trabajo. Tambin deben existir capacitaciones peridicas para concientizar y proporcionar formacin y procesos disciplinarios relacionados a la seguridad yresponsabilidadde los recursos humanos en este mbito.Seguridad fsica y ambientalLa seguridad fsica y ambiental se divide enreas segurasyseguridad de los equipos.Respecto a las reas seguras, se refiere a un permetro de seguridad fsica que cuente con barreras olmitestales como paredes, rejas de entrada controladas portarjetaso recepcionistas, y medidas de esanaturalezapara proteger las reas que contienen informacin y medios de procesamiento de informacin.En cuanto a la seguridad ambiental, se debe controlar latemperaturaadecuada para los equipos, seguridad del cableado, mantenimiento de equipos, etc. La ubicacin de los equipos tambin debe ser adecuada y de tal manera que evite riesgos. Gestin de comunicaciones y operacionesEl objetivo de esto es asegurar la operacin correcta y segura de los medios de procesamiento de la informacin.En primer lugar, es necesario que los procedimientos de operacin estn bien documentados, pues no basta con tener las ideas en la mente de los administradores, sino que se deben plasmar endocumentosque por supuesto estn autorizados por la gerencia.Es completamente necesario tener un nivel de separacin entre los ambientes de desarrollo, de prueba y de operacin, para evitar problemas operacionales.Control de accesoEn primer lugar, se debe contar con una poltica de control de acceso. Todo acceso no autorizado debe ser evitado y se deben minimizar al mximo las probabilidades de que eso suceda. Todo esto se controla mediante registro de usuarios, gestin de privilegios, autenticacin mediante usuarios y contraseas, etc.Aparte de la autenticacin correspondiente, los usuarios deben asegurar que el equipo desatendido tenga la proteccin apropiada. Son necesarios controles de acceso a la red, al sistema operativo, a las aplicaciones y a la informacin. Para todo esto deben existir registros y bitcoras de acceso.Gestin de incidentes en la seguridad de la informacinLa comunicacin es fundamental en todo proceso. Por lo tanto, se debe trabajar con reportes de los eventos y debilidades de la seguridad de la informacin, asegurando una comunicacin tal que permita que se realice una accin correctiva oportuna, llevando la informacin a travs de los canales gerenciales apropiados lo ms rpidamente posible.Gestin de la continuidad del negocioLas consecuencias de los desastres, fallas en la seguridad, prdida del servicio y la disponibilidad del servicio debieran estar sujetas a un anlisis del impacto comercial. Se deben desarrollar e implementar planes para la continuidad del negocio para asegurar la reanudacin oportuna de las operaciones esenciales. La seguridad de la informacin debiera ser una parte integral del proceso general de continuidad del negocio, y otros procesos gerenciales dentro de la organizacin.Se debe contar con planes de continuidad del negocio que incluyan la seguridad de la informacin. Estos planes no deben ser estticos, sino que deben ser actualizados y ser sometidos a pruebas, mantenimiento y reevaluacin.CumplimientoEs una prioridad el buen cumplimiento de los requisitos legales para evitar las violaciones a cualquierley; regulacin estatutaria, reguladora o contractual; y cualquier requerimiento de seguridad. La identificacin de la legislacin aplicable debe estar bien definida.Se deben definir explcitamente, documentar y actualizar todos los requerimientos legales para cada sistema de informacin y para la organizacin en general. El cumplimiento de los requisitos legales se aplica tambin a la proteccin de los documentos de la organizacin, proteccin de datos y privacidad de la informacin personal, prevencin del uso indebido de los recursos de tratamiento de la informacin, y a regulaciones de los controles criptogrficos.ITIL HistoriaDesarrollada a finales de 1980, la Biblioteca de Infraestructura de Tecnologas de la Informacin (ITIL) se ha convertido en el estndar mundial de facto en la Gestin de Servicios Informticos. Iniciado como una gua para el gobierno de UK, la estructura base ha demostrado ser til para las organizaciones en todos los sectores a travs de su adopcin por innumerables compaas como base para consulta, educacin y soporte de herramientas de software. Hoy,ITILes conocido y utilizado mundialmente. Pertenece a laOGC[footnoteRef:1], pero es de libre utilizacin. [1: Oficina de Comercio del Gobierno Britnico (Office of Government Commerce)]

ITILfue desarrollada al reconocer que las organizaciones dependen cada vez ms de la Informtica para alcanzar sus objetivos corporativos. Esta dependencia en aumento ha dado como resultado una necesidad creciente de servicios informticos de calidad que se correspondan con los objetivos del negocio, y que satisfagan los requisitos y las expectativas del cliente. A travs de los aos, el nfasis pas de estar sobre el desarrollo de las aplicaciones TI a la gestin de servicios TI. La aplicacin TI (a veces nombrada como un sistema de informacin) slo contribuye a realizar los objetivos corporativos si el sistema est a disposicin de los usuarios y, en caso de fallos o modificaciones necesarias, es soportado por los procesos de mantenimiento y operaciones.

Ilustracin 2 ITILObjetivos de ITIL Alinear los servicios de TI con las necesidades de la empresa (negocio), actuales y futuras Mejoras la calidad de los servicios de TI Reducir los costos por la proveedura de servicios de TI en el mediano y largo plazoBeneficios de ITILITILofrece un enfoque sistemtico y profesional para la Gestin del Servicio TI. La adopcin de esta gua ofrece a los usuarios un amplio rango de beneficios que incluyen: Reduccin de los gastos Mejoramiento de losservicios TIa travs del uso de procesos comprobados de buenas prcticas Mejoramiento de lasatisfaccin de los clientespor medio de un enfoque ms profesional de la entrega de servicios Normasy orientacin Mejora de laproductividad Mejor utilizacin de las habilidades y de laexperiencia Mejor entrega de los servicios a terceros a travs de la especificacin de ITIL o ISO 20000 comoestndar para la entrega de serviciosen los servicios de comprasVersionesITIL Versin 2 (V2) fue mejorado con un cambio de imagen a travs de la certificacin ITIL V3 (Versin 3). La versin 3 de la certificacin ITIL representa un paso importantsimo que ha transformado la gua desde proporcionar un gran servicio a ser el ms innovador y mejor en su clase. Al mismo tiempo, la integracin entre la anterior y la nueva aproximacin se consigue sin problemas ya que los usuarios no tienen que reinventar la rueda durante la actualizacin. La versin de la certificacin ITIL V3 permite a los usuarios construir sobre el xito de la V2 y adems llevar la gestin del servicio TI an ms adelante.La nueva edicin, ITIL 2011, es una versin de actualizacin de la versin de ITIL V3, la primera actualizacin importante desde 2007, y aborda una amplia gama de cuestiones planteadas en el registro de control de cambios y resuelve los errores e incoherencias en el texto y diagramas a travs de toda la suite. CertificacinLos estndares de calificacin de ITIL son gestionados por la ITIL Certification Management Board (ICMB). No es posible certificar una organizacin o sistema de gestin conforme a ITIL. Pero una organizacin que haya implementado las guas de ITIL sobre Gestin de Servicios de ITIL puede lograr certificarse bajo la ISO/IEC 20000.El Esquema de Certificacin ITIL(Versin 3) proporciona una aproximacin modular a la certificacin ITIL y es parte de una serie de certificaciones que se centraron en diferentes aspectos de las buenas prcticas de ITIL, en varios grados de profundidad y detalle.Se encuentra disponibles cuatro niveles de certificacin ITIL: CertificacinITIL Foundation CertificacinITIL Intermediate Ciclo de vida y capacidad del servicio CertificacinITIL Expert CertificacinITIL MasterEl enfoque modular de la certificacin ITIL V3 no solo ofrece una mayor flexibilidad a los candidatos en relacin a las disciplinas del rea ITIL que tienen que estudiar, tambin hace la certificacin ITILms accesible y alcanzable.La certificacin ITIL Foundation: Proporciona conocimiento y comprensin de los elementos clave, la estructura, la terminologa y los procesos de ITIL V3.Esta certificacin ITIL de nivel bsico ofrece a los candidatos un conocimiento general de los elementos clave del Servicio del ciclo de vida de ITIL.La certificacinITILIntermediate: Ofrece dos corrientes principales de educacin;Ciclo de vida y Capacidad, cada uno con su serie de certificaciones y un mdulo final de racionalizacin,Gestin a travs del ciclo de vida. Cada certificacin ITIL intermedia ofrece a los candidatos el conocimiento, las habilidades y las competencias necesarias para gestionar la aplicacin de reas especficas de las buenas prcticas de ITILen un entorno de gestin del Servicio. Son disponibleslos siguientes cursos: Service Strategy Service Design Service Operation Service Transition Continual Service ImprovementLa certificacin ITIL Expert: Es para los candidatos que han obtenido las certificaciones ITIL V3 y que desean demostrar un nivel de conocimiento superior de ITIL V3 en su totalidad.La certificacinITIL Master Qualification: Es la cualificacin ms elevada disponible en el programa ITIL V3. Esta cualificacin est reservada para aquellos que pueden demonstrar sus habilidades en la utilizacin de las disciplinas de ITIL y las buenas prcticas de gestin de los servicio TI en un ambiente real de trabajo. Este nivel est todava en fase piloto.

Ilustracin 3 certificacin ITIL V3COBIT IntroduccinEl COBIT es precisamente un modelo para auditar la gestin y control de los sistemas de informacin y tecnologa, orientado a todos los sectores de una organizacin, es decir, administradores IT, usuarios y por supuesto, los auditores involucrados en el proceso. El COBIT es un modelo de evaluacin y monitoreo que enfatiza en el control de negocios y la seguridad IT y que abarca controles especficos de IT desde una perspectiva de negocios.Las siglas COBIT significan Objetivos de Control para Tecnologa de Informacin y Tecnologas relacionadas (Control Objectives for Information Systems and related Technology). El modelo es el resultado de una investigacin con expertos de varios pases, desarrollado por ISACA (Information Systems Audit and Control Association).Misin del COBITBuscar, desarrollar, publicar y promover un autoritario y actualizado conjunto internacional de objetivos de control de tecnologas de la informacin, generalmente aceptadas, para el uso diario por parte de gestores de negocio y auditores.Beneficios COBIT Mejor alineacin basada en una focalizacin sobre el negocio. Visin comprensible de TI para su administracin. Clara definicin de propiedad y responsabilidades. Aceptabilidad general con terceros y entes reguladores. Entendimiento compartido entre todos los interesados basados en un lenguaje comn. Cumplimiento global de los requerimientos de TI planteados en el Marco de Control Interno de Negocio COSO.EstructuraLa estructura del modelo COBIT propone un marco de accin donde se evalan los criterios de informacin, como por ejemplo la seguridad y calidad, se auditan los recursos que comprenden la tecnologa de informacin, como por ejemplo el recurso humano, instalaciones, sistemas, entre otros, y finalmente se realiza una evaluacin sobre los procesos involucrados en la organizacin.Dominios COBITEl conjunto de lineamientos y estndares internacionales conocidos como COBIT, define un marco de referencia que clasifica los procesos de las unidades de tecnologa de informacin de las organizaciones en cuatro "dominios" principales, a saber: Planificacin y Organizacin. Adquisicin e Implantacin. Soporte y Servicios. Monitoreo.Estos dominios agrupan objetivos de control de alto nivel, que cubren tanto los aspectos de informacin, como de la tecnologa que la respalda. Estos dominios y objetivos de control facilitan que la generacin y procesamiento de la informacin cumplan con las caractersticas de efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad.Caractersticas Orientado al negocio. Alineado con estndares y regulaciones "de facto". Basado en una revisin crtica y analtica de las tareas y actividades en TI. Alineado con estndares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA).PrincipiosEl enfoque del control en TI se lleva a cabo visualizando la informacin necesaria para dar soporte a los procesos de negocio y considerando a la informacin como el resultado de la aplicacin combinada de recursos relacionados con las TI que deben ser administrados por procesos de TI. Requerimientos de la informacin del negocio: Para alcanzar los requerimientos de negocio. Requerimientos de Calidad: Calidad, Costo y Entrega. Requerimientos Fiduciarios: Efectividad y Eficiencia operacional, Confiabilidad de los reportes financieros y Cumplimiento le leyes y regulaciones. Requerimientos de Seguridad: Confidencialidad, Integridad y Disponibilidad.En COBIT se establecen los siguientes recursos en TI necesarios para alcanzar los objetivos de negocio: Datos Aplicaciones Tecnologa Instalaciones Recurso HumanoNiveles COBITSe divide en 3 niveles, los cuales son los siguientes: Dominios: Agrupacin natural de procesos, normalmente corresponden a un dominio o una responsabilidad organizacional. Procesos: Conjuntos o series de actividades unidas con delimitacin o cortes de control. Actividades: Acciones requeridas para lograr un resultado medible.Componentes COBIT Resumen Ejecutivo: Es un documento dirigido a la alta gerencia presentando los antecedentes y la estructura bsica de Marco de Referencia (Framework): Incluye la introduccin contenida en el resumen ejecutivo y presenta las guas de navegacin para que los lectores se orienten en la exploracin del material de COBIT haciendo una presentacin detallada de los 34 procesos contenidos en los cuatro dominios. Objetivos de Control: Integran en su contenido lo expuesto tanto en el resumen ejecutivo como en el marco de referencia y presenta los objetivos de control detallados para cada uno de los 34 procesos. Planear Y OrganizarPO1 Definir el plan estratgico de TI.PO2 Definir la arquitectura de la informacinPO3 Determinar la direccin tecnolgica.PO4 Definir procesos, organizacin y relaciones de TI.PO5 Administrar la inversin en TI.PO6 Comunicar las aspiraciones y la direccin de la gerencia.PO7 Administrar recursos humanos de TI.PO8 Administrar calidad.PO9 Evaluar y administrar riesgos de TIPO10 Administrar proyectos.PO11Administracin de Calidad Adquirir E ImplantarAI1 Identificar soluciones automatizadas.AI2 Adquirir y mantener el software aplicativo.AI3 Adquirir y mantener la infraestructura tecnolgicaAI4 Facilitar la operacin y el uso.AI5 Adquirir recursos de TI.AI6 Administrar cambios. Monitorear Y EvaluarME1 Monitorear y evaluar el desempeo de TI.ME2 Monitorear y evaluar el control internoME3 Garantizar cumplimiento regulatorio.ME4 Proporcionar gobierno de TI. Prestacin Y SoporteDS1 Definir y administrar niveles de servicio.DS2 Administrar servicios de terceros.DS3 Administrar desempeo y capacidad.DS4 Garantizar la continuidad del servicio.DS5 Garantizar la seguridad de los sistemas.DS6 Identificar y asignar costos.DS7 Educar y entrenar a los usuarios.DS8 Administrar la mesa de servicio y los incidentes.DS9 Administrar la configuracin.DS10 Administrar los problemas.DS11 Administrar los datos.DS12 Administrar el ambiente fsico.DS13 Administrar las operaciones.SOX El SOX, abreviatura para Sarbanes Oxley Act es una ley americana que ha sido emitida en el 2002 en los Estados Unidos, para dar una respuesta firme a los repetidos escndalos financieros que se haba producido los aos inmediatamente anteriores. El nombre de la ley se deriva de los apellidos de sus dos principales patrocinadores, el diputado Michael G Oxley y el senador Paul S. Sarbanes. La Ley SOX tambin controla el tipo de informacin que se publica sobre los clientes y accionistas, que ayuda a proteger su identidad.Esta ley, es una respuesta por parte del gobierno estadounidense a los escndalos financieros ocurridos durante los aos 2001 y principios del 2002 en su territorio; muchas de las grandes empresas americanas eran organizaciones que gozaban de plena confianza pblica y sus ttulos. Valores se encontraban bien posesionados en el sistema financiero norteamericano.Los objetivos principales de la ley son monitorear la industria de la contabilidad, sancionar a los ejecutivos que cometan fraudes corporativos e incrementar el presupuesto para auditores e investigadores de los Securities and Exchange Commision (SEC). Su gran alcance, est diseado para restaurar la confianza en los informes financieros corporativos, plantear grandes cambios en la gestin de las empresas pblicas, aunque tambin pretenden abrir nuevas oportunidades. As pues, la ley Sarbanes Oxley se centra en todo lo relacionado con la creacin de procedimientos, documentndolos, controlndolos y comunicndolos, como tambin requiere que las empresas mejoren su contabilidad utilizando polticas y procedimientos financieros documentados, adems de una generacin de informes financieros ms rpida.En relacin con el control interno la Ley recomienda: Asesoramiento del diseo y la eficacia del funcionamiento de los controles internos relacionados con el mantenimiento de los balances financieros relevantes. Comprensin de la importancia de las transacciones anotadas, autorizadas, procesadas, y contabilizadas. Documentar suficiente informacin sobre el flujo de transacciones para identificar posibles errores o fraudes que hayan podido ocurrir. Evaluar la credibilidad de los controles de la compaa, de acuerdo con el COSO (Committee of Sponsoring Organizations of the Treadway Commission), organizacin encargada de identificar fraudes financieros. Evaluar los controles diseados para prevenir o detectar fraudes, incluidos los controles a la direccin. Evaluar el control del proceso del informe financiero al final de ejercicio. Evaluar el control sobre la veracidad de los asientos contables.La Ley tiene su referente enentidades del sectorburstil de gran escala, muchos de los acpites citados proporcionan lineamientos a tener en cuenta para reglamentar y aplicar las mejores prcticas en el ejercicio de la auditoria y la administracin que posibiliten ejercer una mayor control y recuperar la confianzaante la oleada de corrupcin, ineficiencia e irregularidades como se manejan las entidades pblicas y privadas en nuestras naciones.Para el caso de las auditoras externas, se relacionan algunos condicionamientos en los servicios a tener en cuenta y algunos de ellos no podrn ser prestados simultneamente ante las entidades vigiladas.Si bien la Ley ejerce lineamientos expresos sobre la actuacin de las auditorias, de la misma manera estipula lineamientos y responsabilidades a sus administradores, como fundamento de autocontrol, tales como: Establecer y mantener controles y procedimientos, que aseguren que la informacin relevante, incluida la de las subsidiarias que conforman la compaa, son comunicadas. Evaluar dentro de los primeros tres meses previos al r registro de la compaa los controles y procedimientos de exposicin. Presentar las conclusiones de la efectividad de los controles y procedimientos de exposicin a la fecha de la evaluacin El requerimiento de que los que forman el comit de auditores, recae la responsabilidad confirmar la independencia. Prohibicin de prstamos personales a directores y ejecutivos. Transparencia de la informacin de acciones y opciones, de la compaa en cuestin, que puedan tener los directivos, ejecutivos y empleados claves de la compaa y consorcios, en el caso de que posean ms de un 10% de acciones de la compaa. Asimismo estos datos deben estar reflejados en los informes de las compaas. Endurecimiento de la responsabilidad civil as como las penas, ante el incumplimiento de la Ley. Se alargan las penas de prisin, as como las multas a los altos ejecutivos que incumplen y/o permiten el incumplimiento de las exigencias en lo referente al informe financiero.RequisitosLa Ley Sarbanes-Oxley se inspir inicialmente para ayudar a combatir el creciente nmero de casos de fraude en las grandes empresas pblicas. SOX requiere que las grandes empresas comiencen a centrarse en el mantenimiento de registros y el control del proceso de almacenamiento de informacin. SOX requiere que los departamentos de IT supervisen y controlen todos los aspectos del almacenamiento y recuperacin. Los departamentos de IT y los protocolos fueron completamente renovados luego de la aprobacin de la Ley SOX, siendo los guardianes de los datos empresariales.PrivacidadSOX inculc un profundo entendimiento de la proteccin de datos y el control de las grandes empresas. Ahora las empresas controlan y protegen datos del usuario y de los clientes de forma mucho ms profunda, que los protege contra el fraude y el robo de identidad. Estas medidas ahora requieren mltiples piezas de informacin de seguridad de losinvestigadoresy evita que usuarios no autorizados accedan a informacin sensible. Los requisitos de mantenimiento de registrosde SOX tambin ayudan a las empresas a localizar a los autores en las investigaciones.Conservacin de registrosEl cumplimiento de SOX requiere que todos losregistrosde la cuenta y las transacciones se guarden durante al menos cinco aos. Tener estas transacciones almacenadas en el mismo estado permite la investigacin y la auditora de las autoridades en el caso de fraude. El mantenimiento deregistrosha sido impuesto cumpliendo la Ley SOX y ha ayudado a reducir la cantidad de escndalos financieros. El mantenimiento deregistrostambin ha incrementado la cantidad de control a lo que los CEOs y otros gerentes son sometidos.AuditorasLas auditoras son realizadas por las agencias de cumplimiento de SOX y supervisan las polticas de mantenimiento deregistros, tanto de la contabilidad y de los departamentos de IT. Es necesario que las empresas presenten las transacciones financieras y las modificaciones de la cuenta. Los departamentos deben presentar los datos solicitados en el momento oportuno a las auditoras. No cumplimientoEl incumplimiento de las auditoras e investigaciones SOX se toma como una ofensa grave. Se puede castigar el incumplimiento de la normativa SOX con sentencias de prisin y grandes multas. Las auditoras se realizan en todos losregistrosy monitorean los procedimientos de mantenimiento deregistrosde la empresa, as como una sancin a estos procedimientos pueden ser una violacin al cumplimiento de la ley SOX.ISO 27005 IntroduccinEl estndar internacional ISO/IEC 27005:2008, titulado Information technology - Security techniques - Information security risk management. ISO 27005 "derog" las normas ISO/IEC TR 13335-3:1998 e ISO/IEC TR 13335-4:2000, y fue publicado el 4 Junio del 2008.ISO 27005 es el nombre del primer estndar de la serie 27000 que cubre la seguridad informtica de gestin de riesgos.La norma brinda las directrices para la gestin de riesgos de seguridad (ISRM) en una organizacin, en particular el apoyo a los requisitos de un sistema de gestin de la informacin de seguridad definidos por la norma ISO 27001.El estndar ISO 27005 consta de 55 pginas, y es aplicable a todo tipo de organizacin.No proporciona o recomienda una metodologa especfica.Esto depender de una serie de factores, tales como el alcance real de la Seguridad de la Informacin Sistema de Gestin (SGSI), o tal vez la industria y el sector comercial.El Contenido de la Norma ISO 27005Las secciones de contenido son: Prefacio Introduccin Las referencias normativas Trminos y definiciones Estructura Antecedentes Descripcin del proceso de ISRM Contexto Establecimiento Seguridad de la informacin Evaluacin de Riesgos (ISRA) Seguridad de la Informacin de Riesgos del tratamiento Seguridad de la informacin de Aceptacin de Riesgo Seguridad de la informacin comunicacin de riesgos seguridad de la informacin de riesgo de seguimiento y revisin Anexo A: Definicin del alcance del proceso Anexo B: evaluacin de valoracin de activos y el impacto Anexo C: Ejemplos de amenazas Tpica Anexo D: Vulnerabilidades y mtodos de evaluacin de la vulnerabilidad Anexo E: ISRA enfoquesFases del Anlisis de Riesgos Establecimiento del contexto (Clusula 7) Evaluacin del riesgo (Clusula 8) Tratamiento del riesgo (Clusula 9) Aceptacin del riesgo (Clusula 10) Comunicacin del riesgo (Clusula 11) Monitorizacin y revisin del riesgo (Clusula 12)La norma nos sirve para no tener dudas sobre los elementos que debe incluir toda buena metodologa de Anlisis de Riesgos, por lo que, visto desde este punto de vista puede constituirse como una metodologa en s misma.ISO 27005 ha nacido claramente para apoyar la tarea del anlisis y la gestin de riesgos en el marco de un SGSI (Sistema de Gestin de Seguridad de la Informacin).Procesos de Evaluacin de Riesgos Identificacin de Activos Identificacin de requerimientos legales y del Negocio Valoracin de los activos Identificacin y evaluacin de riesgos y vulnerabilidades Estimar la Probabilidad de OcurrenciaEvaluacin de Riesgos Calculo de riesgos Evaluacin hacia una predeterminada escalaTratamiento de Riesgos sucede por Prevencin y detencin de controles Evitacin del riesgo Aceptacin del riesgo Pasar el riesgo a otra entidad Alguna CombinacinAdministracin de criterios de decisin fabricacin Cul es el Impacto? Cun frecuente se espera que ocurra? Cul es el Costo de gestionar el riesgo? Dlares Recursos Prioridades Actuales del NegocioToleracin Organizacional del RiesgoGrado de Aseguramiento determinado por:

Ilustracin 4 Toleracin Organizacional del RiesgoRiesgo = Vulnerabilidades + Riesgos + Probabilidad + ImpactoPlan-Hacer-Comprobar-ActuarTolerancia de Riesgo

Ilustracin 5 Plan-Hacer-Comprobar-ActuarAdministracin Continua de Riesgos Monitoreo y Mantenimiento Administracin de Revisiones Revisiones de riesgos y re-evaluacin Auditorias Control de la Documentacin Acciones correctivas Acciones preventivas Reportes y comunicaciones Rol de administracin de RiesgosAnexosEl estndar incluye seis Anexos (A-F) de carcter informativo y no normativo, con orientaciones que van desde la identificacin de activos e impactos, ejemplos de vulnerabilidades y sus amenazas asociadas, hasta distintas aproximaciones para el anlisis distinguiendo entre anlisis de riesgos de alto nivel y anlisis detallado.AS/NZS 4360:2004 Introduccin AS/NZS 4360:2004 Australian New Zealand Risk Management Standard (Estndar australiano y neozelands para la Gestin de Riesgos). El estndar AS/NZS 4360 fue el primero en salir en 1995. Hoy existe una tercera versin de 2004 la cual es reconocida mundialmente y ha sido adoptada en un gran nmero de empresas multinacionales traducindose al francs, espaol, chino, japons y coreano. ISO lo aprob como estndar nacional. Ms an, los conceptos bsicos del documento de AS/NZ fueron una base importante para la primera discusin del estndar internacional que trataremos ms adelante: ISO 31000. La norma AS/NZS 4360 suministra orientaciones genricas para la gestin de riesgos. Puede aplicarse a una gran variedad de actividades, decisiones u operaciones de cualquier entidad pblica, privada o comunitaria, grupos o individuos. Se trata de una instruccin amplia pero que permite la definicin de objetivos especficos de acuerdo con las necesidades de cada implementacin. La aplicacin de la norma AS/NZS 4360 le garantiza a la organizacin una base slida para la aplicacin de cualquier otra norma o metodologa de gestin de riesgos especfica para un determinado segmento.El objetivo de este estndar es proveer una gua que permita tanto a empresas pblicas o privadas como a individuos, grupos o comunidades lograr: una base ms confiable y rigurosa para la toma de decisiones y planificacin mejor identificacin de oportunidades y amenazas generar valor desde la incertidumbre y variabilidad una gestin proactiva ms que reactiva asignacin y utilizacin de recursos ms afectiva mejorar la confianza de los stakeholders45 mejorar el cumplimiento con legislaciones relevantes tener un mejor gobierno corporativoEstructuraLa estructura del estndar es la siguiente: 1. Alcance, mbito de aplicacin y definiciones 2. Requerimientos de administracin de riesgos 3. Vista general de la administracin de riesgos 4. Proceso de administracin de riesgos 5. Documentacin1. Alcance, mbito de aplicacin y definicionesEl documento plantea como rea de riesgo a todos los riesgos. Es un marco terico genrico, que establece el contexto, plantea la identificacin, anlisis, tratamientos, monitoreo y comunicacin. El Libro de Gua[footnoteRef:2] tiene como alcance una variedad de actividades, incluidas las actividades del sector pblico, comerciales, organizaciones voluntarias y sin fines de lucro. [2: Libro de Gua: Risk Management Guidelines Companion to AS/NZS 4360:2004 Standards Australia / Standards New Zealand]

2. Requerimientos de administracin de riesgos En esta seccin se plantea que la organizacin debe tener un programa sistemtico de administracin de riesgos. Para ello la direccin debe: Desarrollar una poltica de administracin de riesgo Definir y planificar los recursos Programar la implementacin: Respaldo de la alta gerencia Desarrollar la poltica organizacional Comunicar la poltica Administrar riesgos a nivel organizacional Administrar riesgos a nivel de programa, proyecto y equipo Monitorear y revisar Revisin gerencial: el ejecutivo debe asegurar que se lleve a cabo una revisin del sistema de administracin de riesgos a intervalos especificados, suficiente para asegurar su continua conformidad y efectividad3. Vista general de la administracin de riesgos Se enfatiza que la administracin de riesgos es un proceso multifactico, que tiene aspectos que generalmente son mejor manejados por un equipo multifactico. Es un proceso iterativo de continua evolucin. La vista general, o dicho en otras palabras, el esquema de los elementos principales del proceso de administracin de riesgos queda reflejado en la siguiente ilustracin:

Ilustracin 6 Proceso de Gestin del Riesgo segn la norma AN/NZS 4360:20044. Proceso de administracin de riesgos El proceso de administracin de riesgos planteado tiene siete etapas.4.1. Establecer del contexto: El marco define con gran detalle tres tipos de contextos que deben tomarse en cuenta para la administracin de riesgos (organizacional, estratgico y para la administracin de riesgo). Adems, establece el alcance para el resto del proceso de administracin de riesgos. De esta manera en esta etapa se identifican 5 aspectos: El contexto estratgico: definiendo la relacin entre la organizacin y el ambiente, ya sea interno o externo. El contexto organizacional: entendiendo a la empresa y sus capacidades, as como sus metas y objetivos y estrategias para alcanzarlos. El contexto para la administracin de riesgos: estableciendo el alcance y las fronteras para la aplicacin del proceso de administracin de riesgos. Desarrollar un criterio para la evaluacin del riesgo: decidiendo qu criterios se van a utilizar para cada riesgo a la hora de ser evaluados. Definir la estructura: separando la actividad o el proyecto en un conjunto de elementos para proveer una gua lgica para la identificacin y anlisis del riesgo. 4.2. Identificacin de riesgo: La segunda etapa significa identificar los riesgos para ser administrados. Esto incluye un proceso sistemtico bien estructurado que debe contener: qu puede ocurrir, cmo puede ocurrir, herramientas y tcnicas para la identificacin. (Algunos ejemplos citados son: checklists, identificacin basada en la experiencia y la historia, grficos de evolucin, tormenta de ideas). 4.3. Anlisis de riesgo: El objetivo es separar los riesgos con mayor aceptacin de los riesgos con menos aceptacin y proveer datos para asistir en la evolucin y tratamiento de los riesgos. Los pasos en el anlisis de riesgo son: Determinar controles existentes: Identificar la administracin, sistemas tcnicos y procedimientos existentes para controlar los riesgos y evaluar sus fortalezas y debilidades. Determinar consecuencias y probabilidad de ocurrencia: asegurar esto en el contexto de los controles existentes y luego cambiar las consecuencias y probabilidades para producir el nivel de riesgo. El documento sugiere que para evitar efectos negativos se deberan utilizar las mejores tcnicas y fuentes de informacin disponibles. 4.4. Evaluacin de riesgo: implica comparar el nivel de riesgo durante el proceso de anlisis previo a establecer el criterio de riesgo. El producto de la evaluacin de riesgo es tener una lista de los riesgos con prioridades para tomar acciones posteriores. Si los riesgos caen en categoras de bajo riesgo o de riesgo aceptable, pueden ser aceptados con el mnimo de tratamiento y ser monitoreados regularmente para asegurarse se mantiene en este nivel. Si no, deben ser tratados usando una o ms de las opciones de la etapa siguiente. 4.5. Tratamiento de riesgo: Esta ltima etapa del proceso implica identificar las opciones, evaluarlas, preparar el plan de tratamiento de los riesgos e implementarlo.4.6. Monitoreo y revisin: monitorear los riesgos, la efectividad del tratamiento, etc. Los riesgos y la efectividad de las medidas de control necesitan ser monitoreadas para asegurar que las circunstancias cambiantes no alteren las prioridades de los riesgos. Pocos riesgos permanecen estticos. Debe hacerse una revisin continua para asegurar que el plan inicial se mantiene.4.7. Comunicacin y consulta: importante en cada etapa del proceso. Este marco da gran importancia a desarrollar planes de comunicacin tanto para los stakeholders[footnoteRef:3] internos como externos. Enfatiza que el dilogo debe ser de ida y vuelta con los esfuerzos enfocados en la consulta. Menciona que es importante que esta etapa se desarrolle desde el inicio del proceso de gestin de riesgos. Por eso en el esquema se ubica al costado de las etapas a lo largo de todo el proceso. [3: Stakeholders: Partes interesadas]

5. DocumentacinEl estndar plantea que debera documentarse cada etapa del proceso de administracin de riesgos. Da una serie de razones por las cuales es apropiado documentar que consideramos importante detallar:a) demostrar que el proceso es conducido apropiadamente; b) proveer evidencia de un enfoque sistemtico de identificacin y anlisis de riesgos; c) proveer un registro de los riesgos y desarrollar la base de datos de conocimientos de la organizacin; d) proveer a los tomadores de decisin relevantes de un plan de administracin de riesgos para aprobacin y subsiguiente implementacin; e) proveer un mecanismo y herramienta de responsabilidad; f) facilitar el continuo monitoreo y revisin; g) proveer una pista de auditoria; y h) compartir y comunicar informacin.

PMI ElProject Management Institute (PMI)es una organizacin internacional sin fines de lucro que asocia a profesionales relacionados con laGestin de Proyectos. Desde principios de 2011, es la ms grande del mundo en su rubro, dado que se encuentra integrada por ms de 700.000 miembros en cerca de 180 pases. La oficina central se encuentra en la localidad de Newtown Square, en la periferia de la ciudad deFiladelfia, en Pennsylvania (Estados Unidos) Sus principales objetivos son: Formular estndares profesionales en Gestin de Proyectos. Generar conocimiento a travs de lainvestigacin. Promover la Gestin de Proyectos comoprofesina travs de sus programas de certificacin.HistoriaEl PMI se fund en1969por 40voluntarios. Su primer seminario se celebr enAtlanta(Estados Unidos), al cual acudieron ms de ochenta personas. En la dcada de los 70 se realiz el primer captulo, lo que permiti realizar fuera de Estados Unidos el primerseminario. A finales de 1970, ya casi 2000 miembros formaban parte de la organizacin. En la dcada de los80se realiz la primera evaluacin para la certificacin como profesional en gestin de proyectos (PMP por sus siglas en ingls); adems de esto, se implant un cdigo deticapara la profesin. A principios de losaos 1990se public la primera edicin de la Gua del PMBOK(Project Management Body of Knowledge), la cual se convirti en un pilar bsico para la gestin y direccin de proyectos. Ya en el ao 2000, el PMI estaba integrado por ms de 40.000 personas en calidad de miembros activos, 10.000 PMP certificados y casi 300.000 copias vendidas del PMBOK.CertificacinEl PMI ofrece una serie de certificaciones que reconocen el conocimiento y la competencia, incluyendo la certificacin del Profesional en Direccin de Proyectos (PMP) que cuenta con ms de 370.000 titulares alrededor del mundo. Los salarios y las oportunidades de desarrollo profesional de los individuos titulares de nuestras certificaciones demuestran que los empleadores reconocen el valor que entregan los profesionales capacitados.Estndares mundialesLos estndares del PMI para la direccin de proyectos, programas, y portafolios son los ms reconocidos en la profesin, el modelo para la direccin de proyectos en el gobierno y en los negocios.Miles de voluntarios del PMI con experiencia en este tipo de proyectos, desarrollan y actualizan estos estndares, y proveen un lenguaje comn para la direccin de proyectos alrededor del mundo.Captulos y comunidades de prcticaLa mayora de las actividades del PMI se dan lugar en ms de 250 captulos geogrficos y 30 comunidades de prctica segn las industrias o intereses comunes. Estas comunidades, que estn abiertas a los miembros del PMI y son dirigidas por voluntarios, fomentan el compartir el conocimiento y la vinculacin entre profesionales, que es una parte central de nuestra misin.Capacitacin y educacinPMI ofrece un amplio rango de oportunidades de desarrollo profesional, desde nuestros SeminarsWorld y cursos a distancia, hasta los congresos globales del PMI y otros eventos.Ud. Tambin puede capacitarse con alguno de los ms de 1.400 Proveedores de Educacin Registrados con PMI (REPs) para capacitacin en direccin de proyectos y desarrollo continuo. Para quienes cursan programas universitarios, el Centro de Acreditacin Global del PMI para los Programas de Educacin en Direccin de Proyectos ha reconocido ms de 60 programas a nivel de grado y posgrado.InvestigacinEl Programa de Investigacin del PMI, el ms extenso en este campo, avanza la ciencia, la prctica, y la profesin de la direccin de proyectos. El mismo expande los fundamentos para la direccin de proyectos a travs de proyectos de investigacin, de simposios, y de encuestas, y comparte este conocimiento mediante sus publicaciones, sus conferencias de investigacin y sus sesiones de trabajo.Gobernabilidad15 miembros voluntarios del Directorio gobiernan al PMI. Cada ao los miembros del PMI votan por cinco directores para perodos de tres aos. Tres directores elegidos por otros miembros de la junta directiva sirven como oficiales por perodos de un ao.El Grupo de Direccin Ejecutivo y el personal profesional del Centro de Operaciones Globales del PMI ubicado en la ciudad de Newtown Square en Pennsylvania, USA, gua las operaciones diarias del PMI.BS 25999 e ISO 22301 BS 25999IntroduccinLa BS 25999 se trata de una norma certificable en la que se tiene como objeto la gestin o plan de continuidad del negocio fundamentalmente enfocado a la disponibilidad de la informacin, uno de los activos ms importantes hoy en da para cualquier organizacin.La norma se cre ante la necesidad de que actualmente tienen las organizaciones de implementar mecanismos y/o tcnicas, que minimicen los riesgos a los que se est expuestas, para conseguir una alta disponibilidad de las actividades de su negocio.La norma consiste en una serie de recomendaciones o buenas prcticas para facilitar la recuperacin de los recursos que permiten el funcionamiento normal de un negocio, en caso de que ocurra un desastre. En este contexto, se tienen en cuenta tanto los recursos humanos, como las infraestructuras, la informacin vital, las tecnologas de la informacin y los equipos que la soportan.HistoriaBS 25999 es un estndar britnico desarrollado como Plan de continuidad del Negocio (Business Continuity Management-BCM), y ha sido desarrollada por un amplio grupo de expertos de relevancia mundial en de los sectores de la industria y de la Administracin. Esta es una actualizacin.La norma ha sido publicada en dos partes. BS 25999-1:2006 Parte 1: se trata de un documento orientativo que proporciona las recomendaciones prcticas para las el BCM. BS 25999-2:2007 Parte 2: establece los requisitos para un Sistema de Gestin de la Continuidad (BCM). Esta es la parte de la norma que se certifica a travs de una etapa de implementacin, de auditora y posterior certificacin.BS 25999-1El estndar BS 25999-1 presenta los procesos y principios necesarios para una adecuada gestin de la continuidad del negocio que permita cubrir las necesidades de clientes y organizaciones.La gestin de la continuidad del negocio (Business continuity management BCM) consiste en la mejora proactiva de la resistencia (resilience) de la organizacin frente a contingencias. Por otra parte, proporciona mecanismos para restaurar los productos y servicios clave a un nivel aceptable y dentro de un marco temporal limitado, protegiendo la reputacin corporativa.La implantacin de un programa de gestin de la continuidad ofrece los siguientes beneficios: Identificacin proactiva de los impactos derivados de la interrupcin operativa. Respuesta efectiva a interrupciones. Gestin de riesgos no aceptados por las compaas de seguros. Mejora de la reputacin corporativa. Ventaja competitiva debido a la demostrada capacidad de mantener la entrega de servicios.El ciclo de vida de la gestin de la continuidad consta de 5 etapas:1. Programa de gestin de la continuidad del negocio BCM2. Comprensin de la organizacin3. Determinar la estrategia de continuidad o recuperacin BCM4. Desarrollo e implementacin de las respuestas BCM5. Validacin, mantenimiento y revisinEl estndar BS 25999-1 proporciona unos cdigos de buenas prcticas en forma de guas generales, las cuales establecen los procesos, principios y la terminologa expuesta en el presente artculo. Es posible ampliar la informacin con las guas de buenas prcticas del Business Continuity Institute.BS 25999-2La BS 25999-2 es una norma britnica emitida en 2007 que rpidamente se convirti en la principal norma para gestin de la continuidad del negocio; aunque se trataba de una norma nacional britnica, se utiliza tambin en muchos otros pases.La BS 25999-2 tambin define un sistema de gestin de la continuidad del negocio que contiene las mismas cuatro fases de gestin: planificacin, implementacin, revisin y supervisin; y por ltimo, mejora. El objetivo de estas cuatro fases es que el sistema se actualice y mejore permanentemente para que sea til si se produjera un desastre.Los siguientes son algunos de los procedimientos y documentos ms importantes requeridos por la BS 25999-2: alcance del SGCN: identificacin precisa de la parte de la organizacin en la cual se aplica la gestin de la continuidad del negocio; poltica de GCN: definicin de objetivos, responsabilidades, etc.; gestin de recursos humanos; anlisis de impactos en el negocio y evaluacin de riesgos; definicin de estrategia de continuidad del negocio; planes de continuidad del negocio; mantenimiento de planes y sistemas; mejoras.ISO 22301IntroduccinEl nombre completo de esta norma es ISO 22301:2012 Seguridad de la sociedad Sistemas de gestin de la continuidad del negocio. Esta norma fue redactada por los principales especialistas en el tema y proporciona el mejor marco de referencia para gestionar la continuidad del negocio en una organizacin.ISO 22301 es la nueva norma internacional de gestin de continuidad de negocio. Esta ha sido creada en respuesta a la fuerte demanda internacional que obtuvo la norma britnica original, BS 25999-2 y otras normas. Si usted cumple con los requisitos para obtener la certificacin, su organizacin ser reconocida a nivel global. ISO 22301 identifica los fundamentos de un sistema de gestin de continuidad de negocio, estableciendo el proceso, los principios y la terminologa de gestin de continuidad de negocio.Relacin con BS 25999-2La ISO 22301 ha reemplazado a la 25999-2. Estas dos normas son bastante similares, pero la ISO 22301 puede ser considerada como una actualizacin de la BS 25999-2. Beneficios de la continuidad del negocioSi se implementa correctamente, la gestin de la continuidad del negocio disminuir la posibilidad de ocurrencia de un incidente disruptivo y, en caso de producirse, la organizacin estar preparada para responder en forma adecuada y, de esa forma, reducir drsticamente el dao potencial de ese incidente.Cmo encaja la continuidad del negocio en la gestin general?La continuidad del negocio es parte de la gestin general del riesgo en una compaa y tiene reas superpuestas con la gestin de seguridad y tecnologa de la informacin.

Ilustracin 7 la gestin del riesgo es parte de la gestin corporativa general.Trminos bsicos utilizados en la norma Sistema de gestin de la continuidad del negocio (SGCN): parte del sistema general de gestin que se encarga de planificar, mantener y mejorar continuamente la continuidad del negocio. Interrupcin mxima aceptable (MAO): cantidad mxima de tiempo que puede estar interrumpida una actividad sin incurrir en un dao inaceptable (tambin Perodo mximo tolerable de interrupcin [MTPD]). Objetivo de tiempo de recuperacin: tiempo predeterminado que indica cundo se debe reanudar una actividad o se deben recuperar recursos. Objetivo de punto de recuperacin (RPO): prdida mxima de datos; es decir, la cantidad mnima de datos que necesita ser restablecida. Objetivo mnimo para la continuidad del negocio (MBCO): nivel mnimo de servicios o productos que necesita suministrar o producir una organizacin una vez que restablece sus operaciones comerciales.Contenido de ISO 22301La norma incluye estas secciones:

Introduccin0.1 General0.2 El modelo Planificacin-Implementacin-Verificacin-Mantenimiento (PDCA)0.3 Componentes de PDCA en esta norma internacional1 Alcance2 Referencias normativas3 Trminos y definiciones4 Contexto de la organizacin4.1 Conocimiento de la organizacin y de su contexto4.2 Conocimiento de las necesidades y expectativas de las partes interesadas4.3 Determinacin del alcance del sistema de gestin4.4 Sistema de gestin de la continuidad del negocio5 Liderazgo5.1 General5.2 Compromiso de la direccin5.3 Poltica5.4 Funciones, responsabilidades y autoridades organizativas6 Planificacin6.1 Acciones para tratar riesgos y oportunidades6.2 Objetivos de la continuidad del negocio y planes para alcanzarlos7 Apoyo7.1 Recursos7.2 Competencia7.3 Concienciacin7.4 Comunicacin7.5 Informacin documentada8 Funcionamiento8.1 Planificacin operativa y control8.2 Anlisis de impactos en el negocio y evaluacin de riesgos8.3 Estrategia de la continuidad del negocio8.4 Establecimiento e implementacin de procedimientos de continuidad del negocio8.5 Prueba y verificacin9 Evaluacin de desempeo9.1 Supervisin, medicin, anlisis y evaluacin9.2 Auditora interna9.3 Revisin por parte de la direccin10 Mejoras10.1 No conformidades y acciones correctivas10.2 Mejora continuaBibliografa

ISO 17799 La norma ISO 17799 es la norma internacional que ofrece recomendaciones para realizar la gestin de la seguridad de la informacin dirigidas a los responsables de iniciar, implantar o mantener la seguridad de una organizacin.Surgida de la norma britnica BS 7799, la norma ISO 17799 ofrece instrucciones y recomendaciones para la administracin de la seguridad.Objetivo de la norma ISO 17799El objetivo de la norma ISO 17799 es proporcionar una base comn para desarrollar normas de seguridad dentro de las organizaciones y ser una prctica eficaz de la gestin de la seguridad. La adaptacin espaola de la norma se denomina UNE-ISO/IEC 17799. Se trata de una norma NO CERTIFICABLE, pero que recoge la relacin de controles a aplicar (o al menos, a evaluar) para establecer un Sistema de Gestin de la Seguridad de la Informacin (SGSI) segn la norma UNE 71502, CERTIFICABLE.

Ilustracin 8 Objetivo de la norma ISO 17799HistoriaEn 1995 el British Standard Institute publica la norma BS 7799, un cdigo de buenas prcticas para la gestin de la seguridad de la informacin. En 1998, tambin el BSI publica la norma BS 7799-2, especificaciones para los sistemas de gestin de la seguridad de la informacin; se revisa en 2002.Tras una revisin de ambas partes de BS 7799 (1999), la primera es adoptada como norma ISO en 2000 y denominada ISO/IEC 17799: Conjunto completo de controles que conforman las buenas prcticas de seguridad de la informacin. Aplicable por toda organizacin, con independencia de su tamao. Flexible e independiente de cualquier solucin de seguridad concreta: recomendaciones neutrales con respecto a la tecnologa.En 2002 la norma ISO se adopta como UNE sin apenas modificacin (UNE 17799), y en 2004 se establece la norma UNE 71502, basada en BS7799-2 (no existe equivalente ISO).Estructura: dominios de controlLa norma UNE-ISO/IEC 17799 establece diez dominios de control que cubren por completo la Gestin de la Seguridad de la Informacin:1. Poltica de seguridad: escribir y comunicar la poltica de seguridad de la compaa2. Organizacin de seguridad: definir los roles y las responsabilidades. Monitorear a los socios y a las empresas tercerizadas.3. Clasificacin y control de activos: llevar un inventario de los bienes de la compaa y definir cun crticos son as como sus riesgos asociados.4. Seguridad del personal: contratacin, capacitacin y aumento de concientizacin relacionadas a la seguridad.5. Seguridad fsica y del entorno: rea de seguridad, inventarios del equipamiento de seguridad.6. Comunicacin / Administracin de operaciones: procedimientos en caso de accidente, plan de recuperacin, definicin de niveles de servicio y tiempo de recuperacin, proteccin contra programas ilegales, etc.7. Control de acceso: establecimiento de controles de acceso a diferentes niveles (sistemas, redes, edificios, etc.)8. Desarrollo y mantenimiento del sistema: consideracin de la seguridad en sistemas desde el diseo hasta el mantenimiento.9. Plan de continuidad empresarial: definicin de necesidades en trminos de disponibilidad, recuperacin de tiempo y establecimiento de ejercicios de emergencia.10. Contratacin: respeto por la propiedad intelectual, las leyes y las reglamentaciones de la compaa.

Ilustracin 9 Estructura dominios de controlLa adopcin de la norma ISO 17799 proporciona diferentes ventajas a cualquier organizacin: Aumento de la seguridad efectiva de los sistemas de informacin. Correcta planificacin y gestin de la seguridad. Garantas de continuidad del negocio. Mejora continua a travs del proceso de auditora interna. Incremento de los niveles de confianza de nuestros clientes y partners. Aumento del valor comercial y mejora de la imagen de la organizacin.Que es un BCP Un plan de continuidad del negocio (o sus siglas en ingls BCP, por Business Continuity Plan) es un plan logstico para la prctica de cmo una organizacin debe recuperar y restaurar sus funciones crticas parcial o totalmente interrumpidas dentro de un tiempo predeterminado despus de una interrupcin no deseada o desastre. En lenguaje sencillo, BCP es el cmo una organizacin se prepara para futuros incidentes que puedan poner en peligro a sta y a su misin bsica a largo plazo. Las situaciones posibles incluyen desde incidentes locales (como incendios, terremotos, inundaciones, etc.), incidentes de carcter regional, nacional o internacional hasta incidentes como pandemias, etc.Un plan de continuidad afecta tanto a los sistemas informticos como al resto de los procesos de una organizacin y tiene en cuenta la situacin antes, durante y despus de un incidente.La continuidad del negocio es un concepto que abarca tanto el plan para la recuperacin de desastres (DRP) como el plan para el restablecimiento del negocio. Recuperacin de desastres es la capacidad para responder a una interrupcin de los servicios mediante la implementacin de un plan para restablecer las funciones crticas de la organizacin.Un Plan de Continuidad Incluye: Planes, medidas y disposiciones para asegurar la entrega contina de los servicios y/o productos que le permitan a la Organizacin recuperar sus instalaciones, informacin y activos. La identificacin de los recursos necesarios para respaldar la continuidad del negocio, incluyendo personal, informacin, equipos, recursos financieros, apoyo legal, seguridad y alojamientos en caso de ser necesarios.ObjetivoDisminuir y evitar las interrupciones del negocio que tienen un impacto sobre la efectiva ejecucin de los procesos crticos de una organizacin.Beneficios Identifica los diversos eventos que pueden impactar sobre la continuidad de las operaciones y su impacto sobre el negocio. Obliga a conocer los tiempos crticos de recuperacin, para volver al estado anterior de la compaa. Clasifica los activos para priorizar su proteccin en caso de un incidente. Aporta una ventaja competitiva frente a la competencia. Mejora la eficiencia organizacional. Identifica aquellos puntos ms dbiles de la infraestructura, que son susceptibles de sufrir un incidente y afectar la continuidad del negocio. Dispone de un plan logstico de rpida actuacin y respuesta, en caso de sufrir un incidente. Aplica medidas correctoras necesarias para garantizar la continuidad del negocio. Reduce gastos y prdidas econmicas considerables en caso de ocurrir un incidente que afecte el negocio. Evaluacin tcnica de riesgos asociados a la continuidad, evaluacin de alternativas y estrategias de minimizacin de riesgos. Mapeo critico de los recursos mnimos requeridos en la continuidad de los procesos del negocio. Control del impacto financiero y operacional, causado por la interrupcin de la operacin natural del negocio.Este Plan considera aspectos preventivos, para evitar o minimizar la posibilidad de que los riesgos de impacto econmico, se produzcan en la empresa por interrupciones no deseadas.Por qu es valioso un Plan de Continuidad del Negocio?Toda organizacin est en riesgo de ser vctima de un desastre: Un desastre natural como una inundacin, un incendio, un terremoto, etc. Sabotaje Cortes de energa Fallas en comunicaciones, transporte o de seguridad. Ciber ataques por parte de un hackerMetodologa para implementar un BCP0. Iniciacin y Administracin del Proyecto1) Establecer la necesidad de la continuidad del negocio2) Comunicar la necesidad de un BCP3) Comprometer la Alta Gerencia en los procesos de BCP4) Establecer el Comit de Proyecto5) Identificar y ejecutar los requerimientos presupuestales6) Identificar los equipos de planificacin y sus responsabilidades7) Desarrollar y coordinar las actividades de implementacin del BCP8) Dar respuesta a los requerimientos de la Gerencia y de documentacin de los procesos de BCP9) Reportar y obtener aprobacin del avance del proyecto1. Anlisis de riesgos1.1 Identificar los ambientes operativos que se pueden ver afectados en caso de un siniestro.1.2 Identificar los principales escenarios de falla y los recursos e infraestructura critica.1.3 Identificar oportunidades de mejora o exposiciones crticas a riesgos de falla1.4 Identificar las polticas y mejores prcticas de seguridad existentes1.5 Revisin de instalaciones fsicas, centros de cmputo e infraestructura tecnolgica en general.2. Anlisis de impacto del negocio (BIA)2.1. Verificacin del inventario de procesos2.2. Identificacin de impactos2.3. Definicin de tiempos y secuencia de recuperacin2.4. Identificacin de Interdependencias entre procesos2.5. Identificacin de los procesos crticos del negocio.3. Seleccin de la estrategia de continuidad3.1. Definir requerimientos mnimos para cada recurso.3.2. Identificar configuraciones alternativas de recursos3.3. Determinar las redundancias de equipos y de comunicaciones3.4. Analizar las diferentes posibilidades en procesamiento y en comunicaciones3.5. Determinar las opciones estratgicas de procesamiento internas externas y acuerdos mutuos de servicio disponibles.3.6. Establecer las principales ventajas y desventajas de cada una de las opciones.4. Ejecucin y Desarrollo del Plan4.1. Definir los planes de continuidad y restauracin4.2. Elaborar el manual del plan4.3. Definir las condiciones que se deben cumplir para que el plan tenga xito.5. Evaluacin y Mantenimiento5.1. Desarrollar las tareas necesarias para garantizar la operatividad del plan5.2. Lograr una efectiva concientizacin sobre la importancia del plan5.3. Socializar el plan en el comit de continuidad y en toda la organizacin5.4. Designar un responsable del plan para su actualizacin y mantenimiento

Ilustracin 10 Ciclo de vida BCPQue es un DRP Un DRP (Disaster Recovery Plan o Plan de recuperacin de desastres) es la estrategia que se seguir para restablecer los servicios de TI (Hardware y Software) despus de haber sufrido una afectacin por una catstrofe natural, epidemiolgica, falla masiva, dao premeditado, ataque de cualquier tipo el cual atente contra la continuidad del negocio.Cuando las compaas no cuentan con un DRP implementado y se tiene una eventualidad, stas lo tratan de recuperar a cualquier costo ya que dependen del funcionamiento de sus sistemas de informacin.As como un desastre es un evento que imposibilita la continuacin de las funciones normales, un plan de recuperacin de desastres se compone de las precauciones tomadas para que los efectos de un desastre se reduzcan al mnimo y la organizacin sea capaz de mantener o reanudar rpidamente funciones de misin crtica.Por lo general, la planificacin de recuperacin de desastres implica un anlisis de los procesos de negocio y las necesidades de continuidad; tambin puede incluir un enfoque significativo en la prevencin de desastres.Losplanes apropiados varan de una empresa a otra, en funcin de variables como el tipo de negocio, los procesos involucrados, y el nivel de seguridad requerido.La planificacin de la recuperacin de desastres puede ser desarrollada dentro de una organizacin o se puede comprar una aplicacin de software o un servicio.No es inusual que empresa invierta el 25% de su presupuesto de tecnologa de la informacin de recuperacin de desastres.Sin embargo, el consenso dentro de la industria de DR es que la mayora de las empresas todava estn mal preparadas para un desastre.Segn el sitio de Recuperacin de Desastres, "a pesar del nmero de desastres conocidos desde el 9/11, slo el 50% de las empresas informan que tienen un plan de recuperacin de desastres. De aquellos que s lo tienen, casi la mitad nunca han puesto a prueba su plan, lo que equivalea no tener ninguno".Razones para recurrir a un DRPExisten diferentes riesgos que pueden impactar negativamente las operaciones normales de una organizacin. Una evaluacin de riesgo debera ser realizada para ver que constituye el desastre y a que riesgos es susceptible una empresa especfica, incluyendo: Catstrofes. Fuego. Fallos en elsuministro elctrico. Ataquesterroristas. Interrupciones organizadas o deliberadas. Sistema y/o fallos del equipo. Error humano. Virus, amenazas y ataques informticos. Cuestiones legales. Huelgasde empleados. Conmocin social o disturbios.Prevencin ante los desastres Enviar respaldos fuera de sitio semanalmente para que en el peor de los casos no se pierda ms que los datos de una semana. Incluir elsoftwareas como toda la informacin de datos, para facilitar la recuperacin. Si es posible, usar una instalacin remota de reserva para reducir al mnimo la prdida de datos. Redes de rea de Almacenamiento (SANs) en mltiples sitios son un reciente desarrollo (desde2003) que hace que los datos estn disponibles inmediatamente sin la necesidad de recuperarlos o sincronizarlos. Protectores de lnea para reducir al mnimo el efecto de oleadas sobre un delicado equipo electrnico. Elsuministro de energa ininterrumpido(SAI). La prevencin de incendios - msalarmas,extintoresaccesibles. El software delantivirus. El seguro en elhardware.El PlanPara asegurar la continuidad del negocio, es recomendable partir de la siguiente premisa: "Siempre desear lo mejor y planear para lo peor". En un buen plan existen diferentes factores que hay que tomar en cuenta. Los ms importantes son: El rbol telefnico: para notificar todo el personal clave del problema y asignarles tareas enfocadas hacia el plan de recuperacin. Reservas de memoria: si lascintasde reserva son tomadas fuera de sitio es necesario grabarlas. Si se usan servicios remotos de reserva se requerir unaconexin de reda la posicin remota de reserva (oInternet). Clientes: la notificacin de clientes sobre el problema reduce al mnimo el pnico. Instalaciones: teniendo sitios calientes o sitios fros para empresas ms grandes. Instalaciones de recuperacin mviles estn tambin disponibles en muchos proveedores. Trabajadores con conocimiento. Durante desastre a los empleados se les requiere trabajar horas ms largas y ms agotadoras. Debe haber un sistema de apoyo para aliviar un poco de tensin. La informacin de negocio. Las reservas deben estar almacenadas completamente separadas de la empresa (Cummings, Haag y 2005 McCubbrey). Laseguridady la fiabilidad de los datos es clave en ocasiones como estas.Aspectos clave a considerar al planificar la recuperacin de desastres TI Apoyo de la alta gerencia.Asegrese de tener el apoyo de la alta gerencia a fin de lograr alcanzar los objetivos del plan. Tomarse en serio el proceso de planificacin de RD de TI.Aunque la recopilacin y anlisis de los datos para el plan de RD de TI puede llevar mucho tiempo, no es necesario que tenga docenas de pginas. Disponibilidad de estndares.Entre los estndares relevantes que podemos usar a la hora de desarrollar los planes de RD de TI estn los siguientes: NIST SP 800-34, ISO/IEC 24762 y BS 25777. La sencillez es un grado.Es esencial reunir y organizar la informacin correcta. Estudiar los resultados con las unidades de negocio.Una vez finalizado el plan de recuperacin de desastres, debemos cotejar sus conclusiones con los lderes de las unidades de negocio para comprobar que nuestras premisas son correctas. Flexibilidad.La plantilla sugerida en este artculo puede ser modificada en lo que sea necesario para conseguir nuestros objetivos. Que es un BIA Un anlisis de impacto en el negocio (BIA Business Impact Analysis) es una parte clave del proceso de continuidad del negocio, que analiza funciones de negocio de misin crtica, y sus dependencias. Estas dependencias pueden incluir Proveedores, personas, otros Procesos de Negocio, Servicios TI, etc. e identifica y cuantifica el impacto.BIA define los requerimientos de recuperacin para los Servicios TI. Dichos requerimientos incluyen Objetivos de Tiempos de Recuperacin, Objetivos del Punto de Recuperacin y los Objetivos de Nivel de Servicio mnimos para cada Servicio TI.ObjetivoDentro de los objetivos principales al realizar un anlisis de impacto, se debera tener presente: Entender los procesos crticos que soportan el servicio, la prioridad de cada uno de estos servicios y los tiempos estimados de recuperacin (RTO). Determinar los tiempos mximos tolerables de interrupcin (MTD). Apoyar el proceso de determinar las estrategias adecuadas de recuperacin.Algunas preguntas que deberan responder un estudio BIA Estn vigentes y actualizado el mapa de sus procesos? Posee un esquema con las posibles prdidas financieras que su Organizacin tendra que absorber si el riesgo/s se activan? Cul es la evolucin del impacto econmico en el Tiempo? Qu procesos producen el mayor impacto Reglamentario? Qu procesos producen impacto directo en el Cliente? Cul es el posicionamiento de su Organizacin en el Mercado? Y Segn el impacto activado: Cul sera su posicionamiento de su Organizacin en el Mercado? Cules son los recursos Crticos? Los planes de contingencia y continuidad del negocio, en qu porcentaje bajan el Impacto?CaractersticasA continuacin, se enumeran las caractersticas ms importantes de un BIA realizado correctamente y su importancia para el proceso de gestin de riesgos en la organizacin.1. Un alcance bien definido del anlisisComo su nombre lo indica, este es un estudio que mide el impacto en el negocio, no la prdida potencial de los activos de la compaa, sino el impacto en sus operaciones, incluyendo la imagen de la compaa. Por lo tanto, el BIA slo incluye los procesos de negocio, es decir aquellos que generan productos o servicios al resto del mundo.2. Participantes seleccionados adecuadamenteEl BIA no es un ejercicio que se puede delegar a cualquier empleado. El peso de las decisiones a tomarse en el curso del anlisis es tan grande que es recomendable que los responsables de los procesos participen personalmente en l.3. Llevando a cabo el BIASe aconseja que el BIA se lleve a cabo en forma de talleres, con la participacin de todos los responsables de los procesos. El nivel de complejidad de los procesos de negocio, su interdependencia mutua y las zonas que pueden verse afectadas por la interrupcin es tan alta que la organizacin no puede permitirse el riesgo de pasar por alto algunos aspectos importantes.4. Un estimado del Impacto La ventaja del BIA en comparacin con otros mtodos de anlisis de riesgos se basa en gran medida en el hecho que el impacto de la interrupcin se estima con tres principios en mente:a) El anlisis se realiza tomando en cuenta el peor escenario posible, esto permite estimar la prdida mxima potencial, elemento crucial en el proceso de toma de decisiones estratgicas;b) Cuando se estima el impacto es importante que no tomemos en cuenta las medidas de control existentes y las soluciones de respaldo con el fin de evaluar el riesgo inherente de tal;c) El impacto potencial financiero e intangible se mide en diferentes intervalos de tiempo, lo que permite precisar el mximo tiempo de interrupcin permitido.5. Decisiones estratgicasLos resultados del BIA constituyen una informacin muy valiosa para la junta y la base para la toma de decisiones estratgicas. Los resultados permiten a la junta ver el nivel de la exposicin al riesgo desde un ngulo completamente nuevo. A veces, sorpresivamente, resulta que los procesos, que a menudo no generan ganancias significativas, generan prdidas muy elevadas. Las decisiones se toman sobre cuestiones tales como: a) El tiempo mximo aceptable de interrupcin, un hecho importante, ya que aceptamos todas las prdidas incurridas para la reanudacin del proceso;b) Nivel mnimo de recuperacin del proceso. Este parmetro puede cambiar dramticamente los estndares de los acuerdos de nivel de servicio existentes y afectar los trminos y condiciones de los contratos futuros;c) Tiempo en el cual el proceso debe volver al modo de funcionamiento normal; parmetro, que es crucial para la evaluacin de existencias y la seleccin de nuevas medidas para prevenir y minimizar el riesgo.Las decisiones tomadas en la etapa del BIA forman la base del programa de gestin de riesgos, particularmente gestin del riesgo estratgico. Los criterios establecidos y basados en los resultados del BIA estn bien fundados y tambin suficientemente precisos y financiados para ser utilizados en la realizacin de un anlisis creble, orientado a identificar riesgos que puedan conducir a la interrupcin de operaciones crticas.MetodologaEl BIA implica determinar las labores y los recursos esenciales para respaldar la continuidad del negocio, su criticidad, su impacto para el negocio, sus RTOs (Tiempo de recuperacin objetivo), RPOs (Punto de recuperacin objetivo) y MTDs (Tiempo mximo tolerable fuera de servicio).La metodologa empleada en esta instancia est compuesta por las cinco fases descriptas a continuacin:1. Identificacin de los procesos y subprocesos crticosSe identifican todos los procesos de negocio de la organizacin. Para cada subproceso se establece la dependencia entre ellos, la frecuencia de ejecucin y los medios utilizados para recibir y/o enviar las entradas y salidas. El objetivo de esta etapa es establecer cules son los subprocesos crticos que darn continuidad a la operacin en caso de desastre.2. Identificacin de actores involucradosSe identifican los actores y entidades involucradas que interactan con cada proceso/subproceso en carcter de proveedores o clientes. Por ejemplo: clientes; socios, entes reguladores, otros subprocesos, etc.3. Determinacin del nivel de impactoSe determina el nivel de impacto que producir la discontinuidad total o parcial de cada proceso/subproceso derivado de que no se ejecuten en diferentes escenarios con mayor relevancia para la organizacin.4. Definicin de los RTOsSe identifican cules son los niveles de servicio que necesitan ser garantizados en cada subproceso y que condicionarn las estrategias de recupero de la operacin.5. Identificacin de recursos que soportan los subprocesosSe identifican y dimensionan los recursos de infraestructura y recursos humanos necesarios para poder llevar a cabo los subprocesos.

Ilustracin 11 Metodologa BIA PMI Y SU PMBOK PMPEl Project Management Professional (PMP) es la certificacin que avala su cono-cimiento de la metodologa de direccin de proyectos ms extendida en el mundo. Aplicable a todas las industrias, son ya ms de 240.000 los profesionales certificados PMP en ms de 160 pases que dirigen y gestionan sus proyectos con xito. PMBOKEl Project Management Body of Knowledge (PMBOK)es unestndaren lagestin de proyectosdesarrollado por elProject Management Institute(PMI). La misma comprende dos grandes secciones, la primera sobre los procesos y contextos de un proyecto, la segunda sobre las reas de conocimiento especfico para la gestin de un proyecto.En1987, el PMI public la primera edicin del PMBOK en un intento por documentar y estandarizar informacin y prcticas generalmente aceptadas en la gestin de proyectos. La edicin actual, la cuarta, provee de referencias bsicas a cualquiera que est interesado en la gestin de proyectos. Posee unlxicocomn y una estructura consistente para el campo de la gestin de proyectosLa Gua del PMBOK es ampliamente aceptada por ser el estndar en la gestin de proyectos, sin embargo existen algunas crticas: La mayor viene de los seguidores de laCadena Crtica(en oposicin alMtodo de la ruta crtica). EL PMBOK se encuentra disponible en 11 idiomas: ingls, espaol, chino simplificado, ruso, coreano, japons, italiano, alemn, francs, portugus de Brasil y rabe.La estructura de la Gua del PMBOK est dividida en tres secciones: Seccin I: Marco Conceptual de la Direccin de Proyectos Seccin II: Norma para la Direccin de Proyectos de un Proyecto Seccin III: reas de Conocimiento de la Direccin de ProyectosUna direccin de proyectos efectiva requiere que el equipo de direccin del proyecto comprenda y use los conocimientos y las habilidades correspondientes a, por lo menos, cinco reas de experiencia: Fundamentos de la Direccin de Proyectos Conocimientos, normas y regulaciones del rea de aplicacin Comprensin del entorno del proyecto Conocimientos y habilidades de direccin general Habilidades interpersonales. La siguiente figura muestra la relacin que existe entre estas cinco reas de experiencia. Si bien aparentan ser elementos discretos, por lo general, se superponen; ninguno de ellos puede existir sin los dems.

Ilustracin 10: reas de experiencia que necesita el equipo de direccin del proyectoCada rea de aplicacin, por lo general, tiene un conjunto de normas y prcticas aceptadas, que a menudo se han plasmado en regulaciones. La Gua del PMBOK describe exclusivamente los procesos de la direccin de proyectos. Los procesos de la direccin de proyectos y los procesos orientados al producto se superponen y actan los unos sobre los otros a lo largo de la vida de un proyecto. Los procesos de la direccin de proyectos se aplican de manera global y a todos los grupos de industrias. Buenas prcticas significa que existe acuerdo general respecto a que la aplicacin de los procesos de la direccin de proyectos aumenta las posibilidades de xito de una amplia variedad de proyectos. Buenas prcticas no significa que los conocimientos, habilidades y procesos descritos deban aplicarse siempre de la misma manera en todos los proyectos. Para un proyecto determinado, el director del proyecto, en colaboracin con el equipo del proyecto, tiene siempre la responsabilidad de determinar cules son los procesos adecuados, as como el grado de rigor adecuado para cada proceso. Los directores de proyecto y sus equipos deben abordar cuidadosamente cada proceso, as como sus entradas y salidas, y determinar cules son aplicables al proyecto en el que estn trabajando. Se puede utilizar la Gua del PMBOK como recurso para dirigir un proyecto en el momento de considerar el enfoque y la metodologa generales a seguir en el proyecto. Este esfuerzo se conoce como adaptacin. La direccin de proyectos es una tarea integradora que requiere que cada proceso del producto y del proyecto est alineado y conectado de manera adecuada con los dems procesos, a fin de facilitar la coordinacin. Generalmente las acciones tomadas durante la ejecucin de un proceso afectan a ese proceso y a otros procesos relacionados. Por ejemplo, un cambio en el alcance afecta generalmente al costo del proyecto, pero puede no afectar al plan de gestin de las comunicaciones o al nivel de riesgo.La Gua del PMBOK describe la naturaleza de los procesos de la direccin de proyectos en trminos de la integracin entre los procesos, de sus interacciones y de los propsitos a los que responden. Los procesos de la direccin de proyectos se agrupan en cinco categoras conocidas como Grupos de Procesos de la Direccin de Proyectos (o Grupos de Procesos): Grupo de Procesos de Inicio. Aquellos procesos realizados p