CLASIFICACIÓN DE LOS PRINCIPALES RIESGOS DE LA SEGURIDAD INFORMÁTICA

Riesgo: Los riesgos informáticos se refieren a la incertidumbre existente por la realización de un suceso relacionado con laamenaza de daño respecto a los bienes o servicios informáticos. 

Es un problema potencial que puede ocurrir en un procesador segementado.

 

Tipos de riesgos:
Robo de hardware | Alto |
Robo de información | Alto |
Vandalismo | Medio |
Fallasen los equipos | Medio |
Virus Informáticos | Medio |
Equivocaciones | Medio |
Accesos no autorizados | Medio |
Fraude | Bajo |
Fuego | Muy Bajo |
Terremotos | Muy Bajo |

 

 Matriz de riesgo: 1 = Insignificante (incluido Ninguna)
* 2 = Baja
* 3 = Mediana
*4 = Alta

Vulnerabilidad: hace referencia a una debilidad en un sistema permitiendo a un atacante violar laconfidencialidad, integridad, disponibilidad, control de acceso y consistencia del sistema o de sus datos y aplicaciones.

 

Riesgos lógicos:
Códigos maliciosos: hace referencia a cualquier conjunto decódigos, especialmente sentencias de programación, que tiene un fin malicioso. (Programas malignos compilados, como macros y códigos que se ejecutan directamente).

 

Spam: es todo aquel correo electrónico que contiene publicidad que no ha sido solicitada por el propietario de la cuenta de e-mail.

Piratería:Término utilizado para referirse a la copia ilegal de obras literarias, musicales, audiovisuales o de software, infringiendo los derechos de autor.

Fuga de información: Se denomina fuga de informaciónal incidente que pone en poder de una persona ajena a la organización, información confidencial y que sólo debería estar disponible para integrantes de la misma.

Ingeniería social:es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes informáticos para obtener información.


Intrusos informáticos: archivos cuyo propósito es invadir la privacidad de tu computadora, posiblemente dejando daños y alterando el software del equipo. Entre ellos están: los spyware.

Riesgos físicos: es la vulnerabilidad que hay de ser dañados el hardware y medios de almacenamiento de datos.

RECOPILACIÓN DE LA INFORMACIÓN DE LA ORGANIZACIÓN

Objetivos corporativos:

Los objetivos corporativos son los resultados globales que unaorganización espera alcanzar en el      desarrollo    y       operacionalización        concreta de su misión y visión

Deben cubrir e involucrar a toda la  organización, por ello, deben tenerse en cuenta todas las áreas que  integran a la empresa.

Organigrama:

 Es la representación gráfica de la estructura de una empresa o cualquier otra organización. Representan las estructuras departamentales y, en algunos casos, las personas que las dirigen, hacen un esquema sobre las relaciones jerárquicas y competenciales de vigor en la organización.

Manual de proceso:

Es el documento que contiene la descripción de actividades que deben seguirse en la realización de las funciones de una unidad administrativa, o de dos ò mas de ellas.

El manual incluye además los puestos o unidades administrativas que intervienen precisando su responsabilidad y participación.

Tambien el manual de procedimientos contiene una descripción precisa de como deben desarrollarse las actividades de cada empresa.

Analiza Configuración De Seguridad De Grupos Y Cuentas De Usuario En El Sistema Operativo

Políticas aplicadas:

*De cuenta

*De auditoria

*Restricciones a usuarios.

*Restricciones de software.

*Firewall

*Antivirus

*Antispyware

Para establecer permisos en una carpeta compartida mediante la interfaz de Windows:

1. Abra Administración de equipos.
2. Si se muestra el cuadro de diálogo Control de cuentas de usuario, confirme si la acción que aparece es la que desea y, a continuación, haga clic en Sí.
3. En el árbol de la consola, haga clic en Herramientas del sistema, haga clic enCarpetas compartidas y, a continuación, haga clic en Recursos compartidos.
4. En el panel de detalles, haga clic con el botón secundario en la carpeta compartida y, a continuación, haga clic en Propiedades.
5. En la ficha Permisos de los recursos compartidos, establezca los permisos que desee: 

•  Para asignar permisos a un usuario o grupo a una carpeta compartida, haga clic en Agregar. En el cuadro de diálogo Seleccionar usuarios, equipos o grupos, busque o escriba el nombre del usuario o grupo y, a continuación, haga clic enAceptar.
•  Para revocar el acceso a una carpeta compartida, haga clic en Quitar.
• Para establecer permisos individuales para el usuario o grupo, en Permisos de grupos o usuarios, seleccione Permitir o Denegar.

      6.Para establecer permisos de archivos y carpetas que se apliquen a los usuarios que inicien   sesión localmente o mediante Servicios de Escritorio remoto, haga clic en la fichaSeguridad y    establezca los permisos adecuados.

Cómo compartir un archivo o una carpeta
Puedes compartir un archivo o una carpeta en Google Drive o en las pantallas de inicio de Documentos, Hojas de cálculo o Presentaciones.

1. Abre Drive o el archivo o carpeta que quieras compartir.
2. Abre el cuadro de la configuración del uso compartido:
   • Mientras tienes un archivo abierto: haz clic en Compartir en la esquina superior derecha.
   • Mientras tienes una carpeta abierta: haz clic en el botón Compartir en la esquina superior derecha.
   • En tu lista de archivos en Drive: selecciona el nombre de un archivo o carpeta y haz clic en el botón Compartir en la parte superior.
3. En "Personas" en el cuadro para compartir, escribe las direcciones de correo electrónico de las personas o los grupos de Google con los que quieras compartir los elementos. También puedes buscar contactos escribiéndolos en el cuadro.
4. Elige el tipo de acceso que quieras dar a estos usuarios haciendo clic en la flecha desplegable que aparece a la derecha del cuadro de texto:
   • Puede editar: los usuarios pueden editar el archivo o carpeta y compartirlo con otros.
   • Puede comentar: los usuarios pueden ver y añadir comentarios al archivo o carpeta, pero no pueden editarlo.
   • Puede ver: los usuarios pueden ver el archivo o carpeta, pero no pueden editarlo ni comentarlo.
5. Haz clic en Ok. Los usuarios recibirán un correo electrónico informándoles de que has compartido el archivo o la carpeta con ellos. 

Actualizazción de Sistemas Operativos

Las actualizaciones de seguridad ayudan a proteger el equipo frente a virus, gusanos y otras amenazas a medida que se descubren. Los sistemas operativos de Windows® cuentan con la característica de actualizaciones automáticas, que se puede utilizar para descargar las actualizaciones de seguridad más recientes de forma automática. En este paso se indicará cómo activar Actualizaciones automáticas. También se indicará cómo actualizar el equipo con actualizaciones de software anteriores.

Activa la característica Actualizaciones automáticas

Importante: La característica Actualizaciones automáticas que se va a activar sólo descargará actualizaciones futuras de Microsoft. Windows Update seguirá siendo necesario para actualizarse una vez activada Actualizaciones automáticas. (Al final de este paso se indicará la forma de hacerlo.)

1              Haz clic en Inicio y, después en Panel de control. 2              Haz clic en Rendimiento y mantenimiento. 3              Haz clic en Sistema. 4              Haz clic en Actualizaciones automáticas y, a continuación, selecciona Mantener mi equipo al día. 5              Selecciona una opción. Microsoft recomienda encarecidamente seleccionar la opción Descargar automáticamente las actualizaciones e instalarlas en la
                programación especificada y establecer una hora de actualización diaria.

Elige Descargar automáticamente las actualizaciones e instalarlas en la programación especificada.

Importante: Puedes programar la descarga de Actualizaciones automáticas a cualquier hora del día. Recuerda que el equipo debe estar activado a la hora programada. (Se recomienda seleccionar una hora a  la que no estés utilizando el equipo para otras tareas.)

6 Si eliges que se te notifiquen las Actualizaciones automáticas en el paso 5, aparecerá un globo de notificación cada vez que haya disponibles nuevas descargas para instalar. Haz click en el globo de notificación para revisar e instalar las actualizaciones.

A continuación, actualízate con Windows Update

Ahora que se ha activado la característica Actualizaciones automáticas se recibirán todas las actualizaciones críticas de forma automática. Sin embargo, Actualizaciones automáticas no descarga las actualizaciones anteriores o aquellas que no sean críticas. Puedes utilizar estas instrucciones a fin de poner el equipo al día con actualizaciones de seguridad anteriores y obtener actualizaciones futuras que no sean críticas.

1 Marca esta página.

2 Ve a Windows UpDate (http://windowsupdate.microsoft.com). 

3 Sigue las instrucciones que aparecen en el sitio de Windows UpDate para revisar y seleccionar descargas. 

4 Cuando hayas terminado, vuelve a esta página y ve al paso 3. 

Sugerencia: Algunas descargas requerirán que reinicies el equipo después de la instalación. Asegúrate de volver a Windows UpDate después de reiniciar y comprobar si existen actualizaciones adicionales. Puede que tengas que repetir esta acción en varias ocasiones para asegurarte de que dispones de todas las descargas más recientes.

Actualización de Aplicaciones

Se aplica a Windows 8.1, Windows RT 8.1

Los fabricantes de aplicaciones a veces actualizan sus aplicaciones para agregar nuevas características y corregir problemas. La Tienda Windows puede instalar automáticamente actualizaciones de aplicaciones cuando están disponibles.

Para asegurarte de que las aplicaciones se actualizan automáticamente, sigue estos pasos:

1. En la pantalla Inicio, pulse o haga clic en Tienda para abrir la Tienda Windows.
2. Desliza el dedo rápidamente desde el borde derecho de la pantalla y, a continuación, pulsa Configuración.
   (Si usas un mouse, señala el extremo inferior derecho de la pantalla, mueve el puntero del mouse hacia arriba y haz clic en Configuración).
3. Pulsa o haz clic en Actualizaciones de aplicaciones.
4. Asegúrate de que Actualizar automáticamente mis aplicaciones está establecido enSí.
   
   
   Pasos para respaldar información 
    

   Respaldar información regularmente ayuda a protegerla de ser perdida si se daña la computadora. Un respaldo de información puede también ser usado para transferir importantes archivos de una computadora a otra o para archivar versiones previas de un archivo en particular.

   
   

   Se recomiendan los siguientes pasos para respaldar su información.

    1.     Determinar archivos a respaldar. Es recomendable respaldar  información crítica, como puede ser una lista de clientes, información financiera o un manuscrito si es escritor. La cantidad de información a respaldar  determina el medio que se necesita.

   2.    2. Seleccionar el tipo de medio de respaldo que hay disponibles. Existe un número de medios de almacenamiento por medio de los cuales puedes respaldar información.

   • Las memorias flash, también conocidas como memorias USB. Son útiles para respaldar tus archivos más críticos y transferirlos de computadora a computadora.
   • Los discos CD-ROM y DVD-ROM grabables. Los CD-ROM grabables vienen en versiones de 650 Megabytes y 800 Megabytes, mientras que los discos DVD-ROM grabables pueden almacenar hasta 4.71 Gigabytes. Los discos grabables vienen con dos designaciones: “R” para discos que pueden ser grabados una sola vez y “RW” para discos que pueden ser grabados múltiples veces.
   • Los discos duros externos vienen con un cable para conectarse en el puerto USB. Se pueden usar para respaldar grandes cantidades de información con regularidad. Normalmente incluyen un software para hacer respaldos.
   •  Los sistemas de respaldo en línea almacenan la información en un servidor remoto. Este tipo de respaldo es ofrecido por compañías que se especializan en este servicio o por proveedores de acceso a Internet como parte de su paquete de servicios. La cantidad de información que se puede respaldar con estos servicios depende del proveedor y de cuanta cantidad de espacio en el servidor puedes comprar.

   3.  3. Planear cada cuando va a realizar los respaldos. Para ser efectivos, los respaldos se deben llevar a cabo con regularidad. Pueden realizar los respaldos manualmente o con una programación para que se haga un respaldo cada semana o cada día automáticamente.

   4.    4. Realiza el respaldo en la fecha programada.
   
   

IDENTIFICA RIESGOS FÍSICOS EN LA ORGANIZACIÓN APLICADOS A EQUIPOS DE CÓMPUTO Y COMUNICACIONES

 

Controles de acceso

Es la habilidad de permitir o negar el acceso a una entidad. Los mecanismos para el control de acceso pueden ser usados para cuidar recursos físicos, lógicos y digitales.

Constituyen una importante ayuda para proteger al sistema operativo de la red, al sistema de aplicación y demás software de la utilización o modificaciones no autorizadas; para mantener la integridad de la información (restringiendo la cantidad de usuarios y procesos con acceso permitido) y para resguardar la información confidencial de accesos no autorizados.

 

IDENTIFICACION

Es la forma en que una entidad se presenta ante un sistema. La forma más común de identificación es el nombre de usuario o login.

Una de las posibles técnicas para implementar esta única identificación de usuarios sería la utilización de un servidor de autenticaciones sobre el cual los usuarios se identifican, y que se encarga luego de autenticar al usuario sobre los restantes equipos a los que éste pueda acceder. Este servidor de autenticaciones no debe ser necesariamente un equipo independiente y puede tener sus funciones distribuidas tanto geográfica como lógicamente, de acuerdo con los requerimientos de carga de tareas.

Para el caso de sistemas o procesos los mecanismos de identificación que se pueden utilizar son: Nombre del equipo,Dirección MAC, Dirección IP.

AUTENTICACION

Proceso en Virtud del cual se constata que una entidad es la que dice ser y que tal situación es demostrable ante terceros.

La autenticación es el proceso de intento de verificar la identidad digital del remitente de una comunicación como una petición para conectarse. El remitente siendo autenticado puede ser una persona que usa un ordenador, un ordenador por sí mismo o un programa del ordenador. En un web de confianza, "autenticación" es un modo de asegurar que los usuarios son quién ellos dicen que ellos son - que el usuario que intenta realizar funciones en un sistema es de hecho el usuario que tiene la autorización para hacer así.

Lo más común es solicitar una contraseña o password.

FACTORES DE AUTENTICACION

* Algo que el usuario es (ejemplo, la huella digital o el patrón retiniano, ,reconocimiento de voz), la secuencia de ADN (hay definiciones clasificadas de cuál es suficiente), el patrón de la voz (otra vez varias definiciones), el reconocimiento de la firma, las señales bio-eléctricas únicas producidas por el cuerpo vivo, u otro identificador biométrico).

* Algo que el usuario tiene (ejemplo, tarjeta de la identificación, símbolo de la seguridad, símbolo del software o teléfono celular, token)

* Algo que el usuario sabe (ejemplo, una contraseña, una frase o un número de identificación personal (el PIN) del paso).

 

AUTENTICACION DE DOS FACTORES

Se requieren dos factores para realizar la autenticación.

Comúnmente se utiliza el factor 1 por defecto (algo que se conoce) y usar ya sea el factor 2 o el 3 para el otro factor.

Ejemplo:

Autenticación mediante dos factores "algo que tengo" la llave + "algo que se" un número de PIN (token criptográfico)

 

AUTORIZACION Y PRIVILEGIOS

Autorización

El proceso de autorización es utilizado para decidir si una persona, programa o dispositivo tiene acceso a archivos, datos, funcionalidad o servicio específico.

Proceso de determinar que tiene permitido hacer.

Es una parte del sistema operativo que protege los recursos del sistema permitiendo que sólo sean usados por aquellos consumidores a los que se les ha concedido autorización para ello. Los recursos incluyen archivos y otros objetos de dato, programas, dispositivos y funcionalidades provistas por aplicaciones. Ejemplos de consumidores son usuarios del sistema, programas y otros dispositivos.

Privilegios
Los privilegios son las acciones que se le permiten a un usuario realizar.
*Leer en una base de datos o archivo
*Escribir en una base de datos o archivo 

MODELOS DE CONTROL DE ACCESO
 

*Control de acceso Discrecional

El control de acceso discrecional se define generalmente en oposición al control de acceso mandatorio (MAC) (algunas veces llamado control de acceso no-discrecional). A veces, un sistema en su conjunto dice tener control de acceso discrecionalo puramente discrecional como una forma de indicar que carece de control mandatorio. Por otro lado, sistemas que indican implementaciones de MAC o DAC en forma simultánea, tienen DAC como una categoría de control de acceso donde los usuarios pueden pasar de uno a otro y MAC como una segunda categoría de control de acceso que impone restricciones a la primera.

Es una política de acceso determinada por el creador del recurso.

El creador decide quienes y que privilegios tienen sobre el recurso.

Características:

• Cada recurso debe tener un dueño, típicamente el creador.

• Los dueños pueden asignar permisos ya sea a usuarios o grupos para cada recurso

• Un usuario puede pertenecer a uno o más grupo.

*Control de acceso mandatario

Los controles de acceso mandatorios (Mandatory Access Control, MAC) son aquellos en los que el sistema tiene reglas (políticas) ajenas a la discreción de los administradores, para definir quién puede acceder a qué objetos.

Es una política de acceso determinada por el sistema

Utilizado en sistemas que emplean diversos niveles de clasificación entre sujetos y objetos.

Todos los sujetos y objetos deben tener etiquetas en la cual se debe de identificar el nivel de confianza

El sujeto debe tener una etiqueta con mayor o igual nivel del confianza que el objeto al que dese acceder.

*Control de acceso basado en roles

Uno de los esquemas más comunes es el control de acceso basado en roles, también conocido como RBAC por sus siglas en inglés (Role Based Access Control).

Los roles son funciones concretas que realiza un usuario dentro de la empresa

A cada usuario se le asigna un rol y cada rol tiene permisos específicos sobre los objetos.

 

 

Protección contra fallas eléctricas

Las UPS (Fuente Ininterrumpida de Poder)

Es un equipo electronico que controla la tension electrica, suministra energia y potencia cuando sucede una interrupcion del suministro norma de electricidad.

Permite continuar trabajando con la PC durante algunos minutos (entre 5 y 15 min. aprox.).Ese tiempo es suficiente para que almacenen los archivos que estaban abiertos,cierre los programas y apague la PC correctamente.

 

 

Los estabilizadores

La funcion principal de los estabilizadores es mantener la corriente en un nivel constante de 220w con una variacion de mas o menos 5/10 %, segun el modelo.

 

 

 

Las zapatillas con fusible

Son la opcion más ecónomica (un promedio de $30), pero no las más confiables, por que no vienen con tensionregulada. Es decir que cuando se producen picos de energía, el fusible se quema y hay que reemplazarlo.

 

El modem

El modem por su parte, es proclive a sufrir las consecuencias de una descarga y esto sucede a través del cable telefónico.Otro artefacto vulnerable es el router, para conexiones de red e inalambricas, que suelen entregarse en comodato a los usuarios.

Protección contra fallas naurales

Hay muchas causas responsables de los desastres naturales. Las actividades de los seres humanos cumplen un rol importante en la frecuencia y gravedad de estos eventos. Un desastre natural es la interrupción en el equilibrio del medio ambiente. El factor humano aumenta el costo de los daños materiales y la pérdida de vidas. Comprender las causas de las catástrofes naturales puede ayudar a prevenirlas.

 

-Inundaciones

-Lluvias

-Terremotos

-Tornado

-Incendios

 

 

 

 

Administración de software de la organización

En primer lugar debemos definir el medio, que irá de acuerdo al equipo con que contemos, las opciones son variadas; podemos realizar respaldos en CDs, DVDs, Unidades USB, Discos Duros Externos y hasta en servidores web, así como copias de seguridad o reenvíos por correo elctrónico.

 

La decisión depende del volumen de datos a respaldar, así como de tus posibilidades y lo que más cómodo te resulte.Luego tenemos diferentes métodos para el respaldo de información: podemos optar por un respaldo manual (copiar o grabar directamente los archivos), utilizar algún programa que realice backups (como el Every Day Auto BackUp) o algún servicio de web-backup o backup remoto.

En general, es buena idea guardar los respaldos físicos (disco externo, CDs o DVDs) en otro sitio distinto de dónde tenemos el ordenador, para estar cubiertos en caso de cualquier tipo de siniestro (incendio, hurto o similar).

ANALIZA MODELOS Y BUENAS PRÁCTICAS DE SEGURIDAD INFORMÁTICA

 

ITIL:

 

(Tecnologías de Información) frecuentemente abreviada ITIL, es un marco de trabajo de las mejores prácticas destinadas a facilitar la entrega de servicios de tecnologías de la información (TI) de alta calidad. ITIL resume un extenso conjunto de procedimientos de gestión ideados para ayudar a las organizaciones a lograr calidad y eficiencia en las operaciones de TI. Estos procedimientos son independientes del proveedor y han sido desarrollados para servir de guía para que abarque toda infraestructura, desarrollo y operaciones de TI.

Aunque se desarrolló durante los años 1980, ITIL no fue ampliamente adoptada hasta mediados de los años 1990.

A lo largo de todo el ciclo de los productos TI, la fase de operaciones alcanza cerca del 70-80% del total del tiempo y del coste, y el resto se invierte en el desarrollo del producto (u obtención). De esta manera, los procesos eficaces y eficientes de la Gestión de Servicios TI se convierten en esenciales para el éxito de los departamentos de TI. Esto se aplica a cualquier tipo de organización, grande o pequeña, pública o privada, con servicios TI centralizados o descentralizados, con servicios TI internos o suministrados por terceros. En todos los casos, el servicio debe ser fiable, consistente, de alta calidad, y de coste aceptable.

COBIT:  

Orignalmente se utilizó como procesos TI y cómo marco de control aliniada a los requisitos de negocio. Principalmente se uso para la comunidad auditora en conjunción con los responsables de procesos de negocio y de procesos TI.


Con la incorporación de Management Guidelines en 1998, COBIT se utiliza cada vez más cómo marco de trabajo del gobierno TI, proporcionando herramientas cómo las métricas y los modelos de madurez cómo complemento al marco de control.


Permite a las empresas aumentar su valor TIC y reducir los riesgos asociados a proyectos tecnológicos. Ello a partir de parámetros generalmente aplicables y aceptados, para mejorar las prácticas de planeación, control y seguridad de las Tecnologías de Información.


COBIT contribuye a reducir las brechas existentes entre los objetivos de negocio, y los beneficios, riesgos, necesidades de control y aspectos técnicos propios de un proyecto TIC; proporcionando un Marco Referencial Lógico para su dirección efectiva.

ISM3:

ISM3 pretende alcanzar un nivel de seguridad definido, también conocido como riesgo aceptable, en lugar de buscar la invulnerabilidad. ISM3 ve como objetivo de la seguridad de la información el garantizar la consecución de objetivos de negocio. La visión tradicional de que la seguridad de la información trata de la prevención de ataques es incompleta. ISM3 relaciona directamente los objetivos de negocio (como entregar productos a tiempo) de una organización con los objetivos de seguridad (como dar acceso a las bases de datos sólo a los usuarios autorizados)...

ANALIZA MODELOS Y BUENAS PRÁCTICAS DE SEGURIDAD INFORMÁTICA

 

ITIL:

 

(Tecnologías de Información) frecuentemente abreviada ITIL, es un marco de trabajo de las mejores prácticas destinadas a facilitar la entrega de servicios de tecnologías de la información (TI) de alta calidad. ITIL resume un extenso conjunto de procedimientos de gestión ideados para ayudar a las organizaciones a lograr calidad y eficiencia en las operaciones de TI. Estos procedimientos son independientes del proveedor y han sido desarrollados para servir de guía para que abarque toda infraestructura, desarrollo y operaciones de TI.

Aunque se desarrolló durante los años 1980, ITIL no fue ampliamente adoptada hasta mediados de los años 1990.

A lo largo de todo el ciclo de los productos TI, la fase de operaciones alcanza cerca del 70-80% del total del tiempo y del coste, y el resto se invierte en el desarrollo del producto (u obtención). De esta manera, los procesos eficaces y eficientes de la Gestión de Servicios TI se convierten en esenciales para el éxito de los departamentos de TI. Esto se aplica a cualquier tipo de organización, grande o pequeña, pública o privada, con servicios TI centralizados o descentralizados, con servicios TI internos o suministrados por terceros. En todos los casos, el servicio debe ser fiable, consistente, de alta calidad, y de coste aceptable.

COBIT:  

Orignalmente se utilizó como procesos TI y cómo marco de control aliniada a los requisitos de negocio. Principalmente se uso para la comunidad auditora en conjunción con los responsables de procesos de negocio y de procesos TI.


Con la incorporación de Management Guidelines en 1998, COBIT se utiliza cada vez más cómo marco de trabajo del gobierno TI, proporcionando herramientas cómo las métricas y los modelos de madurez cómo complemento al marco de control.


Permite a las empresas aumentar su valor TIC y reducir los riesgos asociados a proyectos tecnológicos. Ello a partir de parámetros generalmente aplicables y aceptados, para mejorar las prácticas de planeación, control y seguridad de las Tecnologías de Información.


COBIT contribuye a reducir las brechas existentes entre los objetivos de negocio, y los beneficios, riesgos, necesidades de control y aspectos técnicos propios de un proyecto TIC; proporcionando un Marco Referencial Lógico para su dirección efectiva.

ISM3:

ISM3 pretende alcanzar un nivel de seguridad definido, también conocido como riesgo aceptable, en lugar de buscar la invulnerabilidad. ISM3 ve como objetivo de la seguridad de la información el garantizar la consecución de objetivos de negocio. La visión tradicional de que la seguridad de la información trata de la prevención de ataques es incompleta. ISM3 relaciona directamente los objetivos de negocio (como entregar productos a tiempo) de una organización con los objetivos de seguridad (como dar acceso a las bases de datos sólo a los usuarios autorizados)...