FASE 3

COMUNICACIÓN DE RESULTADOS

AUDITORIA DE SISTEMAS
Lic. Aud. Giovana Lazo
 COMUNICACIÓN DE RESULTADOS

LA COMUNICACIÓN DE RESULTADOS SERÁ PERMANENTE CON

LOS FUNCIONARIOS QUE EL AUDITOR ESTIME PERTINENTE.
AL COMUNICAR RESULTADOS PARCIALES O FINALES EL AUDITOR
DEBE SER PRUDENTE, ESTRATÉGICO Y OPORTUNO.
 INFORME
EN ESTA ETAPA EL AUDITOR SE DEDICA A FORMALIZAR EN
UN DOCUMENTO LOS RESULTADOS A LOS CUALES LLEGARON
LOS AUDITORES EN LA AUDITORÍA EJECUTADA Y DEMÁS
VERIFICACIONES VINCULADAS CON EL TRABAJO
REALIZADO.
 INFORME DE AUDITORÍA INFORMÁTICA
ES EL PRODUCTO FINAL DE UNA AUDITORÍA.
ES UN DOCUMENTO DONDE SE EXPONEN: OBSERVACIONES,
DEBILIDADES, ÁREAS DE OPORTUNIDAD, ACCIONES DE MEJORAMIENTO,
PLAZOS SUGERIDOS PARA SU REALIZACIÓN RESPONSABLES E
INVOLUCRADOS.
EL ORDEN Y FORMA DEPENDEN DE LA CREATIVIDAD Y ESTILO DE LOS
AUDITORES.
OBJETIVO INFORME DE AUDITORÍA INFORMÁTICA
EL INFORME DE AUDITORÍA EN INFORMÁTICA TIENE COMO OBJETIVO
EXPRESAR UNA OPINIÓN TÉCNICA SOBRE EEL USO DE LOS RECURSO
INFORMÁTICOS, SOBRE SI ÉSTAS MUESTRAN LA IMAGEN FIEL DEL
PATRIMONIO INFORMÁTICO, Y SU APLICACIÓN CORRECTA DENTRO DE
LA INSTITUCION QUE SE AUDITE.
 CARACTERÍSTICAS DEL INFORME DE AUDITORÍA
PARA LA ELABORACIÓN DE UN BUEN INFORME ES IMPORTNTE TENER EN CUENTA QUE
SEA:
• PRECISO
• OBJETIVO
• OPORTUNO
• EXHAUSTIVO
• IMPARCIAL
• CLARO
• RELEVANTE
• COMPLETO

ES OBLIGACIÓN DEL AUDITOR NO SOLO DETECTAR LOS HALLAZGOS SINO

PRESENTARLOS CON LA DEBIDA OPORTUNIDAD Y SOPORTE.

EL INFORME QUE PREPARE EL AUDITOR DEBE ASÍ MISMO, CONTAR CON LAS NORMAS
DE REDACCIÓN DE MANERA QUE SEA, CLARO Y ENTENDIBLE.
 HALLAZGO

DEFICIENCIAS O DEBILIDADES PRESENTADAS EN EL

INFORME DE AUDITORÍA Y QUE HACEN PARTE DE LOS
COMENTARIOS QUE EL AUDITOR REDACTA SOBRE LOS
ASPECTOS SALTANTES (RELEVANTES) ENCONTRADOS
DURANTE EL PROCESO.
HALLAZGO
HALLAZGO
 ATRIBUTOS DEL HALLAZGO
EL AUDITOR PRIMERO DEBERÁ INDICAR EL TÍTULO DEL HALLAZGO, LUEGO
LOS ATRIBUTOS:

 CONDICIÓN: LA REALIDAD ENCONTRADA, LA OBSERVACIÓN, EL

INCUMPLIMIENTO, LA DEFICIENCIA, LA DIFERENCIA, ETC.
 CRITERIO: CÓMO DEBE SER (SEGÚN NORMA, LEY, REGLAMENTO)
 CAUSA: LO QUÉ ORIGINÓ LA DEFICIENCIA ENCONTRADA.
 EFECTO: QUÉ EFECTOS PUEDE OCASIONAR LA DIFERENCIA
ENCONTRADA.
 RECOMENDACIÓN: QUÉ ES LO QUE DEBERÍA HACER LA ENTIDAD
AUDITADA PARA ELIMINAR LA CAUSA.
 RECOMENDACIONES
LAS RECOMENDACIONES Y SOLUCIONES PARA CADA OBSERVACIÓN
PUEDE REFLEJAR EL ÁREA DE OPORTUNIDAD COMO:
• CAPACITACIÓN
• ACTUALIZACIÓN
• FORMALIZACIÓN DEL PROCESO DE ADMINISTRACIÓN
• DESRROLLO DE OTROS SISTEMAS
 CAUSA

EL AUDITOR DEBE ENCONTRAR CONJUNTAMENTE CON LOS

AUDITADOS, LAS CAUSAS DE LAS DESVIACIONES Y SUS
POSIBLES SOLUCIONES, COMENTAR LAS SITUACIONES
RELEVANTES CON LOS DIRECTIVOS DEL ÁREA DE SISTEMAS
Y CONFIRMAR LAS CAUSAS Y SOLUCIONES.
 RECOMENDACIONES
UNA RECOMENDACIÓN ES UNA SUGERENCIA SOBRE ALTERNATIVAS
DE SOLUCIÓN A LAS NOVEDADES PLANTEADAS.
DEBEN ESTAR ORIENTADAS A SOLUCIONAR LAS CAUSAS QUE
ORIGINARON LOS HECHOS DEFICIENTES.
NO OLVIDEMOS QUE LA ESENCIA DEL VALOR AGREGADO QUE
PRODUCE EL AUDITOR, ES LA PROPUESTA DE LA IMPLANTACIÓN DE
LAS RECOMENDACIONES, EJEMPLOS.
• SE RECOMIENDA CONTAR CON SELLOS Y FIRMAS DIGITALES.
• REACTUALIZACIÓN DE DATOS.
• IMPLANTACIÓN DE EQUIPOS DE ÚLTIMA GENERACIÓN.
 CONCLUSIONES

LAS CONCLUSIONES PUNTUALES, DEBERÁ ESTAR

ACOMPAÑADO DE LOS MEDIOS DE PRUEBA.

COMO RESULTADO DE LA AUDITORÍA PODEMOS

MANIFESTAR QUE HEMOS CUMPLIDO CON
EVALUAR CADA UNO DE LOS OBJETIVOS
CONTENIDOS EN EL PROGRAMA DE AUDITORIA.
 4TA. FASE
SEGUIMIENTO O MONITOREO
 SEGUIMIENTO
• EL AUDITOR MEDIANTE UN EXAMEN REVISARÁ EL CUMPLIMIENTO DE
LAS RECOMENDACIONES, EMITIENDO UN INFORME DE SEGUIMIENTO
O IMPLEMENTACIÓN DE RECOMENDACIONES.
• LA EFICACIA DEL PLAN DE IMPLEMENTACIÓN DE RECOMENDACIONES
DEPENDE DE UNA COMUNICACIÓN ABIERTA EN TODO EL PROCESO
DE LA AUDITORÍA Y LA ACEPTACIÓN DE LOS RESULTADOS POR PARTE
DE LOS ENCARGADOS DE SU APLICACIÓN.
 SEGUIMIENTO

ESTA ETAPA TIENE POR FINALIDAD EFECTUAR EL

SEGUIMIENTO A LAS RECOMENDACIONES EXPUESTAS
EN LOS INFORMES DE AUDITORÍA MOSTRAR LAS
OBSERVACIONES ENCONTRADAS, CLASIFICADAS POR
ORDEN DE IMPORTANCIA (EVIDENCIAS).
 TEMA N° 5

AUDITORIA DE SISTEMAS EN
FUNCIONAMIENTO, AL
DESARROLLO Y OTRAS

DOCENTE: Lic. Aud. GIOVANA LAZO

 Tipos de Auditoría Informática
Existen 4 auditorías Generales:
• Auditoria Informática de Usuario

• Auditoría Informática de Actividades Internas

• Auditoría informática de Dirección

• Auditoría de seguridad.

Dentro de las áreas generales, se establecen las

siguientes divisiones (áreas específicas) de Auditoría
Informática
I. De Explotación
II. De Sistemas
III. De Comunicaciones y Redes

IV. De Desarrollo de Proyectos o Aplicaciones

IV. AUDITORÍA AL DESARROLLO DE PROYECTOS
(APLICACIONES O SISTEMAS DE INFORMACIÓN)
ES AQUELLA AUDITORÍA QUE TRATA DE
VERIFICAR LA EXISTENCIA Y APLICACIÓN DE
PROCEDIMIENTOS DE CONTROL ADECUADOS
QUE PERMITAN GARANTIZAR QUE EL
DESARROLLO SE HA LLEVADO A CABO SEGÚN
LOS PRINCIPIOS DE LA INGENIERÍA DEL
SOFTWARE:

 Obtener software económico y que sea fiable

 Que cumpla con los requisitos previamente
establecidos
 Que funcione de manera eficiente

De no cumplirse estos principios la auditoría se

encargará de determinar las deficiencias existentes
en este sentido.
 IMPORTANCIA DE LA AUDITORÍA AL
DESARROLLO
Los sistemas de información son el producto
principal obtenido al final del desarrollo y
pasan a ser la principal herramienta de
trabajo en las organizaciones,
convirtiéndose en un factor esencial para la
gestión y la toma de decisiones.

Un mayor control en el proceso de desarrollo

incrementa la calidad del sistema y
disminuye los costos de mantenimiento.
 ESQUEMA DE TRABAJO EN UNA
AUDITORIA AL DESARROLLO
1. APROBACIÓN, PLANIFICACIÓN Y
GESTIÓN DEL PROYECTO.
2. AUDITORIA DE LA FASE DE ANÁLISIS
3. AUDITORÍA DE LA FASE DE DISEÑO.
4. AUDITORÍA DE LA FASE DE
CONSTRUCCIÓN.
5. AUDITORÍA DE LA FASE DE
IMPLANTACIÓN.

Para la verificación de cada una se plantean

objetivos de control.
 AUDITORÍA DE LA FASE DE ANÁLISIS
SE DIVIDE EN 2 MÓDULOS
A) Análisis de los requisitos del Sistema

 Que los requisitos sean descritos de forma

clara.
 Que se entrevistarán a las personas integrantes
del grupo de usuarios y los responsables de las
unidades afectadas.
 Que se apliquen las técnicas de recolección de
información apropiadas para tal fin.
 Que los requisitos sean catalogados de acuerdo
a su prioridad
 Que los requisitos sean revisados y aprobados
por todo el grupo beneficiario.
 AUDITORÍA DE LA FASE DE ANÁLISIS

B) Especificación funcional del sistema

Una vez conocido el sistema actual, los requisitos del
nuevo sistema y la alternativa más favorable, se elabora
una especificación funcional del sistema, incluyendo el
modelo lógico de procesos y de datos.
Qué auditar?
 Se debe comprobar que el diccionario de datos es
correcto y guarda relación con los datos que define.
 Se debe comprobar si se han descrito con suficiente
detalle las pantallas a utilizar por el usuario.
 Si las especificaciones comprenden los requisitos de
seguridad, rendimiento, respaldo y recuperación, por lo
tanto, se debe comprobar que esas especificaciones
fueron ofrecidas por los usuarios en las entrevistas.
 AUDITORÍA DE LA FASE DE DISEÑO
Diseño técnico del sistema
En esta fase se define la arquitectura física para el nuevo
sistema y que el mismo sea coherente con las
especificaciones funcionales.
Qué auditar?
 Que la descomposición en módulos corresponde a las
especificaciones funcionales.
 Que el tamaño de los módulos sea el adecuado

 Que los componentes o módulos del nuevo sistema se

hayan definido con detalle.
 Que estén definidos todos los elementos que
configuran el entorno tecnológico (servidores,
computadores, conexiones de red, sistemas gestores
de bases de datos)
 AUDITORÍA DE LA FASE DE DISEÑO

Qué auditar?
 Que se han documentado todas la actividades físicas
que debe realizar el sistema.
 Comprobar que el diseño de los casos de pruebas
permita la verificación de los distintos componentes
del sistema, así como, el funcionamiento de los
módulos y submódulos.
 Comprobar que el plan de pruebas contemple todos
los recursos necesarios para llevarlas a cabo.
 Comprobar que las personas que realicen las pruebas
sean distintas a las que han desarrollado el sistema.
 AUDITORÍA DE LA FASE DE CONSTRUCCIÓN

En esta fase se programarán, se aprobarán y se pondrán

en marcha todos los procedimientos necesarios para que
los usuarios puedan trabajar con el nuevo sistema. Se
definen 2 módulos:
A) Desarrollo de componentes del sistema
En este se realizarán los distintos componentes y se
probarán individualmente y de forma integrada, así como
también se programarán los procedimientos de
operación.

Qué auditar?

 Que se hayan inicializado las bases de datos y archivos

necesarios y que cumplan con las especificaciones
realizadas en la fase de diseño.
 AUDITORÍA DE LA FASE DE CONSTRUCCIÓN

Qué auditar?

 Que se han conseguido los estándares de

programación y documentación del código, que esté
bien estructurado y que contenga los comentarios
suficientes.
 Que se hayan realizado las pruebas de integración
para asegurar que las interfaces entre los
componentes o módulos funcionan correctamente.
 Que en dichas pruebas no hayan participado los
usuarios sino sólo el equipo de desarrollo.
 AUDITORÍA DE LA FASE DE CONSTRUCCIÓN
B) Desarrollo de procedimientos de usuario
En esta fase se definen los procedimientos y formación
necesarios para que los usuarios puedan utilizar el nuevo
sistema adecuadamente. Fundamentalmente se trata de la
instalación, conversión de datos y operación/explotación.
Qué auditar?
 Que todos los procedimientos que el usuario vaya a
utilizar estén documentados.
 Que estén definidos los distintos niveles de usuarios
requeridos para la implantación y que cumplan con la
dedicación o función que tienen dentro de la
organización.
 Que se hayan documentado todos los procesos que
debe realizar el usuario en un manual de usuario.
 AUDITORÍA DE LA FASE DE ÍMPLANTACIÓN
En esta fase se realiza la aceptación del sistema por parte del
usuario, además de las actividades necesarias para la puesta
en marcha.
Qué auditar?
 Que se hayan capacitado a los usuarios
 Que el sistema haya sido probado por los usuarios antes
de colocarlo en explotación /producción.
 Que en caso de haber ocurrido errores se hayan tomado
las acciones correctivas necesarias para solventar las
incidencias encontradas.
 Que se haya realizado la conversión de los datos, de ser
necesario
 De existir un sistema antiguo, el nuevo sistema se colocará
en explotación en forma coordinada y migrando los datos
de ser necesario.
 AUDITORÍA DE LA FASE DE IMPLANTACIÓN

Qué auditar?

 Que el sistema sea aceptado completamente por los

usuarios con firma de aceptación.
 Que se supervise por un tiempo prudencial el trabajo
de los usuarios con el nuevo sistema para evitar el
abandono del uso.
 Que una vez terminado el proyecto se especifiquen
mecanismos de mantenimiento.
 OBSERVACIONES GENERALES

Las fases de desarrollo de sistemas aquí descritas

fueron definidas de forma general, debido a que
cada proyecto o sistema posee su particularidad y
en función de ello se definen sus fases.

Las metodologías de trabajo pueden variar, lo que si

es necesario es que cada una de las fases sean
auditadas con el fin de cumplir con la revisión,
control y evaluación del sistema durante su etapa de
desarrollo.

Por tanto, es tarea de cada equipo estimar su

metodología, las fases que contenga y su proceso de
auditoría.
AUDITORIA DE SISTEMAS
INFORMÁTICOS EN LAS
PYMES
TEMA N° 5

DOCENTE: GIOVANA LAZO

 LAS PYMES

LA IMPORTANCIA DE LAS PYMES

VIENE DADA ANTE TODO POR SU
EXPACIÓN ASÍ COMO POR SU
POTENCIALIDAD, YA QUE
CONSTITUYEN LA BASE DEL
DESARROLLO EMPRESARIAL, SIENDO
UNA FUENTE DE GENERACIÓN DE
EMPLEO Y CUYA APORTACIÓN AL PIB
EN LOS PAISES IBEROAMERICANOS
ES DEL 40% AL 50%
 SISTEMA DE INFORMACIÓN EN
LAS PYMES

UN SISTEMA DE INFORMACIÓN DEBE

CONLLEVAR A LA TOMA CORRECTA DE
DECISIONES PARA MINIMIZAR EL
RIESGO DE LA ORGANIZACIÓN Y
PERMITE A LA EMPRESA AMPLIAR SU
COMPETITIVIDAD EN EL MERCADO.
 LA AUDITORÍA DE SISTEMAS
INFORMÁTICOS

PLANTEA MÉTODOS Y
PROCEDIMIENTOS DE CONTROL DE
LOS SISTEMAS DE INFORMACIÓN
QUE SON VÁLIDOS PARA
CUALQUIER TAMAÑO DE EMPRESA
 METODOLOGÍA DE AUDITORÍA
PARA PYMES

 ROA (Risk Oriented Approach),

diseñado por Arthur Andersen
(enfoque orientado al riesgo)
 Checklist o cuestionarios

 Auditoría de productos

 Otros

Se basan en la minimización de los

riesgos siendo la más recomendable el
checklist porque su uso es más fácil.
 GUIA DE AUTOEVALUACIÓN
Pretende ser un sistema sencillo y
fiable de conocer la situación general
del sistema de información de una
empresa, así como, definir el estado
del control de dichos sistemas.
Con este sistema no se pretende
eliminar las funciones del auditor sino
que el responsable de los sistemas de
información pueda hacerse una idea
suficientemente aproximada del
estado de sus sistemas.
 GUIA DE AUTOEVALUACIÓN
EL USUARIO O AUDITOR PUEDE
COMPROBAR POR ÉL MISMO LA
FIABILIDAD Y CONSISTENCIA DE LOS
SISTEMAS MEDIANTE UNA
METODOLOGIA QUE NO OBLIGUE A
TENER AMPLIOS CONOCIMIENTOS DE
INFORMATICA NI DE AUDITORÍA.
 GUIA DE AUTOEVALUACIÓN
ESTA METODOLOGÍA VA DIRIGIDA A
LAS PEQUEÑAS Y MEDIANAS
EMPRESAS Y DENTRO DE LA MISMA A
LOS RESPONABLES DE LOS SISTEMAS
DE INFORMACIÓN.

EL AUDITOR PUEDE SER UN

FINANCIERO CON CONOCIMIENTO EN
INFORMATICA Y UN AUDITOR
INFORMÁTICO JUNIOR.
 CONOCIMIENTOS NECESARIOS
Para efectuar una auditoría de sistemas
informáticos en una PYME es necesario que
el auditor financiero cuente con un
conocimiento básico, fundamentalmente
de:
 Minicomputador
 Red local
 PC
 Periféricos
 Software de Base
 otros
 CONOCIMIENTOS NECESARIOS
ES NECESARIO TAMBIEN QUE CONOZCA
EN PROFUNDIDAD EL ORGANISMO O
ÁREA A EVALUAR, SU ORGANIZACIÓN,
COMPOSICIÓN Y CARACTERISTICAS
PRINCIPALES.
 ENTORNOS DE APLICACIÓN
Como auditores de sistemas informáticos nos
enfocamos en 3 grandes entornos:

 Mini computadores e informática distribuida

 Redes de área local
 PC

Dicho enfoque depende de la empresa

 METODOLOGIA UTILIZADA
Es la evaluación de riesgos (ROA Risk
Oriented Approach) recomendada por
ISACA (Information Systema, Audit and
Control Association).
Esta evaluación de riesgos se desarrolla
sobre determinadas áreas de aplicación
y bajo técnicas de Check list adaptados
a cada entorno.
 UTILIZACIÓN DE LA GUIA
La Autoguía está dividida en 6 áreas de
riesgo:

 Riesgos en la continuidad del proceso

 Riesgos en la eficacia del servicio

 Riesgo en la eficiencia del servicio

 Riesgos económicos directos

 Riesgos de la seguridad lógica

 Riesgos de la seguridad física

 UTILIZACIÓN DE LA GUIA
Los riesgos son analizados porque de no
tener continuidad en el proceso o tener
alguna afectación, se paraliza la
realización de trabajos informáticos.
AUDITORIA DE SISTEMAS
INFORMÁTICOS EN EL
SECTOR BANCARIO
TEMA N° 5

DOCENTE: GIOVANA LAZO

 DEFINICIÓN E IMPORTANCIA

DEFINICIÓN
La auditoría informática en el sector
bancario es el proceso de protección y
preservación de la información y de sus
medios de proceso.
IMPORTANCIA
La auditoría garantiza el correcto
funcionamiento de los sistemas no solo
desde la perspectiva de la gestión de la
propia empresa, sino también desde la
óptica de los clientes.
 CLASIFICACIÓN DE LAS
ACTIVIDADES DE LA AUDITORÍA

 Por su importancia: es el conjunto

de procesos informáticos de un
banco.
 Las auditoría según el medio de
pago: tarjetas de debito y crédito,
transferencias de fondos, cheques
personales y de viaje etc.
 Las auditorías informáticas de
actividades y productos de tesorería:
mercado de activos, financieros
 CLASIFICACIÓN DE LAS
ACTIVIDADES DE LA AUDITORÍA

Auditorías relacionadas con la

información:
 Auditoría de protección de los datos
personales
 Auditoría de calidad de la
información
 Auditoría de los planes de
recuperación del negocio.
 CARACTERISTICAS DE LAS APLICACIONES
INFORMÁTICAS EN EL SECTOR BANCARIO
 Procesan y generan un gran volumen de datos
relativos a contratos y operaciones.
 El procesamiento de los datos son relativamente
sencillos.
 Las operaciones y productos tratados por estas
aplicaciones tienen normalmente una importante y
específica función en el balance de la entidad.
 La disponibilidad de la información suele ser un factor
crítico.
 La información generada tiene un elevado balance,
por cuanto se envía masivamente hacia destinos
externos a la propia entidad financiera.
 En estas aplicaciones se produce un efecto
amplificado de error: cualquier incidencia puede
afectar a un número elevado de operaciones y tener
una repercusión económica en miles de dólares.
 PROTECCIÓN DE DATOS PERSONALES
Es importante que la institución
financiera disponga de diversas formas
de información acerca de la situación
patrimonial y personal de cada uno de
sus clientes como:

• Datos personales (nombre, dirección,

teléfono).
• Datos profesionales (a qué se dedica).
• Servicios contratados por el cliente
con el banco.
• Aspectos personales de su vida
privada (gustos, aficiones, nombres de
sus hijos, etc.)
PROTECCIÓN DE DATOS PERSONALES

La adopción de este tipo de

prácticas surgen con la necesidad
de conocer, mejorar y controlar la
información existentes, toda vez
que surgen regulaciones que
obligan a garantizar la protección
de los datos personales y
financieros del cliente.
 CONOCIMIENTOS DEL AUDITOR
INFORMÁTICO
DEBE ESTAR EN DEBE CONOCER CON SUFICIENTE
PERMANENTE CAPACIDAD DETALLE LOS PROCEDIMIENTOS
DE APRENDIZAJE PARA OPERATIVOS INTERNOS DE LA
ABORDAR CON ÉXITO LOS ENTIDAD FINANCIERA
NUEVOS RETOS. RELACIONADOS CON EL ÁREA DE
NEGOCIO Y PRODUCTO
BANCARIO SOPORTADO POR LA
DEBE CONOCER LOS APLICACIÓN.
CIRCUITOS OPERATIVOS
Y ADMINISTRATIVOS
SEGUIDOS Y ASOCIADOS
CON LOS DATOS, QUE LE DEBE TENER SUFICIENTE
PERMITA EVALUAR EL CONOCIMIENTO DE LA
IMPACTO DE LAS OPERATIVIDAD BANCARIA
DEBILIDADES Y ERRORES TRADICIONAL ASOCIADA CON EL
QUE SE PUEDAN PRODUCTO EN CUESTIÓN.
DETECTAR.

NECESITA TENER CONOCIMIENTO

DE LA LEGISLACIÓN VIGENTE.
 PLAN DE LA AUDITORÍA DE
SISTEMAS INFORMÁTICOS
• Presentar al cliente un plan de auditoría
acorde a las exigencias del mismo.

• Formar el grupo de trabajo para la

auditoría y designar al jefe del equipo.

• Establecer el cronograma acorde a las

necesidades de la entidad financiera,
para que no retrase ningún servicio
bancario o lo dificulte (puede ser una
auditoría interna de los servicios
bancarios y aplicaciones).
 PLAN DE LA AUDITORÍA DE
SISTEMAS INFORMÁTICOS
• Determinar las áreas sensibles
donde aplicar la auditoría.

• Presentar un borrador de la auditoría

al cliente.

• Presentar el informe final (previo

consenso con el cliente de la
auditoría) al cual se le anexan las
evidencias y recomendaciones).
AUDITORÍA DE LA
SEGURIDAD DE LOS
SISTEMAS INFORMÁTICOS
(TEMA N° 5)
DOCENTE: GIOVANA LAZO
 AUDITORIA DE SEGURIDAD
INFORMÁTICA

La auditoría de seguridad
informática analiza los procesos
relacionados con la seguridad,
física, lógica y locativa,
orientada a la protección de la
información.
LA SEGURIDAD DE LOS SISTEMAS
DE INFORMACIÓN

LA PROTECCIÓN DE LOS ACTIVOS

INFORMÁTICOS
Seguridad, algunos conceptos

Seguridad
 Protección contra pérdidas
 Sistema seguro, impenetrable
o Grados de seguridad Vs costo
 Naturaleza de las amenazas – contingencias
A qué apuntan las medidas de seguridad?
 Integridad,confidencialidad, privacidad y
continuidad
 Integridad

 Completa y correcta
 Datos libres de errores
o Intencionales como no
intencionales
 No contradictorios
 Confidencialidad

 Proteger la información contra la divulgación

indebida
 Privacidad

 Tiene que ver con la persona

 Similar a intimidad
 Información que un individuo no desea
tenga difusión generalizada
 Que sucede cuando el derecho de los
individuos se contraponen con las
necesidades de las organizaciones
privadas o públicas?
 Continuidad

 Seguir Operando!!!!
 Contingencia

 Es una amenaza al conjunto de los

peligros a los que están expuestos los
recursos informáticos de una
organización
 Recursos:
o Personas
o Datos
o Hardware
o Software
o Instalaciones
o .....
 Categorías de
Contingencias
Ambientales
 Ambientales naturales
o Inundación, incendio, filtraciones, alta
temperatura, terremoto, derrumbe
explosión, corte de energía, disturbios, etc
 Ambientales operativas
o Caída o falla del procesador, periféricos,
comunicaciones, software de
base/aplicación, AC, Sistema eléctrico,
etc
 Categorías de contingencias
Humanas

 Humanas no intencionales
o Errores y/o omisiones en el ingreso de
datos, errores en backup, falta de
conocimiento, falta de
documentación actualizada, en
daños accidentales...
 Humanas intencionales
o Fraude, daño intencional, terrorismo,
virus, hurto, robo, etc.
Desastres más comunes que pueden
afectar los sistemas

 Virus
 Fuego
 Inundaciones
 Cortes de electricidad
 Interferencias eléctricas
 Fallas mecánicas
 Sabotaje
 Empleados descontentos
 Uso indebido de recursos
 Vulnerabilidad
 Debilidad que presenta una organización frente a las
contingencias que tienen lugar en el entorno del
procesamiento de datos.
 Falta de protección ante una contingencia
 Se da ante la falta de:
o Software de protección
o Responsables a cargo de la SI
o Planes de seguridad, contingencias
o Inadecuada/o:
 Selección y capacitación
 Diseño de sistemas, programación, operación
 Backups
 Auditorías Internas/Externas
 Consecuencia
 Daño o pérdida potencial ante la
ocurrencia de una contingencia
 Algunas consecuencias inmediatas:
o Imposibilidad de procesar
o Perdida de archivos y registros
o Lectura indebida
 Otras consecuencias mediatas:
o Legales
o Económicas/financieras
o Incidencia en otros sistemas
 Tipos de Medidas de
seguridad
 Preventivas
o Limitan la posibilidad de que se
concreten las contingencias
 Detectivas
o Limitan los efectos de las
contingencias presentadas
 Correctivas
o Orientadas a recuperar la capacidad
de operación normal
 Métodos de control de accesos

 Contraseñas
o Características, fuerzas y debilidades
 Otros medios de autenticación
o Impresiones digitales
o RPV (Redes privadas virtuales)
o Medidas de geometría de las manos
o Iris del ojo
 Backups y recuperación

 Hardware
 Software
 Algunas preguntas frecuentes que debe realizar
el Auditor:
o De qué dependen?
o Cómo se manifiestan?
o Dónde se realizan?
o Cada cuánto se realizan?
Qué es y cómo contribuye la
criptografía a la Seguridad
Informática (SI)

 Ininteligibilidad a usuarios no autorizados

 Métodos de encriptación
o Valiosos para la protección de datos y redes
o Usan algoritmos matemáticos en función de
cadenas validas o passwords
 Delitos informáticos

 Delito de computación
o A través del u so de una computadora
• Objeto del delito
• Escena del delito
• Instrumento del delito
 Delito en Internet
o Acceso, uso, modificación y destrucción no
autorizados de Hardware/Software, datos y
recursos de redes
o Distribución no autorizada de información
o Copia no autorizada de software
o ....
 Perfil del delincuente
informático
 En base a estudios, el perfil del delincuente
informático es el siguiente:
o Joven
• La mayoría técnicos jóvenes
• Con ausencia de responsabilidad profesional
o Los mejores y más brillantes empleados
o Personal que ocupan puestos de confianza
o No se encuentran solo, cuenta con ayuda
o Aprovecha el abandono de las normas o
estándares
o Síndrome de Robin Hood
o Juega con el desafío. Reto intelectual
 Planes principales de un programa
de administración de la seguridad de
sistemas

 Seguridad
 Contingencias

ES MUY IMPORTANTE EL APOYO DE

LA DIRECCION SUPERIOR, SIN CUYO
RESPALDO EXPLICITO Y CONTINUO
TALES PLANES NO PODRAN SER
CUMPLIDOS CON EXITO
 Plan de seguridad - PS

 Conjunto de medidas preventivas,

detectivas y correctivas destinadas a
enfrentar los riesgos a los que están
expuestos los activos informáticos de una
organización
 Su objetivo esencial es proteger los
activos informáticos en cuanto a
integridad, confidencialidad, privacidad
y continuidad
 Plan de contingencias - PC

 Conjunto de procedimientos que luego de

producido un desastre, pueden ser
rápidamente ejecutados para restaurar las
operaciones normales con máxima rapidez y
mínimo impacto
 Es un capítulo del plan de seguridad –
Medidas correctivas
 Objetivos esenciales
o Minimizar el impacto
o Promover una rápida recuperación de la
operatividad
 (TEMA N° 6)

ASPECTOS LEGALES Y TÉCNICOS

RELACIONADOS A LA AUDITORÍA
DE SISTEMAS

DOCENTE: Lic. Aud. Giovana Lazo

2020
 Estándares y normativa a considerar
en una Auditoría de Sistemas
 Para la adopción o implementación en la organización:
– CobiT versión 5.0
– ITIL (Information Technology Infraestructure Library)
– Normas ISO/IEC 27000 (en sus diferentes series)
– TOGAF (The Open Group Architecture Framework)
• Para la realización de auditorías de TI/SI:
– Normas ISAE – International standard for Assurance
Engagements (ej: 3402)
– Normas SSAE – Statement on Standards for
Attestation Engagements (ej: 16, antes SAS-70)
– Estándares y Directrices de ISACA
- Cobit vesión 5.0.
- Nomas TIC CGE
 NORMAS DE AUDITORÍA DE SISTEMAS

La asociación de Auditoria y Control de

Sistemas (ISACA) señala que las normas definen
los requerimientos mandatorios para la
auditoria de sistemas e informes relacionados
 NORMAS PRINCIPALES DE LA ISACA
Responsabilidad y autoridad;
Independencia profesional;
Relación organizacional;
Ética profesional y normas;
El debido cuidado profesional;
Competencia;
Educación profesional continua;
Planificación;
Evidencia;
Preparación para informe;
Actividades de seguimiento.
NORMAS DE DESARROLLO DE SISTEMAS

Tienen por objetivo el asegurar que los sistemas

desarrollados son consistentes y que se elabora
la documentación adecuada para su posterior
operación y mantenimiento:
Inicio del proyecto;
Estudio de factibilidad;
Análisis y diseño;
Desarrollo;
Implantación.
 ITIL

 La Information Technology Infrastructure

Library ("Biblioteca de Infraestructura de
Tecnologías de Información"),
frecuentemente abreviada ITIL.
 Es un marco de trabajo de las mejores
prácticas destinadas a facilitar la entrega de
servicios de tecnologías de la información (TI)
de alta calidad. ITIL resume un extenso
conjunto de procedimientos de gestión
ideados para ayudar a las organizaciones a
lograr calidad y eficiencia en las operaciones
de TI
 ISO/IEC 27000-series

 La serie de normas ISO/IEC 27000 son

estándares de seguridad publicados por la
Organización Internacional para la
Estandarización (ISO) y la Comisión
Electrotécnica Internacional (IEC).
 La serie contiene las mejores prácticas
recomendadas en Seguridad de la
información para desarrollar, implementar y
mantener especificaciones para los Sistemas
de Gestión de la Seguridad de la Información
(SGSI).
 TOGAF (the Open Group Architecture
Framework o Esquema de Arquitectura del
Open Group)

Es un esquema (o marco de trabajo)

de Arquitectura Empresarial que proporciona
un enfoque para el diseño, planificación,
implementación y gobierno de una
arquitectura empresarial de información. Esta
arquitectura está modelada, por lo general, en
cuatro niveles o dimensiones: Negocios,
Tecnología (TI), Datos y Aplicaciones.
 NORMA TIC CGE/079/2006

Según resolución originada de la Contraloría General

de la República (ahora Contraloría General del
Estado Plurinacional) CGR/079/2006 estas normas son
de aplicación obligatoria en la práctica de la
auditoria a realizarse, específicamente considerando
los conceptos de relevancia ajustados a TI.
 NORMA TIC CGE/079/2006

Las normas generales de Auditoría Gubernamental,

están relacionadas a:
Competencia;
Independencia;
Ética;
Diligencia profesional;
Control de calidad;
Ordenamiento jurídico;
Relevamiento de la información;
Ejecución;
Seguimiento.
 NORMA TIC CGE/079/2006

El manual de Normas de Auditoria Gubernamental

hace referencia a un conjunto de normas y
aclaraciones que permiten asegurar la uniformidad y
la calidad de la auditoria gubernamental en Bolivia.
Son de aplicación obligatoria en el marco de la ley
1178.
Una Auditoría de Tecnologías de la Información y la
Comunicación (NAGTIC) es el examen objetivo,
crítico, metodológico y selectivo de evidencia
relacionada con políticas, prácticas, procesos y
procedimientos en materia de TIC.
 NORMA TIC CGE/079/2006

El conjunto de actividades, acciones y tareas debe

contemplar las siguientes normas (según
CGR/079/2006):
1. PLANIFICACIÓN “La auditoria de TIC se debe
planificar en forma metodológica, para alcanzar
eficientemente los objetivos de la misma”
2. SUPERVISION “Personal competente debe
supervisar sistemática y oportunamente el trabajo
realizado por los profesionales que conformen el
equipo de auditoria”
 NORMA TIC CGE/079/2006

3. CONTROL INTERNO “Se debe comprender y evaluar

el control interno para identificar las áreas críticas que
requieren un examen profundo y determinar su grado
de confiabilidad a fin de establecer la naturaleza,
alcance y oportunidad de los procedimientos de
auditoria a aplicar”
4. EVIDENCIA “Debe obtenerse evidencia válida,
relevante y suficiente como base razonable para
sustentar los hallazgos y conclusiones del auditor
gubernamental”
5. COMUNICACIÓN RESULTADOS “El informe de
auditoria de TIC debe ser oportuno, objetivo, claro,
preciso y será el medio para comunicar los resultados
obtenidos durante la misma”
 ASPECTOS JURIDICOS Y LEGALES

GOBIERNO ELECTRÓNICO Y DELITOS

EFECTUADOS A TRAVÉS DEL USO
TECNOLÓGICO
 ASPECTOS JURIDICOS Y LEGALES
RELACIONADOS CON LA AUDITORÍA DE
SISTEMAS

En Bolivia, las disposiciones legales

relacionadas a la tecnología de información
y comunicación son emitidas por las
diferentes instancias del gobierno de turno
(de obligatorio cumplimiento) para la
gestión de la misma y la determinación de
tipos de delitos informáticos.
 ASPECTOS JURIDICOS Y LEGALES
RELACIONADOS CON LA AUDITORÍA DE
SISTEMAS
El Parágrafo I del Artículo 20 de la Constitución
Política del Estado, determina que toda persona
tiene derecho al acceso universal y equitativo a
los servicios básicos de agua potable,
alcantarillado, electricidad, gas domiciliario,
postal y telecomunicaciones.
El Parágrafo II del Artículo 103 de la norma
fundamental, estipula que el Estado asumirá
como política la implementación de estrategias
para incorporar el conocimiento y aplicación de
nuevas tecnologías de la información y
comunicación.
 ASPECTOS JURIDICOS Y LEGALES
RELACIONADOS CON LA AUDITORÍA
DE SISTEMAS
El numeral I del Artículo 85 de la Ley N° 31,
Marco de Autonomías y Descentralización, de
19 de julio de 2010, establece que el nivel
central del Estado tiene como competencia
exclusiva el formular y aprobar el régimen
general y las políticas de comunicaciones y
telecomunicaciones del país, incluyendo las
frecuencias electromagnéticas, los servicios
de telefonía fija y móvil, radiodifusión, acceso
al Internet y demás Tecnologías de la
Información y Comunicaciones (TIC)
 ASPECTOS JURIDICOS Y LEGALES
RELACIONADOS CON LA AUDITORÍA
DE SISTEMAS
 GOBIERNO ELECTRÓNICO EN BOLIVIA
Pretende entre otros:
 ASPECTOS JURIDICOS Y LEGALES
DEL GOBIERNO ELECTRÓNICO

 Decreto Supremo Nº 1793 de 13/11/2013 aprueba el

reglamento a la Ley Nº 164 y señala aspectos sobre
firma y certificado digital se establezca mediante
RM del MOPSV; el citado Reglamento aplica a
personas naturales o jurídicas, públicas o privadas
que realicen actividades o presten servicios
relacionados con la certificación digital, gobierno
electrónico, software libre, correo electrónico y el
uso de documentos y firmas digitales en el Estado
Plurinacional de Bolivia.
 Decreto Supremo N° 3900 de 08/05/2019 autorizar a
la Agencia de Gobierno Electrónico y Tecnologías
de información y Comunicación —AGETIC, para la
implementación del Programa de Inclusión Digital.
 ASPECTOS JURIDICOS Y LEGALES DEL
GOBIERNO ELECTRÓNICO

 Decreto Supremo N° 3251 de 12/07/2017 aprueba

el Plan de implementación de Gobierno
Electrónico y el Plan de Implementación de
Software Libre y Estándares Abiertos y dispone entre
otros que, toda red y portal gubernamental debe
registrarse con el dominio “.gob.bo”
 Decreto Supremo N° 2644 de 30/12/2015
relacionado al SIGEP, hace referencia a la validez y
fuerza probatoria de la información y documentos
digitales a efectos jurídicos y responsabilidad
correspondientes.
 ASPECTOS JURIDICOS Y LEGALES DEL
GOBIERNO ELECTRÓNICO

Otras disposiciones legales relacionadas:

 La ley SIRESE
 La ley de telecomunicaciones
 La ley de derechos de autor
 El código penal
 Las modificaciones al código penal
 Los decretos 25704 y 25870 sobre el gravamen
arancelario a las importaciones
CODIGO PENAL LEY N° 1768
de 10/03/1997
Art 363 (MANIPULACION INFORMATICA)
El que con la intención de obtener un beneficio
indebido para sí o un tercero, manipule un
procesamiento o transferencia de datos
informáticos que conduzca a un resultado
incorrecto o evite un proceso tal cuyo resultado
habría sido correcto, ocasionando de esta
manera una transferencia patrimonial en
perjuicio de tercero, será sancionado con
reclusión de uno a cinco años y con multa de
sesenta a doscientos días.
CODIGO PENAL LEY N° 1768

Art 363 ter.(ALTERACIÓN ACCESO Y USO INDEBIDO

DE DATOS INFORMÁTICOS)
El que sin estar autorizado se apodere, acceda,
utilice, modifique, suprima o inutilice, datos
almacenados en una computadora o en
cualquier soporte informático, ocasionando
perjuicio al titular de la información, será
sancionado con prestación de trabajo hasta un
año o multa hasta doscientos días.
 DELITO INFORMATICO
O CIBERDELINCUENCIA.
Es toda aquella acción, típica, antijurídica y
culpable, que se da por vías informáticas o
que tiene como objetivo destruir y dañar
ordenadores, medios electrónicos y redes
de Internet.
Debido a que la informática se mueve más
rápido que la legislación, existen conductas
criminales por vías informáticas que no
pueden considerarse como delito, según la
“teoría del delito” por lo cual se definen
como abusos informáticos y parte de la
criminalidad informática.
 TIPOS DE PERSONAS QUE ROMPEN O
VULNERAN LA SEGURIDAD DE LOS
SISTEMAS

Existen varios tipos, a continuación citamos

algunos:

 Hackers
 Cracker
 Samurai
 Lamer
 Script Kiddies
 HACKERS
(Pirata Informático)
Es un experto en varias o algunas ramas relacionadas con la
computación y telecomunicaciones, como la programación,
redes de comunicaciones, sistemas operativos, hardware de
red/voz.
Es una persona con sólidos conocimientos informáticos
capaz de introducirse sin autorización en sistemas ajenos
para manipularlos, obtener información o simplemente
por diversión, siempre está deseando aprender y superar
nuevos retos. Pero esto no quiere decir que se haga con
malicia, sino por el propio reto en sí. Cuando se trata de
alguien con intenciones maliciosas se suele emplear la
palabras “cracker”
 CRACKER
ES UNA PERSONA QUE INTENTA ACCEDER A UN SISTEMA
INFORMATICO SIN AUTORIZACIÓN. ESTAS PERSONAS LO
HACEN CON MALAS INTENCIONES, EN CONTRASTE CON LOS
HACKERS, Y SUELEN DISPONER DE MUCHOS MEDIOS PARA
INTRODUCIRSE EN UN SISTEMA.
ES UN PIRATA INFORMÁTICO O PERSONA QUE ACCEDE SIN
AUTORIZACIÓN A UN SERVIDOR O LEVANTA LA PROTECCIÓN
DE UN PROGRAMA INFORMÁTICO PARA APROVECHARSE DE
ALGUNA MANERA DE SU CONTENIDO, ES DECIR CON FINES
DELICTIVOS.
 SAMURAI

ES UN HACKER QUE SE CREO AMPARADO POR LA LEY

Y LA RAZON, NORMALMENTE ES ALGUIEN
CONTRATADO PARA INVESTIGAR FALLOS DE
SEGURIDAD, QUE INVESTIGA CASOS DE DERECHOS
DE PRIVACIDAD, ESTA AMPARADO POR LA PRIMERA
ENMIENDA ESTADOUNIDENSE O CUALQUIER OTRA
RAZON DE PESO QUE LEGITIME ACCIONES
SEMEJANTES. LOS SAMURAI BUSCAN A LOS
CRACKERS Y A TODO TIPO DE VANDALOS
ELECTRONICOS.
 LAMER
Este grupo es quizás el que más numero de miembros posee y
quizás son los que mayor presencia tienen en la red.
Normalmente son individuos con ganas de hacer Hacking, pero
que carecen de conocimiento.
Obsesivo ser que rebusca y relee toda la información que le
fascina y que se puede encontrar en Internet. Normalmente la
posibilidad de entrar en otro sistema remoto o la posibilidad de
girar un gráfico en la pantalla de otra computadora, le fascinan
enormemente. Este es quizás el grupo que más peligro acontece
en la red ya que ponen en práctica todo el Software de Hackeo
que encuentran en la red. Así es fácil ver como un Lamer prueba
a diestro y siniestro un “bombardero de correo electrónico” esto
es, un programa que bombardea el correo electrónico ajeno
con miles de mensajes repetidos hasta colapsar el sistema y
después se mofa autodenominandose Hacker.
 SCRIPT KIDDIES

En la cultura de programación y hacking, un

script kiddie o skiddie es un individuo no
calificado que utiliza scripts o programas
desarrollados por otros para atacar sistemas
informáticos y redes y defectos de sitios web. Se
supone generalmente son niños que carecen de
la capacidad de escribir programas sofisticados
o exploits en sus los propios y que su objetivo es
intentar impresionar a sus amigos o ganar el
crédito en las comunidades del entusiastas de la
computadora. Sin embargo, el término no se
relaciona con la edad real del participante.
 COBIT

Lic. Aud. Giovana Lazo

 COBIT
(Objetivos de Control para Información y Tecnologías Relacionadas)

Es una guía de mejores prácticas de informática

presentada como framework (marco de trabajo),
dirigida al control y supervisión de tecnología de la
información (TI); mantenida por ISACA (Information
Systems Audit and Control Association) y el IT GI (IT
Governance Institute), tiene una serie de recursos que
pueden servir de modelo de referencia para la gestión
de TI, incluyendo un resumen ejecutivo, objetivos de
control, mapas de auditoría, herramientas para su
implementación y principalmente, una guía de técnicas
de gestión.
 HISTORIA COBIT
La versión número 5 de COBIT fue liberada en el
año 2012. En esta edición se consolida e
integran los marcos de referencia de COBIT 4.1,
Val IT 2.0 y Risk IT. Este nuevo marco de
referencia viene integrado principalmente del
Modelo de Negocios para la Seguridad de la
Información (BMIS, Business Model for
Information Security) y el Marco de Referencia
para el Aseguramiento de la Tecnología de la
Información (ITAF, Information Technology
Assurance Framework)
 COBIT
Al ser una guía de las mejores prácticas de
informática (ITIL, ISO/IEC 17799) y prácticas
de control (COSO), se plantean tres tipos de
requerimientos de negocio para la información:
•De calidad (calidad, costo y entrega de
servicio).
•Fiduciarios (efectividad y eficiencia de
operaciones, confiabilidad de la información y
cumplimiento de las leyes y regulaciones).
•De Seguridad (confidencialidad, integridad y
disponibilidad).
 Terminología COBIT
Efectividad: Se refiere a que la información
relevante sea pertinente para el proceso del
negocio, así como la entrega oportuna sea
correcta, consistente y de manera utilizable ante
terceros, para poder cumplir con parte del
requerimiento fiduciario.
Eficiencia: Siguiendo los requerimientos del
negocio de la información, en cuanto a calidad-
costo, la eficiencia viene dada a través de la
utilización óptima (más productiva y económica)
de recursos.
 Terminología COBIT
Confidencialidad: Se refiere a la protección de
información sensible contra divulgación no
autorizada. Cumple con el principio de calidad.
Integridad: Para el requerimiento de seguridad,
la integridad es la precisión y suficiencia de la
información, así como a su validez de acuerdo
con los valores y expectativas del negocio.
Disponibilidad: Se trata de la oportunidad de
entrega de la información cuando ésta sea
requerida por el proceso de negocio ahora y en
el futuro. También se refiere a la salvaguarda de
los recursos necesarios y capacidades
asociadas.
 Terminología COBIT
Cumplimiento: Se refiere al cumplimiento de
aquellas leyes, regulaciones y acuerdos
contractuales a los que el proceso de negocios
está sujeto, por ejemplo, criterios de negocio
impuestos externamente.
Confiabilidad de la información: Es la
provisión de información apropiada para la
administración con el fin de operar la entidad y
para ejercer sus responsabilidades de reportes
financieros y de cumplimiento.
 Marco de Trabajo de Control COBIT
Para que la TI tenga éxito en satisfacer los requerimientos
del negocio, la dirección debe implantar un sistema de
control interno o un marco de trabajo.

El marco de trabajo de control COBIT contribuye a estas

necesidades de la siguiente manera:

• Estableciendo un vínculo con los requerimientos del

negocio.
• Organizando las actividades de TI en un modelo de
procesos generalmente aceptados.
• Identificando los principales recursos de TI utilizados.
• Definiendo los objetivos de control gerencial a ser
considerados.
 TEMA Nº 6
ISO 27001
NOMAS ISO

Lic. Aud. Giovana Lazo

ISO 27001
 Auditoría a la Seguridad Información
Hoy en día las organizaciones dependen de
ISO 27001

la tecnología y sus activos de información,

por lo tanto, impera una protección
adecuada a la información importante.
En este sentido, la seguridad se constituye
en un proceso que debe ser implementado,
administrado y auditado bajo normas, tales
como, las ISO-27001.
 Sistema Gestión Seguridad Información
ISO-27001:2005. Modelo Preventivo
ISO 27001

Esta norma refiere al SGSI, la cual señala lo

siguiente:
• “La información es un activo que, como otros
activos comerciales importantes, tiene valor para
la organización y, en consecuencia, necesita ser
protegido adecuadamente”.
• “Un Sistema de Gestión de Seguridad de
Información (SGSI) es un sistema gerencial
general basado en un enfoque de riesgos para
establecer, implementar, operar, monitorear,
revisar, mantener y mejorar la seguridad de la
información”
 Gestión Seguridad Información
ISO 27001
ISO-27001:2005. Modelo Preventivo

4 1
Actuar Planificar

3 2
Revisar Hacer
 Gestión Seguridad Información
ISO-27001:2005. Modelo Preventivo
ISO 27001

Planificar.
• Definir el enfoque de evaluación del riesgo de
la organización.
• Establecer metodología de cálculo del riesgo.
• Establecer criterios de aceptación del riesgo y
niveles de aceptación del mismo.
• Identificar los riesgos asociados al alcance
establecido.
• Analizar y evaluar los riesgos encontrados.
 Gestión Seguridad Información
ISO-27001:2005. Modelo Preventivo
ISO 27001

Planificar.
• Identificar y evaluar las opciones de tratamiento de los
riesgos.
• Aplicar controles.
• Aceptarlo de acuerdo a los criterios de aceptación.
• Evitarlo.
• Transferirlo.
• Seleccionar objetivos de control y controles sugeridos
por la norma y/u otros que apliquen.
• Obtener la aprobación de la gerencia para los riesgos
residuales e implementar el SGSI.
• Preparar el Enunciado de Aplicabilidad.
 Gestión Seguridad Información
ISO 27001 ISO-27001:2005. Modelo Preventivo
Hacer.
• Plan de tratamiento del riesgo.
• Implementar el plan de tratamiento del riesgo.
• Implementar controles seleccionados.
• Definir la medición de la efectividad de los
controles a través de indicadores de gestión.
• Implementar programas de capacitación.
• Manejar las operaciones y recursos del SGSI.
• Implementar procedimientos de detección y
respuesta a incidentes de seguridad.
 Gestión Seguridad Información
ISO 27001
ISO-27001:2005. Modelo Preventivo

Revisar.
• Procedimientos de monitoreo y revisión para:
• Detectar oportunamente los errores.
• Identificar los incidentes y violaciones de seguridad.
• Determinar la eficacia del SGSI.
• Detectar eventos de seguridad antes que se
conviertan en incidentes de seguridad.
• Determinar efectividad de las acciones correctivas
tomadas para resolver una violación de seguridad.
• Realizar revisiones periódicas.
 Gestión Seguridad Información
ISO 27001 ISO-27001:2005. Modelo Preventivo
Revisar.
• Medición de la efectividad de los controles.
• Revisar las evaluaciones del riesgo periódicamente y
revisar el nivel de riesgo residual aceptable.
• Realizar auditorías internas al SGSI.
• Realizar revisiones gerenciales.
• Actualizar los planes de seguridad a partir de resultados
del monitoreo.
• Registrar las acciones y eventos con impacto sobre el
SGSI.
 Sistemas de Gestión en la Seguridad Información
ISO-27001:2005. Modelo Preventivo
ISO 27001

Actuar.
• Implementar las mejoras identificadas en el
SGSI.
• Aplicar acciones correctivas y preventivas de
seguridad al SGSI.
• Comunicar los resultados y acciones a las
partes interesadas.
• Asegurar que las mejoras logren sus objetivos
señalados.
 Mantenimiento y mejora del SGSI
• Tomar acciones correctivas y preventivas, basadas en
ISO 27001
los resultados de la revisión de la dirección, para
lograr la mejora continua del SGSI.
• Medir el desempeño del SGSI.
• Identificar mejoras en el SGSI a fin de
implementarlas.
• Tomar las apropiadas acciones a implementar en
el ciclo en cuestión (preventivas y correctivas).
• Comunicar los resultados y las acciones a emprender,
y consultar con todas las partes involucradas.
• Revisar el SGSI donde sea necesario implementando
las acciones seleccionadas.
 Factores Claves de Éxito en la
Implementación de un SGSI
ISO 27001

• Política de seguridad documentada y

alineada con los objetivos del negocio.
• Apoyo y participación visible de la alta
gerencia.
• Entendimiento de los requerimientos de
seguridad, evaluación y gestión de los
riesgos asociados.
• Compatibilidad con la cultura
organizacional.
• Entrenamiento y educación.
 Comparación entre ISO 27005 y
31000
ISO 27001
 Comparación entre ISO 27005 y 31000
ISO 27001