PFC Agustin Larrondo Quiros

Universidad Carlos III de Madrid
Repositorio institucional e-Archivo http://e-archivo.uc3m.es

Trabajos acadmicos Proyectos Fin de Carrera
2010-10
Uso de la norma ISO/IEC 27004 para

auditora informtica
Larrondo Quirs, Agustn
http://hdl.handle.net/10016/10564
Descargado de e-Archivo, repositorio institucional de la Universidad Carlos III de Madrid

PROYECTOFINDECARRERA

"UsodelanormaISO/IEC27004para
AuditoraInformtica"
INGENIERIATECNICADEINFORMATICADEGESTION
Autor:AGUSTNLARRONDOQUIRSNIA:100061619
Tutor:MIGUELNGELRAMOS
Legansoctubrede2010.

0

Ttulo:UsodelanormaISO/IEC27004paraAuditoraInformtica.
Autor:AGUSTNLARRONDOQUIRS
Director:MIGUELNGELRAMOS
ELTRIBUNAL

Presidente:BENJAMNRAMOS

Vocal: FUENSANTAMEDINADOMNGUEZ
Secretario: EDUARDOGALNHERRERO
Realizado el acto de defensa y lectura del Proyecto Fin de Carrera el da 14 de Octubre

de 2010 en Legans, en la Escuela Politcnica Superior de la Universidad Carlos III de
Madrid, acuerda otorgarle la CALIFICACIN de

VOCAL
SECRETARIO PRESIDENTE

1

AGRADECIMIENTOS

AmiprofesorMiguelngelRamosporayudarmeahaceresteproyectoconsu
indispensableapoyo,estandosiempreyayudndomearesolverlasdudasque
surganencualquiermomentodelda.Pocosprofesoresheconocidoas.

A todos mis abuelos Agustn, Rafael, Orencia y Visitacin, los cuales sepan
donde quieran que estn, que ya tienen a su primer ingeniero en la familia y
quedeseoyesperonoserelltimo.

AmispadresFernandoyRosario,darleslasgraciaspordarmelaoportunidad
depermitirmeestudiarunacarrera,sobretodocuandoellosnohantenidoesa
oportunidadensusvidas,ascomodeofrecermesuplenaconfianzaenmpara
conseguirla, por todos los besos y abrazos que me dieron, as como por
aguantarmeenmisbuenoscomoenmismalosmomentosduranteestosaos
decarrera,yaquesinellosestonoseraposible.GRACIAS.

AmishermanosRafaelyFernando,tambinconocidoelprimerocomoRAFAy
elsegundocomoNANETEoNANO,ambosmeensearonanorendirmeantela
adversidad,porsusconsejos,porapoyarmeenlosmalosmomentos,poresas
partidas a la play, por ese bao en su piscina, por ese viaje de sky el cual
necesitaba y por todos los abrazos que me dieron durante aos. Gracias por
estaramilado.

A mi amigo David conocido tambin como Tejero o Tejerito, por sus
amenazasquerecibaparaseguirestudiandolacarreracadavezqueledeca
que no sera capaz de terminarla, por todas esas partidas a los dardos, por
hacerme rer tanto en los buenos momentos como en los malos, y por esa
energapositivaquetransmitealagentequelerodea.

AmiamigaEvaoEvita,portodasesasnochescenandoodecopasporGetafeo
porMadrid,enlascualessiempreestachiquillameesperabaconunabrazo,
un beso y una sonrisa independientemente de cmo se encontraba ella para
animarme y poder hablar cuando lo necesitaba. Tengo que apreciar siempre
esosbuenosdetalles.

2

A mis amigos Rubn y Lorenzo conocidos tambin como LOS GEMELOS, por
esas noches perdidas entre risas y chupitos de tequila por Getafe, en las
cualesnosabamosdndebamosaterminarperosconquienlasestbamos
pasando.Graciasporesasnoches!

A mi amiga Sonia, por esas noches de terrazas de verano, sus abrazos y por
ensearme que los museos no son tan aburridos despus de todo. Debera
estarenunmuseo!"Sigueestudiandochiquilla,tupuedes!

AmiamigoRubn,portodasesaspalizasquerecibenlaplay,poraguantarme
enmisdasmscrticosenloscualesmevolvainsoportable,porensearmeel
caminodelapalabraylomsimportante,aestarpresentecuandonecesitaba
hablar.Hayquesabervaloraresaspequeascosas.

AmiamigoJuanCarlos,portodasesasnochesdefiestapaseandopordonde
losgaritos...yaseaMadrid,Getafe,Benidorm,Salou,etc.Poresasterrazasde
veranoconsusmltiplesconversaciones.Sintialanochelefaltaalgoynose
puedesalirdejuerga.VaaserLEGENDARIO!!

A mi amigo Diego, por aguantarme en mis das malos, por sus conocimientos
aportadosenestosaosdecarrera,poresoslargospaseosporparquesur,por
sus comentarios graciosos sobre series de televisin y videojuegos, haca las
clasesmsllevaderas.

A mi amigo Oscar, por sus conocimientos sobre chistes, por apoyarme en los
buenos momentos como en los malos, por las mltiples conversaciones en la
cafetera de la universidad tomando caf y por ese viaje terminando en un
hotelperdidodelamanodeDiossacadodeunapelculadeterror.

AmiamigaPaula,portodasesasnochesdebolos,maquinasdebailar,cenas,
conversaciones, cines y algn que otro bingo y/o chupito de piruleta por ah
perdido.Habrquerepetirlochiquilla.

3

Y a los amigos que dejamos atrs, por diversos motivos, que an as tambin
pusieronsugranitodearena.

Enresumen,atodosellosporensearmeacreerenmmismo.Yportodasesas
charlasquetuvimosalolargodelosaosencualquiermomentodeldaydela
noche.

Solopuedodecir,quesoylasumadetodosvuestrosapoyos,graciasportodoy
osdeseolomejorenvuestrasvidas.

Para finalizar quiero concluir con una frase que siempre me ha gustado
escucharlayportantoquieroaadirla.

"Por qu nos caemos?
Para aprender a levantarnos."

P.D.:Estanocheinvitoyo!!

4

INDICE
1.INTRODUCCION.................................................................................................................9

2.SEGURIDADINFORMATICA..............................................................................................12
2.1Introduccinseguridadinformtica...............................................................................12
2.1.1QuientienelainformacincontrolarelmundoPorqu?.........................................13
2.2Seguridadambiental......................................................................................................15
2.2.1Terremotos.................................................................................................................15
2.2.2Inundaciones..............................................................................................................16
2.2.3Fuegos(incendios)......................................................................................................17
2.2.4Tormentaselctricas...................................................................................................19
2.2.5Picosdetensin..........................................................................................................20
2.2.6BackUp......................................................................................................................20
2.3Seguridadlgica............................................................................................................21
2.3.1Controlesdeaccesoalsistema....................................................................................22
2.3.2Nivelesdeseguridadinformtica................................................................................23
2.4Seguridadfsica..............................................................................................................25
2.4.1Accesofsicoalsistema...............................................................................................25
2.5Sistemasdeseguridad...................................................................................................29
2.5.1Autentificacindelpersonal.......................................................................................29
2.5.1.1Porloquesetiene...................................................................................................32
2.5.1.1.1Tarjetasmagnticas..............................................................................................32
2.5.1.1.2Tarjetaselectrnicas(smartcard).........................................................................33
2.5.1.2Porloquesesabe....................................................................................................35
2.5.1.2.1Contraseas..........................................................................................................35
2.5.1.2.1.1Consejosalahoradeelegircontraseas............................................................36
2.5.1.2.1.2Comoprotegerunacontrasea..........................................................................37
2.5.1.2.1.3Medidasdegestinyproteccindelascontraseas..........................................38
2.5.1.3Porloquees(Biometra)..........................................................................................39
2.6Criptografa....................................................................................................................42

3.AUDITORIAINFORMATICA...............................................................................................44
3.1Quesunaauditoria?..................................................................................................44
3.2Etapasdelaauditorageneral........................................................................................45
3.3CundorealizarunaAuditorayporqu?....................................................................48
3.4Auditorinformtico.......................................................................................................50
3.5Auditoriainformtica.....................................................................................................53

4.QUESUNAISO/IEC?.....................................................................................................55
4.1Introduccin..................................................................................................................55
4.2IEC.................................................................................................................................56
4.2.1Historia........................................................................................................................56
4.2.2Visin.........................................................................................................................56
4.2.3Misin........................................................................................................................57
4.2.4Importanciadelmercado............................................................................................57
4.2.5ElIECcomounaherramientaestratgica....................................................................58

5

4.2.6Alcancemundial.........................................................................................................59
4.2.7Innovacionyvaloraadido.........................................................................................60
4.2.8Mejoraysostenimiento..............................................................................................60
4.3ISO.................................................................................................................................62
4.3.1Historia.......................................................................................................................62
4.3.2QuintrabajaenISO?...............................................................................................63
4.3.3Planestratgico20052010delaISO..........................................................................63
4.3.3.1Prologo.....................................................................................................................63
4.3.3.2VisinglobaldelaISOen2010.................................................................................64
4.3.3.3ObjetivosdelaISOparael2010................................................................................64
4.4ISO/IECJTC1..................................................................................................................67
4.5PuntosdbilesdelasnormasISO/IEC............................................................................70
4.5.1Repercusionesdesuspuntosdbiles...........................................................................71
4.5.2Posiblessoluciones.....................................................................................................71
4.6Preparacionparalaimplementacindelasnormativasenunaentidad.........................71
4.6.1Culturamadura...........................................................................................................72
4.6.2Culturainmadura.........................................................................................................73
4.7Diferenciasdegerencias(repectoalaculturainmaduraylamadura).............................74
4.8Condicionesparalaimplementacindeunanormativallegeabuenpuerto..................75
4.9Problemasquesurgenenlaimplantacindelanormativa............................................78

5.QUESUNAMETRICA?...................................................................................................80
5.1Introduccin..................................................................................................................80
5.1.1Conceptosbsicosdemtricas....................................................................................81
5.2Cmonosvendenlanecesidaddeaplicarunamtrica?..............................................82
5.2.1Porqueaumentanlosataquesalasempresas?.........................................................83
5.3Qusonlasmtricassoftware?....................................................................................84
5.4Creacindeunamtrica................................................................................................86
5.4.1Comoconseguimosbuenasmtricas?.......................................................................89
5.5Clasificacindemtricas................................................................................................89
5.5.1Metricasexternas.......................................................................................................90
5.5.2Metricasinternas........................................................................................................91
5.5.3Metricasdecalidad.....................................................................................................91
5.6Porqu?Lasmtricasdeseguridad.............................................................................92
5.6.1Algunascaractersticasdelasmtricasdeseguridad...................................................94
5.6.2Beneficiosdelasmtricasenseguridad......................................................................94
5.7MEMSI(Modeloestratgicodemtricasenseguridaddelainformacin)......................94
5.7.1Caractersticasdelmodelo..........................................................................................97
5.7.2Ejemplosdemtricasparalaseguridadinformatica....................................................97

6.ISO/IEC27004..................................................................................................................99
6.1INTRODUCIN................................................................................................................99
6.2ElporqudelaISO27001?.........................................................................................101
6.3Lasmediciones.............................................................................................................102
6.4Modelodelasmediciones............................................................................................103
6.5Mtododelasmediciones............................................................................................104
6.6Seleccinydefinicindelasmediciones.......................................................................105
6.7PlanDoCheckAct(PDCA)............................................................................................108
6.8Cuadrodemando.........................................................................................................112
6.8.1Quesuncuadrodemando?...................................................................................112

6

6.8.2Cmoimplantaruncuadrodemandocorrectoennuestraentidad?........................112
6.9Direccin.....................................................................................................................114
6.10Explicaciondetalladadelanormativa.........................................................................115
6.10.1.VisinGeneraldeMedicindelaInformacindelaseguridad...............................115
6.10.1.1Objetivosdelamedicindelaseguridaddelainformacin.................................115
6.10.1.2Programadelaseguridaddemedicindelainformacin.....................................117
6.10.1.3Factoresdexito..................................................................................................118
6.10.1.4Modelodemedicindelaseguridaddelainformacin........................................119
6.10.1.4.1Informacingeneral..........................................................................................119
6.10.1.4.2Basedemedidaymtododemedicin............................................................121
6.10.1.4.3Medidaderivadayfuncindemedicin............................................................124
6.10.1.4.4Indicadoresyelmodeloanaltico......................................................................126
6.10.1.4.5Resultadosdelasmedicionesycriteriosdedecisin.........................................128
6.10.2Gestinresponsabilidades......................................................................................130
6.10.2.1Informacingeneral.............................................................................................130
6.10.2.2Gestindelosrecursos........................................................................................131
6.10.2.3Medicindeformacin,sensibilizacinycompetencia........................................131
6.10.3Lasmedidasylamedicindeldesarrollo................................................................131
6.10.3.2Definicindealcancedemedicin.......................................................................132
6.10.3.3Identificacindelainformacinnecesaria...........................................................132
6.10.3.4Objetoyatributodeseleccin..............................................................................133
6.10.3.5Medicindeconstruireldesarrollo......................................................................135
6.10.3.5.1Medidadeseleccin..........................................................................................135
6.10.3.5.2Mtododemedicin.........................................................................................135
6.10.3.5.3Medicindelafuncin......................................................................................136
6.10.3.5.4Modelodeanlisis............................................................................................137
6.10.3.5.5Indicadores.......................................................................................................137
6.10.3.5.6Criteriosdedecisin..........................................................................................137
6.10.3.5.7Laspartesinteresadas.......................................................................................138
6.10.3.6Construccindemedicin....................................................................................138
6.10.3.7Reunindedatos,anlisisypresentacindeinformes.........................................139
6.10.3.8Medicindelaimplementacinyladocumentacin............................................140
6.10.4Medicindelaoperacin........................................................................................140
6.10.4.2Procedimientodeintegracin..............................................................................141
6.10.4.3Reunindedatos,almacenamientoyverificacin................................................141
6.10.5Resultadosdeanlisisdelosdatosylamedicindepresentacindeinformes.......142
6.10.5.2Anlisisdelosdatosydesarrollodelosresultadosdemedicin...........................142
6.10.5.3Comunicarlosresultadosdemedicin..................................................................143
6.10.6ProgramademedicindeseguridaddelainformacindeEvaluacinyMejora......144
6.10.6.2Criteriosdeevaluacindeidentificacindelprogramademedicindeseguridadde
lainformacin...............................................................................................................145
6.10.6.3Monitorizar,revisaryevaluarelprogrmademedicindeseguridaddela
informacin...................................................................................................................146
6.10.6.4Implementarmejoras...........................................................................................147
6.10.7PLANTILLAS.............................................................................................................147
6.10.7.1Plantillabase........................................................................................................147
6.10.7.2Plantilladeejemplo.............................................................................................151

7

7.CUESTIONARIOAPLICACION...........................................................................................154
7.1Introduccin................................................................................................................154
7.2Creacindeuncuestionario.........................................................................................154

8.USODELCUESTIONARIO.................................................................................................163

9.PREGUNTASDELCUESTIONARIO....................................................................................174
9.1Introduccin................................................................................................................174
9.2Cuestiones...................................................................................................................176

10.CONCLUSIONES............................................................................................................188

11.BIBLIOGRAFA..............................................................................................................191

12.GLOSARIO.....................................................................................................................193

A.ANEXO...........................................................................................................................195

8

1.INTRODUCCION

Cmo empezar este proyecto resumiendo todo en una frase NO PODEMOS

CONTROLARAQUELLOQUENOSEPUEDEMEDIRestafrasequeparecetansencillaes
el punto central de todo el proyecto, y esto es debido a que, Cmo vamos a saber
solucionarlosproblemasquenossurgensinosabemosculeslagravedaddedicho
problema?
Para solucionarlo necesitamos el uso de mtricas las cuales nos ayudarn a alcanzar
nuestros objetivos de una forma eficaz, rpida, sin errores y lo ms importante
reduciendo el coste que nos ocasionaran dichos problemas, los cuales surgirn a la
horaderealizarnuestrotrabajo.
Sinosencontramosanteuncontrolelcualnosabemoscmomedir,aquseriadonde
entrara el estndar ISO/IEC 27004, el cual nos proporciona la ayuda necesaria para
realizardichamedicin.
La norma ISO/IEC 27004 comienza con una pequea introduccin, en la que cabe
destacarlosiguiente,paraaclararenquconsiste:
This International Standard provides guidance on the development and use of

measures and measurement in order to assess the effectiveness of an implemented
informationsecuritymanagementsystem(ISMS)andcontrolsorgroupsofcontrols,as
specifiedinISO/lEC27001.

This would include policy, information security risk management, control objectives,
controls,processesandprocedures,andsupporttheprocessofitsrevision,helpingto
determine whether any of the ISMS processes or controls need to be changed or
improved.Itneedstobekeptinmindthatnomeasurementofcontrolscanguarantee
completesecurity.

Traducindoloalespaol:

9

Esta norma Internacional proporciona orientacin sobre la elaboracin y utilizacin

de medidas y la medicin para evaluar la eficacia de un sistema de gestin de la
informacinaplicadasdeseguridad(SGSI)ycontrolesogruposdecontroles,talcomo
seespecificaenlanormaISO/IEC27001.
Esto incluye la poltica, gestin de informacin de riesgo de seguridad, objetivos de

control, controles, procesos y procedimientos, y apoyar el proceso de su revisin,
ayudar a determinar si alguno de los procesos de SGSI o controles necesitan ser
cambiadosomejorados.Hayquetenerencuentaqueningunadelasmedicionesde
loscontrolespuedegarantizarlaseguridadtotal.
PorlotantoconesteproyectoelobjetivoesentendermejorlaISO/IEC27004,adems
medianteelusodeloscuestionariosnosindicarsiestamosrealizandocorrectamente
dichanormativaatravsdeunaseriedepreguntas,lascualesalserrespondidasnos
indicar en qu estado se encuentra la empresa o entidad en la que realiza dicha
ISO/IEC27004.
2.SEGURIDADINFORMATICA
Enestepuntohablaremossobrelaseguridadinformticaylosmtodosnecesariosconelfin
degarantizardichaseguridad.
3.AUDITORIAINFORMATICA
Aqu nos centraremos en qu consiste, por qu se tiene que hacer y cmo se realiza dicha
auditora.
4.QUEESUNAISO/IEC?
Hablaremossobrequconsisteunanormativa,explicaremosporseparadoenquconsistela
ISOeIEC,ascomocuandosonISO/IEC.
5.QUEESUNAMETRICA?
Noscentraremossobreenquconsiste,comoconseguirbuenasmtricas,suclasificacin,etc.

10

6.ISO/IEC27004
TrataremossobrelanormaISO/IEC27004.
7.CUESTIONARIOAPLICACIN
Mostraremosunejemplosobrecmocrearuncuestionario.
8.USODELCUESTIONARIO
Indicaremoscomoutilizaruncasodeejemplodeuncuestionarioenparticular.
9.PREGUNTASDELCUESTIONARIO
Mostraremostodaslaspreguntasrealizadasalahoradelaaplicacindelcuestionario.
ANEXO
En l veremos los diferentes tipos de auditora que pueden existir en el mercado laboral,
ademsayudarcomocomplemento.

11

2.SEGURIDADINFORMATICA

2.1Introduccinseguridadinformtica

Cuando hablamos de seguridad pensamos que es una especie de clase (o
estado) donde nuestro equipo informtico est libre de cualquier tipo de
ataque que pueda ocasionar daos tanto a la infraestructura de nuestra
empresaoentidadquepuedeprovocarenelpeordeloscasoslaprdidadela
informacinnecesariaparalaempresa.

Se imaginan bancos en los cuales se pierda la informacin de nuestras
cuentascorrientes,aseguradorasquepierdenclientes,hospitalesenloscuales
se pierdan nuestros registros como pacientes, y todo ello por no tener un
mnimo de seguridad? la verdad si eso llegase a ocurrir el mundo sera un
completocaosanivelglobal.

Portantoparaqueunsistemapuedaestarsegurodebedetenerlassiguientes
principales caractersticas las cuales son esenciales para tener seguridad ante
posibleserroresoataquesquepuedansurgir:

Confidencialidad: con esta caracterstica conseguimos que la
informacin que estamos salvaguardando slo pueda ser legible por
parte de los usuarios autorizados e impidiendo que sea legible por
terceros.

No Repudio: consiste en que si dicha informacin es modificada o
simplemente ha sido legible por parte de los usuarios autorizados
quedarregistrado,obteniendoasqueelusuarioautorizadonopodr
negardichouso,debidoadichoregistro

Integridad: la informacin que se est salvaguardando solo podr ser
modificadaporusuariosautorizados.

12

Disponibilidad: debe de estar presente en cualquier momento para la
utilizacindelosusuarios.

Ademsdeestascaractersticashayquedecirquenoexistelaseguridadtotal,
ya que es una utopa, simplemente lo que podemos hacer es reducir los
posibles errores que tenga nuestra seguridad, nadie ni nada nos garantiza la
seguridadtotal,solopodemossabersinuestraseguridadesalta,mediaobaja,
perononosgarantizaquepuedanexistirhuecosporloscualespuedapeligrar
lainformacindelaentidad.

2.1.1QuientienelainformacincontrolarelmundoPorqu?

La informacin es el centro de poder de la mayora de entidades, como por
ejemplolosbancos,noexisteeldinerofsico,disminuyenlosregistrosenpapel,
oporejemplolasfichasfsicasdeloshistorialesdelospacientesdecualquier
hospital estn siendo transferidas a bases de datos, toda la informacin est
centralizadaytieneungrandsimovalor,alfinalcabo,esloqueapareceenlas
pantallasdenuestrosordenadores,sondatos,sonnuestrainformacinysin
ellanotenemosabsolutamentenada.

Por tanto quien controle dicha informacin podr controlar aquello que
representa.

Hay que destacar que dicha informacin que tenemos puede ser robada,
modificada y usada en beneficio propio, son estas cosas por las cuales la
informacindebedeestaraseguradadequenuncasalgadelaentidadycaiga
enmanosajenas.

Alfinalcabolainformacinespoder.Yportantoescrticaparalaentidadya
queapartirdeellasetomandecisionesacorto,medioylargoplazo,debede
ser conocida solo por las personas autorizadas de la entidad y por ltimo es
totalmenteimportanteyaqueeselactivodelaempresa,esdecirloestodo.

13

Adems la seguridad de la informacin se expande desde la identificacin de

problemas,confidencialidad,integridad,comunicacin,anlisisderiegoshasta
larecuperacindedichosriesgos.

Laseguridaddelainformacintienecomoobjetivolaproteccindelosdatosy
de los sistemas de informacin de su uso y acceso, que va desde su
interrupcin,destruccinnoautorizada,corrupcinosudivulgacin.

14

2.2Seguridadambiental

Cuando hablamos de seguridad ambiental nos estamos refiriendo a los

procedimientos, procesos y controles con el fin de controlar los efectos de la
naturaleza, los cuales pueden daar seriamente a los equipos informticos, personal
de la entidad y lo ms importante los datos de la empresa. Estos efectos de la
naturalezapueden ser: terremotos, inundaciones, fuegos, tormentas elctricas, picos
de tensin, etc.; Los cuales los comentaremos a continuacin, as como posibles
solucionesparaprevenirlos.
2.2.1Terremotos
Los terremotos o sesmos son una serie de sacudidas del terreno debido al choque
entre las placas tectnicas y tambin a la liberacin de energa en el curso de una
reorganizacin brusca de los materiales de la corteza terrestre debido a superar el
estadodeequilibriomecnico.

Respecto a la hora de invertir en estas medidas, depende mucho de la situacin
geogrficadelaentidad,porejemplo,siestuviramosenunpascomoJapndonde
losterremotosestnalaordendeldaseratotalmentenecesariayfundamentaldicha
inversin, pero si fuese como en el caso de Espaa, donde nunca se da ningn
terremotoimportanteyaquesusposibilidadessonmnimasdichasinversionessern
menores.
Enestecasoserecomiendanosituarnuestrosequipososistemasinformticoscerca
delasventanasoensuperficiesaltaspormiedodesusposiblescadas,serecomienda

15

elusodefijaciones.Porsupuestotampocohayquecolocarobjetospesadosencima
delosequipospormiedoaprovocardaosendichosequipos.
Tambinserecomiendaelusodeplataformasdegomalascualesabsorbenpartede
las vibraciones generadas por los terremotos, adems del uso de mesas anti
vibraciones ya que sin ellas podran daar los discos duros donde se guarda la
informacinvital.
2.2.2Inundaciones
Lasinundacionesconsistenenlaocupacindelaguaenzonasqueestnlibresdeella,
esto es debido por el desbordamiento de ros, subida de mareas, o por avalanchas
causadaspormaremotos.

16

Estosproblemassongravesyaquesonlosquemsdaohacenalaentidad,yaque
cualquier sistema elctrico en contacto con el agua, puede ser mortal para los
empleadosdelaentidadyseperdertodalaltimainformacinobtenidaademsde
la prdida del equipo electrnico ya que dejar de funcionar y no tendr reparacin
alguna.
Adems nunca habr que ponerse en contacto fsicamente con los equipos
electrnicosyaquesucontactoseramortalparalosempleadosdelaentidad.
Serecomiendaelusodedetectoresdeagualoscualesaldispararselaalarmacorten
automticamentelacorrienteelctricaparaevitarmalesmayores.
Para su detencin se recomienda avisar a las autoridades necesarias (bomberos,

polica,etc.)conelfindeterminarcondichoproblema,yaquetendrnquecortarla
corriente elctrica, en caso de que nuestro sistema de seguridad no haya podido
hacerlo.Nuncadeberdehacerlopersonaldelaentidad.
2.2.3Fuegos(incendios)
El fuego consiste en una reaccin qumica de una oxidacin violenta de una materia
combustible, provocando desprendimiento de llamas, vapor de agua, dixido de
carbonoycalor.Esunprocesoexotrmico.
Los fuegos son ocasionados por cortocircuitos, cigarros mal apagados, etc., y estos
ocasionangravsimosdaostantomaterialescomopersonales.

17

Se recomienda el uso de alarmas, las cuales al detectar fuego o humo, se activan
directamentelosextintoresqueestnsituadoseneltechoyavisanalasautoridades
conelfindeevitarmalesmayores.

Tambinesnecesarioelusodeextintoresdemanoqueestnrepartidosportodala
entidad. Adems al lado de estos extintores deben existir carteles anunciado su
presenciaeindicandosusituacin.

18

2.2.4Tormentaselctricas
Las tormentas elctricas consisten en fenmenos atmosfricos los cuales pueden

ocasionar graves daos fsicos a la entidad, estos daos pueden ser desde fuegos
ocasionados por las tormentas hasta picos de tensin los cuales pueden destrozar
nuestrosequiposinformticosconsusrespectivosdatos.

Serecomiendaelusodepararrayos,estosconsistenenunavarillademetal,puestaen
eltejadooenlapartemselevadadeledificiodelaentidad,lacualtieneuncablede
cobrequevaaapararaunaplanchadelmismometalintroducidaaunosmetrosbajo
tierra.Encasodequeunrayotoqueelpararrayosestededescargaraltocartierra.
Evitandoposiblesdaos.

19

Adems se recomienda que las copias de seguridad que se realicen estn siempre
alejadasdelasestructurasmetlicasdeledificiodelaentidad.
2.2.5Picosdetensin
Lospicosdetensinsonotrosproblemasquepuedetenercualquierentidadyconsiste
en una sobrecarga en la corriente elctrica, los cuales pueden provocar pequeos
daosanuestrosequiposinformticos.
SerecomiendaelusodeSAIs,loscualesconsistencomodicensussiglasenunSistema
deAlimentacinIninterrumpida,graciasaestosdispositivosencasodequeexistaun
picodetensinmantendralequipoenunestadoasalvodecualquierposibledao.
2.2.6BackUp
UnbackUpconsisteenunacopiadeseguridadenformatodigitaldeladocumentacin
delosdatosdelaentidad,esunconjuntodearchivos,loscualessonalmacenadoscon
elfindeprotegerlosantecualquierdaointerioroexterioralaentidad.
Estas copias de seguridad son tiles, ya que nos sirven para restaurar un equipo
informtico despus de haber ocurrido un ataque, desastre para recuperar archivos
que hayan sido borrados sin querer, y la ms importante de todas, es que es
obligatorioyaqueesnecesarioguardarlosdatosdebidoalaAEPD(AgenciaEspaola
deProteccindeDatos)enrelacinalosdatospersonales.

20

2.3Seguridadlgica

Enestecasocuandollamamosseguridadlgicaconsisteenquelosprocedimientosde
seguridadsirvenparasaberquin,cmoycuandounusuarioaccedeaunapartedela
informacin,portantosusprocedimientossirvenparacontrolardichoaccesolgico,y
encasodequenoseaelusuarioadecuadoparalainformacin,elsistemabloquear
dichainformacin,paraelloincluirbarrerasycontrolesqueprotejanelaccesodelos
datosaterceraspersonasquenotenganlaautorizacinnecesaria.

Paraellohayquerealizarunaseriedepuntosclaveparalaseguridadlgica:

Encasodeproblemasenlatransmisindebedehaberunprocesodeemergenciacon
elfindequelainformacinpuedallegarhastaeldestinatario.

Comprobar que los empleados que usen dichos archivos y programas puedan estar
trabajandosinnecesidaddeunasupervisinyquealaveznoseancapacesdecambiar
omodificarlosarchivosyprogramasquenolescorrespondencomoempleados.

La informacin recibida por el destinatario, tiene que ser la misma que la que fue
enviadadesdeelorigen.

Limitarelaccesoalosarchivosyprogramasdelaentidad.

21

Sostenerquelosempleadosqueestnutilizandolosarchivos,programasylosdatos
estnsiendoutilizadosenelprocedimientocorrectoynoporotros.

Todalainformacintransferidasolopuedeserrecibidaporeldestinarioreal,ynoa
terceros,yaqueestoseraungraveproblemaenlaentidad.

Debendeexistirdiferentescaminosdetransmisinentrediferentespuntos.

2.3.1Controlesdeaccesoalsistema

Loscontrolesdeaccesosonunaherramientatotalmentenecesariaybsicaparatener
unmnimodeseguridadlgicaenlaentidad.Ademssondeunagranayudayaque
protegen a nuestro sistema respecto a modificaciones no consentidas, mantienen la
integridaddenuestrainformacin,protegenlasaplicacionesqueestamosutilizandoy
protegenlainformacinrespectoaempleadosquenotienenelaccesonecesariopara
ello.

Cabe destacar que el National Institute of Standards and Technology(NIST) ha
compiladolosrequisitosmnimosquedebedetenercualquiersistemadeseguridad:

Identificacinyautentificacindelpersonal.

Los roles: Consiste en que el acceso a la informacin por parte del empleado se
controla con diversos roles que pueda tener, para cada uno tendr una serie de
privilegiosorestriccionesdependiendodeculsea.

Modalidaddeacceso:consisteenelmododeaccesoquepuedetenerunempleado
de la entidad respecto a unos determinados recursos, el usuario puede tener
cualquieradelossiguientesmodosotodosellosdependiendodelgradodeaccesoque
tenga:
Lectura:enestecasosolopodrleeryvisionareldocumento.
Escritura:solopodrmodificardichodocumento.
Borrado:sercapazdeeliminareldocumento.
Ejecucin:permiteelaccesoalprograma.

Las transacciones: los controles se pueden desarrollar a travs de dichas
transacciones, un ejemplo de esto puede ser que para realizar una determinada
transaccinsesoliciteunaclavedeterminada.

22

Limitando los servicios: este control se centra en las posibles restricciones que
puedenexistirdependiendodelaaplicacinodatosutilizados,todoelloestablecido
poreladministradordelsistemaqueponedichasrestricciones.

HorarioyUbicacin:enestecasoelempleadosolopodraccederalosrecursosen
determinadashorasdeldayendeterminadosequiposinformticosdelaentidad.

Control de Acceso Interno: como su nombre indica consiste en un control que se
realizacentradoparaunposibleataquedesdeelinteriordelaentidad,consisteenuso
decontraseas,listasdeacceso,cifradodelosdatos,etc.

ControldeAccesoExterno:sirveparaprevenirunataquedesdeelexterior,paraello
seutilizancortafuegos(firewalls),dispositivosdecontroldepuertos,etc.

Administracin: en esta parte consiste en realizar una correcta implementacin,
pruebas, seguimientos y modificaciones sobre los accesos de los usuarios a los
sistemasdelaentidad.

2.3.2Nivelesdeseguridadinformtica

Losnivelesdeseguridadutilizadosmundialmenteportodaslasentidadesconsistenen
laISO15408enreferenciaalasnormasdeseguridadenlosequiposinformticosdel
DepartamentodeDefensadelosEstadosUnidos.

Cadaniveltieneunaseriedecaractersticaslascualesdescribenunniveldeseguridad,
estosvandesdeunnivelmnimodeseguridadhastaelmximo.

Dichos niveles fueron la base para el desarrollo de los estndares internacionales
ISO/IEC.

Acontinuacinexplicamostodoslosniveles.

NivelD:Esteeselnivelmnimoenelcualsolotieneunadivisinyestguardadapara
los sistemas que hayan sido evaluados y por supuesto no cumplen con ninguna
especificacin de seguridad. En este caso no hay autentificacin con respecto a los
usuariosyportantonohayproteccinreferentealaccesodelainformacin.

NivelC1enestenivelseprecisadeunaidentificacinporpartedelosusuariospara
permitirelaccesodeinformacin,delacualnoseobtenaenelNivelD.Apartirde
ahora se hace la distincin entre los usuarios del sistema y el administrador del
sistema,quientendruncontroldeaccesototalalsistema.EnreferenciaalnivelC1,

23

podrnexistirgruposdeusuariosconigualesprivilegiosascomogruposderecursos,
respecto de los cuales podr actuar el grupo de usuarios. Por ejemplo: todos los
becariosdelauc3mqueestntrabajandoenlasaulasinformticas,tienenaccesoa
una pequea base de datos que ellos mismos pueden modificar en cualquier
momento,porcualquieradeellos.

NivelC2:EstenivelsirveparasolucionarlasflaquezasquetieneelnivelC1.Consiste
en restringir a los usuarios que ejecuten ciertos comandos o que tengan el acceso a
ciertos archivos. Los empleados tienen autorizacin para poder hacer algunas tareas
deadministradorsintenerqueseradministradores.Ayudanamejorarlascuentasde
lastareascentradasconlaadministracindesistema.

NivelB1:ElnivelBsedivideen3,esteeselprimerodeellos,enestecasoescapazde
soportar seguridad multinivel, como la secreta y ultra secreta. Se consolida que el
dueodelarchivonopuedesercapazdemodificarlospermisosdeunobjetoqueest
bajoelcontroldeaccesoobligatorio.Elusuarioquequiereaccederaundeterminado
objeto deber tener un permiso para hacerlo. Consiste en que cada usuario tendr
unosobjetosasociados.

NivelB2:Consisteenquecadaobjetodenivelsuperiorseetiqueteporserpadrede
unobjetodenivelinferior.Enestapartedelsistema,avisaryalertaralosusuariossi
suscaractersticasdeseguridadyaccesohansidomodificadas.

Nivel B3: En este nivel se necesita que la terminal del usuario debe conectarse al
sistema a travs de una conexin segura. Adems aumenta a los dominios con la
instalacindehardware.Porltimoelusuariotieneasignadoslosobjetosyloslugares
alosquepuedeaccederparaconectarse.

NivelA:eselnivelmximo,parapoderllegaraestepuntodeseguridad,sedebende
incluir todos los niveles anteriores. Por supuesto al ser el nivel ms alto tiene un
procesodediseo,controlyverificacinmediantemtodosoprocesosmatemticos,
para garantizar todos los procesos que realiza un usuario sobre el sistema de la
entidad. Por ltimo debe de existir proteccin para que tanto el hardware como el
softwarenotenganinfiltracionesanteposiblesmovimientosdelequipo.

24

2.4Seguridadfsica

Respecto a la seguridad fsica son procesos que existen y sirven para controlar el
acceso fsico al equipamiento informtico. Para ello se usarn cmaras de video,
puertasdeaccesocontarjetas,etc.Porejemplo,sivisitamoslasoficinasdecualquier
edificio de una gran empresa veremos cmo tendrn desde la entrada principal del
edificio un control para saber quin entra y quin sale, y todo ello automatizado y
controlado.

2.4.1Accesofsicoalsistema
Pormuchaseguridadquetengamosennuestrosistemaalahoradeaccederal,no
nossirvedenadasiademsnosomoscapacesdetratarlaseguridaddelaccesofsico
al sistema, por lo tanto cualquier extrao que entrase en la empresa podra abrir
cualquier CPU de nuestra entidad y llevarse fsicamente nuestros discos duros con
nuestracorrespondienteinformacin.
Un caso de ejemplo es el siguiente, el cual est basado en mi propia experiencia,

durante estos aos de carrera he estado trabajando como becario en las aulas
informticas,ymuchosdasmeheencontradoenlasituacinenlaqueunapersona
totalmente desconocida se ha presentado en el aula, diciendo simplemente ser el
tcnico de reparaciones sin acreditacin ninguna y solo con un destornillador en la
mano,estapersonaempezadesmontarlasCPUparallevarsesupuestamentediscos
duros, memorias RAM y un sin fin de elementos de una CPU o varias, para
supuestamente arreglarlos, quien me dice a m que en realidad esa persona est
robando hacindose pasar por un tcnico, adems muchos problemas que haba en
dicha beca eran los robos de los componentes de las CPU y creo que es un grave
problemadeseguridadquetienelaUC3Mrespectoalasaulasinformticas.
Otrocasodeejemploconsistiraenquepersonasajenasalaentidadutilicenundisco
dearranqueconelfindemontarlosdiscosdurosdenuestrapropiaentidadyextraer
nuestra informacin. Para llevarlo a cabo tendra que entrar fsicamente a nuestra
empresa.
Despus de estos casos de ejemplo se debe de garantizar la seguridad fsica ya que

tambinpuedeserunagujerodeseguridaddeaccesoanuestrosdatos,porlotanto
para poder prevenir estos casos se recomienda el uso de diferentes sistemas de
prevencin,cadaunodependedelainversinquesequiererealizarparalaseguridad.
Estossonlossiguientes:

25

Sistemasdeprevencin Inversin
Usodehardware,desdeanalizadoresde Alta
retina,usodevideocmaras,usodecontrol
depuertas,personaldeseguridadenel
edificio,etc.
Usodelectoresdecdigo,conelfindesaber Media
quinentrayquinsaleencadadeterminada
saladenuestraentidadconelfindetenerun
controlsobresuacceso.
Bloquearlastomasderedquenoson Baja
utilizadasascomoloscablesderedpara
evitarpinchazosporterceraspersonas,cerrar
todaslaspuertasconllavealsalir.
TipodeinversinALTA:
Usodehardware:
Analizadoresderetina:
Videocmaras:

26

Controldepuertas:
Personaldeseguridad:
Por ltimo cabe destacar que por mucha prevencin que haya nunca es suficiente y
por tanto hay que detectar los posibles ataques lo antes posible, para disminuir el
daoquevamosarecibir.Enestecasohayqueconcienciaralpersonaldelaentidad,
sobrelaseguridaddelentornofsico,conelfindequeencasodequeseencuentren
eneledificioconpersonalnoautorizadosepongaencontactoyavisealaseguridad
delaentidad.

27

TipodeinversinMEDIA:
Sonmtodosasequiblesporcualquierentidad.
TipodeinversinBAJA:
Estainversineslamsbarata,debidoaquesonaccionescotidianasydesentidocomn.Aun
astambinsuelendarseproblemas.

28

2.5Sistemasdeseguridad

2.5.1Autentificacindelpersonal

Estoconsisteenlaverificacindelpersonaldelaempresa,esdecirenconfirmarqueel
usuarioquevaausarymanejarlosdatoseselusuarioquecreemosquees.

Paraaccederaunsistemalomscomnesutilizarunacontraseaoinclusodospara
controlar el rango de acceso, aun as existen otras tcnicas que hacen lo mismo, y
estas se dividen en tres clases dependiendo el tipo de informacin que se necesita
paralaautenticacinconelfindeobtenerelaccesoalosdatos.

Porloquesetiene:esdecirelusodeunatarjetaelectrnicaomagntica.

Porloquesesabe:esteeselmtodomsclsico,elusodecontrasea.

Porloquesees:biometra,esdecirelusodehuellasdigitalesuotrossistemas.

Paraunusomejorrecomiendoelusocomomnimodedosclases,siendosiempreuno
deesosdoslaclasedePorloquees,yaquesisolousamosunmtodoenelcasode
quefueradelaclasedePorloquesetieneoPorloquesesabetienelagunasde
seguridad como el posible robo de contraseas o robo de la tarjeta electrnica o
magnticadelempleado,yportantocreandounserioproblemaanuestraseguridad,
dejandoelaccesoalosdatosenunasituacincomprometedora.

Ms adelante comentaremos cadauna de estas formas, por separado, de control de
accesoydeseguridadalossistemasydatosdelaentidad.

Paraqusirveidentificarse?

Laidentificacinsirveparatenerunabarreradeseguridadmnima,conelfindeevitar
posiblesdaosalaentidad,ademsconlaidentificacinpodemosentrarennuestro
sistemaconnuestrascaractersticascorrespondientescomousuario.

Porquestaraninteresadosendestruirorobardatosdelaentidad?

Podemos responder a esta pregunta en una sola frase, QUIEN TIENE LA
INFORMACIONCONTROLARELMUNDO,sinosfijamosenelmundoquetenemosa
nuestroalrededorcomprobaramosquetodosealmacenaenbasesdedatoscomopor
ejemplo, cuentas bancarias, historiales clnicos, datos financieros, fichas policiales,

29

inversiones, Hacienda, etc.; hasta el punto de que por ejemplo un banco si quiere
sabertodoeldineroquetienenolesirvedenadacontareldinerofsicoquetengaen
lascajasfuertes,sinoelqueseindicaquetieneensubasededatos.Porlotantoesa
informacin,queesbastantegolosaparaterceraspersonas,tienequeestarasalvode
cualquier posible robo o destruccin de datos, estos son conocidos como delitos
informticos.

Quinesestaraninteresadosendestruirorobardatosdelaentidad?
Puedenserdesde,personasquenotienenningunarelacin,pasandoporempleados
delamismacompaaocompaascompetidoras,lascomentaremosacontinuacin.
Personassinrelacinconlaentidad,enestecasopuedenserdedostipos:
Hackers: son personas que atacan a la compaa con el nico objetivo de encontrar
brechasenelsistemadeseguridadyobtenerassoloelreconocimientopersonalde
haberencontradoesabrechadeseguridadenelsistema,sonconocidosporelnombre
dehackers.
Crackers:enestesegundocasosonpersonascuyoobjetivoesencontraresasbrechas
deseguridadconelfindeobtenerlosdatosdelaentidadyaseapararobarlosparasu
beneficio o destruirlos por puro placer y malicia, se les conoce por el nombre de
crackersloscualesademsdeutilizarsushabilidadesdeinformticapararomperlos
sistemas de la entidad son capaces de colapsar los servidores, entrar a zonas
restringidasdelaentidadocompaaparaluegoinfectarlasyapoderndosedeellas.
Empleadosdelamismaentidad:enestapartelosmismosempleadospuedenatacara
sumismaempresaporvariasrazonescomoporejemplo:porqueestndescontentos
con la entidad debido al trabajo que desempean, al trato que reciben por parte de
suscompaerososussuperioresyelltimoyporlotantoelpeordetodosloscasoses

30

porque sern despedidos en cuestin de das, su nico objetivo ser corromper,

modificarydestruirdatosdelaentidadporpuravenganza.Tambinesunodelosms
peligrososdebidoaqueellostienenaccesoalosdatosynosesospechadeellos.
Compaascompetidoras:muchasempresasquecompitenenelmismomercadoque
nuestrapropiaentidadpuedenllegarahacercualquiercosacontaldeeliminarnosde
sucompetencia,yaquenospuedenvercomounaseriaamenazaparaellos,porelloa
vecesalgunasempresas(notodas),deformaocasional,puedensercapacesdeatacar,
espiar o robar con tal de obtener una gran ventaja respecto a su competencia en el
mercado,aunqueparaellorealiceunactodelictivo.Sepuedeexplicarconunafrase
Enelamoryenlaguerratodovale,yalfinalcaboalahoradeentrarenelmercado
delasgrandesempresasesunaguerra.

31

2.5.1.1Porloquesetiene

Un tipo de seguridad para la identificacin del usuario es mediante el control y
comprobacindeunobjetoquetienelapersonayqueleidentificacomotalusuarioy
poseedordedichoobjeto,esteobjetopuedeserunatarjetamagnticaounatarjeta
electrnica(smartcard).Paralaidentificacindeunapersonaatravsdeunobjetose
suele utilizar alguna de estas dos clases de tarjeta, aunque ltimamente empieza a
estar en desuso la tarjeta magntica y est ganando adeptos la tarjeta electrnica
(smartcard),aunasvamosaidentificaracontinuacinlosdostiposdetarjetascon
suscorrespondientescaractersticas.
2.5.1.1.1Tarjetasmagnticas
Sonunaseriedetarjetasquealmacenandatosatravsdeunabandamagnticaconla
cualsepuedengrabardatosenella.Consistesimplementeenunatarjetadeplsticoa
lacualseleaadeunabandamagnticaenelprocesodesufabricacin.
Labandamagnticaconsisteenunabandaoscura,lacualestformadaporpartculas
ferromagnticasinsertadasenunamatrizderesinayquesoncapacesdealmacenar
informacinatravsdeunacodificacindeterminadaqueescapazdepolarizardichas
partculas.
Dichabandamagnticaesledaograbadaatravsdelcontactofsicointroducindola
a travs de una cabeza de escritura/lectura mediante la induccin magntica. Se

32

introduce en el lector de tarjetas el cual suele ser como el de la figura de a

continuacin.
Susprincipalescaractersticasson:
Debajocostoparalaentidad
Nosonreutilizables,esdecirsilatarjetahaterminadodehacersufuncin
no puede ser utilizada para otra diferente, a menos que vuelvan a ser
grabadaenellanuevosdatos.
Puedenserledasygrabadastodaslasvecesquesedesea.
Aunquesoncapacesdealmacenarinformacinsucapacidadesbaja.
2.5.1.1.2Tarjetaselectrnicas(smartcard)
Consistenenserunatarjetadeplsticoigualmentequelastarjetasmagnticasconla
diferencia de que se ha quitado la banda magntica y ha sido sustituida por un chip
que consiste en un microprocesador. Estas tarjetas son la evolucin de las tarjetas
magnticas, estas tarjetas electrnicas a las cuales al incorporar un microprocesador
consiguentenermayorcapacidaddeprocesamientoquelasmagnticasademsdeser
msverstiles.

33

Lascaractersticasdeestastarjetassecentranenlosiguiente:
Sonresistentesalusocontinuado.
Se pueden hacer varias aplicaciones con una misma tarjeta, cosa que no se poda
hacerconlastarjetasmagnticas.
Losdatosquecontieneestncifrados,ademsdelposibleusodeunPIN.
Tieneunagrancapacidaddealmacenamiento.
Puedenserreprogramadas.
Talcomohemoscomentadoalprincipiodeestaparte,elusodeestetipodetarjetas
sirveparalosmecanismosdecontroldeseguridadyacceso.

34

2.5.1.2Porloquesesabe

2.5.1.2.1Contraseas

Lascontraseassirvenparaverificarqueelusuarioqueestaaccediendoalsistemaes
dicho usuario y no terceras personas, ya que entonces estamos teniendo una grave
brecha en nuestra seguridad, para ello se realiza un proceso de verificacin de la
identidaddelusuarioenelcualsecompruebaqueesquiendiceser.Aunasnoexiste
unaseguridadtotal,yportantocomentaremosmsadelanteconsejosnecesariospara
reduciresaposiblebrechaennuestraseguridad.

Ademselusodecontraseasseraparalaentidadunpequeocosto,yaqueeslo
msbaratoymnimorespectoalaseguridad.

Enestecasohayunpequeoproblemaconelusuarioyconsisteenquesielusuario
tienequerecordarvariascontraseasystenoseacapazderecordarlaspuedaocurrir
algunadeestasdoscosas:

Que apunte todas las contraseas en algn sitio, esto sera un grave error ya que
entoncesestaraenjaquetodalaseguridaddenuestrosistema,yportantoestaraen
peligro nuestra informacin ya que si alguien encuentra el papel donde estn
apuntadaslascontraseasproducirunabrechaenormeennuestraseguridad.

Quealfinalelusuariodecidaponerlamismacontraseaparatodoslosaccesosque
necesita identificarse, en este caso, si alguien es capaz de averiguar su contrasea
podra entrar en cualquiera del resto de los sistemas que quiera. Ejemplo: muchos
usuariosutilizanlamismacontraseadesuemailquelaquetienencomocontrasea
en su puesto de trabajo. Esto tambin es una gran brecha para la seguridad de la
entidad.

Para que no ocurran dichos problemas se recomienda mentalizar a los empleados
respectoalusodesuscontraseas.

35

2.5.1.2.1.1Consejosalahoradeelegircontraseas

Para empezar indicaremos un par de consejos totalmente necesarios respecto a las
clavesquehayqueelegir.

Tienen que tener como mnimo 8 caracteres. Esto es debido a que si se hiciera un
ataque intentando escribir todas las contraseas posibles incluyendo todos los
caracteres que tenemos se tardara un tiempo dependiendo de la longitud de la
contrasea. En la imagen de a continuacin indicamos el tiempo que se tarda en
descubrir una contrasea partiendo del nmero de caracteres que tiene nuestra
contrasea.

Nohayqueutilizarunacontraseadeaccesoaunsitioparausarlaenotro.Estoes
debido a que mucha gente utiliza la misma contrasea para multitud de accesos
provocando un gran riesgo en el caso en que se descubraya queestar enriesgo el
accesoalrestodesitios.

Nunca usar contraseas numricas que tengan relacin con el usuario, como puede
ser,nmerodetelfono,fechadenacimientoodealgunafechasignificativa,nmero
dematrculadelcoche,oelnmerodelaloteraquejuegasiempre,etc.

36

Toda contrasea debe de ser alfanumrica, es decir nmeros con letras y adems
intentar que algunas letras sean maysculas y otras minsculas, adems de posibles
smbolos.

Nunca hay que utilizar palabras con significado o de un nombre personal, ya que
entoncesnospuedenhacerunagujeroenlaseguridadconunataquedediccionario.

2.5.1.2.1.2Comoprotegerunacontrasea

Laseguridadrespectoalahoradeprotegerunacontraseanosolorecaeenelusuario
quelatiene,ymuchasvecessoloechanlaculpaalusuario,sinoqueademstambin
eladministradortienepartedeculpa.Estoesdebidoaquesilacontraseadelusuario
caeentercerasmanosnosolosecomprometealusuariosinoatodoelsistema,enel
cualeladministradortienequeestarpendientedeunposibleataque.

Acontinuacindaremosunaseriedeconsejosconelfindeprotegerunacontrasea
tantoparaelusuariocomoparaeladministrador.

La contrasea debe de ser modificada cada cierto tiempo, semanalmente,
mensualmente, etc.; dependiendo de cada caso, en definitiva la contrasea debe de
cambiarconeltiempo.

Siempre habr que cambiar todas las contraseas que estn por defecto en el
sistema, suele ocurrir que mucha gente no se preocupa por ellas, pero estas
contraseassonfcilmentedeconseguirsinningnesfuerzo.

Las contraseas son de uso individual, por tanto no hay que compartirlas o
distribuirlasentrecompaerosdelaentidad.Consejoparaelusuario.

Nuncahayqueescribirlacontraseaenalgnsitio,debedeestarmemorizada,yasea
medianteelusodetcnicasnemotcnicas,yaquecualquierpersonapuedeencontrar
donde se haya escrito la contrasea poniendo en grave situacin la seguridad del
sistema.

Nodebedeexistirunacuentasincontrasea,estoesungraveerror,yportantopara
queestonoocurraeladministradordebedeestarpendienteyrepasarquenoexista
unacuentasincontrasea.

Hayquetenercuidadoalahoradeintroducirlacontraseayaquehayqueevitarque
nadievealoqueestamosescribiendoconelteclado.

37

Parafinalizarnuncahayquepronunciardichacontraseaencualquierconversacin
quetengamos.

2.5.1.2.1.3Medidasdegestinyproteccindelascontraseas

Adems de la seguridad que debe de tener el usuario y el administrador tambin se
puede aplicar a la gestin de dicha contrasea a la hora de introducirla en nuestro
sistema,teniendostaunosrequisitosdeseguridad,stospuedenser:

Exigenciadeunacontraseaconunalongitudmnimade8caracteres,encasodeque
seainferior,nopermitirlocomocontrasea.

Elsistemanopermitircontraseasquenoseanalfanumricas,encasodedequeno
secumpla,nopermitirlocomocontrasea.

Tenerunnmerolimitadodeintentosalahoradeintroducirlacontrasea,encaso
desobrepasaresenmero,sepuedebloquearalusuariomientrasseenvaunmensaje
aladministradorindicandolasituacinanteunposibleataqueytomarmedidasenel
casomsgrave.

Hacer un ataque a nuestro propio sistema con el fin de saber si son vulnerables las
contraseas.

Indicaralusuarioquelacontraseatieneuntiempodevidalimitadoyenelcasode
quefaltepocotiempoparaqueexpireavisaralusuariosobreelcambiodecontrasea.

38

2.5.1.3Porloquees(Biometra)

Esta tcnica consiste en la verificacin del personal de la empresa mediante sus
caractersticasfsicas(voz,huellas,retina,mano,cara,firma,etc.).Estatcnicaesuna
delasmssegurasquehay,aunassiemprehayquedecirquenoexistelaseguridad
perfecta sin embargo con esta tcnica aumentamos bastante nuestra propia
seguridad.

Adems la biometra tiene una serie de ventajas con respecto a otros sistemas de
seguridad,alahoradelaautentificacincomoporejemplo:

Noesnecesariomemorizarningunacontrasea.

Noesnecesariollevarunobjetoidentificndonosquieneselusuario,amenosquese
est utilizando como mtodo de biometra el mtodo de 1 a 1, el cual ser
comentadomsadelante.

No hay que actualizar los registros de los usuarios, la gente mantendr los mismos
rasgosfsicossiempre.

Difcilmentedefalsificardichosrasgosfsicos.

Elfuncionamientodeestesistemaconsisteenlosiguiente,paraempezarelindividuoo
personal de la entidad se debe registrar en el sistema, obteniendo este ltimo las
caractersticasfsicasdelapersonaatravsdeunalgoritmonumrico,obteniendouna
seriedevalores,loscualessealmacenarnenunabasededatos.

Ahoracuandoelempleadovayaaidentificarseexistendostiposdeautentificacinel
mtodode1a1yelmtodode1aN,loscualescomentaremosacontinuacin:

Mtodode1a1,enestecasoelusuariodeberidentificarseprimeroatravsdeuna
credencial,conellolabasededatossabrconqueregistrodebercompararlosdatos
que obtenga a continuacin de dicho usuario cuando ste se haga la prueba

39

biomtrica, por tanto en este caso los datos obtenidos por el usuario en la
identificacinbiomtricasolosecompararnconunregistroguardadoenlabasede
datos.

Mtodo de 1 a N, en este tipo de autentificacin el usuario no necesita el uso de
ningntipodecredencial,simplementesetomanlosvaloresdelusuarioporelsistema
biomtricoysoncomparadoscontodoslosregistrosquehayaenlabasededatosdel
sistema.

Hayvariostiposdeclasesdebiometrasegnloquequeramosverificardelpersonal,
cadaunadeellastienesuspropiasventajasydesventajas,lascualescomentaremosun
pocoporencimayquesealaremosacontinuacin.

Tcnica:

Lecturadelamanodelempleado:

Ventajas:Pocanecesidaddememoriadealmacenamientodelospatrones.

Desventaja:Lentoynoesmuyseguro.

Lecturadelahuelladigitaldelempleado:
Ventajas:Baratoymuyseguro.
Desventaja:Cortesoaraazosquepuedetenerelusuariopuedenocasionarqueno
seareconocidocomotal,ademsexistelaposibilidaddeunaposibleimitacin.

40

Lecturadelirisdelempleado:
Ventajas:Muyseguro.
Desventajas:Puedeprovocarmolestiasalusuario,ohacerdaoalaretina,aunqueeso
yanosueleocurrir.

Lecturadelacaradelempleado:

Ventajas:Rpido,fcilybarato.

Desventajas: Factores externo como la iluminacin de la sala puede alterar dicho
reconocimiento.

Reconocimientodelavozdelempleado:
Ventajas:tilparaaccesosremotosybaratos.
Desventajas: Si la persona est alterada debido a situaciones emocionales puede no

serreconocidaporelsistema.

41

Reconocimientodelafirma:

Ventajas:Barato.

Desventaja:Puedeserimitadoporterceros.

2.6Criptografa

La criptografa es un punto en la seguridad informtica que siempre habr que
comentar,yaqueformapartedeello.

Tambin hay que indicar un error que existe en este mundo a la hora de hablar en
relacin a este tema y que reside en usar la palabra encriptar como si fuese un
sinnimodelapalabracifrar.

A lo largo del tiempo el ser humano ha intentado ocultar informacin con el fin de
mantener una seguridad mnima para evitar posibles abusos por parte de terceras
personas,paraelloutilizabadiferentestcnicasdecifradocomoporejemploelcifrado
CsaroelmtododecifradodePlayfair,cifradoVigenre,etc.

Unejemploactualdelusodelacriptografaenelmundodelaseguridadinformtica
consiste en los diferentes tipos de cifrado, con el fin de mantener la seguridad de
nuestrasclavescuandoestamosintroduciendounacontraseaparaaccederanuestra
cuenta de correo o cuando enviamos un correo electrnico para alguien, estos
mtodosdeseguridadsirvenparaqueencasodequeterceraspersonasseancapaces
de obtener dicha informacin, mediante diferentes mtodos de ataque como por
ejemploelhombreenmedio,noseancapacesdeleerlasdebidoaqueestncifradas
yporlotantonopuedanserledaspordichosatacantes.

Estas tcnicas de cifrado con el paso del tiempo son ms complejas para que
garanticenunamayorseguridadanuestrainformacinyseanmsdifcilesderomper.

42

A continuacin comentaremos un tipo de ataque en el cual para evitarlo habr que

usarmedidasdealgntipodecifrado:

Maninthemiddle:conocidocomoataquedelhombreenmedio,esteataqueconsiste
en que una tercera persona intercepta un mensaje entre dos personas con el fin de
leerloomodificarlosinqueningunadeestasdosvctimasseenteren.Paraevitarlose
aplicantcnicasdeautentificacincomousodeclavespblicas.

A continuacin comentaremos por encima diferentes tipos de algoritmos que son
usadosparacifrarinformacinypodersalvaguardarlaencasodeposiblesataques:

Data Encryption Standard (DES): algoritmo de cifrado en bloques simtrico, cuyo
tamao de bloque tiene una longitud fija de 64 bits, y uso de una clave de 56 bits,
dicho cifrado se realiza con 16 ciclos de reiteracin. Aunque este sistema est en
desuso.

Triple Data Encryption Standard (TDES o 3DES): consiste en una variacin del DES, y
resideenquecomosupropionombreindicaaplicartresveceselDES.Dichosistema
usaunaclavede168bits.

AdvancedEncryptionStandard(AES):algoritmomsusadoenrelacinalacriptografa
simtrica, consiste en un esquema de cifrado por bloques, el tamao del bloque de
datos y de la clave pueden ser de 128, 192 y 256 bits. Es el ms usado actualmente
debidoasuseguridadyrapidez.

43

3.AUDITORIAINFORMATICA

3.1Quesunaauditora?

Paraempezarvamosaindicarunaseriededefinicionessobrelaauditora.

Son una serie de tcnicas y de un grupo de procedimientos, cuyo fin es evaluar y

controlar un sistema con el objetivo de proteger sus recursos y activos, as como
comprobar que las actividades que se realizan de forma eficiente y con la normativa
general de cada empresa para obtener la eficacia exigida en el marco de la
organizacin estableciendo planes de accin y recomendaciones.
Consiste en un examen detallado de la estructura de una empresa, en cuanto a

controles y mtodos, su forma de operacin, sus objetivos y planes, sus equipos fsicos y
humanos.
Es una visin sistemtica y formal con el fin de determinar hasta que parte una
organizacin cumple sus objetivos establecidos por la empresa, as como para
diferenciar los que necesitan mejorarse
Es una funcin cuyo objetivo es apreciar y analizar, con vistas a las acciones
correctivas eventuales, el control interno de la organizacin para cumplir la integridad
del patrimonio, la autenticidad de la informacin as como el mantenimiento de la
eficacia de los sistemas de gestin.
La auditora es en s una actividad que debe de realizarse mediante el uso de

conocimientosacadmicos,paraelloseutilizanunaseriedetcnicasquenosllevena
laprestacindeunservicioconaltoniveldecalidadyreconociendolaresponsabilidad
social, no solo del cliente sino del pblico en general, que necesite hacer el uso del
dictamendelauditor,paralaeleccindedecisiones.

44

3.2Etapasdelaauditorageneral
EstudioGeneral:
Est basado en la estimacin general de las caractersticas de la empresa, de sus

estadosfinancierosydesuselementosmsimportantes,deformaquenossirvapara
laorientacinalahoradeaplicarunaseriedetcnicasqueresultenmsconvenientes
enlaauditora.
Elconceptoquedebedetenerelauditorrespectodelnegociodelclientees:
LascondicionesEconmicasydelSectordelaEmpresa.
LaestructuradedichaOrganizacin.
SuestructuraLegalyOperaciones.
LascondicionesEconmicasydelSectordelaEmpresa.
Elauditortendrunconocimientobsicoreferentealascondicioneseconmicasdela
empresa, as como las condiciones competitivas que llegan a afectar las operaciones
realizadasdeunclienteyloscambiosqueseproducenenlatecnologa.Lanocinde
lasprcticascontablesrelacionadasenelsectordelaindustriaenlacualelclientese
desenvuelveesdevitalimportancia.
LaestructuradedichaOrganizacin
Enunaorganizacindecualquiermagnitud,seresencialelusodeundiagramadela
organizacinconelfindeespecificarlastareasylasresponsabilidadesdelosdiversos
miembrosdelamismaorganizacin.Laestructuradeunaasociacinrepartelastareas
entre los diversos empleados, las posiciones y departamentos o grupos. Para poder
controlar el trabajo de una organizacin se adoptar medidas de procedimiento y
mtodosquenosayudaraproporcionarevidenciasdequeaquellastareasfijadaspor
lasestructuradelaasociacinsellevanacabo.

45

SuestructuraLegalyOperaciones.
Laauditoracomenzarconelconocimientodelascircunstanciasyoperacionesdela
organizacin auditada. El auditor deber de preparar una descripcin breve de la
naturaleza de aquellas actividades comerciales adems de los factores ms
importantesqueafectanadichasoperaciones.
Paraelloelauditordeberdetenerunconocimientoreferentealascaractersticasde
funcionamiento,ascomodelosprocedimientosrelativosalaadministracinydesu
estructuralegal.
Para poder comprender la informacin obtenida mediante la auditora, el auditor

deberdesaberlosnegociosdelclienteascomotodoslosfactoresquepuedenllegar
ainfluirenlasoperaciones
Larevisindelosdocumentoslegalesdelaorganizacinesnecesariaparaelcorrecto
entendimiento de los registros contables, y de sus estados financieros. Con esta
informacinnosayudaraampliarelconocimientodelnegocio.
Hayquereconocerquesinestafasedelexamendelaauditoraseraunarestriccin
referentealalcancedeestarea,enlacualseraunanegativaporpartedelclienteno
permitir al auditor contemplar los libros de actas, lo que conducir al auditor a la
denegacindeundictamen.Yaquelainformacinquesepuedeobtenerdeellonose
podrobtenerdeotraforma.
EjecucindelaAuditora
Encontraremoslosaspectossiguientesenestaetapa:
Anlisis:nosayudarnparaclasificaryagruparelementosdelaorganizacin.
Inspeccin: se trata de comprobar mediante una serie de pruebas los

elementosdelaorganizacin.

46

Confirmacin: consistir en obtener una comunicacin por parte de una

persona independiente de la empresa que est siendo auditada para el
conocimiento de las condiciones y de la naturaleza de la operacin de una
maneravlidasobrelamisma
Investigacin:elauditorobtendrunaseriedeconocimientosconloscuales
seformarunjuiciosobreloselementosdelaempresapormediodedatos,ya
queestosnossirvendebaseparalatomadedecisiones.
Observacin: consiste en presenciar los hechos o ciertas operaciones,

mediante las cuales el auditor se da cuenta de qu forma se realizan por el
personaldedichaempresa.
InformeFinal
Elinformeconstardedosparteslaprimeraserdeprocedimientoylasegundauna
opinin del auditor, con la primera parte se indicar el alcance de dicha auditora
mientrasquelasegundaserlaopinindelautorreferentealcorrectofuncionamiento
ypresentacindelosestadosdedichaorganizacin.
Elobjetivodeesteinformeserdarunaopininindependienteyprofesional.

47

3.3CundorealizarunaAuditorayporqu?
Lasrazonesmsimportantesalahoraderealizarunaauditorapodrnseralgunasde
lassiguientes.
RazonesExternas.
a)Cambioomodificacinenelmarcolegislativo.
La legislacin o la liberacin pueden cambiar el entorno, siendo este menos

previsibleyaquecambialasituacindefinidaporlasleyesreguladorasporotra
regidaporlasfuerzasdeotrasentidadesdelacompetencia.
La anulacin de barreras comerciales obligando a la apertura de nuevos

horizonteshaciamercadosquepuedentenerunacompetenciainternacionalen
vezdelosmercadosinternoscerrados.
La privatizacin de las organizaciones puede cambiar la orientacin de ellas

mismas,obligandoapasardeunmodeloburocrticoaunmodeloorientadoa
laeficienciadelasactuacionesyalservicioalcliente.
b)Fluctuacionesdelmercado.
La innovacin y la mejora de la tecnologa puede llegar a provocar que

sectores industriales y las empresas queden obsoletas, para poder solucionar
esteproblemadeberndeadaptarsealosnuevoscambios

48

Los ciclos econmicos pueden llegar a obligar a ciertas organizaciones a

cambiarsuorientacinporlocualtendrnquetenerunaseriedeestrategias
diferentes.
Razonesinternoexternas
a)Lareorganizacindeunaempresa
Esto puede ser provocado por diferentes causas: ya sea un cambio de la

propiedad de la empresa, creacin de un producto nuevo, debilitamiento o
desgasteenelequipodirectivoascomouncambioenlaestrategia.
b)Emisindeofertaspblicasenmercados
Debido al xito de una oferta pblica, la publicidad de los resultados

obtenidos de la auditora puede llegar a servir para comunicar las ventajas
competitivasdelaempresaascomoeldestacareltalentodelosgestores.

49

3.4Auditorinformtico

Paraempezartenemosquesaberqueunmismoauditornotieneporquservirpara
distintas auditoras, por tanto tenemos que elegir aquella persona que tenga la
experiencianecesariaylosconocimientosnecesariosacordesaltipodeauditoraque
sevaarealizaryaqueinteractuardeunaformamsnatural.
Suformacinacadmicapuedeserdesdeunosestudiosdeniveltcnicohastapasando
por ingeniera industrial, derecho, informtica, ciencias polticas, contabilidad, o
cualquier otra formacin, esto es debido a que las auditoras pueden ser de tantas
clases como formaciones se tienen, lo importante es que tenga una formacin
relacionada con la auditora que vaya a impartir, ya que por ejemplo un auditor en
auditorainformticasieldademaanavaarealizarunaauditorafiscalynotienelos
conocimientos necesarios respecto a ese tema, no va a poder realizar el trabajo
correctamenteaunquesuexperienciaenauditorasseaalto.
Tambin se valorar toda aquella formacin complementaria que habr obtenido el

auditormedianteseminarios,conferenciasocursosdereciclaje.

Respectoalascaractersticaspersonalesdelauditorlascualessondeterminantesala
hora de hacer su trabajo correctamente tiene que tener algunas de las siguientes
propuestasacontinuacin:
Estabilidad emocional: el auditor no podr dejarse llevar por sentimientos

personales(angustia,rabia,etc.)loscualespuedeninfluenciarnegativamentea
lahoraderealizardichaauditora.
Escuchar: deber de estar atento y saber todo lo que est ocurriendo a su

alrededorentendiendoclaramenteloquediganelpersonaldelaentidad.

50

Analizar: tendr que ser una persona capaz de examinar objetivamente una
vezobtenidolosdatosnecesarios.
tica:tienequeserunapersonaconmoralyquenosepuedacorromper.
Observador: tendr que estar atento a todo lo que est pasando mientras
realizalaauditora.
Optimista: habr que dar una actitud positiva a la hora de realizar dicha
auditora para que la gente que est en dicha entidad no llegue a tomarle
miedo,aunquetendrnquedemostrarciertorespetoalauditor.
Objetivo:deberdetenersupropiopuntodevistaneutralalahoraderealizar
elexamenfinal.
Discrecin: su paso a la hora de realizar la auditora desde la toma de datos

hastalarealizacindelexamendebedepasarlomsinadvertidoenlaentidad.
Trabajo en equipo: en el caso de trabajar con ayudantes u otros auditores

deber saber delegar el trabajo, as como una actitud correcta en todo el
momentoconlosdemscompaerosdelequipo.

51

Iniciativa: sabr qu pasos realizar en cada momento y como tienen que
hacersesindudarniflaquear.
Exposicin en pblico: deber expresarse correctamente al personal de la

entidad.
Porltimocaberesaltarquelaexperienciadelauditoresunodelosmayorespuntosa
favor que tiene, ya que gracias a ella cada vez tendr mejores conocimientos y
capacidadesalahoradeenfrentarseanuevosretos

52

3.5Auditoriainformtica
Sirvepararecoger,agruparyevaluarevidenciasconelfindeconfirmarsiunsistema
deinformacinmantienelaintegridaddelosdatos,salvaguardaelactivoempresarial,
cumpleconlosobjetivosdelaentidaddeformaeficientecumpliendoconlasleyesy
regulacionesestablecidas.
Conestaauditorapodremosmejoraralgunospuntosdelaempresacomopuedenser
laeficacia,seguridad,rentabilidadyeficiencia.
En este tipo de auditora sus objetivos primarios son, el control de la funcin

informtica, el anlisis de los sistemas informticos, que se cumpla la normativa en
estembitoylarevisineficazdelagestindelosrecursosinformticos.
Pruebasenlaauditora
A lo largo de la auditora se deben de realizar una serie de pruebas con el fin de

obtenerlamayorinformacinposiblealahoradetomardecisiones
Cumplimiento. Sirven para comprobar si un sistema de control interno

funcionacorrectamente.
Sustantivas. Se obtienen por observacin, clculos, entrevistas, muestreos,

tcnicas de exmenes analticos, conciliaciones y revisiones. Sirven para
verificarlaintegridad,exactitudyvalidezdelainformacin.
Clsicas.Secompruebansistemasyaplicacionescondatosdeprueba,enun
entornosimulado.Observandolaentradayelresultadoenlasalidaobtenido.
Cundorealizarlaauditora?
Pordeficienciaseconmicas,incrementosdeloscostes.
Inseguridad en las instalaciones, ya sea seguridad fsica, lgica o la

confidencialidaddelosdatos.
Cuando hay mala imagen o no se cumple con la satisfaccin de los clientes,

debidoaquenosereparanlasaveranenlosplazosquedebendeser,cuando
no se atiende correctamente a los clientes, o no se cumplen los plazos de
entregafirmados.
Deben de realizarse cuando se descubren problemas de descoordinacin y

desorganizacin, esto es debido a que no se cumplen los estndares de

53

productividadconseguidosocuandonocoincidenlosobjetivosonosecumple
conlosdelacompaa.
Objetivodelaauditorainformtica
La operatividad consiste en que la entidad y las mquinas funcionen aunque sea

mnimamente.Yaquenoesnecesariodetenerlosequiposinformticosparadescubrir
susfallosycomenzardenuevo.Estetipodeauditoraserealizarcuandolosequipos
estn operativos, en eso consiste su principal objetivo, que el hecho de realizar la
auditora no pare la productividad de la empresa totalmente. Para conseguir este
objetivohabrquerealizarlossiguientescontroles.
ControlesTcnicosespecficos,sonnecesariosparalograrlaoperatividadde
lossistemas.Porejemplosepuededescubrirquelosparmetrosdeasignacin
automticaenelespaciodeundiscoestnmal,provocandoquenosepueda
utilizar por otra seccin distinta. Al igual que la prdida de informacin
provocandodificultadoanulandootrasaplicaciones.
ControlesTcnicosGenerales,sirvenparacomprobarlacompatibilidadentre
sistema operativo y software, as como la compatibilidad entre hardware y
software. Y por tanto es de los ms importantes, ya que un problema en la
compatibilidadpuedecrearungranproblemaenlaentidad.

54

4.QUESUNAISO/IEC?
4.1Introduccin

Son estndares de seguridad publicados por la Comisin Electrotcnica Internacional
(IEC)ylaOrganizacinInternacionalparalaEstandarizacin(ISO).

La serie ISO/IEC 27000 sirve para desarrollar, mantener e implementar
especificaciones para los sistemas de gestin de la seguridad de la informacin,
tambinconocidocomo(SGSI).

PodemosnombraralgunasISOrelacionadascomoporejemplo:

ISO/IEC27000consisteenunvocabularioestndarparaelSGSI

ISO/IEC27001eslacertificacinquedebendetenerlasorganizaciones,ademses
unanormaqueespecificalosrequisitosnecesariosparalaimplantacindelSGSI.Sela
consideralanormamsimportantedelafamilia.Estcentradaenlamejoracontinua
delosprocesosydelagestinderiesgos.

ISO/IEC27002Tecnologadelainformacin,tcnicasdeseguridadycdigoparala
prcticadelaseguridaddelagestindelainformacin.

ISO/IEC 27003 Directrices para la implementacin de un SGSI. Tambin se le
consideraelsoportedelanormaISO/IEC27001.

ISO/IEC27004Mtricasparalagestindeseguridaddelainformacin.Proporciona
recomendaciones de quin, cundo y cmo realizar mediciones de seguridad de la
informacin.

ISO/IEC 27005 Gua para la gestin del riesgo en relacin a la seguridad de la
informacin.

ISO/IEC27006Enellaseespecificanlosrequisitosparalaacreditacindeentidades
decertificacindesistemasdegestindeseguridaddelainformacinyauditora.

Cadadasonmslasentidadesquequierenobtenerdichasnormasconsiguiendoassu
certificacin con el fin de tener un requisito que le permite competir con otras
entidades,consiguiendomayorcapacidaddenegociacinconentidadesquepidenque
susproveedoresyclientesestncertificados.

55

Otrasentidadesloquequierenobtenerrealmentecondichasnormativaseslamejora
desusprocesosyacogersealosestndaresdecalidadinternacionales.

AcontinuacincomentaremosporseparadolaIECeISO,paraluegohablardeISO/IEC.

4.2IEC

LOGOIEC

4.2.1Historia
IEC surgi en Reino Unido en 1906 y desde sus inicios ha estado proporcionando
estndaresglobalesatodaslasindustriaselectrotcnicasmundiales.

LaIECesunaorganizacinnogubernamentalsinfinesdelucro.Suobjetivoconsisteen
publicaryprepararestndaresinternacionalesparatodaslastecnologaselctricaso
relacionadasalaelectrnica.

4.2.2Visin
QuelasnormasdelaIECylosprogramasdeevaluacindelaconformidadseanla
clavealcomerciointernacional.

56

4.2.3Misin
La misin de IEC es ser reconocida mundialmente como el proveedor lder de

normas, los sistemas de evaluacin de la conformidad y servicios relacionados
necesariosparafacilitarelcomerciointernacionalyaumentarelvalordelusuarioen
loscamposdelaelectricidad,electrnicaytecnologasasociadas.
4.2.4Importanciadelmercado
AlpromoverlaadopcindetodasylautilizacindelasNormasIECylosserviciosalo
anchodelmundo,lagestinIEChartodoloposibleparagarantizarquelosmiembros
de los comits nacionales representan todos los intereses nacionales en tanto el
sector privado y el sector pblico. Estos incluyen a los fabricantes,
servicios pblicos, proveedores, distribuidores, usuarios, consumidores,
investigadores, acadmicos, normas de las organizaciones de desarrollo y los
reguladores.

El IEC seguir poniendo de relieve el papel esencial de su representante en los
comitsnacionales,reconociendotantoqueesatravsdeunabuenarepresentacin
deloscomitsnacionalesyquelaindustriapuedeinfluenciareltrabajodelaIECyque
lamayoradeloscostosdelaIECnormalizacinsonsufragadosporlospatrocinadores
deexpertosquerealizaneltrabajotcnico.

El IEC har hincapi en el carcter democrtico y transparente de su
organizacin y funcionamiento, que ofrece igualdad de oportunidades a todos los
miembrosenbeneficiodeacuerdoconsuscontribucionesalaactividadtcnicadela
IEC.

A fin de maximizar aportaciones y beneficios a sus principales mercados,
el IEC desarrollar los medios y procesos mediante los cuales se puede atraer e
incrementar sustancialmente la participacin de la industria en su normalizacin y
gestindelosorganismosdeevaluacindeconformidad.

Para garantizar la mayor aceptacin posible de trabajo IEC y reflexionar
sobre la evolucin de la sociedad, los comits nacionales de la IEC fomentarn
laparticipacindelosusuariosfinalesylosconsumidoresanivelnacionalycomolos
miembrosdesusdelegaciones.

57

ElIECseesforzarporaumentarsuaceptacincomounaplataformamundialparauna
plena serie de publicaciones tcnicas de los documentos de consenso limitado a un
consenso pleno las normas internacionales, as como para la evaluacin de la
conformidadsistemasyserviciosrelacionadosconlasnormas.
4.2.5ElIECcomounaherramientaestratgica.
El IEC debe mejorar su promocin, marketing y comunicacin

esforzandoconlostomadoresdedecisionesenlaindustria,gobiernos,reguladoresy
las organizaciones intergubernamentales sobre los beneficios estratgicos de los
productos y servicios de IEC y de participar en su desarrollo y utilizacin. Entre
los reguladores y los pases en desarrollo, se prestar especial atencin a la
importancia de adoptar y en referencia a las normas IEC y de la utilizacin de
sistemasdeevaluacindelaconformidaddelaIEC.
Adems, el IEC ampliar su cooperacin y comunicacin con

esfuerzos en los crculos acadmicos, as como en la industria para desarrollar y
proporcionar materiales educativos para el personal tcnico y directivos. Estos
programas se centrarn en el desarrollo, uso y valor estratgico para
negocio de las normas internacionales IEC, los sistemas de evaluacin de la
conformidadyotrosservicios.

El IEC se encargar de dirigir en la evaluacin emergentes y convergentes
tecnologasylaidentificacindenuevasreasparaeldesarrollodenormas.

Reconociendoquelaindustriasecentranentornoalamayoradelarelacincosto
efectiva de las estructuras de la normalizacin que pueda influir o controlar, la IEC
seguir desarrollando mecanismos efectivos, herramientas y procesos innovadores
para servir a los mercados en rpido movimiento a travs de relaciones con los
consorciosyampliadoforosyconfuncionariosdedesarrollosocialrelevantesquehan
alcanceglobal.

Con el fin de satisfacer mejor las necesidades del mercado, el IEC considerar
alternativasalmodelodenegociocomoelestablecimientodeunaunidaddeIECas
mismo, separado de la estructura existente para todo el consenso de Normas
Internacionales, a desarrollar y publicar los documentos de consenso y la limitada

58

disposicindeotrosserviciosalosconsorcios.Industriaseanimaaasumirelliderazgo,
queparticipadirectamenteenladireccinylosnivelestcnicos.
4.2.6Alcancemundial
El IEC seguir fomentando la participacin de las nuevas

industrializacionesyeconomasentransicinenlafamiliaIEC.Lospasescandidatosse
identificarn y se facilitar la pertenencia para los que quieran y
poder
(a) promover y apoyar la aplicacin nacional de la IEC y sustituir

progresivamente las normas nacionales divergentes (debido a que estn
confusasonoestndeacuerdo);
(b)paraformaruncomitnacionalplenamenterepresentativoelectrotcnico,
(c)participaractivamenteenlostrabajostcnicos.

Para lograr su misin de facilitar el comercio internacional, el IEC
aplicarasupolticadeimportanciaanivelmundialparamaximizarlaaceptacinanivel
mundialylaadopcindelasnormasIECarmonizadoanivelmundialquesatisfaganlas
necesidadesdetodoslosprincipalesmercados.

A fin de maximizar la armonizacin mundial de las normas IEC y apoyar
sistemas de evaluacin de conformidad, el IEC se desarrollar y mejorar las
relacionesconlasconformidadesinternacionalesdelosorganismosdeevaluacin.

Conelfinderacionalizarlosgastosparalaspequeasynuevasindustrializacionesde
pases, y alentar a los nuevos miembros, la IEC examinar a travs de una frmula
matemtica aprobada por el Consejo y se obtendr el clculo de las cuotas de los
miembros.

59

4.2.7Innovacinyvaloraadido

El IEC sigue respondiendo a las necesidades del mercado en forma oportuna y
rentable, el desarrollo y la mejora de herramientas y servicios para ahorrar tiempo
y costo. Esto se devolver para facilitar las inversiones en proyectos futuros
yserviciosparaelbeneficiodelosusuariosylosestndaresdedesarrollo.

En particular, la comisin electoral independiente colaborar con los comits
nacionalesparaproporcionarliderazgoeneldesarrolloysuministrodeinnovadoresy
eficacesherramientasinformticasnecesariasparalanormalizacindelacomunidad
entera.

Altratardeagregarvalorparaelmercadosalvaguardandoalmismotiempolasfuentes
deingresosparaelfuturo,elIECenconjuntoconloscomitsnacionalesinvestigary
evaluarn una serie de nuevos servicios de informacin. El objetivo ser facilitar el
acceso al mercado de la informacin electrotcnica relacionada con las normas de
mltiplesfuentes,enespecialloscomitsnacionales,atravsdeunnico,integradoy
interfazdeusuario.
4.2.8Mejoraysostenimiento
El IEC continuar su prudente gestin financiera, el mantenimiento del saldo de los

ingresos por ventas entre el comit nacional y la oficina central para salvaguardar la
estabilidadfinancieradelapertenenciaaltiempoquegarantizalosrecursosnecesarios
paralasoperacionescentralesylasinversiones.

El IEC mejorar an ms la cooperacin con ISO en las polticas, procedimientos y
procesos.Tambinseidentificarnyperseguirnnuevasreasparalacooperacincon
laISO(porejemplo,serviciosdesubcontratacinotareasentrelaIECylassecretaras
de la ISO), que aumentara las eficiencias de las secretaras y beneficiaria a las
comunidades de las organizaciones en su conjunto, mientras que respetando la
integridad de cada organizacin y el mantenimiento de una eficiente, operacin
independienteIECparaservirmejoralosmercadosdelaIEC.

El IEC trabajar en estrecha colaboracin con la ISO para desarrollar una poltica
coherenteenfoquedelosderechosdepropiedadintelectual.

60

El IEC continuamente adaptar sus estructuras y procesos internos,
que deseen adquirir la mejor informacin y recursos de calidad de
interesados, en particular la industria, para dar prioridad a los trabajos tcnicos y
mantenersucalidadyalavezcumplirconlosrequisitosdemercadoparalaeficiencia
decostesyplazos.

El IEC procurar reforzar los recursos directos de mercado a las Juntas del Sector,
larevisinsistemticadelosmecanismosdefuncionamientodelaJustasdelsectory
laadaptacindesucoberturadesectoresespecficos,segnseanecesario.Elobjetivo
seraumentarlaparticipacindelaindustriaylatomadedecisiones,especialmente
enloqueserefierealasactividadesdeIECconlosconsorciosyforos,endesarrolloo
mejoradeprocesosparaidentificarloscriteriosdemercadoparalosproductosdeIEC
ylosserviciosdemejorsatisfacerlasnecesidadesdelusuario.

El IEC continuar mejorando la calidad y eficiencia del
desarrollodelaestructuradesusnormas.Alternativaparticipacindelosinteresados
y el documento de modelos de aprobacin, as como las estructuras del comit
tcnico.

El IEC estudiar los medios por los que podrn seguir para optimizar la
estructura, la gobernanza, la gestin y el funcionamiento eficaz de sus
sistemasdeevaluacindelaconformidadparasatisfacerlasnecesidadesdelmercado,
paragarantizarrecursosdedichosregmenesyparaapoyarlalabordenormalizacin
enelquesebasan.

61

4.3ISO

LOGOISO
4.3.1Historia
ISO surgi en Ginebra (Suiza), su principal objetivo era la unificacin de los

estndaresindustrialesyfacilitarlacoordinacininternacional.
LaISOesunaorganizacinnogubernamentalqueformaunpuenteentrelossectores
privados y pblicos. Su objetivo consiste en publicar y desarrollar estndares
internacionalesalrestodelmundo.
HayquedestacarquelassiglasISO,provienendelgriego(isos),'igual'.
Adems la ISO consiste en una red de los institutos de normas nacionales de 160
pases(yposiblementevayaenaumentosegnpaseeltiempo)
CabedestacarquetodaslasnormasdesarrolladasporISOsonsiemprevoluntariasya
quelaISOesunorganismonogubernamentalynodependedeningnotroorganismo
internacional,porloquenotieneautoridadyportantonopuedeimponeraunpas.
Respectoasuorganizacinsedivideentresclaseslascualessonlassiguientes:
a)Miembrosnatos
b)Miembroscorrespondientes
c)Miembrossuscritos
Existeunacuartaclasequesimplementesonaquellosloscualesnosonmiembrosde
laISO.

62

4.3.2QuintrabajaenISO?
El trabajo de ISO es muy descentralizado, se lleva a cabo mediante una jerarqua de

unos2850comitstcnicos,trabajosengrupoyotrossubcomits.Enestoscomits
los representantes de las industrias, consumidoras, autoridades gubernamentales y
organizacionesinternacionalesdetodoelmundotrabajanjuntosconelfindeobtener
una resolucin con todos de acuerdo de los problemas de estandarizacin a nivel
global.
4.3.3Planestratgico20052010delaISO
4.3.3.1Prlogo
ElPlanEstratgico20052010esbozalavisinglobaldelaorganizacinen2010,juntoconlos
sieteobjetivosestratgicosestablecidosparasatisfacerlasexpectativasdesusmiembrosylas
partesinteresadasylosresultadosISOesperaalcanzar.
Este planestratgicoidentificarlasaccionesque debenadoptarseoemprender paralograr

estosresultados.Sehaelaboradotrasunaampliaconsultadelosinteresados,atravsdelos
miembros de ISO, y de las principales organizaciones internacionales con las que colabora la
normaISO.

63

4.3.3.2 Visin global de la ISO en 2010
LaISOtienelossiguientespuntosacontemplar:

Lafacilitacindelcomerciomundial

Mejoradelacalidad,seguridad,medioambienteyproteccindelosconsumidores,ascomo
elusoracionaldelosrecursosnaturales
Difusinglobaldelastecnologasydelasbuenasprcticas,
Contribuiralprogresoeconmicoysocial.
A travs de la red y la colaboracin de sus miembros los organismos nacionales,

enlaces internacionales, la cooperacin regional y las organizaciones asociadas, ISO
constituye una plataforma lder para la produccin de mercado de referencia a nivel
mundial y estndares internacionales. Los mecanismos de ISO, la creacin de
consenso,lacoberturamultisectorialylacapacidaddedifundirdemaneraeficientey
promover su gama de productos son reconocidos y que se basa la industria,
autoridadespblicas,consumidoresyotrosinteresados,loqueayudaramaterializar
el objetivo de "una norma, una prueba y un procedimiento de evaluacin de la
conformidad aceptada por todos. De esta manera, ISO contribuye a una economa
mundialmseficienteysostenible.
4.3.3.3 Objetivos de la ISO para el 2010
LaISOtieneunaseriedeobjetivosloscualessonlossiguientes:
Eldesarrollodeunacoleccincoherenteymultisectorialdelasnormasinternacionales
pertinentesanivelmundial
La industria, autoridades pblicas, consumidores y otros interesados reconocidos,

apreciarn y confiarn en el valor aadido de la ISO para la produccin de normas
internacionales y los resultados que apoyan el comercio mundial de productos y
servicios,lasinfraestructurastransfronterizasylasoperaciones,ascomoladifusin
denuevastecnologas,nuevosmtodosdenegocioylabuenagestinyprcticasde
evaluacindelaconformidad.

64

-Garantizar la participacin de los interesados
ISO,atravsdesusmiembrosnacionales,sureddecontactosyalianzas,suconjunto
coherente de las prestaciones, su facilidad de acceso electrnico y sus iniciativas,
promueveelvalordelanormalizacinvoluntaria,permitelaadecuadaparticipacinde
partes interesadas y afectadas en sus trabajos y procesos, y por lo tanto se basa el
nivel adecuado de consenso para garantizar que sus resultados sean efectivamente
utilizadosyreconocidosenlosmercadosmundiales
-La sensibilizacin y la capacidad de los pases en desarrollo

ISOapoyayfacilitaeldesarrollodeaccesoalospasesalosmercadosmundiales,el
progreso tcnico y el desarrollo sostenible a travs de una mayor conciencia y
participacin en la normalizacin internacional y actividades relacionadas (por
ejemplo, evaluacin de la conformidad). ISO promueve su participacin activa en su
labor.Quemiembrosdepasesendesarrollotenganaccesoaherramientas,procesosy
programasquelesayudenadesarrollarsucapacidad,participardemaneraefectivaen
eltrabajotcnicodeISOyaplicacindeestndaresinternacionales.
-Estar abierto a las asociaciones para el desarrollo eficaz de las normas

internacionales
LaISOpromuevelacooperacinylaintegracinquepuedenayudarenlaprestacin
oportuna y eficiente el mantenimiento de una coleccin amplia y coherente de las
normas internacionales y otras prestaciones. ISO tambin est abierto a la
colaboracinconorganizacionesinternacionalesyotrasentidadesconalcanceglobal
sededicanaldesarrolloestndar,cuandoellopuedacontribuiramejorareldesarrollo
yladifusindelasnormasinternacionales.
-Promover el uso de normas voluntarias como alternativa o como un apoyo a

los reglamentos tcnicos
Lasautoridadesgubernamentalessonconscientesdelosbeneficiosylasmodalidades
de la referencia a Normas Internacionales ISO en los reglamentos o como una
alternativa para la reglamentacin. Participan de manera efectiva en su desarrollo,
tantoatravsdemiembrosdelaISOylacolaboracindelaISOconlasorganizaciones
intergubernamentales.

65

-Ser el proveedor reconocido de Normas Internacionales y guas relacionadas

con la evaluacin de la conformidad.
ISO,encooperacinconlaIEC,ofreceunagamacompletadenormasyguasparala
aplicacin y el reconocimiento de las buenas prcticas de evaluacin de la
conformidad, apta para todas las formas de primera, la participacin de las partes
segunda y tercera y la evaluacin, ampliamente utilizado por los proveedores,
evaluacin de la conformidad operadores y agentes acreditadores y reconocidos por
los clientes y autoridades pblicas. Se reconoce claramente que la ISO no est
directamenteimplicadaenlaevaluacindelaconformidadconsusestndares,pero
supervisaelusodesumarcaenmateriadeevaluacindelaconformidad.
-Proporcionar procedimientos eficaces y herramientas para el desarrollo de una

serie coherente y completa de las prestaciones
La ISO ofrece un conjunto claro, completo y eficiente de los procedimientos y

herramientas para apoyar el desarrollo de una serie coherente y completa de las
prestaciones,apreciado,entendidoyaplicadoefectivamenteporlosmiembrosdeISO
y los participantes en el trabajo tcnico.

66

4.4ISO/IECJTC1
IECeISOestablecieronuncomittcnicoconjuntollamadoISO/IECJTC1(ISO/IECJoin
Technical Committee). Este comit est relacionado con todos los asuntos de
tecnologa de la informacin. La mayora del trabajo de ISO/IEC JTC1 es hecho por
subcomitsquetratanconunreaocampoenparticular.
AcontinuacincomentaremoslossubcomitsquehayenISO/IECJTC:
ISO/IECJTC1/SC02:Conjuntosdecaracterescodificados

ISO / IEC JTC 1/SC 06: Telecomunicaciones e intercambio de informacin entre
sistemas

ISO/IECJTC1/SC07:Elsoftwareylaingenieradesistemas
ISO / IEC JTC 1/SC 11: Medios magnticos flexibles para el intercambio de datos
digitales

ISO/IECJTC1/SC17:Lastarjetasylaidentificacinpersonal

ISO / IEC JTC 1/SC 22: Los lenguajes de programacin, sus entornos e interfaces de
softwaredelsistema

ISO / IEC JTC 1/SC 23: los medios de comunicacin, la grabacin digital para el
intercambioyalmacenamientodeinformacin

ISO / IEC JTC 1/SC 24: Grficos por ordenador, el procesamiento de la imagen y
representacindedatosambientales

67

ISO/IECJTC1/SC25:Lainterconexindelosequiposdetecnologadelainformacin

ISO/IECJTC1/SC27:TcnicasdeseguridaddeTI

ISO/IECJTC1/SC28:Equipodeoficina

ISO / IEC JTC 1/SC 29: Codificacin de audio, fotografa, multimedia e informacin
hipermedia incluye dos grupos de trabajo: WG 11 Codificacin de imgenes en
movimientoyaudio(MovingPictureExpertsGroupMPEG)yGT1Codificacinde
imgenes fijas (con dos subgrupos Joint Photographic Experts Group JPEG y
Conjunto.LosexpertosdelaimagencondosnivelesengrupoJBIG)

ISO/IECJTC1/SC31:Laidentificacinautomticaycapturadedatostcnicas

ISO/IECJTC1/SC32:Gestindedatoseintercambio

ISO / IEC JTC 1/SC 34: Descripcin de documentos y procesamiento de idiomas
incluye seis grupos de trabajo, por ejemplo, GT 1: Descripcin de la Informacin
(SGML,DSDL,etc.),WG4:OfficeOpenXMLyWG6:FormatoOpenDocument

ISO/IECJTC1/SC35:Lasinterfacesdeusuario

ISO/IECJTC1/SC36:Tecnologadelainformacinparaelaprendizaje,laeducaciny
laformacinincluyesietegruposdetrabajo,porejemplo,GT1Vocabulario,WG2
Latecnologadecolaboracin.

ISO/IECJTC1/SC37:Biometra

EstaISO/IECtienelossiguientespuntoscomocaractersticasprincipales:
Adquisicin, desarrollo y mantenimiento de los sistemas de informacin: reside en

tomar todas las medidas necesarias para obtener nuevos sistemas, consiguiendo un
desarrolloeficienteymantenimientodelossistemas.

68

Organizacinenrelacinalaseguridaddelainformacin:comosedebetrabajarenla
seguridaddelainformacinenlaentidad,tantodeformainternacomoexterna.
Gestindeactivos:sedebeteneruninventarioactualizadoycompletodelosactivos,
ascomosuclasificacin,quinessonresponsablesdelosactivos,etc.
Seguridad ambiental y fsica: residen en tener una infraestructura fsica y ambiental

adecuadaalaentidad.
Gestindeoperacionesycomunicaciones:consisteenasegurarlacorrectaoperacin
decadaunodelosprocesos,incluyendolascomunicacionesyoperacionesquesedan
enlaentidad.
Cumplimiento: se deben de cumplir los requisitos legales, desde el derecho a la

confidencialidaddelainformacin,propiedadintelectual,etc.
Control de acceso: existirn medidas adecuadas para controlar el acceso a

informacinclasificada.
Polticasdeseguridad:debedehaberpolticasorganizacionalesclarasybiendefinidas
lascualespuedanregulareltrabajoqueseestrealizandoeneltemadeseguridadde
lainformacin.
Gestin de incidentes en la seguridad de la informacin: la entidad usar registros

paraidentificarlascausasyresponsablesdedichosincidentes,recopilarevidenciascon
elfindeaprenderdeellosynovolveracometerlos.
Evaluacin de riesgos en la seguridad: debern identificar, cuantificar y priorizar los

riesgos.
Seguridadenrelacinalosrecursoshumanos:seespecificanlasresponsabilidadesde
losrecursoshumanosdelaentidad.
Gestin de la continuidad del negocio: se recomienda tener medidas y planes para

hacerfrentealosincidentesconelfindequeelnegociosigaadelante.
La familia incluye estndares internacionales sobre requerimientos, mtrica y

medicin, gestin de riesgos y el lineamiento de implementacin del sistema de
gestindeseguridaddelainformacin.
Se adopt el esquema de numeracin utilizando las series del nmero 27000 a

continuacin

69

4.5PuntosdbilesdelasnormasISO/IEC
Las normas ISO/IEC sirven para aportar beneficios en los sistemas de calidad a las
entidades o empresas, aunque estas normas estn creadas para aportar valor en el
sistemadecalidad,nosiempresecumpleelobjetivoporelcualesaportadaendicha
entidadoempresa.
Su punto dbil puede tener como origen en diferentes puntos, el ms simple y por
tantoelqueelmayornmerodevecesocurreesquenotodaslasentidadesincluyen
lanormacomounsistemadecalidad,yaqueenvezdeeso,loquepiensanessoloque
laISO/IECnoesmsqueunacertificacinnecesariaqueproporcionaalasentidades
ventajascompetitivasrespectoasuscompetidoras,porloqueprovocaqueelobjetivo
en vez de estar centrado en el mejoramiento de la calidad, sea en la certificacin
provocandoproblemasalahoradeincluirla.
Ejemplo:(unatiracmica)
Esta tira cmica cida, muestra claramente lo que suele ocurrir muchas veces en
algunasdelasempresas,suprincipalobjetivonoeselmejoramientodelacalidad,sino
eldelpropiocertificadoqueseobtiene,yaqueseobtieneunamejoradelaimagende
laempresadesdeelexteriorcaptadaporlosclientes.
LaISOoIECeslanuevamoda,todaslasempresasdeseantenersucertificadocomo
sea,aunqueparaellolespuedaocasionarterriblesperdidas.
Otrodelosproblemasquetieneconsisteenquecondichanormaseiniciaelproceso
deimplementacindedichanormasinhacerunprocesodesensibilizacinatodoslos
actoresdelaempresaquefacilitedichaimplementacin,yaquebastantesempresas
noestnencondicionesdeiniciarunprocesodecertificacinenlanormaISO.

70

4.5.1Repercusionesdesuspuntosdbiles
Con estos puntos dbiles provoca que la norma ISO o IEC deje de ser un gran valor
incluido el sistema de mejoramiento de la calidad, para convertirse en un gran
problemaquellegaaafectarelambienteoeltratoorganizacionaldedichaentidad,lo
queprovocaunasatisfaccinnegativaporpartedelclienteyobteniendofinalmente
quedichaempresapierdadinero,clientesquesevanaotroscompetidores,denuncias,
malaimagen,etc.;locualalfinalcaboeselprincipalobjetivodelaempresa.
4.5.2Posiblessoluciones
Implementar un sistema hacia la calidad como ISO/IEC , consiste en hacer

obligatoriamente (si se quiere llegar a buen puerto) un proceso de sensibilizacin
que involucre a todos los actores de la empresa(incluyendo altos directivos),
consistiendocomosensibilizacinnocomounmarcoconceptualounafaseacadmica
del proceso, sino ser un proceso que facilite y de concienciacin hacia el cambio,
obteniendo elementos que creen un ambiente positivo y favorable para el nuevo
sistemadecalidadenlaentidad.
Por tanto primero se tendr que interveniren la cultura de la empresa con el finde
que cuando se vaya a recibir dicho sistema tenga una visin positiva por parte de
todos.
Se recomienda la intervencin de una auditora en dicha entidad, para saber si la

entidadquedeseaimplementarlasnormasISO,tienenlascondicionesnecesariaspara
dichaimplementacinyaqueencasodequenofueraas,tendrgravesproblemasen
unfuturocercanooinmediato.
4.6Preparacinparalaimplementacindelasnormativasenunaentidad
Para la implementacin de las normas hay que hacer un anlisis del ambiente del
trabajo, son muchas las cosas que hay que tener en cuenta antes de dicha
implementacin.
Todas las entidades por constituidas que se encuentren no estn preparadas para
implementar una norma, para ello se necesita ms que tiempo de experiencia
empresarial, tipo de producto, cobertura del mercado, son indispensables unas
condicionesbsicasdeorganizacin,lascualessonlassiguientes:

71

Unmnimodeprocesosdefinidos.

Compromisoporpartedetodoslosactoresdelaempresa.

Unaculturaorganizacionalmadura.

Elambientelaboraldebeseragradable,sanoyactivo.

Serconscientesdelanecesidaddemejoramiento.

Tenerunabuenaplanificacin

Orientacinhaciaeltrabajoenequipodeformaeficaz.

Dependiendodelaentidadnospodemosencontrarcondiferentesclasesdeculturao
caractersticasquetienedichaentidad.Lascualesvamosacomentaracontinuacin
parapoderreconocerlasencasodeunaauditora:
4.6.1Culturamadura
Estcaracterizadaporalgunosdelossiguientespuntos.
Autocontrolodisciplina:Cadaempleadodelaentidadsabeculessuresponsabilidad
yloscontrolesqueejerce.
Mando:enlaentidadexistenmenoslneasdemandoymsliderazgo.
Estrategiaalargoplazo:existeenlaentidadunplanyvisindefuturo,losobjetivos
estnbiendefinidosyseadministramsparaelfuturo.
Compaerismo:existeungranapoyoycomunicacinentreempleados.

Trabajo en equipo: hay una buena integracin del trabajo por los diferentes
departamentosqueexisten.

72

Controldelobjetivo:debedeexistirunsistemaquereflejeloslogrosconseguidosalo
largodeltrabajo,sedebenhacermedicionesconelfindesaberenqusituacinnos
encontramos.
Laempresaoentidadquetieneestascaractersticastambinesconocidaporseruna
gerencia moderna. En este caso las normativas como la ISO, ven en ella una gran
ventajaconelfindemejorarsusprocesosdecalidad.
4.6.2Culturainmadura
Estcaracterizadaporalgunosdelossiguientespuntos.
Grandependencia:elpoderdelaempresaestcentradoenlagerenciaoenungrupo
depersonaslascualessonlosdirectivos,noaceptancualquiersugerenciaporpartede
otraspersonasdelaentidad,yporlotantoelrestodelosempleadosrealizaloquese
lesmanda.
Nohaysuficientemotivacin:lanicamotivacinqueexistepuedeseroporelsalario
que cobra el empleado o por las amenazas que puede recibir, como puede ser un
despido,oelrumordeaplicarunE.R.E.obteniendoasquelagentetrabajebienyque
nohayaquejasporpartedelostrabajadores,tambinpuedeocurrirquesimplemente
noexisteningunamotivacin.Existenciademobbing.
Perspectiva a corto plazo o no existe estrategia: los problemas que surgen en la

empresaserealizandaada,nosepiensanuncaloquepuedeocurriralargoplazo,
provocandoquealolargosurjanmayoresgastosparalaempresa.

73

Pasividaddelpersonal:alnoexistirningunamotivacin,losempleadossolotrabajanlo
justoporlaempresa.

Explotacin del trabajador: las empresas abusan del trabajador, como puede ser
realizandomshorasdetrabajo,lascualesnoestabanplanificadasdesdeunprincipio,
estoprovocamalestarenelempleado.

Tradicin: las empresas se apoyan siempre en frases hechas con el fin de hacer las
cosasdelamismamaneraynotratardecambiarloaunquesupongaunamejoraenel
proceso. Como por ejemplo frases de tipo, siempre se ha hecho as, siempre
funcionaanuestramanera,paraqucambiarsifunciona.
Laempresaoentidadquetieneestascaractersticastambinesconocidaporseruna
gerenciatradicional.EnestecasolasnormativascomolaISO/IEC,venenellaunagran
amenazayaquevenenellaalgoquevaatenerquemodificarelsistemadelaempresa
yportantoaproducircambiosenella.Tienenmiedoalcambio.
4.7Diferenciasdegerencias(respectoalaculturainmaduraylamadura)
Hayquedestacarquelaculturainmaduratambinesconocidacomolatradicional,mientras
quelamaduraeslanuevagerenciatambinconocidacomogerenciamodernalacualseest
realizandodeunaformacorrectaconelfindequelaimplantacindelasnormativascauseuna
mejoraenlacalidadynounproblemacomopuedesurgirenlaculturainmadura.

74

CulturainmaduraGerenciatradicional CulturamaduraGerenciamoderna
Secentraenaspectosinternosrutinarios. Hacetodoloposiblepordefinirestrategias.
Estorientadaautilidadesyademssoloa Fijasuobjetivoaresultadoseconmicosa
cortoplazo. largoplazo.
Elempleoestasociadoasalarioeconmico Elempleoestasociadoalarealizacin
poreficienciadelpersonal. personal.
Estmuloeconmicoporeficiencia Estmuloporresultados.
Estilodirectivocentralizadoyautocrtico. Estiloparticipativoydescentralizado.
Actualizaprocesostcnicosyenmquinas Mejoravaloreseintervienelasactitudes
negativasdelpersonal
nfasisencostos,controldeloexistente. Centradaeninnovaryasignarrecursosala
generacindevaloragregadoconelfinde
obtenerbeneficios.
Al fin y al cabo cualquier tipo de entidad, incluyendo la gerencia tradicional, puede

implementarlasnormativas,obteniendosucertificado,peroprobablementenotodas
vanaconseguirunamejoraenlacalidaddelaentidad.
Por lo tanto, ahora tenemos que saber cules son las condiciones que necesita una
entidad,paraquelaimplementacindenormativasISO/IECseafavorable.
4.8Condicionesparalaimplementacindeunanormativallegueabuenpuerto
Paraconseguirqueseafavorablesenecesitaquelaentidadtengaunamenteabierta
respecto al enfoque hacia el mercado y de un sistema abierto a cualquier tipo de
cambio,ytodoellosemanifiestaencondicionescomolassiguientes:
Evolucin de la empresa, muestra su orientacin a clientes, un enfoque hacia el

mercadeointegral,creatividadyladisposicinalcambioyalamejoracontinua.
Busca la estandarizacin productiva y ms flexibilidad en lo administrativo, para la

innovacincontinua.,intentaromperesquemas,seactualiza,esflexibleygil.

75

Envezesperaraquelosclientesquevayanalaentidad,eslaentidadlaquebuscaa
losclientes,medianteelusodetcnicascomerciales.
En vez de centrarse en costos, se centra en la efectividad y productividad en el

mercado.
Tienequecentrarseenlavaloracindelmercadoatravsdelcumplimientodemetas
y de la satisfaccin del cliente, en vez de la valoracin de resultados a travs de los
rendimientosfinancieros.
Enunaentidaddondetieneunaculturamadura,noexisteresistenciaalcambiodebido
alanormativaquesevayaaimplementar,tieneunagerenciaabiertaylosdirectivos
detalentidadsonllamadoscomolderesynocomojefes.Ademslaculturamadura
tienebastantescaractersticascomolassiguientes:
Existenciadeprocesolgicoaunquelosprocesosnoestnestandarizados.
Losejecutivostrabajanenequipo.
Losplanesconcretosquetienelaentidadsonejecutadosymedidos.
Todas las ideas que surjan para mejorar la entidad son expresadas libremente y
ademssirvenparalaparticipacindelempleadodentrolaentidad.
Seestimulaatravsdemetasyresultadosqueporuncontroldetiempo.
Existeunacomunicacincorrectadeformahorizontalyvertical.
Aquello que es nuevo para la entidad se le trata como un reto y no como un

problemaquepuedaperjudicaralaempresa.
Hayreunionesentredirectivosyempleadosdelaentidad.
Para la implantacin de las normativas se necesita la existencia de un ambiente

correcto, ya que de no ser as la implantacin de dicha normativa puede llevar a
ocasionarseriosproblemasparatalentidad.
Por tanto es necesaria y a la vez favorable la existencia de que la cultura de dicha

entidadmanifieste:

76

Quetengalosmejoresrecursoshumanosposibles
Existenciadeunaorganizacincentradahaciaelservicioaclientes
Tenerunaorientacinhacialoestratgicoyunamayordelegacindelooperativo.
Que siempre est innovando la entidad en mtodos, sistemas de trabajo y en los

procesos.
Ademslaorganizacindelaentidadtienequeestarcentradaenlabsquedade:
Reducireltiempoparadecidir.
Serunaorganizacinmshorizontal.
Reducirelcosto.
Mejorarelclimaorganizacional.
Disminuirnivelesorganizacionales.
Estudiar,conocerycomprenderalacompetencia.
Evitareltrabajoindividual.
UsodelBenchmarking.
Usodemsprocesos.
Bsquedadelainnovacin
Si una entidad es capaz de conseguir todo esto, podr obtener los certificados de
dichas normativas, lo cual conseguira que la entidad tome ventaja respecto a sus
competidoras, gracias a las ventajas obtenidas mediante la aplicacin de las
normativas.Lascualesson:
Motivacinporpartedelpersonal.
Compromisoporpartedelosempleados.
Reduccindeloscostosdelaentidad.
Mejoramientodelaproductividad.
Obtencindeunamayorrentabilidad.
Tenerunamejoradelaposicinenelmercadorespectoaloscompetidores.

77

Cabedestacarquecuandosevayaahacerlaimplementacindelanormativahayque
vigilarquelaentidadnosealejedecentrarseenimportantespuntosestratgicos,los
cualesdurantelaimplementacinpuedenserdadosdelado.Comoporejemplo:
Usodeunsistemaparticipativo.
UsodelJustintime
Lamejoracontinua.
Laseguridadenlaentidad.
Lacalidaddeltrabajoporpartedeltrabajador.
Laparticipacindelaadministracin.
4.9Problemasquesurgenenlaimplantacindelanormativa
A la hora de la implementacin de la normativa por parte de la entidad pueden surgir

bastantesproblemasloscualeshabrqueevitaryfijarseparaquelaentidadnocaigaenellos,
yaqueentoncesestamoscayendoenungravsimoproblema.
Sepuedendestacarlossiguientesproblemas:
Que la entidad se ponga un ritmo de trabajo para la normalizacin el cual no es el suyo

propio(delaentidadydesusempleados)sinoqueesenrealidadelritmodelconsultor,loque
provoca que no haya una asimilacin correcta por parte de la entidad y de sus empleados.
Adems hay que saber que en este caso no se puede comparar con otras entidades ya que
cadaentidadestestructuradadeformadiferentequeelrestoyportantotendrsupropio
ritmo, aun as se pueden establecer unas medias de tiempos para saber entre cunto van a
tardar,puedenserdeentre11,12meseshasta18,19,inclusosiesnecesariounpocomsde
tiempo,todoestodependedelpersonaldelaempresa.
Nocreerquetodoslosempleadosdelaentidadestnsatisfechostrasaplicarlafasedeinicio
(sensibilizacin)delanormativa,siempreexistenempleadosquesonmsreticentesalahora
deloscambios,portantohabrquerealizarmsesfuerzoenconvencerles,yaqueentoncessi
noleshacemoscasonospuedenocasionarproblemasenunfuturoinmediatoportantohay
quehacerloantesdequesurjandichosproblemas.
Quelostrabajadoresnoseaninformadosdeloqueocurreenlaempresa.Estotambinesun
graveproblemayaquelesdaaentenderquenosonnadieenlaentidad.
Crearlaexistenciadeuncomitdecalidadparalaentidadelcualsoloestformadoporlos
directivosoejecutivosdelaempresa,estoprovocasiemprequelosempleadosdelaempresa
creenqueestnconspirandootramandoalgocontraelmtodooloscontrolesqueaplicanlos
empleadosensutrabajo,estoocasionaenlamayoradelasvecesunmalambientedetrabajo,

78

por tanto para poder solucionar este problema tendr que haber como mnimo un
representantedelosempleadosendichoscomitsparaquenoocurranestosproblemas.
Elconsultorelcualseaespecialistaysepacmoaplicarlanormativa,noseacapazdemotivar
alpersonaldelaentidad,estoqueaunquepuedenosermuyimportanteesmstrascendental
que otras cosas, debido a que el grado de optimismo de los empleados es una baza
importantsimaparalaentidad.
Transformar el proceso de certificacin que se va a implementar en una amenaza para los

empleados,esteeselmayorproblemaquepuedeexistiryelprimeroquehayqueevitar,ya
queentoncessisetomacomounaamenaza,lomsseguroquepuedaocurriresquenosea
llevadoacabo.
Quedichaimplantacindelanormasehagaporimposicin,usodefrasescomoporejemplo:
es lo que hay y vamos a hacerlo, puede provocar el malestar general por tanto se
recomienda hacerlo por convencimiento de los empleados, no hay que utilizar nunca el
lenguajesoez.
La implantacin se hace simplemente porque est de moda tener dicha normativa con su
correspondientecertificado,paradarunaimagenquenosetieneenrealidad.
Dar de lado otros programas de la entidad con el fin de obtener dicha certificacin, ya que
entoncesestamosperdiendocalidadenvezdemejorar.

79

5.QUESUNAMETRICA?

5.1Introduccin
Graciasalusodelasmtricasestasnossirvenparapoderentenderelprocesotcnico
que se est aplicando para crear o desarrollar un producto, ya que a travs de ellas
somoscapacesdemedirdichoproductoparasabercmomejorarsucalidad.
Lamedicindelosproductosesalgototalmentenecesarioparaobtenerunproducto
congrancalidadconelfindepoderentrarenelmercadoycompetircontralosdems.
Sinembargoexisteunproblemarespectoadichamedicinyesquesurjanpreguntas
comolassiguientesalahoradeelegirqutipodemtricahayquerealizar.
Ejemplo:
Quhacerconlosdatosqueobtenemosdedichamtrica?
Hayqueaplicarlamtricasoloconelproducto,otambinconelrestodelacadena
queintervienecomosonlosempleadosyprocesos?
Qumtricaesapropiadaparanuestroproducto,elempleadoyparaelproceso?
Estassonunejemplodelaspreguntasquesurgenalahoradebuscaryrealizaruna
mtrica, sin embargo hay varias razones por las que tenemos que utilizar la mtrica
connuestrosprocesos,empleadosyproductos.Lasrazonesson:
Saber la calidad de nuestro producto, con el fin de saber en qu aspectos hay que
mejorarlo.
Conocer si los empleados que estn realizando el producto lo estn haciendo de

formaeficazyrpida.
Saberlosbeneficiosdelosnuevosprocesos,herramientasymtodosqueseaplican
paraobtenerelproducto.
Todaslasmtricasquesepuedenhacerparamedirlacalidaddelsoftwareseagrupan
endoscategorasdiferentesdependiendodeltipodemtricaqueserealice:
a) Mtricaindirecta:enestasecentranenlacalidad,complejidad,fiabilidad,
eficiencia,funcionalidad,facilidaddemantenimiento,etc.

80

b) Mtrica directa: respecto a esta se engloba en velocidad de ejecucin,

defectos encontrados en una cantidad de tiempo, costo, tamao de
memoriausada,nmerodelneasdecdigo,etc.
5.1.1Conceptosbsicosdemtricas
Para empezar a hablar de mtrica hay que diferenciarla de otras palabras como
medidaymedicinlascualessonasociadasalapalabramtricaparadecirlomismo
cuandoenrealidadtienenotrosignificado.Lascomentamosacontinuacin.

Medida nos proporciona una indicacin cuantitativa de cantidad, dimensiones,
capacidad, tamao y extensin de algunos de los atributos de un producto o de su
proceso

Medicin:procesoporelcuallosnmerossonasignadosaatributosoentidadesenel
mundorealtalcomosondefinidosdeacuerdoalasreglasclaramentedefinidas.

Mtrica: segn el IEEE define la mtrica como una medida cuantitativa del grado en
queunsistema,componenteoprocesoposeeunatributodado.

Ahorapondremosfrasesrelacionadasconlamtricaporpartedealgunosautores

Cuando puedas medir lo que ests diciendo y expresarlo en nmeros, sabrs algo
acerca de eso; pero cuando no puedes medirlo, cuando no puedes expresarlo en
nmeros,tusconocimientossernescasosynosatisfactorios
LordKelvin
Loquenoseamedible,hazlomedible
GalileoGalilei

81

Nosepuedecontrolarloquenosepuedemedir
TomDeMarco
OtrasdefinicionesdelapalabramedirsegnlaRAEson:
Medir.
(Dellat.metri).
1. tr. Comparar una cantidad con su respectiva unidad, con el fin de averiguar
cuntasveceslasegundaestcontenidoenlaprimera.
2.tr.Comprobarlamedidadeunverso.
3.tr.Compararalgonomaterialconotracosa.Medirlasfuerzas,elingenio.U.t.
c.prnl.
4.tr.Moderarlaspalabrasoacciones.U.t.c.prnl.
5. intr. Tener determinada dimensin, ser de determinada altura, longitud,

superficie,volumen,etc.

Durantemuchotiemposehaintentadodesarrollarunamtricaqueseauniversalcon
elfindequesealomscompletaalahoradeaplicarlasobrecualquierproducto,por
ahoranohasidoposibleyhanproducido,sinembargo,diferentestiposdemtricaslas
cualestienendiferentespuntosdevistas.

Gracias a que existen diferentes tipos de mtricas, podemos conseguir mejorar la
calidad del software ya que con cada una de estas mtricas podemos evaluar,
clasificarymejorarelsoftwareyaquecadaunatienesuspropiascaractersticas.
5.2Cmonosvendenlanecesidaddeaplicarunamtrica?
Enelmundodelaindustriasiemprenosestnvendiendoelusodeaplicarlamtrica
de seguridad, esto es debido al uso del miedo e incertidumbre por parte de algunas
compaasparaquenosdenlasensacindequeestamosexpuestosaalgoterrorfico
quepuedesertotalmentedainoparanosotros.

82

Algunas veces los productos de seguridad se exponen a intrusos con el fin de

vendernos que no son posibles de hackearlos y vendernos la idea de una seguridad
perfectayganarmayornotoriedad.
Muchos productos que nos venden son sometidos y evaluados por las revistas
relacionadasconlasindustriasmostrandosusprincipalescaractersticas.
Ademsestosproductosestnrelacionadosconlasbuenasprcticasesdecir,loque
se lleva demoda en relacin a lo que la industria sugiere como lo ms adecuadoen
dichomomentoparanuestraseguridad,comoelusodecertificaciones.
5.2.1Porquaumentanlosataquesalasempresas?
Cada vez con el paso del tiempo el nmero de ataques se dispara aumentando
significativamenteysuponiendoungravepeligroparalaempresa,estoobligaaquelas
empresastenganqueestarpendientesdemejorarsuseguridadencadamomentocon
elfindenoencontrarseconunasituacinderiesgolacualpuedehacerpeligrarala
empresa.
Existenvariasrazonesporlascualesestosataquesaumentanysonporalgunasdelas
siguientesrazonesqueexponemosacontinuacin:
Existe un aumento en la velocidad del desarrollo tecnolgico, obteniendo as una

mayor curva de aprendizaje y por tanto siempre hay que estar pendiente de
actualizarse ya que en cualquier momento se puede quedar obsoleta nuestra
seguridad.
Elhechodequenoexistaelsoftwareperfectohacequelosatacantesbusquendicho
error por muy escondido que est y sea este su punto de ataque. No hay nada
perfecto,siemprehayerroresgrandesopequeos,elobjetivoconsisteenreducirtodo
loposibledichoerrorporpartedelaempresaconelfindeevitarposiblesataques.
Laexistenciadeempleadosdescontentosenlaempresaesotradelasrazonesporlas
cualesesunagranmotivacinparaelatacante.
Adems los atacantes se aprovechan de la falta de coordinacin entre los agentes

gubernamentalesconelfindeatrapareldelitoinformticoquevayanacometer.Lo
quesuponeunagranventajaparalosatacantescuandovanacometerunataque.
Coneltiempolasconfiguracionesdelainfraestructuradeseguridadsevuelvenms
complejasconelfindesermssegurassinembargotienenunpequeopuntodbil

83

queconsisteenquelaprobabilidadderealizarunaconfiguracininadecuadaaumente
yconellosedebiliteelseguimientoalcontroldecambios.
5.3Qusonlasmtricassoftware?
Las mtricas software se puede definir como La aplicacin continua de mediciones

basadas en tcnicas para el proceso de desarrollo del software y sus productos y
servicios para suministrar informacin relevante a tiempo, as el administrador junto
conelempleodeestastcnicasmejorarelprocesoysusproductos.Dichasmtricas
desoftwareproveenlanecesariainformacinparalatomadedecisionestcnicas.
En la siguiente figura se muestra un claro ejemplo de la definicin puesta

anteriormente.

84

Gracias a las mtricas van a ayudar a la hora de evaluar los modelos de diseo y
anlisis, servirn para mejorar y disear nuevas pruebas con mayor efectividad.
Mejorandoconellolacalidaddenuestroproducto.
Para realizar una medicin hay que tener unos puntos bastantes claros antes de
llevarlaacabo,comoson:
Lasmtricasnopuedenserambiguas.
Usodeestadsticas
Automatizarlarecogidadedatos.
A continuacin vamos a indicar un mtodo de un proceso de medicin, pero queda

aclararqueestosoloesunmtododemuchosparahacerloynoesuniversal.
Paraelprocesodemedicinserecomiendadividirloencincoetapasdiferentes.

85

Formulacin:enestaprimeraetapatienecomoprincipalobjetivoeldebuscaryelegir
lasmtricasymedidasdelsoftwareapropiadasparaaplicarloalsoftwareencuestin.
Coleccin: en esta segunda etapa hay que acumular y obtener todos los datos
necesariosyobtenidosdelsoftware.
Anlisis:ahoraconlosdatosobtenidosenlaanterioretapa,serealizanlosclculosde
lasmtricas.
Interpretacin:acontinuacinconlosclculoshechosserealizasuevaluacinconel
findeobtenerunavisininternadelacalidaddelarepresentacin.
Realimentacin: en esta ltima etapa se dan las recomendaciones obtenidas de la

interpretacindelasmtricastcnicastrasmitidasalequipodesoftware.
5.4Creacindeunamtrica.
A la hora de crear una mtrica debemos de crear una tabla con toda la informacin
correspondiente a dicha mtrica, en la cual se indican todas las caractersticas que
posee que van desde su nombre, propsito, costo que tiene para la empresa,
localizacin,tipo,etc.;todasestascaractersticasyelrestodeellaslascomentaremos
acontinuacinexplicndolassufuncin.
Titulo:
En este apartado tendr un nombre significativo para describir la seguridad de dicha

mtrica.
Propsito:
Secomentarloquelamtricaestdiseadaparahacer.
Costo:
Consisteenlaestimacindeloscostesrealesdelarecogidadelaseguridaddedicha
mtrica.

86

Tipo:
Definiremos que clase de mtrica es, por ejemplo si es tcnica o de gestin, si es

numricaotextual.
Localizacin:
Aqu sabremos donde se deben encontrar los datos a recoger, as como los datos
previosutilizadosconelfinderealizardichamtrica.
Frecuencia:
Conellosabremoscuandosedebenderecogerlosdatosascomoelnmerodeveces
quehayqueobtenerlos.
Categora:
En este apartado deberemos de hacernos una serie de preguntas con las cuales
rellenaremosdichoapartado.Laspreguntasson:
Cuntasvecessucedealgo?
Conqufrecuenciasucedealgo?
Cuntotiempoduraunevento?
Cuntocuestaunevento?
Inicioyparada:
Criteriosparainiciarydetenerlarecogidadedatosparalamtricadeseguridadypara
elusoylapresentacindelagarantadedichamtrica.
Duracindelarecogida:
Consisteenunaestimacinorealdelperiodoenelqueserecogernlosdatos.
Duracindeuso:
Consisteenunaestimacinorealdelperiodoenelqueseutilizardichamtricade
seguridad.

87

Ejemplodeunatabla.
Caracterstica Comentarios
Empleadosconentrenamiento
complementado
Propsito Conocereltantoporcientodenuevos
empleadosqueterminaron
correctamentesuentrenamiento
respectoaltotaldenuevosempleados
queentraronenlaempresa
Costo Tieneuncostomuybajoyaquesolohay
querevisarellistadodeempleadosque
terminaroncorrectamente
Tipo Esunamtricadegestin
Localizacin Losdatossetomarndelasalade
recursoshumanosyaquesonelloslos
quellevanelentrenamientodedichos
empleados.
Frecuencia Lafrecuenciadedichamtricaesquese
realizacadavezquelaempresacontrata
anuevosempleados.
Categora Dichamtricatardaenrealizarseunas3
horas,1horaparalarecogidadedatosy
2horasparaelestudio.
Inicio/paradadecriterios Criteriosparainiciarydetener:
Recogidadedatosparalaseguridad
mtricas
Usoylapresentacindelagarantade
mtricas
Duracindelarecogida Losdatosserecogernenunahora
respectoaldepartamentoderecursos
humanos.

88

Duracindeuso Laduracindeestamtricaserdeforma
continuada,siemprequeexistannuevos
empleadoscontratados.
5.4.1Cmoconseguimosbuenasmtricas?
Paraellotendremosqueusarnuestrosentidocomnalahoradeinterpretardatosde
mtricas.
Trabajarconequiposygenteprofesionalparaestablecerobjetivosclarosymtricasa
utilizarparaalcanzarlos.
Noutilizarmtricasparaevaluaraparticulares.
Enfin,elusodelamedicinesesencialparaconstruirelsoftwareconcalidad.
5.5Clasificacindemtricas
Lasmtricasseclasificanendiferentesgruposdependiendodesuscaractersticas,la
clasificacindeunamtricadesoftwaredescribelaconductadelsoftware.
Acontinuacinlasclasificamosen:
METRICASEXTERNAS
Mtrica externa de mantenibilidad
Mtrica externa de analizabilidad
Mtrica externa de cambiabilidad
Mtrica externa de estabilidad
Mtrica externa de facilidad de prueba
Mtrica externa de conformidad

METRICAS INTERNAS
Mtrica interna de desempeo
Mtrica interna de complejidad
Mtrica interna estilizadas

METRICAS DE CALIDAD
Mtrica de efectividad
Mtrica de productividad
Mtrica de seguridad

89

- Mtrica de satisfaccin

Ahoralascomentaremosunaporuna,empezaremosporlasmtricasexternas.
5.5.1Mtricasexternas
Estasmtricasexternasestnrelacionadasconelcomportamientodelsoftware
cuandoestenejecucin.
Mtricaexternademantenibilidad.
Enestecasolamtricadebedesercapazdemedirlosatributosrelacionadoscomoel
comportamiento del usuario, personal de mantenimiento o sistema incluyendo el
software, cuando dicho software es modificado o se mantiene durante la fase de
mantenimientoodeprueba.

Mtricaexternadeanalizabilidad.
Estas mtricas son capaces de medir atributos como esfuerzo del personal de
mantenimiento, recursos utilizados o del usuario cuando intentan diagnosticar las
deficienciasocausasoerroresdelfallodelsoftwareoidentificarlaspartesconelfin
desermodificadas.
Mtricaexternadecambiabilidad
Deben de ser capaces de medir atributos como el esfuerzo del personal de
mantenimiento, del usuario y del sistema incluyendo el software cuando tratan de
implementar una modificacin especificada anteriormente con el fin de mejorar un
errorquesedescubriantes.

Mtricaexternadeestabilidad
Esta mtrica debe de ser capaz de medir los atributos en relacin con el
comportamiento del sistema cuando tiene un comportamiento inesperado del
sistema,incluyendocuandoelsoftwaresepruebaosehacenmodificacionesconelfin
demejorarlo.

Mtricasexternadefacilidaddeprueba

90

Debedesercapazdemedirelesfuerzodelusuario,delpersonaldemantenimientoy
del sistemaincluyendoel softwarecuando estn tratando de probar dicho software,
ademstambinhabrqueprobarloenelcasodequehayasidomodificado.

Mtricaexternadeconformidad
Enesteltimocaso,tienenquemedirunatributocomoelnmerodefuncionesyde
ocurrencias de problemas de conformidad, que no son capaces de que el producto
software cumple los estndares, convenciones o regulaciones relacionadas a la
mantenibilidadquesequierecumplir.

5.5.2Mtricasinternas
Enestaclasedemtricassemidenlascaractersticasdelsoftwareensmismo,como
puedeserelnmerodellamadasdefuncinoelnmerodelneasdecdigoquese
realizansobreunosproductossoftwarenoejecutable,etc.
Mtricasinternasdedesempeo:
Estnrelacionadasconlasmtricasquemidenlaconductadesistemasdesoftwarey
mdulos,bajolasupervisindelhardwareosistemaoperativo.Estnrelacionadascon
laeficienciadeejecucin,almacenamiento,complejidaddealgoritmos,tiempo,etc.

Mtricasinternasdecomplejidad:
Aquellascuyasmtricasdesoftwarequedefinenlamedicindelacomplejidad,yasea
tomando datos como el tamao, volumen anidaciones, agregacin, costo, flujo y
configuracin.Estospuntossoncrticosparalaconcepcin,anlisis,viabilidadydiseo
desoftware.

Mtricasinternasestilizadas:
Sufuncinconsisteenmtricasdepreferenciayexperimentacin.Estosignificacomo
puede ser el estilo de cdigo o de programacin, limitaciones de datos, etc. No hay
queconfundirconlasmtricasinternasdecomplejidad.

5.5.3Mtricasdecalidad
Lasmtricasdecalidadconsistenenlacalidadenuso,desdeelpuntodevistadel
usuariorespectoalacalidaddelentornoenelcualestpresenteelsoftwareyse
mideapartirdelosresultadosobtenidosdeutilizarelsoftwareenelentorno.Las
mtricasdecalidaddedividenencuatrobloques.

91

Mtricadeefectividad
Estrelacionadaconlosobjetivosdelosusuariosconlacompletitudyprecisinconla
quetalesobjetivossonlogrados.
Mtricadeproductividad
Relacionan el nivel de efectividad conseguido respecto al consumo de recursos

utilizados. Algunos recursos relevantes pueden incluir esfuerzo mental y fsico,
materiales,tiempoydinero.Unodelosrecursosmsimportanteseseltiempo.
Mtricadeseguridad.
Estas evalan el grado de riesgo de dao que pueden recibir objetos, recursos y
personas. Contempla salud y seguridad tanto del usuario como de los afectados por
dichouso,aligualqueconsecuenciaseconmicasofsicasnointencionadas.
Mtricadesatisfaccin.
Puntan la actitud del usuario respecto al uso del producto software y un contexto
determinado.
5.6Porqu?Lasmtricasdeseguridad.
Acontinuacincomentaremosdeformarpidaestepunto,ascomolosproblemas
queencontramos.
Porquseusanmtricasdeseguridad?
Gestindeseguridaddelainformacinenunaorganizacin.

Proporcionarinformacinparalagestindeinformes.

Indicarelcumplimientodelalegislacin,reglamentacinylasnormas.

Apoyoalasactividadesdegestinderiesgos.

92

Principalesproblemasidentificados:
Nohayunpropsitoclaro.
Dificultaddemtricasdeseguridadqueserefierenalaactividad.
Incompatibilidaddemtricasdeseguridadconmtricasdenegocio.
Loqueseutilizaactualmenteyserecoge:
Incidentes.
Proteccinantivirus.
Gestinderiesgos.
Revisindelagestin.
Cumplimientodelaspolticasinternas.
Resultadosdelafiscalizacin.
Costo.
Difcilparaseleccionarparmetrosdeseguridad.
Mtricasdeseguridadorientadasalosnegocios.
Faltadeunavisinclara,entodalaempresa,deseguridaddelainformacin.
Cmoseusanmtricasdeseguridadysonpresentadas:
Seotorgaaunaampliagamadeaudiencias.
Presentadoconunavariedaddeformatosdiferentes.
- Dificultadparaidentificaralaaudienciacorrecta.

- Difcilparaseleccionarycombinarelformatodepresentacinalaaudiencia.

Interpretacininadecuadadelaseguridaddelainformacin.

93

5.6.1Algunascaractersticasdelasmtricasdeseguridad
Tienenqueserfcilesdeobtener.
Expresadasenporcentajesonmerosenescala.
Necesariasconelfinderealizartomasdedecisiones.
Tienenqueserdetalladasexplicandocadacosaqueseanecesario.
5.6.2Beneficiosdelasmtricasenseguridad.
Atravsdelasmtricassomoscapacesdeobtenerbastantesbeneficioscomopor
ejemplo:
Encontrarposiblesproblemasquesurgirnacortoplazo.
Saberlospuntosdbilesdenuestraentidad.
Conocerlosriesgosquepodemosobtener.
5.7MEMSI(Modeloestratgicodemtricasenseguridaddela
informacin)
El modelo estratgico de las mtricas respecto a la seguridad de la informacin se
divideentresniveles.
a)Nivelestratgico
b)Niveltctico
c)Niveloperativo.

94

Enelcualcadaunodeellostienevariosgruposdentrodes.Loscualescomentaremos
acontinuacin:
a)Enelnivelmsaltoconocidocomonivelestratgicoencontraremostresgruposlos
cualesson:
Cumplimiento: se centrar en llevar a cabo los estndares de la seguridad
informtica,realizarauditorasascomolaspruebasdecumplimiento.
Administracinderiesgos:lacualconsisteenidentificacindelosactivosdela
empresa a proteger, realizar ejercicios de anlisis de controles y riesgos,

95

realizacin de planes de seguimiento y actualizacin, creacin de pruebas
respecto a vulnerabilidades as como la creacin de mapas de controles y
riesgos.
Objetivosdenegocio:estegruposecentrarenlasrelacionesconlosclientes
por parte de la empresa, la agilidad y responsabilidad ante incidentes que
ocurran,elsignificadodelaseguridadrespectoalosprocesosdenegocioyde
lasexpectativasdelagerenciaenrelacinalaconfianzadelossistemas.
b)Enelnivelintermedioconocidocomoniveltcticoencontraremosotrostresgrupos
loscualesson:
Servicios: el cual ser encarga del control de cambios, copias de respaldo,
posibles recuperaciones ante fallos, el aseguramiento de equipos y la
administracindeparches.
Aplicaciones:suresponsabilidadeslasiguiente,desderevisarelcdigofuente,
defectos identificados en el software, pruebas de vulnerabilidad en software,
vulnerabilidadesidentificadasyutilizacindefuncionesnodocumentadas.
Permetro: este ltimo se encarga de la efectividad de la seguridad que va
desdelaefectividaddelAntispam,antivirus,firewall,ascomolaefectividaddel
monitoreo24*7.
b)Enelnivelbajoconocidocomoniveloperativoencontraremosotrostresgruposlos
cualesson:
Integridad:cuyafuncinconsisteeneliminar,borraromanipulardatos,como
protegerseantevirusinformticos.

96

Disponibilidad:seencargadelanegacindelservicio,inundacindepaquetes,
suplantacindedatosoIP,eliminar,borrarymanipulardatos.
Confidencialidad: este ltimo debe estar preparado para encargarse desde
contraseas dbiles, suplantacin de IP o datos, accesos no autorizados por
terceraspersonas,configuracinpordefectoquepuedeponerenpeligrosino
tienelaconfiguracindeseada,monitoreonoautorizado.
5.7.1Caractersticasdelmodelo
Seconsiguesugerirunamaneradeintegrarlosprincipiosdelaseguridadinformtica,
losincidentesylastecnologasdeseguridad.
Exigeundiagnsticoyanlisis
Sereconocenlasdiferentesculturasdedichaorganizacinendiferentesniveles.
Comopartefundamentalparaeldesarrollodelasmtricassevinculanlosobjetivos
denegocio
Sereconocequelaseguridadnoesunfenmenonodualista(causaefecto)sinoque
esdual(circular)
Se establece las preguntas que integran dichas expectativas, acciones de los

diferentesactoresdelaorganizacinylosacuerdos.
5.7.2Ejemplosdemtricasparalaseguridadinformtica
Acontinuacincomentaremossolounpardemtricasquepodemosutilizarpara
algunodelostresnivelesquehemoscomentadoanteriormente,quedaaclararque
solosonalgunosejemplosyquepuedenhacersemuchosms.
Nivelestratgico:
Algunasmtricaspuedenser:
Conocerel%(tantoporciento)delascuentasinactivasdeusuariodeshabilitadas
respectoaltotaldecuentasinactivas.

97

Conocerelvalortotaldelosincidentesdeseguridadinformticarespectoal
presupuestototaldeseguridadinformtica.
Conocerel%(tantoporciento)delosnuevosempleadosquecompletaronsu
entrenamientodeseguridadrespectoaltotaldelosnuevosempleadosqueentraron.
Propsitodeestamtrica:desempeodepersonasyprocesos.
Niveltctico:
Conocerelnmerodemensajessalientesconspywareovirus.
Numerodemensajesdespamdetectadorespectoalnmerototaldemensajes
ignorados.
Nmerodeestacionesdetrabajoenfuncionamientoconfiguradascorrectamente
respectototaldelasestacionesdetrabajo.
Numerodespywareovirusdetectadosenestacionesdetrabajooservidores.
Propsitodeestasmtricas:desempeodelastecnologasdeseguridadinformtica.
Niveloperativo:
Nmerodeincidentesasociadosconladisponibilidadrespectoaltotaldeincidentes.
Nmerodeincidentesasociadosconlaconfidencialidadrespectoaltotalde
incidentes.
Propsitodeestasmtricas:desempeodelaadministracindeincidentes

98

6.ISO/IEC27004

6.1INTRODUCIN
El nombre de la normativa es ISO/IEC 27004 Information technology Security

techniques Information security management Measurement, cuya traduccin en
espaol sera ISO / IEC 27004 Tecnologa de la informacin Tcnicas de seguridad
Gestin de la seguridad de la informacin Medida, por lo tanto como su propio
nombreindicatocaremostodosesoscamposendichanormativa.
Lanorma27004secreparacomplementaralanormaISO27001,yaquelanorma
27001destacaqueloscontrolestienenquesermedibles,yaquesinosomoscapaces
de medir un control no nos servir de nada para nuestro SGSI, por lo tanto hay que
hacerlomedible,yesporesaraznporlaqueserealizalanormativa27004enlacual
nos ensea cmo debemos medir dichos controles, su objetivo consiste en hacerlos
medibles.
Estanormativa27004nossirvedeayudaparaguiarnossobrelacreacinyelusodelas
mediciones con el fin de poder evaluar la eficiencia del sistema de gestin de la
informacin aplicada a los controles y seguridad. Con esta normativa se incluye la
gestin de informacin de seguridad de riesgos, procesos, poltica, objetivos de
control, procedimientos, ayudar al proceso de su revisin, as como ayudar a
determinar si alguno de los procesos de SGSI o controles necesitan ser mejorados o
modificados.
Elusodeestanormativaconstituyeunamedicindelaseguridaddelainformacin.El
sistema de gestin de la seguridad de la informacin nos ayudar evaluar y a
identificar aquellos procesos o normas ineficaces en nuestro sistema de la seguridad
delainformacin,ascomoloscontrolesyprioridadesdelasaccionesasociadas.
Gracias a esta norma ser un punto de partida para el desarrollo de la medida de

medicin es importante para la comprensin de los riesgos de seguridad de
informacindondelaentidadolaorganizacinsepuedeenfrentarotenerproblemas.
As como saber que las actividades que est realizando la empresa respecto a la
evaluacinderiesgosseesthaciendocorrectamente.
Quedaaclararqueelobjetivodedichanormativaconsisteenfortalecerlaorganizacin
yquegraciasalanormativaproporcionaunainformacinfiablealaentidadsobrelos

99

riesgos que corre en relacin a la seguridad de informacin as como el estado de

nuestroSGSIaplicadoparalagestindeestosriesgos.
Losdatosobtenidosdelasmedicionesrealizadasnosservirnparahacerunapequea
comparacindelosavancesoprogresosobtenidosenreferenciaalaseguridaddela
informacin en un perodo de tiempo, comprobando as la mejora continua de la
organizacinensuSGSI.
Estanormativasepuedeaplicaracualquiertipodetamaodelaorganizacindesde
multinacionales repartidas por todo el mundo hasta las PYME, la nica diferencia
consistirenlacomplejidadquetomaraparalasmultinacionalesalahoradeaplicarlo
ya que tendra que realizar mltiples programas de seguridad de la informacin de
medicin, mientras que en las PYME, las cuales son las medianas y pequeas
empresas, una informacin menos completa ser suficiente. Ya que con una sola
medicindeseguridaddelainformacinpuedesersuficienteparadichasempresas
Ademshayquerecordadqueestanormativanoesobligatoriaynoesnecesariosu
uso,comoelrestodelasnormativasISO/IECsirvenparaaconsejar.Enestecasoesta
normativaaconsejasobrelassiguientesactividades.
Medidadedesarrollo
Aplicacinyoperacindeunprogramadeseguridaddelainformacinenrelacinala
medicin.
Recogidayanlisisdedatos
Elaboracindelosresultadosdelamedicin
Comunicarlosresultadosdelamedicindesarrolladosparalaspartesinteresadas.
Utilizarlosresultadosdemedicinalahoradetomarlasdecisionesrelacionadascon
elSGSI
UtilizarlosresultadosdemedicinparamejorarelSGSI(alcance,polticas,controles,
procesos,objetivosyprocedimientos)
Facilitarlamejoracontinuadelaseguridaddelainformacin
Para finalizar hay que indicar que con dicha normativa nunca se podr garantizar la
seguridadtotal.

100

6.2ElporqudelaISO27001?
GraciasalaISO/IEC27001seaadeunnuevoconceptodeindicadorsobrelaeficacia
de los controles, lo cual provoca que el SGSI (Sistema de Gestin de Seguridad de la
Informacin)seacapazdeevaluarsucalidadysueficaciaelmismo.
La ISO/IEC 27001 desea que la entidad u organizacin tenga que hacer revisiones
peridicas de la eficacia de su SGSI en referencia a los resultados obtenidos de la
medicindesueficacia,yconesosresultadosobtenidosverificarquelosrequisitosde
seguridadsecumplen.
Ademstambinquierequedichaentidadseacapazdedefinirlamanerademedirla
eficaciadeloscontrolesseleccionadosogruposdecontrolesyespecificarcmoestas
medidas sevan a utilizar para evaluar la eficacia de control para producir resultados
comparablesyreproducibles.
Para la entidad que quiere cumplir los requisitos de medicin indicados en la

normativaISO/IEC27001varanenrelacinalaentidad,comopuedeser,eltamao
de la entidad, los riesgos que tienen, recursos de la organizacin, etc. Aun as la
entidad tiene que tener cuidado a la hora de aplicar sus recursos y saber repartirlos
cuidadosamente para las acciones del SGSI, ya que no debe de utilizar todos los
recursosporqueentoncesdejarandeserbeneficiososyseraperjudicialdebidoaque
no tendra recursos suficientes para las otras actividades que debe de realizar la
entidad. Por lo tanto tiene que tener una buena organizacin y por tanto aquellas
actividadesqueestnencursodemedicindeberanserintegradasenlasoperaciones
regularesdelaentidadconunmnimodenecesidadesderecursos.
El utilizar mtricas de seguridad en el Sistema de Gestin de Seguridad de la

Informacin puede provocar que la norma perdure en el tiempo como un estndar
potenteyeficazparagestionarlasseguridaddelainformacindeunaformaptima,
debidoaquelasmtricasdeseguridadnoestncontempladascomounaccesorioms
aaadiralSistemadeGestinde SeguridaddelaInformacinsegnleintereseala
entidadsinoqueloabsorbeyterminaformandopartedelalolargodesuciclode
vida.TodoestoprovocaqueelsistemademedicinjuntoasuSistemadeGestinde
SeguridaddelaInformacinsearevisadoymejoradodeunaformacontinua.

PorellolaISO/IECsurgeapartirdelaISO/IEC27001.

101

6.3Las mediciones
La normativa ISO/IEC 27004 est centrada sobre el modelo PlanDoCheckAct,

tambin conocido como PDCA, el cual consiste en ser un ciclo continuo y que
comentaremosmsextensamenteenelsiguientepunto.
En una entidad se deber de saber cmo interactan y se interrelacionan las

medicionesdelaentidadconsuSistemadeGestindeSeguridaddelaInformacin.

Para ello la entidad tendr que crear una serie de guas las cuales especifiquen,
sealen,documentenyexpliquenestasrelacionesconelmximodetalleposibleconel
findellevarloacabolomejorposible.

Enlosprocesosdemedicionessetienenquecumplirunaseriedeobjetivosloscuales
sonlossiguientes.
- Indicaryavisarlosvaloresdeseguridaddelaentidad.

- Realizar una evaluacin de la eficiencia del Sistema de Gestin de
SeguridaddelaInformacin.

- Incluirnivelesdeseguridadquesirvandeguaparalasrevisionesdel
Sistema de Gestin de Seguridad de la Informacin, lo cual
provocarnuevasentradasparaauditaryparaayudaramejorarla
seguridaddelaentidad.

- Realizarunaevaluacindelaefectividaddelaimplementacinde
loscontrolesdelaseguridaddelaentidad.

102

6.4Modelo de las mediciones
Parallevarloacabosenecesitacrearunprogramaconelfinderealizarlamedicinde
la seguridad de la informacin de la entidad. El programa deber centrarse en las
ayudasqueaportandichasmedicionesalahoradetomardecisiones.

Estoobligaaquedichoprogramademedicindebadeestarbasadoenunmodelode
medicionesparalaseguridaddelainformacin.

Elmodelosecentraenunaarquitecturaquerelacionalosatributosmediblesconuna
entidad relevante. Dichas entidades pueden incluir, productos, recursos, proyectos y
procesos.

Este modelo servir para describir como dichos atributos son cuantificados y
transformados en indicadores que servirn para la entidad a la hora de tomar
decisiones.

Paradesarrollarestemodeloesnecesariodefinirlosatributosquesonconsiderandos
msimportantesparamedirlainformacinquelaorganizacinnecesita.

Tambinsepuedeconsiderarqueunmismoatributopuedeincorporarseenmltiples
medicionesparalascualessetendrninformacionesdistintas.

103

6.5Mtodo de las mediciones
Cmotienenquesermedidoslosatributos?

Conestanormativanosindicacmolosatributostienenquesermedidos,porlocual
proponeunMtodo.

Existendostiposdemtodosalahoradecuantificarlosatributosnecesarios.

- Objetivos:loscualessecentranenunareglanumrica(porejemplo
de1a5)quesepuedenaplicaralaspersonasoalosprocesos,se
recomiendaqueserealiceprimeroalosprocesos.

- Subjetivos: se centran en el criterio de los empleados o de los
evaluadoresexternos.

Dichosmtodospuedenenglobardiferentestiposdeactividadesyasuvezunmtodo
englobaavariosatributos.

Algunosmtodosqueseutilizanenlaentidadconelfindemedirlosatributosson:

- Cuestionariosalpersonaldelaentidad.

- Inspeccionesdelasareasdedichaorganizacin.

- Tomadenotasapartirdeobservaciones.

- Comparacindeatributosendiferentesmomentos.

- Muestreo.

- Consultasdelossistemas.

Unavezrealizadoslosmtodosdemedicinesasociarloauntipodeescala,lasclases
deescalapuedenser:

- Ratio:usodeescalasdedistancias.

- Nominal:usodevalorescategricos

- Intervalos:usodemximosymnimos.

- Ordinal:usodevaloresordenados.

104

Parafinalizarsetienequeconsiderarlafrecuenciadecadamedicin.Serecomienda
que la entidad programe dicha frecuencia de las mediciones, ya sean diarios,
semanales,mensuales,semestrales,trimestrales,cuatrimestralesoanuales.
6.6Seleccin y definicin de las mediciones.
Tambinseindicacmodesarrollardichasmedicionesparacuantificarlaeficienciade
nuestroSistemadeGestindeSeguridaddelaInformacin,controlesyprocesos.

Dichasmedicionesdelainformacinsonrequeridaspara:

- La certificacin de nuestro Sistema de Gestin de Seguridad de la
Informacindelaentidad.

- LamejoraenlaeficienciadelSistemadeGestindeSeguridaddela
Informacin.

- Paralosclientesdelaentidad,accionistas,etc.

- Paracumplirconlasregulacionesyrequisitoslegales.

- Paralamejoradelosprocesos.

- Paralaaltadireccindelaentidad.

Ahora para poder realizar el establecimiento y la operacin de un programa de
medicionesnecesitarealizarlossiguientespuntosenorden.

- Definirlosprocesos

- Desarrollodemediciones

- Implementacindelprograma

- Revisindemediciones.

105

Lasmedicionespuedenestarrelacionadascon:

- Ejecucindecontrolesdeseguridaddelainformacin,comopuede
serporejemploelvolumendeincidenciasportipo.

- Procesosdesistemasdegestin,comopuedeserporejemplosise
realizanlasauditorasindicadas.

Adems las mediciones tienen que cumplir con una serie de criterios para que sean
validadasporlaentidad.Loscualesson:

- Cuantitativo:usodedatosnumricos.

- Indivisible:losdatosdeobtendrenelnivelmsbajo.

106

- Definicin: tienen que estar bien documentadas de todas sus

caractersticas(frecuencia,indicadores,etc.)

- Usable:losresultadossirvenparalatomadedecisiones.

- Verificable: las revisiones deben de ser capaz de valorar el dato y
obtenerresultados.

- Estratgico:tienequeestarenrelacinconlamisinylaestrategia
delaseguridaddelainformacin.

- Razonable: el valor del dato obtenido no tiene que ser mayor al

costederecolectarlo.

- Tendencia:losdatosdeberandeserrepresentarelimpactocuando
serealizancambios.

A la hora de seleccionar los controles necesarios la entidad tiene que hacer los
siguientespasos:

- Definirunprograma.

- Seleccionarloscontrolesyobjetivosdecontrolparaserincluidosen
dichasmediciones.

- Definirlosindicadoresparasusrespectivoscontroles.

107

6.7Plan-Do-Check-Act (PDCA)

Consisteenunarelacincclicadeentradaysalidadelasactividadesdemedicin.Las
cualessedividenencuatroetapas.

Plan

Do

Check

Act
EnestecicloPDCA(PlanDoCheckAct),hayquetenermuchocuidadoencadanively
tratarlodeformacuidadosadesdeelprincipiodesudesarrolloyaquesevantomando
una informacin totalmente necesaria a la hora de la toma de decisiones para la
entidad y un pequeo error en ellas puede ocasionar graves problemas para la
entidad. Ya que pueden arrastrar los errores una tras otra. Por lo tanto sern
necesariascomentarlasunaporuna.

108

Ahoralascomentaremosacontinuacinlascuatroetapasdeformamsexhaustiva:

PLAN:consisteenestablecerSGSIydefinirlasmtricas,enestepuntoparaque
la mtrica que estemos definiendo para la seguridad sea correcta tiene que
cumplirunaseriedepuntosnecesariosparaello.

- Tienequeseralgonotableparalaentidadenlacualsevaarealizar.

- Tienequepodermedirlaevolucindelaseguridadenlaentidaden
elpasodeltiempo(cambios,mejoras)

- Tienequeserreproducible.

- Tienequeserobjetiva.

- Tienequeserjustificable

- Tienequeserimparcial.

Una vez elegida la medida de seguridad hay que elegir la estrategia de

seguridad que haya sido elegida por la alta direccin de la entidad mediante
unaseriedeobjetivosestratgicos.

Esta serie de objetivos estratgicos tienen una serie de indicadores los cuales
tienencomofuncinmedirelgradoocalificacinqueseobtieneacumplirel
objetivo. Dichos indicadores debern de ser capaces de obtener una meta
asociadaqueconsisteenelvalorquetienenquealcanzarlosindicadores.

109

Sinembargoalahoradeelegirlasmtricashayquepensarquelosrecursosde
laentidadsonlimitados,loqueobligaaquesolosepuedanrealizarlasmtricas
queseanrentablesalaentidad,ademshayquetenercuidadoporquepuede
serunaarmadedoblefiloyaquesiaplicamosmsrecursosdelosdebidosa
dichas mtricas de seguridad puede provocar grandes prdidas a la entidad y
acabar siendo un gran error en vez de ser un fortalecimiento para nuestra
entidad, por lo tanto a la hora de elegir la mtrica correcta tendremos que
justificar los recursos utilizados junto al esfuerzo realizado con la informacin
resultante que obtengamos, ya que si gastamos muchos recursos y esfuerzos
paraunaobtenerunainformacinquenosealobastantevaliosaparajustificar
tantoesfuerzonohabrvalidolapenayaquehabrproducidomsgastosde
los necesarios para obtener dicha informacin y ser una prdida de tiempo,
recursosyesfuerzoquetraducidoliteralmenteparalaentidadconsistirenuna
granprdidadedineroparalaentidad.

DO:consisteenadaptarprocedimientosycontrolesconelfindepoderobtener
losdatosnecesarios.

Enestepuntoesnecesarialaexistenciadelpersonaldetrabajoparaobtener,
procesarycomunicarlosdatosobtenidosalcuadrodemando.Estoobligaque
dichopersonaltienequeestarcualificadoparaelloyportantodichopersonal
tienequeestarformadoyconcienciadoalostrabajadoresalahoradeevaluar
dichosdatos,yaqueentoncespodemosestarcometiendoungraveerrorala
hora de evaluar por parte del personal de la empresa y tener unos datos
errneos, por tanto para la empresa consistir en dar un trabajo adicional a
dichostrabajadoresformndolesalavezdeinvertirmsdineroenellos(pagar
horas extras a los trabajadores por la formacin) as como invertir en los
recursos.

Estas personas que estn tomando los datos tendrn que avisarlo de forma
continua al cuadro de mando. Ya que gracias al cuadro de mando
visualizaremoslosdatosobtenidosascomolosresultadosconelfindeayudar
alamejoradelaentidadyaellosmismosalahoraderealizarsutrabajo.

CHECK: en este punto tendremos que revisar los datos obtenidos de las
mtricasrealizadas.

Este tambin es un punto importante ya que a la hora de las decisiones que
tomeunaentidadsebasanenrelacinasusdatosobtenidosyportantodichos
datosnopuedensererrneosyaqueentoncestomarndecisionesapartirde
una base la cual no es real o est equivocada debido a los datos tomados
errneamente,portantoenestepuntosecentraenrevisarlosdatosobtenidos
delasmtricasparaquelaentidadseparealmenteloqueestocurriendo.

110

Pararealizarlarevisindedichosdatossehardespusdequelosindicadores
han sido implantados en la entidad. Consiguiendo as poder saber si dichos
indicadoressonrentablesytilesparalaentidad.

Porltimoademsderevisarlosdatoscogidosserecomiendatambintomar
nota de las opiniones de los empleados que usan dichos indicadores ya que
toda informacin es necesaria, y posiblemente se necesiten varios puntos de
vistaalahoradeenfrentarseaunproblema.

ACT: Este ltimo punto se centra en la revisin y mejora de las mtricas de
seguridad.

Ahora se centrarn en las revisiones de la calidad de las mtricas y de los
objetivos con el fin de comprobar que siguen cumpliendo con los objetivos
definidosenelprincipioademsdequesigansiendotilesparalaentidad.

Cuandoserealizandichasrevisionestienenquecomprobaryportantorealizar
unaseriedepuntosparacomprobarquesiguensiendotiles.Loscualessonlos
siguientes:

- Tienen que evaluar la eficiencia del SGSI (sistema de gestin de
seguridaddelainformacin.

- Saberqueelcostedemantenerlasmtricasylaobtencindedatos
noseasuperioralvalorqueaportadichainformacin.

- Indicar la evolucin de los objetivos de seguridad indicados por la
entidad.

- Saber que los objetivos de las mtricas no sean lo suficientemente

bajosporqueentoncessiempresaldradeformacorrecta.

Segnvayapasandoeltiempoyelsistemadegestindeseguridaddelainformacin
vayaalaparmadurandolasmtricasquetienenirncambiandosegnpasaeltiempo
yelsistemadegestindeseguridaddelainformacinmadureprovocandoquedichas
mtricassemodifiquen,secreannuevas,oseeliminen.Esdecirqueindicadoresque
ahora pueden servirnos completamente con el paso del tiempo pueden dejar de ser
tiles.

111

6.8Cuadrodemando

6.8.1Quesuncuadrodemando?

Uncuadrodemandoesunaherramientadegestin.

Alcuadrodemandoseleconsideracomounadelasherramientasmsimportantes,
valiosasypotentesquepuedeutilizarladireccindelaentidadparaevaluarsuestado
deseguridadelcuallesservirparalatomadedecisiones.

Dichaherramientadebercentrarseenlosindicadoresdelaorganizacinloscuales
no cumplen los lmites elegidos por la entidad as como los indicadores que pueden
llegarasuperarloslmiteselegidos.

Adems el cuadro de mando tiene otras funciones como por ejemplo ayudar a la
comunicacinentrediferentesnivelesdelosempleadosdelaentidad,tambinsirve
paraasignarresponsabilidadesadichosempleados.

Tambinelcuadrodemandoayudaralaentidadalahoradeafrontarnuevosriesgos
de seguridad, as como gestionar dichos controles de seguridad, cmo se percibe la
seguridad por parte de los clientes, accionistas y empleados de la entidad y la ms
importanteacontribuiralahoradeobtenerlosobjetivosdenegociodelaentidad.

El objetivo principal del cuadro de mando consistir en mejorar los resultados que
obtienelaentidad.

6.8.2Cmoimplantaruncuadrodemandocorrectoennuestraentidad?

Paralaimplantacindeuncuadrodemandodeseguridadesuntrabajoconbastante
dificultaddesdeelpuntodevistaorganizativoytcnico.Estoprovocaqueenmuchos
casosdichoproyectofracaseensuimplantacin.

Alahoradeimplantaruncuadrodemandoennuestraentidadtendremosquetomar
en cuenta ciertos puntos y aspectos con el fin de que la implantacin sea de forma
correctaysincausarpequeosproblemasenlaentidad.

Paraelloserecomiendaquesecumplanlassiguientesacciones:

- Sealar toda la informacin que sea totalmente necesaria de una
forma resumida, sin complicaciones, entendible, sencilla y eficaz,
todoestoservirparalatomadedecisiones.

- Resumir la representacin usando un juego de colores el cual nos
sirvaparaindicarloscambiosdeestado.(Rojo,amarillo,verde)

112

- Encadenarlosindicadoresasusrespectivosobjetivos,con elfinde
saberquesloqueseestmidiendo.

- Deberdefacilitareltrabajodecompararresultadosentrereasde
laentidaddiferentes.

- Sealar lo importante para la compaa indicando aquellos
indicadores que no evolucionan segn era lo planificado por la
entidad.

- Y el ms importante de todos obtener el apoyo de la Direccin y
alcanzar el mayor consenso posible entre los participantes del
diseo.

Porltimotenemosquesealarquedependiendodeaquienestdirigidoelcuadro
de mando, los indicadores se agruparn de manera diferente dependiendo de los
empleadosquelosutilizan.

- SiestcentradoenlaDireccindelaentidadhabrquerealizarun
cuadrodemandodevaloracineconmicadelosimpactostcnicos
paralaentidad.

- Siestcentradoenlosempleadostcnicosdelaentidadsetendra
quehaceruncuadrodemandodeimpactodefallostcnicos.

113

6.9Direccin

Ladireccinseencargademanteneryestableceracuerdosdesusmediciones.La
implementacintienequeestardeacuerdoaloqueindicanlosestndares
internacionales,centrndoseenlaaceptacindelosrequerimientosdemediciones.

- Cualquiertipodeacuerdosercomunicadoalaentidadde
inmediato.

- Existirnacuerdosentreelpersonalquerealizalasactividadesde
medicinyladireccin,conelfindedemostrarqueexisteuninters
detodaslasreasdelaentidad.

Ademsladireccintienequehacerindicacionesdedichosacuerdos,desuoperacin,
revisin,implementacin,mantenimiento,mejoraymonitorizacindelprogramade
medicionesmedianteelusode:

- Creacindeusoderesponsabilidadesyroles.

- Comunicacindetodoelpersonalqueestinvolucradoenlos
indicadoresdeprogresoyprogramademediciones.

- Comprobarqueelprogramaselleveacabo.

- QuelasrevisionesdedichoprogramaseanpartedelSistemade
GestindeSeguridaddelainformacin

- Setienequeestablecerelprogramademediciones.

- Comprobarquelasauditorasinternasqueserealizanenrelacinal
programademedicionesseancorrectas.

- Tenerlosrecursossuficientesparallevaracaboelprogramade
mediciones.

Tambinladireccinestencargadadeproveeryasignarlosrecursosnecesariospara
dichoprogramademediciones,yaseadesderecursosmaterialesparallevarsus
funcionescomodelpersonalnecesarioparallevarloacabo.

Ladireccinasignarlassiguientesresponsabilidadesyrolesparalamediciny
ejecucindedichamedicinloscualessonlossiguientes:

114

- Personalresponsabledelosrequerimientosdemediciones.
- Propietariodelamedicin.
- Personalquedirigeeintervieneenelprograma.
- Personalresponsabledelaevaluacindelprograma.
- Personalresponsabledealmacenaryrecolectarlosatributos.
- Personalresponsabledelacomunicacinalaentidad,sobrela
importanciadelprogramademedicinascomodesusresultados.

Parafinalizarhayquerecalcarqueserdevitalimportanciarealizar,acreditaciones,
autorizacionesalpersonalquerealizarloscriteriosyestastareasparalaformacin
tcnicadelosmismos.Hayqueinculcaralempleadoquesondevitalimportanciaya
quecontribuyenalamejorardelosobjetivosdelSistemadeGestindelaSeguridad
delaInformacin.

6.10Explicaciondetalladadelanormativa
6.10.1.VisinGeneraldeMedicindelaInformacindelaseguridad.
6.10.1.1Objetivosdelamedicindelaseguridaddelainformacin.
Los objetivos de medicin de la seguridad de la informacin en relacin con el

SistemasdeGestindeSeguridaddelaInformacinincluyen:
a) Evaluarlaeficaciadeloscontrolesaplicadosogruposdecontroles.
b) EvaluarlaeficaciadelaaplicacinSGSI.
c) Verificarelgradoenelquesefijaronlasnecesidadesdeseguridadysabersi
hansidocumplidas.
d) Facilitarlamejoradelrendimientodelaseguridaddelainformacinencuanto
alosriesgosdenegociodelaorganizacinglobal.
e) Proporcionarinformacinparalarevisinporpartedeladireccinparafacilitar
latomadedecisionesrelacionadasconelSistemadeGestindeSeguridadde
laInformacinyjustificarlanecesidaddemejoradelaaplicacindelSistema
deGestindeSeguridaddelaInformacin.

115

Figura1MedidaentradasysalidasenelciclodeSGSIPDCAdelagestindeseguridad
delainformacin.

116

Laorganizacindeberestablecerlosobjetivosdemedicinbasadosenunaseriede
consideraciones:

a) Elroldelaseguridaddelainformacinenapoyodeactividadesgeneralesyde
riesgosdelaorganizacinempresarial.

b) Losrequisitoslegalesaplicables,reglamentariosycontractuales.

c) Laestructuraorganizacional

d) Costosybeneficiosdeimplementarmedidasdeseguridaddelainformacin

e) Loscriteriosderiesgodeaceptacindelaorganizacin

f) La necesidad de comparar varios Sistemas de Gestin de Seguridad de la
Informacindentrolamismaentidad,yaquepuedencompararconanteriores
SGSIquehansidoutilizadosporlaentidadusndoloscomoreferencia.

En este punto vemos la utilizacin del PDCA, como ciclo, en el cual forma parte a la
horadecumplirtodoslosobjetivos,comogua.

6.10.1.2Programadelaseguridaddemedicindelainformacin

Una organizacin debe establecer y administrar un programa de seguridad de la
informacindemedicinparapoderalcanzarlosobjetivosdemedicinestablecidosy
adoptar el modelo PDCA dentro de la organizacin global de las actividades de
medicin.

YaqueelmodeloPDCAsirvedeapoyocomoestructuraalaentidadenrelacinconlas
actividadesqueserealizanenlamedicin.

Laorganizacintambindeberaaplicarydesarrollarlamedidaconstruidaconelfinde
obtener objetivos y resultados tiles de medicin basados en el modelo de la
SeguridaddelaInformacindemedicin.

El programa de la gestin de la seguridad de la informacin y el desarrollo de la
medicindebenvelarporlaconstruccindeunaorganizacineficazparalograrmedir
demanerareproducibleyobjetiva,paraproporcionarlamedidadelosresultadosde
las partes interesadas para determinar las necesidades para la mejora del SGSI
implementado, incluyendo su alcance, polticas, objetivos, controles, procesos y
procedimientos.

117

Elprogramadelaseguridaddeinformacindelamedicindebeincluirlossiguientes
procesos:
Medidasymedicindedesarrollo

Laoperacindemedicin

a) Elanlisisdedatosymedicindeinformarlosresultados

b) Evaluacin y mejora del programa de la seguridad de medicin de la
informacin.
Laestructuraorganizativayoperativadelprogramadelaseguridaddemedicindela
informacindeberaserdeterminadateniendoencuentalaescalaylacomplejidaddel
SGSI.Entodosloscasos,losrolesyresponsabilidadesparaelprogramadelamedicin
deseguridaddelainformacinserasignadaalpersonalcompetente.
Enestepuntoestotalmentenecesario(pornodecirobligatorio,yaqueningunanorma
obliga, solo aconseja) la existencia de un programa de medicin con sus respectivos
procesoscreadoporlapropiaentidad,conelfindellegaraobtenersusobjetivos.
6.10.1.3Factoresdexito.
Los siguientes puntos a continuacin son algunos de los factores que contribuyen al
xito del programa de la medicin de seguridad de la informacin para facilitar la
mejoracontinuadelSGSI:
a) Compromisodelagerenciaconelapoyodelosrecursosapropiados.

b) ExistenciadeprocesosyprocedimientosSGSI.

c) Unprocesorepetiblecapazdecapturarypresentarinformesparaproporcionar
datossignificativossobrelastendenciaspertinentesaunperiododetiempo.

d) MedidascuantificablessobrelabasedeobjetivosSGSI.

e) Datosfcilesdeobtenerquesepuedenutilizarparalamedicin.

f) Evaluacindelaefectividaddelaseguridaddelainformacinydelamedicin
delaaplicacindemejorasidentificadas.

g) Recogidaperidicadeanlisisyreportededatosdemedicindeunamanera
mssignificativa.

118

h) Aceptacin de informacin sobre los resultados de medicin de las partes
interesadaspertinentes

i) Las evaluaciones de la utilidad de los resultados de las mediciones y la
implementacindelasmejorasidentificadas

Una vez realizado con xito, un programa de medicin de la seguridad de la
informacinpuede:

1) Demostrar el cumplimiento de una organizacin con los requisitos legales
aplicablesoreglamentariosyobligacionescontractuales

2) Laidentificacinalosproblemasdeseguridadnodetectadaspreviamente

3) Ayudar a los informes de gestin satisfaccin de las necesidades al afirmar
medidasporrazoneshistricasyactividadesactuales.

4) Serutilizadoscomomateriaprimaenprocesodeseguridaddelainformacin
degestinderiesgos,auditorasinternas,ySGSIconrevisionesporladireccin.

Comocualquierfactordexitolamayorimportanciaquehayquetomarconsisteen
no tener ningn error a la hora de la realizacin del programa de la medicin y que
todossusprocesosserealicendeformaeficiente.

6.10.1.4Modelodemedicindelaseguridaddelainformacin

6.10.1.4.1Informacingeneral
El modelo de medicin de la seguridad de la informacin consiste en ser una
estructuraqueuneunanecesidaddeinformacindelosobjetosrelevantesdemedida
y sus atributos. Objetos de medicin pueden incluir planificacin o de ejecucin de
procesos,procedimientos,proyectosyrecursos.

Elmodelodemedicindeseguridaddelainformacinsedescribecmolosatributos
relevantessoncuantificadosyconviertealosindicadoresqueproporcionanunabase
paralatomadedecisiones.

119

Figura2modelodemedicindeseguridaddelainformacin.

120

6.10.1.4.2Basedemedidaymtododemedicin
Unamedidabaseeslamedidamssencillaquesepuedeobtener.Unamedidabase
de los resultados de la aplicacin es un mtodo de medicin de los atributos
seleccionadosdeunobjetodelamedicin.

Un objeto de medicin puede tener muchos atributos, slo algunos de los cuales
pueden proporcionar valores tiles para ser atribuido a un acto de base. Un
determinadoatributopuedeutilizarseparavariasmedidasdebasediferentes.

Un mtodo de medicin es una secuencia lgica de operaciones, utilizadas en la
cuantificacindeunatributoconrespectoaunaescalaespecificada.Lasoperaciones
puedenincluiractividadestalescomocontarsucesosuobservandoelpasodeltiempo.
Unmtododemedicinpuedeutilizarlosobjetosdemedicinylosatributosdeuna
variedaddefuentes,talescomo:

Anlisisderiesgosyresultadosdeevaluacinderiesgos;

Cuestionariosyentrevistaspersonales;

Informesdeauditorasexternasointernas;

Losregistrosdelosacontecimientos,lasestadsticasdeinformesydeauditora;

Informesdeincidencias,enparticularlasquedanlugaralaocurrenciadeunimpacto;

Resultadosdelosensayos,laingenierasocial,herramientasparaelcumplimiento,y
lasherramientasdeauditoradeseguridad;o

Losregistrosdelosprocedimientosdelaorganizacinseguridaddelainformaciny
programasrelacionados.

Las tablas a continuacin presentan la solicitud del modelo de seguridad de
informacinparalossiguientescontroles:

"Control 2" hace referencia al control A.8.2.1 responsabilidad de la Direccin de la
normaISO/IEC27001:2005("Gestinexigiralosempleados,contratistasyusuarios
deterceraspartesaplicarlaseguridaddeconformidadconpolticasyprocedimientos
establecidosdelaorganizacin");seaplicacomosigue:"Todoelpersonalpertinente
para el SGSI debe firmar acuerdos de usuario antes de acceder a un sistema de
informacin";

"Control1"serefierealcontrolA.8.2.2"acercadelaseguridaddelainformacin,la
educacin y la formacin" de ISO / IEC 27001: 2005 ("Todos los empleados de la

121

organizacin y, en sucaso, los contratistas y terceros usuarios de laspartes debern

recibirunaformacinadecuadatomadeconcienciayactualizacionesregularesenlas
polticasdeorganizacinyprocedimientos,loconcernienteasufuncindetrabajo");
seaplicacomosigue:"TodoelpersonalrelevanteparaelSGSIdeberecibirformacin
sobresensibilizacinyseguridaddelainformacinantesdesuconcesindelaccesoa
unsistemadeinformacin".

Hayqueindicarqueenrelacinaunamedidabasecuandosevayaarecogertieneque
sersimpleylomsimportantetienequetenerunarelacinenreferenciaalmtodo
demedicin,yaquesinosecumplenoservirdenada.

Tabla1incluyeunejemplodelasrelacionesentreelobjetodelamedicin,elatributo,
elmtododelamedicinylamedidadebaseparamedirlosobjetosestablecidospara
elcontrolimplementadodescritoanteriormente.

122

123

6.10.1.4.3Medidaderivadayfuncindemedicin

Unamedidaderivadaesunagregadodedosomsmedidasdebase.Unamedidabase
determinadapuedeservircomoentradaaplicableadiversasmedidasderivadas.

Unafuncindelamedicinesunclculoutilizadoparacombinarlasaccionesdebase
paracrearunamedidaderivada.

Laescalaylaunidaddelamedidadependendelaescaladerivadayunidadesdelas
medidasdebasedesdelacuallacomponen,ascomolaformaenquesecombinanla
funcindemedicin.

La funcinde medicin puedeimplicar una variedad de tcnicas,como promedio de
medidasdebase,aplicandopesosalasmedidasdelabase,olaasignacindevalores
cualitativosalasmedidasdebase.

Lafuncindemedicinpuedecombinarmedidasdebaseutilizandodiferentesescalas,
talescomoporcentajesylosresultadoscualitativosdeevaluacin.

Por supuesto a la hora de hacer una medida derivada tiene que existir una relacin
entre las medidas bases que se van a juntar con el fin de obtener nuestra medida
derivada.

Unejemplodelarelacindeloselementosadicionalesdelaaplicacindeseguridad
de la informacin del modelo de medicin medida base es decir, la funcin de
medicinylasedicionesobtenidassepresentanenlaTabla2.

124

Cuadro2Ejemplodemedidaderivadaylafuncindemedicin

125

6.10.1.4.4Indicadoresyelmodeloanaltico

Unindicadoresunamedidaqueproporcionaunaestimacinoevaluacindelos
atributosespecificadosderivadosdeunamodelodeanlisisconrespectoala
necesidaddeinformacindefinida.Losindicadoresseobtienenmediantelaaplicacin
deunanlisismodeloaunabasey/ounamedidaderivadaysucombinacinconlos
criteriosdedecisin.

Siunindicadorestrepresentadoenunaformagrfica,debeserutilizableporlos
usuarioscondiscapacidadvisual.Parahacerloposibleladescripcindelosindicadores
debeincluirloscolores,sombras,fuentesuotrosmtodosvisuales.

Laescalayelmtododemedicinafectaalaeleccindelastcnicasanalticas
utilizadasparaproducirindicadores.

Unejemplodelasrelacionesentrelasmedidasdederivados,elmodelodeanlisise
indicadoresparalaseguridaddelainformacindemedicinsolicituddemodelose
presentaenlatabla3.
Tabla3Ejemplodeindicadorymodeloanaltico

126

127

6.10.1.4.5Resultadosdelasmedicionesycriteriosdedecisin

Losresultadosdemedicinsedesarrollanconlainterpretacindelosindicadores
aplicablessobrelabasedecriteriosdedecisinsedefineydebeconsiderarseenel
contextodelosobjetivosdemedicinglobaldelaevaluacindelaeficaciadelSGSI.

Loscriteriosdedecisinseutilizanparadeterminarlanecesidaddeactuarorealizar
otrasinvestigaciones,ascomoadescribirelniveldeconfianzaenlosresultadosdela
medicin.Loscriteriosdedecisinpuedenseraplicadosaunaseriedeindicadores,
porejemplopararealizaranlisisdetendenciassobrelabasedeindicadoresrecibida
endiferentespuntoseneltiempo.

Elobjetivoesproveerunaespecificacindetalladaderendimiento,aplicableala
organizacin,derivadosdelosobjetivosdeseguridaddelainformacincomolos
objetivosdeSGSIylosobjetivosdecontrol,yquenecesitanestablecerseyreunirse
paraalcanzardichosobjetivos.

128

Tabla4Ejemploderesultadosdelamedicinyanlisisdelmodelo

129

6.10.2Gestinresponsabilidades
6.10.2.1Informacingeneral

Laadministracinesresponsabledeestablecerelprogramademedicindeseguridad
de la informacin, con la participacin de las partes interesadas pertinentes en las
actividadesdemedicin,laaceptacindelosresultadosdemedicinparaelanlisisde
lagestinyelusodemedicindelosresultadosenlamejoradelasactividadesdentro
delSGSI.

Paralograrlo,ladireccindebera:
a)Establecerobjetivosparaelprogramadeinformacindeseguridaddemedicin;
b)Establecerunapolticaparaelprogramadeinformacindeseguridaddemedicin;
c)Establecerlasfuncionesyresponsabilidadesenmateriadeprogramadeinformacin
deseguridaddemedicin;
d)Proporcionarrecursossuficientesparallevaracabolasmedidas,incluidapersonal,
lafinanciacin,lasherramientaseinfraestructura;
e) Asegurar que los objetivos del programa de informacin de la seguridad de

medicinsecumplan;
f) Velar por que las herramientas y equipos utilizados (recursos) para recopilar los
datossemantienencorrectamente;
g)Establecerelpropsitodelamedicinparacadamedidaaconstruir;
h) Velar por que la medicin proporciona informacin suficiente a las partes

interesadasenrelacinconeficaciadeloscontrolesoelgrupodeloscontrolesylas
necesidadesparamejorarloscontrolesaplicados.

En este caso para poder realizar dicha norma de forma correcta la administracin
tendr que tomar sus propias responsabilidades para poder llevarlo a cabo de una
formacorrectaysinerrores.

130

6.10.2.2Gestindelosrecursos
La administracin debe asignar y proporcionar recursos para apoyar las actividades
esencialesdelamedida,talescomorecopilacindedatos,anlisis,almacenamiento,
elaboracin de informes y distribucin. Las asignaciones de recursos deben incluir la
asignacinde:
a)Laspersonasconresponsabilidaddetodoslosaspectosdelprogramadeseguridad
delainformacindemedicin;
b)apoyofinancieroadecuado;
c) apoyo a las infraestructuras adecuadas, tales como la infraestructura fsica y las

herramientasutilizadaspararealizarlosprocesosdemedida.
Finalmentelosrecursossontotalmentenecesariosparalamedidaaunquehabrque
gestionarlos de manera eficaz para no ocasionar perdidas en la entidad cuando se
utilizandichosrecursos.
6.10.2.3Medicindeformacin,sensibilizacinycompetencia

Laadministracindebegarantizarque:

a) Las partes interesadas tengan una capacitacin adecuada para el logro de sus
funciones y responsabilidades en el programa de seguridad de la informacin de
medicin, y debidamente cualificado para desempear sus funciones y
responsabilidades

b) Las partes interesadas entienden que sus deberes incluyen sugerencias para la
mejoradelaseguridaddelainformacinaplicadasalamedicindelprograma.

6.10.3Lasmedidasylamedicindeldesarrollo


Consiste en cmo desarrollar las medidas y mediciones para la elaboracin de la
evaluacin de la eficacia de los SGSI implementados y el control de un grupo de
controles,ylaidentificacinespecficadelaorganizacindelconjuntodemedicinde
las construcciones. Las actividades necesarias para desarrollar las medidas y la
medicindeberdeserestablecidosydocumentados,incluyendolassiguientes:
a)Definirelalcancedemedicin;

b)Laidentificacindeunanecesidaddeinformacin;

131

c)Seleccionarelobjetodemedicinysusatributos;

d)Eldesarrollodelamedicindelasconstrucciones;

e)Laaplicacindelamedidadelasconstrucciones;

f)Elestablecimientoderecogidadedatosyprocesosdeanlisisyherramientas

g)Elestablecimientodelmtododemedicinejecucinyladocumentacin.

6.10.3.2Definicindealcancedemedicin

Dependiendodelascapacidadesdeunaorganizacinylosrecursos,elalcanceinicial
delamedicindeunaactividaddelaorganizacinselimitaaelementostalescomo
controles especficos, los activos de informacin protegida por controles especficos,
acciones especficas para la seguridad de la informacin que se concede la mxima
prioridad por la administracin. Con el tiempo, el alcance de las actividades de
medicinseampliparahacerfrenteaotroselementosdelSGSIimplementadoylos
controlesogrupodecontroles,teniendoencuentalasprioridadesdelosinteresados.

Las partesinteresadasdeben ser identificadas y deben participar en la definicin del
alcance de medicin. Los interesados pueden ser internos o externos a las unidades
organizativas, tales como directores de proyectos, gestores de informacin del
sistema,olosresponsablesdeseguridaddeinformacindedecisiones.Losresultados
especficosdemedicinabordarlaefectividaddeloscontrolesindividualesoungrupo
decontrolesdebenserdefinidosycomunicadosalaspartesinteresadas.

La organizacin puede considerar limitar el nmero de resultados de las mediciones
que se inform a los responsables polticos dentro de un perodo de tiempo
determinadoparagarantizarsucapacidadparamejorarelefectodeSGSIbasadoenla
informaresultadosdelasmediciones.Losresultadosdemedicindebeserpriorizadas
con base en la importancia de las necesidades de informacin correspondiente y los
objetivosasociadosdeSGSI.

6.10.3.3Identificacindelainformacinnecesaria.
Las siguientes actividades se deben realizar para identificar las necesidades de

informacinpertinente:

a) ExaminarelSGSIysusprocesos,talescomo:

1)PolticadeSGSIylosobjetivos,losobjetivosdecontrolycontroles;

132

2)Legalidad,losrequisitoscontractualesydeorganizacindeseguridaddela
informacin;

3) La informacin de riesgos de seguridad los resultados del proceso de
gestin,talcomosedescribeenlanormaISO/IEC27001.

b) Darprioridadalainformacinidentificada,necesidadesbasadasencriterios,tales
como:

1) Tratamientodelosriesgosyprioridades;

2)Lascapacidadesdeunaorganizacinylosrecursos;

3)Losinteresesdelaspartesinteresadas;

4)Lapolticadeseguridaddelainformacin;

5)Lainformacinnecesariaparacumplirlosrequisitoslegales,reglamentarios
ycontractuales;

6)Elvalordelainformacinenrelacinconelcostedelamedida;

c)Seleccionarunsubconjuntodelainformacinnecesariadirigidaenlamedicinde
lasactividadesdelaprioridadlista,

d) Documentar y comunicar la informacin seleccionada a que todas las partes
interesadas.

Toda informacin es necesaria siempre que no provoque una congestin de la
informacinprovocandoretrasosparalaentidad,ademsestainformacintieneque
sercorrecta,breveyatiempo.

6.10.3.4Objetoyatributodeseleccin

Unobjetodemedicinysusatributosdebenseridentificadosenelcontextogeneraly
el alcance de un SGSI. Cabe sealar que un objeto de medicin puede tener varios
atributosaplicables.

El objeto y sus atributos para ser utilizados por la medicin deben ser seleccionados
sobrelabasedelaprioridaddeunasnecesidadescorrespondientesdelainformacin.

Losvaloresqueseasignaraunamedidadelabaseencuestinseobtienenmediante
laaplicacindeunamedidaapropiadayunmtodoparalosatributosseleccionados.
Estealgoritmodeseleccindebevelarporque:

133

Mediciones pertinentes y la base de un mtodo de medicin pertinente puedan ser

conocidos,

Resultados de la medicin significativa pueden realizarse con base en los valores
obtenidosydesarrolladosmedidas.

Caractersticas de los atributos seleccionados determinar qu tipo de un mtodo de
medicindebeserusadoparaobtenerlosvaloresqueseasignarnamedidasdebase
(porejemplo,cualitativaocuantitativa).

Datosquedescribenelobjetodemedidaylosatributoscorrespondientesdebenser
utilizados como los valores que sean asignados a las medidas de base. Ejemplos de
objetosdemedidas:

Losproductosyservicios;
Procesos;
Aplicableaactivostalescomoinstalaciones,aplicacionesysistemasdeinformacin.

Losatributosdebernserrevisadosparagarantizarque:

a) Quelosatributosapropiadoshansidoseleccionadosparalamedicin

b) Lacoleccindedatossehadefinidoparaquegarantizarunnmerosuficientede
atributosestpresenteparapermitirunamedicinefectiva

Slolosatributosquesonrelevantesparalamedidadebasecorrespondientedeben
de ser seleccionados. Aunque la seleccin de los atributos debe tener en cuenta el
grado de dificultad en la obtencin de los atributos que mida, no debe hacerse
nicamente en los datos que se obtienen fcilmente o el atributo de ser fcil de
medida.

Cabe destacar que no todos los atributos de un objeto son necesarios a la hora de
realizar las mediciones, algunos atributos pueden ser necesarios para una
determinadamedicinopuedenserparadiversasmediciones,ascomolasexistencias
deatributossinutilidadparalasmediciones.

Ademas cualquier tipo de atributo u objeto deber estar siempre documentado, as
comolasrazonesporlascualeshansidoelegidosparalaseleccin.

134

6.10.3.5Medicindeconstruireldesarrollo

6.10.3.5.1Medidadeseleccin

Lasmedidasquepodransatisfacerlanecesidaddeinformacinseleccionadadebende
ser identificadas. La identificacin de las medidas debe establecerse de manera
suficientemente detallada para permitir la seleccin de las medidas que deban
aplicarse.

Las medidas identificadas que podran satisfacer la necesidad de informacin
seleccionadadebendeserseleccionadas.

Las medidas seleccionadas deben reflejar la prioridad de las necesidades de
informacin.Otroscriteriosdeejemploquepuedenserutilizadosparalaseleccinde
medidasincluyen:
Lafacilidadderecogidadedatos;
Disponibilidadderecursoshumanospararecogerygestionarlosdatos;
Ladisponibilidaddeherramientasadecuadas;

Nmerodeindicadorespotencialmenterelevantesconelapoyodelamedidadela
base;

Facilidaddeinterpretacin;

Nmerodeusuariosdelosresultadosdemedicindesarrollados;

Laspruebasdeaptituddelamedidaparaelpropsitoylainformacinquenecesita;

Loscostesderecogida,gestinyanlisisdelosdatos.

Sepuederealizarunlistadodecriteriosporlaentidad,comoguaalahoradetomar
lasmedidasnecesarias,enrelacinaunenfoquecomn.

6.10.3.5.2Mtododemedicin

Para cada medida bsica individual un mtodo de medicin debe ser definido. Este
mtododemedicinesutilizadoparacuantificarunobjetodelamedicinatravsde
la transformacin de los atributos en el valor a asignar en la medida de base. Un
mtododemedicinpuedesersubjetivouobjetivo.Losmtodossubjetivossebasan
enlacuantificacindeparticipacindelaopinindelempleado,mientrasqueeluso
demtodosobjetivosdecuantificacinnumricabasadaenreglascomoelrecuento
deloquepodrllevarseacaboatravsdemedioshumanosoautomatizados.

135

Elmtododemedicincuantificalosatributoscomovaloresmediantelaaplicacinde
una escala adecuada. Cada escala utiliza unidades de medida. Slo las cantidades
expresadasenlamismaunidaddemedidaestndirectamentecomparables.

Para cada mtodo de medicin, el proceso de verificacin debe ser establecido y
documentado.Estaverificacindebegarantizarunniveldeconfianzaenelvalorque
se obtendr mediante la aplicacin de un mtodo de medicin que un atributo del
objetodemedicinyatribuidoaunactodebase.

Cuando sea necesario para determinar el valor vlido, herramientas utilizadas para
obtener los atributos deben estar normalizadas y verificadas en los intervalos
especificados.

Laprecisindelmtododemedidasedebetomarencuentayladesviacinasociadao
variacindeberquedarregistrado.

Unmtododemedicindebesercoherenteeneltiempodemaneraquelosvalores
asignadosaunamedidatomadadebaseendiferentesmomentossoncomparablesy
que los valores asignados a una medida derivada y un indicador tambin son
comparables.

6.10.3.5.3Medicindelafuncin

Paracadamedidaindividualderivadadeunafuncindemedicindeberserdefinida
para que se aplique a dos o ms los valores asignados a las medidas de base. Esta
funcin de medicin se utiliza para transformar los valores asignados a una o ms
medidasdebaseenelvalorqueseasignaaunamedidaderivada.Enalgunoscasos,
una base medida puede contribuir directamente al modelo analtico, adems deuna
medidaderivada.

Una funcin de medicin (por ejemplo, un clculo) puede implicar una variedad de
tcnicas, como promedio de valores asignados a las medidas de base, aplicar
ponderaciones de los valores asignados a las medidas de base o de asignar valores
cualitativosalosvaloresasignadosalasmedidasdebaseantesdeagregarqueenel
valorqueseasignaraunlasmedicionesobtenidas.Lafuncindemedicinpueden
combinar los valores asignados a las medidas de base utilizando diferentes escalas,
talescomoporcentajesylosresultadoscualitativosdeevaluacin.
Porlotantoseconsideraquelaentidaddebedebuscarnuevasfuncionesconelfinde
obtenerunosdatosmsprecisos,puedeexistirundeterminadogrupodepersonalde
la entidad encargados en la bsqueda de estas nuevas funciones para ayudar a la
entidad,debendeestarsiempreintentadoencontrarnuevosmtodos.

136

6.10.3.5.4Modelodeanlisis

Para cada indicador, un modelo de anlisis debe ser definido con el propsito de
transformarunoomsvaloresasignadosaunabasey/ounamedidaderivadaenel
valorqueseasignaaunindicador.

El modelo analtico combina medidas pertinentes en una forma que produce una
salidaqueseasignificativaparalaspartesinteresadas.

La decisin sobre criterios que se aplican a un indicador tambin debe tenerse en
cuentaaldefinirelmodelodeanlisis.

Avecesunmarcadomodeloanalticopuedesertansimplecomolatransformacinde
unnicovalorasignadoaunaderivamedidaenelvalorqueseasignaaunindicador.

6.10.3.5.5Indicadores

Losvaloresqueseasignarnalosindicadoressernproducidosporlaagregacinde
losvaloresasignadosaladerivadamedidaeinterpretacindeestosvaloresenfuncin
de los criterios de decisin. Para cada indicador que se informar al cliente para la
presentacin formal de un indicador como parte de formatos de informacin debe
definirse. Los formatos para la presentacin del indicador deben ser personalizados
parasatisfacerlasnecesidadesdeinformacindelcliente.

Todoslosindicadorestendrnqueestardocumentadosexplicandoenqueconsisten.

6.10.3.5.6Criteriosdedecisin
Los criterios de decisin que corresponden a cada indicador deben ser definidos y
documentados sobre la base de la informacin de los objetivos de seguridad, para
orientaraccionesconcretasparalosinteresados.Estaorientacindebeatenderalas
expectativasdeprogreso,ylosumbralesparainiciaraccionesdemejorabasadasenel
indicador.
Loscriteriosdedecisinestablecenunobjetivoporelcualelxitosemideyofrecer
orientacinsobreinterpretarelindicadorenrelacinconsuproximidadalameta.
Losobjetivosquedebenfijarseparacadaelementoconrespectoalrendimientodelos
procesos de SGSI y los controles, el logro de objetivos, y para la eficacia del SGSI a
evaluar.

Una vez que las correcciones de las acciones basadas en los datos iniciales son
identificados,loscriteriosadecuadosdedecisinyfasesdeaplicacinsepuededefinir
queseanrealistasparaunSGSIespecfico.

Elestablecimientodecriteriosdedecisinsepuedefacilitarsilosdatoshistricosque
serefierenalospasesdesarrolladososeleccionadosestndisponibles.Lastendencias

137

observadas en el pasado, dan una idea de los rangos de rendimiento que son
existentes previamente y orientar la creacin de criterios de decisin realistas. Los
criteriosdedecisinpuedensercalculadosobasadosenunacomprensinconceptual
de comportamiento esperado. Los criterios de decisin pueden derivarse de datos
histricos,planos,ylaheurstica,ocalculadocomoelcontroldelmitesestadsticos.

6.10.3.5.7Laspartesinteresadas

Para cada medida de las partes interesadas deben de ser identificadas y
documentadas.Laspartesinteresadaspuedenincluirlossiguientes:

a) Para la medida del cliente: la gestin de otras partes interesadas que soliciten o
requieraninformacinsobrelaeficaciadeunSGSI,controlesogrupodecontroles;

b) Revisor de medicin: la persona o unidad organizativa que valida que los pases
desarrolladoscondichamedicindelasconstruccionessonapropiadasparaevaluarla
eficaciadeunSGSI,controlesodegrupodemando;

c) Propietarios de la informacin: la persona o unidad organizativa que posee la
informacin acerca de un objeto de medicin y atributos y es responsable de la
medicin;

d) Informacin del colector: la persona o unidad organizativa responsable de la
recogida,registroyalmacenamientolosdatos

e)Informacindelcomunicador:lapersonaounidadorganizativaresponsabledelos
anlisisdedatosquetienequecomunicarlosresultadosdelamedicin.

Laraznporlaquehayqueidentificarydocumentarresideenquetodasellasforman
partedelprogramademedicindeseguridaddelainformacinyportantohayque
estarpendientesdeellassiempre.

6.10.3.6Construccindemedicin
Como mnimo, la construccin de medicin especificada debe contener la siguiente

informacin:
a)Objetodelamedicin;
b)Objetivodecontrolquedebealcanzarloscontrolesycontrolesespecficos,elgrupo
deloscontrolesyelprocesodeSGSIamedir;
c)Objetodelamedicin;
d)Datosqueserecogeyseutilizan;
e)Losprocesosderecogidadedatosyanlisis;

138

f)Procesoparalapresentacindeinformesderesultadosdelasmediciones,incluidos
losinformes
g)Lasresponsabilidadesdelaspartesinteresadaspertinentes
h) Un ciclo de revisin de la medida para garantizar su utilidad en relacin con una

necesidaddeinformacin.
6.10.3.7Reunindedatos,anlisisypresentacindeinformes
Losprocedimientosderecogidadedatosyanlisis,ylosprocesosdecomunicacinde
los resultados de medicin desarrollados deben de ser establecidos. Apoyo a
herramientas,equiposdemedicinytecnologasdebenseralgoritmosestablecidos,si
esnecesario.Estosprocedimientos,herramientas,equiposdemedicinytecnologas
sedirigirnalassiguientesactividades:
a)Larecopilacindedatos,incluidoelalmacenamientodedatosylaverificacin.Los
procedimientos deben identificar cmo los datos se recogen mediante el mtodo de
medicin,medicindelafuncinyelmodelodeanlisis,ascomoelcmoyeldnde
sealmacenarnjuntocontodalainformacindecontextonecesariaparacomprender
ycomprobarlosdatos.Laverificacindedatospuedehacersemediantelainspeccin
delosdatoscontraunalistadecontrolqueseconstruyeparaverificarquelosdatos
quefaltansonmnimos,yqueelvalorquesehaasignadoacadamedidaesvlido.
b) Anlisis de datos y presentacin de informes de resultados de medicin

desarrollados.Losprocedimientosdebernespecificarlastcnicasdeanlisisdedatos,
ylafrecuencia,aspectosformalesylosmtodosparainformardelosresultadosdelas
mediciones. La gama de herramientas que pueden ser necesaria para realizar el
anlisisdedatosdebenseridentificadas.

Ejemplosdeformatosdeinformacinson:

Cuadros de mando para proporcionar informacin estratgica mediante la
integracindelosindicadoresdealtonivel;

Laejecucinylaoperacinenelcuadrodemandomenoscentradaenlosobjetivos
estratgicosymsvinculadosalaeficaciadeloscontrolesyprocesosespecficos;

Los informes, tales como una lista de medidas para un periodo de tiempo
determinado, resmenes de vinculacin. Los informes se utilizan mejor cuando el
usuariotienequemiraralosdatosenunformatofcildeleer,

Los calibradores que representan un valor dinmico, incluidos las alertas, los
elementosgrficosadicionalesyetiquetadodecriteriosdevaloracin.

139

Todosestoselementosformanpartedelamedicinysondevitalnecesidadconelfin
detenertodolosdetallescontrolados.

6.10.3.8Medicindelaimplementacinyladocumentacin

Elenfoqueglobaldelamedidadebeserdocumentadoenunplandeimplementacin.
Lapuestaenprcticadebeincluirlasiguienteinformacincomomnimo:

a) El programa de la seguridad de la informacin de medicin implementado para la
organizacin;

b)Medicindelasiguienteespecificacin:

1)Lamedicingenricadelaconstruccindelaorganizacin;

2)Medicinindividualdelasconstruccionesdelaorganizacin,

3) Definicin de la gama y los procedimientos de recopilacin de datos y
anlisisdedatos;

c)Plandecalendariopararealizarlasactividadesdemedicin;

d) Los registros creados a travs de actividades de medicin, entre ellas los datos
recopiladosylosregistrosdeanlisis;

e) formatos de los informes de resultados de las mediciones que se comunique a la
direccinylosagentesinteresados

6.10.4Medicindelaoperacin


La operacin de medida de seguridad de informacin incluye actividades que son
esenciales para asegurar que los resultados obtenidos en la medicin proporcionen
informacinprecisaconrespectoalaeficaciadeunaaplicacinSGSI,controlesogrupo
decontrolesylanecesidaddeaccionesdemejoraapropiadas.Estaactividadincluyeel
textosiguiente:

a)Laintegracindelosprocedimientosdemedicinenelfuncionamientogeneraldel
SGSI.

b)Reunir,almacenaryverificarlosdatos.

140

6.10.4.2Procedimientodeintegracin
El programa de medicin de seguridad de la informacin debe estar plenamente

integrada y utilizada por el SGSI. El procedimiento de medicin debe ser coordinado
conelfuncionamientodelSGSI,incluyendo:
a) Definicin y documentacin de las funciones, autoridad y responsabilidad, con

respecto al desarrollo, implementacin y mantenimiento de informacin de medidas
deseguridad;
b) Recopilacin de datos y, cuando sea necesario, que modifica el actual

funcionamiento del SGSI para dar cabida a los datos actividades de generacin y
recoleccin;

c)Comunicacindeloscambiosenlasactividadesderecopilacindedatosalaspartes
interesadas;

d)Mantenimientodelacompetenciaderecolectoresdeinformacinylacomprensin
de los tipos de datos requeridos, los datos herramientas de recoleccin y los
procedimientosderecopilacindedatos;

e)Desarrollodepolticasyprocedimientosquedefinenelusodelamedidadentrode
la organizacin, difusin de la informacin de medida, verificacin y revisin de la
SeguridaddelaInformacinyMedicindelPrograma;

f) Integracin de anlisis de datos y presentacin de informes en los procesos
pertinentesparaasegurarsufuncionamientoregular;

g)Elseguimiento,revisinyevaluacinderesultadosdelamedicin;

h) Establecimiento de un proceso de retirada de las medidas a cabo y la adicin de
nuevasmedidasparagarantizarsuevolucionarconlaorganizacin

i)Establecimientodeunprocesoparadeterminarelusodevidadelosdatoshistricos
paraanlisisdetendencias.

Estos puntos nos sirven de gua a la hora de integrar el programa de medicin en el
SGSI, y a la hora de realizar dicho puntos encontraremos los posibles problemas en
dichaintegracin.

6.10.4.3Reunindedatos,almacenamientoyverificacin

La recoleccin de datos, almacenamiento y actividades de verificacin incluyen las
siguientes:

a) Reunir los datos requeridos, dentro de los intervalos regulares a travs de un
mtododemedicindesignada;

141

b)Ladocumentacindelarecogidadedatos,incluyendo:

1)Fecha,horaylugardereunindedatos;

2)Colectordelainformacin;

3)Informacindelpropietario;

4) Los problemas que surgieron durante la recogida de datos que pueden ser
tiles;

5)Informacinparalaverificacinymedicindedatosdevalidacin

c)Verificacindelosdatosrecogidoscontralasmedidasdeloscriteriosdeselecciny
medicin de las construcciones de validacin. Los datos recogidos y cualquier
informacin de contexto necesaria deben ser consolidados y restaurados en una
grabacinformalconducentesalanlisisdedatos.

6.10.5Resultadosdeanlisisdelosdatosylamedicindepresentacindeinformes


Losdatosrecogidosdebenseranalizadosparadesarrollarlosresultadosdemediciny
resultadosobtenidosenlamedicindebensercomunicados.Estaactividadincluye:

a)Elanlisisdelosdatosyeldesarrolloderesultadosdelamedicin,

b)Comunicarresultadosdelasmedicionesalaspartesinteresadas.

6.10.5.2Anlisisdelosdatosydesarrollodelosresultadosdemedicin
Losdatosrecogidosdebenseranalizadoseinterpretadosentrminosdeloscriterios
de decisin. Los datos pueden ser agregados, transformados, o recodificados antes
delanlisis.Duranteestatarea,losdatosseprocesanparaproducirlosindicadores.Se
puedeaplicarunnmerodetcnicasdeanlisis.Laprofundidaddelanlisisdeberser
determinadaporlanaturalezadelosdatosylanecesidaddeinformacin.
Losresultadosdeanlisisdedatosdebenserinterpretados.Lapersonaqueanalizalos
resultados (comunicador) debe ser capaz de extraer algunas conclusiones iniciales
sobrelabasedelosresultados.Sinembargo,elcomunicadorpuedenoserparticpe
directamente en las conclusiones tcnicas y procesos de gestin, y deben ser
revisadasporotroslaspartesinteresadas.

142

El anlisis de datos debe identificar las brechas entre los resultados esperados y la
medicin real de una aplicacin SGSI, controles o grupos de controles. Las brechas
detectadasapuntarnalasnecesidadesparamejorarelSGSIenprctica,incluyendo
sualcance,laspolticas,objetivos,controles,procesosyprocedimientos.
Los indicadores que demuestren el incumplimiento o mal desempeo deben ser

identificadosysepuedeclasificarcomosigue:

a) El tratamiento del riesgo para implantar o suficientemente implementar, operar y
administrar los controles o procesos SGSI (por ejemplo, controles y procesos SGSI
puedenpasarporaltolasamenazas);

b)Faltadeevaluacinderiesgos:

1)LoscontrolesoprocesosSGSIsonineficacesporquenosonsuficientespara
contrarrestar cualesquiera amenazas estimadas (por ejemplo, porque la
probabilidad de las amenazas fue subestimada), o afrontar las nuevas
amenazas;

2)LoscontrolesoprocesosSGSInoseaplican,debidoalasamenazasporalto.
Los informes que se utilizan para comunicar los resultados de medicin a las
partes interesadas deben estar preparados utilizando formatos apropiados de
referencia, de conformidad con el plan de implementacin del programa de
seguridaddeinformacindelamedicin.

Las conclusiones del anlisis deben ser revisada por las partes interesadas para
garantizarlacorrectainterpretacindelosdatos.Losresultadosdelanlisisdedatos
debenserdocumentadosparalacomunicacinalosinteresados.

6.10.5.3Comunicarlosresultadosdemedicin

El comunicador de la informacin debe determinar la forma de comunicar los
resultadosdelamedidadeseguridaddelainformacin,talescomo:

Quresultadosdelamedicinsehabrndecomunicarinternayexternamente?;

Listados de las medidas correspondientes a actores individuales, y las partes
interesadas;

Los resultados especficos de medicin que debern realizarse, y el tipo de
presentacin,adaptadosalasnecesidadesdecadagrupo,

Medidaspararecabarlaopinindelosinteresadosqueseutilizarnparaevaluarla
utilidad de resultados de la medicin y laeficacia de Seguridad dela Informacin de
medicin.

143

Los resultados de medicin deben ser comunicados a una variedad de grupos de
intersinternosincluyendoa:

Clientesparalamedicin

Informacinpropietarios

Personal a cargo de la gestin de la informacin de riesgos de seguridad,
especialmentedondeelfracasoderiesgodeevaluacinseanconocido

Elpersonalresponsabledelasreasidentificadasennecesidaddemejoramiento.

Laorganizacinpodrsolicitar,enalgunoscasosparadistribuirinformesderesultados
delamedicinalaspartesexternas,incluidaslasautoridadesreguladoras,accionistas,
clientes y proveedores. Se recomienda que los informes sobre resultados de las
medicionesquesedistribuyanalexteriorslocontenganlosdatosapropiadosparala
liberacin externa y sean aprobados por la administracin y las partes interesadas
antesdeserliberados.

El comunicador tiene una gran responsabilidad ya que las decisiones que tome para
indicarquedeterminadosresultadoshabrquesealarinternamenteoexternamente
tendrnunagraninfluenciaenlatomadedecisiones.

6.10.6ProgramademedicindeseguridaddelainformacindeEvaluacinyMejora
Laorganizacindebeevaluaraintervalosplanificadoslosiguiente:
a) La eficacia de la aplicacin de medicin de seguridad de la informacin para

asegurarsedeque:
1)Produceresultadosdemedicindeunamaneraeficaz;
2)seejecutasegnloprevisto;
3)loscambiosdedireccionesenelSGSIimplementadoy/ocontroles;
4)cambiosdedireccionesenelmedioambiente(porejemplo,losrequisitos,la
legislacinolatecnologa),
b) Utilidad de los resultados de medicin desarrollados para garantizar que se

satisfagan las necesidades de informacin pertinentes. La administracin debe
especificar la frecuencia de dicha evaluacin, el plan de revisiones peridicas y

144

establecer los mecanismos para hacer posibles revisiones. Las actividades

correspondientesquedebenserlassiguientes:
1)DeterminarloscriteriosdeevaluacinparalamedicindelaSeguridadde
laInformacin;
2)Parasupervisar,revisaryevaluarlamedicin,
3)Implementarmejoras

6.10.6.2 Criterios de evaluacin de identificacin del programa de medicin de
seguridaddelainformacin

La organizacin debe definir los criterios para evaluar la eficacia del programa de
medicin de seguridad de la informacin, as como la utilidad de los resultados de
medicindesarrollados.Loscriteriosdebenserdefinidosenelcomienzodelprograma
de medicin de seguridad de la informacin, teniendo en cuenta los objetivos de
negociodelaorganizacin.

Los criterios ms probables cuando las organizaciones deben evaluar y mejorar la
seguridaddelainformacinaplicadasalprogramademedicinson:

Cambiosenlosobjetivosdenegociodelaorganizacin;

Loscambiosenlosrequisitoslegalesoreglamentariosylasobligacionescontractuales
enmateriadeseguridaddelainformacin;

Cambiosenlosrequisitosdeorganizacinenmateriadeseguridaddelainformacin;

Loscambiosenlosriesgosdeseguridaddelainformacinalaorganizacin;

Mayor disponibilidad de datos ms precisos o convenientes y / o mtodos para
recogerdatosparalamedicin;

Loscambiosenelobjetodelamediday/osusatributos;

Los siguientes criterios pueden aplicarse para evaluar los resultados de medicin
desarrollada

a)Losresultadosdemedicinson:

1)Fcilesdeentender;

2)Comunicadosdemaneraoportuna

145

3)Objetivos,comparablesyreproducibles.

b)Losprocesosestablecidosparaeldesarrollodelosresultadosdemedicinson:

1)Biendefinidos;

2)Facilidaddeoperacin;

3)Seguidoscorrectamente.

c)Losresultadosdemedicinsontilesparamejorarlaseguridaddelainformacin.

d) Los resultados de medicin que corresponde atender a las necesidades de
informacin.

6.10.6.3Monitorizar,revisaryevaluarelprogramademedicindeseguridadde la
informacin

La organizacin debe supervisar, revisar y evaluar su programa de medicin de
seguridaddelainformacinconloscriteriosestablecidos.

Laorganizacindebeidentificarlasnecesidadesdepotencialdemejoradelamedicin
deprogramadeSeguridaddelaInformacin,incluyendo:

a)Larevisindelasmedidasadoptadas,oeliminarlasconstruccionesqueyanoson
apropiadas,

b) Volver a la asignacin de recursos para apoyar la seguridad de la informacin de
medicin.

LaorganizacintambindebeidentificarlasposiblesnecesidadesdemejoradelSGSI,
incluido su mbito de aplicacin, las polticas, objetivos, controles, procesos y
procedimientos, y las decisiones de gestin de documentos para permitir la
comparacinyanlisisdetendenciasdurantelasrevisionesposteriores.
Los resultados de esta evaluacin y las necesidades identificadas de potencial de

mejora deben ser comunicadas a las partes interesadas pertinentes para permitir la
tomadedecisionesrelativasalasmejorasnecesarias.

Elprogramademedicindeseguridaddelainformacindeberestarsiempreseguido
porpartedelaentidaddesdesusinicios,conloscambiosqueserealicendurantesu
vidahastaelpuntoenquenoseadeutilidadalaempresayseadescartado.Ademas
esto servir de experiencia para futuros programas de medicin de seguridad de la
informacinqueutilicelaempresayaquepodrncompararlosencualquiermomentos
conlosanterioresutilizados,encasodequequierancomprobaralgunadiferencia.

146

6.10.6.4Implementarmejoras

La organizacin debe asegurarse de que haya interesados en identificar las mejoras
necesarias del programa de medicin de seguridad de la informacin. Las mejoras
identificadasdebenseraprobadasporladireccin.Losplanesaprobadosdebenestar
documentadosycomunicadosalosinteresadosquecorresponda.

La organizacin debe asegurarse de que las mejoras aprobadas de la informacin de
medidadeseguridaddelprogramaseestnejecutandosegnloprevisto.

Laorganizacintendrqueestarbuscandosiemprelamejoracontinua.
6.10.7PLANTILLAS
6.10.7.1Plantillabase
A continuacin pondremos una plantilla base para una medida de seguridad de la

informacinaconstruir.
Identificacindelamedicinaconstruir
Nombredelamedicindeconstruccin Nombredelamedicin
Identificadornumrico Numeronicodeidentificacinnumricode
laorganizacin
Propsitodelamedidaaconstruir Describirlasrazonesparalarealizacindetal
medicin
Control/Procesoobjetivo Control/procesoobjetivobajolamedicin
Control(1)/Proceso(1) Control/procesobajomedicin
Control(2)/Proceso(2) Opcional:otroscontrolesyprocesosincluidos
dentrodelamismamedicin
Objetodelamedicinyatributos
Objetodemedicin Objeto (entidad) que se caracteriza a travs

de la medicin de sus atributos. Un objeto
puede incluir procesos, planes, proyectos,
recursos y sistemas o componentes del
sistema.
Atributo Propiedad o caracterstica de un objeto de la

medicin que se pueden distinguir cuantitativa
o cualitativamente por medios humanos o

147

automatizados.
Base medida de las especificaciones (por cada medida de referencia [1 .. n])
Basemedida Una medida base es definida en trminos de

un atributo y el mtodo de medicin
especificado para su cuantificacin (por
ejemplo: Nmero de personal capacitado, el
nmero de sitios, el costo acumulado hasta la
fecha). Como se recopilan los datos, se
asigna un valor a una medida de base.
Mtododemedicin Secuencia lgica de las operaciones

utilizadas en la cuantificacin de un atributo
con respecto a una escala determinada.
Tipo de mtodo de medicin Dependiendo de la naturaleza de las

operaciones utilizadas para cuantificar un
atributo, dos tipos de mtodo se pueden
distinguir:
-Subjetiva: cuantificacin que entraan juicios
humanos.
-Objetivo: cuantificacin numrica basada en
normas tales como contar.
Escala Conjunto ordenado de valores o categoras a

las que atribuyen la medida base.
Tipodeescala Dependiendo de la naturaleza de la relacin

entre los valores de la escala, cuatro tipos de
escala se definen habitualmente: nominal,
ordinal, intervalo y proporciones.
Unidaddemedida Especial cuantificar, definido y aprobado por

la convencin, con la que cualquier otra
cantidad de la misma clase se puede
comparar a expresar la relacin de las dos
cantidades como un nmero.
Especificacindelamedidaderivada
Medidaderivada Una medida que se deriva en funcin de las

medidas de dos o ms bases
Medicin de la funcin Algoritmo de clculo de combinar dos o ms

medidas de base. La escala y la unidad de la
medida derivados dependen de las escalas y
las unidades de las medidas de base desde la
cual se compone, as como la forma en que
se combinan por la funcin
Especificacindelindicador

148

Indicador Medida que proporciona una estimacin o

evaluacin de los atributos especificados
derivados de un modelo de anlisis con
respecto a una necesidad de informacin
definida. Los indicadores son la base para el
anlisis y toma de decisiones
Modeloanaltico Algoritmo de clculo o la mezcla de uno o

ms de base y / o las medidas derivadas de
los criterios de decisin correspondiente. Se
basa en el conocimiento de, o supuestos
sobre la relacin esperada entre la base y / o
derivados de la medida y / o su
comportamiento en el tiempo. Un modelo
analtico produce estimaciones o las
evaluaciones correspondientes a una
necesidad de informacin definida
Especificacindeloscriteriosdedecisin
Decisincriterios Umbrales, objetivos, o patrones que se

utilizan para determinar la necesidad de una
accin o investigacin, o para describir el
nivel de confianza en un resultado dado.
Criterios de decisin ayudarn a interpretar
los resultados de la medicin
Resultadosdelasmediciones
Interpretacindeindicador Una descripcin de cmo el indicador debe

ser interpretado
Formatosdelosinformes Formatos de los informes deben ser

identificados y documentados. Describir las
observaciones que la organizacin o el titular
de la informacin desea. Formatos de
presentacin visual se describen las medidas
y se da una explicacin verbal de los
indicadores. Los formatos de presentacin de
informes deben ser personalizados para el
cliente.
Laspartesinteresadas
Clienteparalamedicin Gestin o de otras partes interesadas que

soliciten o requieran informacin sobre la
eficacia de un SGSI, controles o grupo de
controles
Revisorparalamedicin Persona o unidad organizativa que valida que

la medicin desarrollada es apropiada para
evaluar la eficacia de un SGSI, controles o
grupo de controles

149

Propietariodelainformacin Persona o unidad organizativa que posee la

informacin acerca de un objeto de medicin
y los atributos y es responsable de la
medicin
Colectordelainformacin Persona o unidad organizativa responsable

de la recogida, registro y almacenamiento de
los datos
Comunicadordelainformacin Persona o unidad organizativa responsable

de anlisis de datos y de comunicar los
resultados de la medicin.
Frecuencia/periodo
Frecuenciadelarecogidadedatos Conqufrecuenciaserecopilanlosdatos?
Frecuenciadeanlisisdedatos Conqufrecuenciaseanalizanlosdatos?
La frecuencia de presentacin de informes Conqufrecuencialosresultadosson

resultados de las mediciones presentados?
Medicin de la revisin Fecha de revisin de medida (de caducidad o

renovacin de medicin de validez)
Periododemedicin Defineelperiodoquesemide

150

6.10.7.2Plantilladeejemplo
Acontinuacinvamosaponerunaplantilladeejemplorespectoalentrenamientodel
personaldelSGSI.
identificacindelamedicinaconstruir
Nombredelamedicindeconstruccin SGSIpersonalcapacitado
Identificadornumrico Especficodecadaorganizacin
Propsitodelamedidaaconstruir Para determinar el cumplimiento con la

poltica de control de la organizacin de
seguridad de la informacin
Control/Procesodeobjetivos Formacin, sensibilizacin y competencia

profesional
Control(1)/Proceso(1) Formacin, sensibilizacin y competencia

profesional. La organizacin debe
asegurarse de que todos los empleados a
quien es se asignan responsabilidades
definidas en el SGSI son competentes
para realizar las tareas que corresponden
a: d) llevar un registro o la educacin,
formacin, habilidades, experiencia y
calificaciones.
Control(2)/Proceso(2) Opcional: nuevos controles dentro del

grupo incluido en la misma medida en su
caso (planificacin o de ejecucin)
Objetodelamedicinyatributos
Objetodemedicin Empleadosdelabasededatos
Atributo Registrosdeentrenamiento
Basemedidadelasespecificaciones(porcadamedidadereferencia[1..n])
Basemedida Nmero de empleados que recibieron

formacin SGSI segn el plan anual de
capacitacin SGSI.
Nmero de empleados que tienen que
recibir una formacin SGSI

151

Mtododemedicin Cuenta de registros con el campo de

entrenamiento SGSI / fila como relleno
para indicar el estado deRecibido
Tipo de mtodo de medicin Objetivo
Escala Numrico
Tipodeescala Proporcin
Unidaddemedida Empleado
Especificacindelamedidaderivada
Medidaderivada Porcentaje de ISMS - personal

capacitado
Medicin de la funcin Nmero de empleados que recibieron

formacin SGSI / nmero de empleados
que tienen que recibir una formacin
SGSI * 100
Especificacindelindicador
Indicador El uso de un cdigo de colores con

colores identificadores. Grfico de barras
que representa el cumplimiento durante
varios perodos de informacin en
relacin con los umbrales (rojo, amarillo,
verde) definido por el modelo analtico. El
nmero de los perodos de informacin
que se utilizar en la tabla debe ser
definida por la organizacin
Modeloanaltico 0-60% - Rojo, Amarillo 60-90%; 90-100%

Verde. Para el amarillo, si el progreso de
al menos 10% por trimestre no se logra,
nmero de forma automtica rojo
Especificacin de los criterios de decisin
Criteriosdedecisin Rojo - se requiere la intervencin, el

anlisis de la causalidad debe llevarse a
cabo para determinar las razones de
incumplimiento y mal desempeo.
Amarillo - indicador debe ser vigilado de
cerca por el deslizamiento posible rojo.
Verde - no requiere ninguna accin
Resultadosdelasmediciones

152

Interpretacindeindicador Especificodelaorganizacin
Formatosdelosinformes Grfico de barras con barras de colores

sobre la base de criterios de decisin.
Breve resumen de lo que significa la
medida y las posibles medidas de gestin
de atribuirse a la grfica de barras
Laspartesinteresadas
Clienteparalamedicin Los gerentes responsables de un SGSI
Revisorparalamedicin Los gerentes responsables de un SGSI
Propietariodelainformacin Gerente de Capacitacin - Recursos

Humanos
Colectordelainformacin Formacin de gestin - departamento de

recursos humanos
Comunicadordelainformacin Los gerentes responsables de un SGSI
Frecuencia/periodo
Frecuenciadelarecogidadedatos Mensualmente, primer da de mes
Frecuenciadeanlisisdedatos Trimestral
Lafrecuenciadepresentacindeinformes Trimestral
resultadosdelasmediciones
Medicindelarevisin Revisin anual
Periododemedicin Anual

153

7.CUESTIONARIOAPLICACION

7.1Introduccin
Paraayudaralosauditoresalahoradelarealizacindelcuestionariohepartidodel
programaFreeexam,conelcualelauditorpodrcrearomodificarcualquiertipode
cuestionario, en caso de que tenga preguntas o respuestas ambiguas, en funcin de
susnecesidades,etc.;ademselprogramasoportalostestmultirespuesta,ascomo
losdeverdaderoyfalso,etc.
7.2Creacindeuncuestionario.
Como es un ejemplo de creacin de un cuestionario haremos uno de prueba con

preguntassimplesysinrelacinconlaauditora.
Empezaremosejecutandoelarchivoelcualnosmostrarlasiguienteimagen.

154

En la cual podemos desde cargar un cuestionario guardado anteriormente como

realizarunonuevo.
Ahorapartiremosdeunonuevo
Siledamosalbotndecrear(New)pasaremosalasiguienteimagen

En la cual pondremos un nombre al cuestionario para crearlo, as como la ubicacin
dondeloqueremosguardar.
Unavezguardadopasaremosalasiguienteimagen.

155

Enestapartetendremosqueponerunnombrealcuestionario,ascomoelautorque
lohacreado,suversinyunapequeadescripcinparaelproyecto.
Tambin tenemos que rellenar el tanto por ciento necesario que hay que tener
acertadoparaquecuandoserealiceseaconsideradocomoapto(enestecaso60%),
as como el numero de cuestiones en este caso 10 y lo ltimo sera el tiempo lmite
para hacerlo (como no hay necesidad de poner un tiempo lmite simplemente
ponemos la cantidad mxima de minutos para realizarlo, en este caso 300 minutos).
Unavezcubiertasestascaractersticasledamosalbotndesalvar(Save).
Ahoranossaldrestaimagen:

156

Enlacualnoscomunicaqueelcuestionariohasidocreadoyqueserde10preguntas,
sinembargonosindicaquesolohay1preguntacreada(el1vienepordefecto),porlo
tantoahorahayqueintroducirlaspreguntasdenuestrocuestionario.
Para ello como ya tenemos seleccionado el cuestionario creado, por defecto, ahora
tendremosquepulsarelbotndeeditar(Edit).

157

Enestepunto,tendremosqueintroducirlacuestin,ascomosusposiblesrespuestas
y la explicacin. Para indicar cul es la respuesta correcta haremos clic al lado de la
preguntaenestacasoeslaB.
Una vez realizada correctamente la pregunta, como sus posibles respuestas y su

explicacin,haremosclicenelbotnEdit,conloquenosguardarpreguntaeneltest.
PararealizarlasiguientepreguntaharemosclicenAdd.

158

EnestasegundapreguntahemoselegidolaopcindetipoVERDADEROoFALSO(true
ofalse).
AligualquelaanteriorrellenaremosloscuadrosenblancoyvolveremosapulsarEdit
parasalvarlapreguntayAddparapasaralasiguiente.

159

Enestecasohemoselegidounapreguntaconmultirespuesta.
ConbotonesenformadeflechaquehayencimadelbotnEdit,podremosmovernos
de una pregunta a otra y si escribimos el nmero de pregunta y luego pulsamos GO
iremosdirectamenteaesapregunta.
Ahoraharemoselltimocasoquepodemoshacerdepregunta.

160

Estapreguntaconsistirenquehayquerellenarlarespuesta.
UnavezfinalizadonuestrocuestionariotendremosquepulsarelbotndeSaveconlo
cual guardaremos de forma correcta nuestro cuestionario, para finalizar pulsaremos
Exit.
En caso de que cuando realicemos el cuestionario por primera vez y aparezca una
pregunta que no tiene nada que ver pulsaremos el botn de New. Para empezar a
partirdecero.
UnavezpulsadoelbotndeExitvolveremosaaparecerenlasiguientefigura

161

Enlacualnoscomunicaquenuestrocuestionariode10preguntastiene10preguntas
creadas.

162

8.USODELCUESTIONARIO

En este punto comentaremos la realizacin de uno de los cuestionarios reales
creados para el proyecto por parte del auditado. En este caso haremos el
cuestionariosobrelosterremotos.

Ejecutamoselprogramayempezaremosenestaventana.

AhorapulsaremoselbotndeLOADconelfindecargaruncuestionario,elcualya
hasidocreadoyalmacenado.

163

En este caso elegimos el archivo Terremotos.dat el cual contiene el cuestionario a
realizar.

164

AhorapulsaremoselbotndeRUNparalarealizacindelcuestionario

165

En este caso, tendremos que responder si nuestros equipos informticos estn en

mesas antiterremotos en nuestra entidad, dependiendo del auditado tendr que
elegirentreSoNo.
Una vez respondida dicha pregunta podemos dar al botn de NEXT para la siguiente
preguntadelcuestionario.

166

El botn de PREVIOUS nos har movernos sobre las cuestiones anteriores por si
queremosvolveraleeryresponderunapregunta,mientrasqueelNEXTnosmover
paraadelante.

167

Contestamosypasamosalasiguientepregunta.

168

Tambinencualquiermomentopodemosparardehacerelcuestionariopulsandoel
botndePAUSE,peroenestoscuestionariosnoesnecesariodebidoaquetienenun
tiempobastantegrandepararealizarlos.

169

Una vez realizada la ltima pregunta del cuestionario, haremos clic en el botn END
EXAMconelfindequenosmuestrelosresultadosobtenidos.

170

Enestaimagennosindicaquehasidoapto,altenerun60%yportantoalserigualo
mayor (en este caso igual a la hora de tener un 60% como mnimo de cuestiones
correctas) correcto de las cuestiones de la auditora, adems si hacemos clic en
cualquierpreguntanosmostrarlossiguiente.

171

Estaimagennosmuestralapreguntaseleccionada,ascomolarespuestacorrectaen
colorverde(enestecasolaA),ylarespuestadelauditado(enesecasolaB),quetiene
queserparaunaentidadalahoradelequipamientodelosterremotos.
Para finalizar si pulsamos el botn SHOW ANSWER, nos mostrar una pequea
explicacin.

172

Enlaexplicacinavisamosqueserecomiendatenerunplandemantenimiento.

173

9.PREGUNTASDELCUESTIONARIO

9.1Introduccin

En este punto indicaremos todas las preguntas que he introducido en los
cuestionarios realizados. Las preguntas se agrupan dependiendo del tipo de
cuestionario.

CaberecalcarquelamayoradepreguntasserespondenconSoNo,hepensado
enlaideaderealizarlosconmltiplespesos(nada,poco,bastante,mucho,todo,o
usosdetantosporcientos),peroelproblemaquemesurgaeraelsiguiente.

Uncaso:

Tiene el mismo significado decir poco para el auditado de una gran empresa
queparaunapequea?

Si un auditor estuviera realizando una auditora y le preguntase al auditado
cuntos ordenadores sin control de acceso tiene en su organizacin? Y este
respondiera al cuestionario con la respuesta de pocos, tendra el mismo
significadosilaentidadalaqueestamoshaciendolaauditorafuesepequea?Tal
vez pocos para una entidad grande podra ser una grave brecha de seguridad,
mientrasqueparaunaentidadpequeaseraunamnimabrecha.

Otrocaso:
Ysielauditadorespondieraconun%?

Sielauditadocomentaquesolotienemenosdeun10%deordenadoressincontrol
de acceso tal vez en una entidad pequea que tiene unos 2050 equipos
informticos,esetantoporcientoseramnimo,siendodeunos25ordenadores
comomuchoysiendoasunabrechafcildesolucionar,peroimaginemosquees
una empresa multinacional con cientos o miles de ordenadores repartidos por
todas sus oficinas, ese tanto por ciento aunque es mnimo tiene una cantidad
altsima de equipos sin control de acceso, siendo una gravsima brecha de
seguridadensusequipos.

Nosepuedecastigaropenalizarporigualaunaentidadqueseagrande,mediana
o pequea. Por tanto los pesos tendran que ser diferentes para cada tipo de
entidad.

174

Porestasrazoneshedecididoquelascuestionesserespondanconunsono,es
decirsecumpleonosecumple.S=1No=0.

Ademsladecisindehacerloenbaseadosnicasrespuestassecentraenqueel
cuestionariopuedeaplicarseacualquiertipodetamaodeempresatantogrande,
medianaobaja.

Paraqueuncuestionarioseaaptotendrquetenercomomnimoun60%como
para garantizar que tiene una seguridad mnima, aunque posiblemente no la
suficiente, ya que por debajo de ese 60% el auditado tendra serios problemas,
ante posibles incidencias en el futuro. Aun as ser el auditor quien tomar la
ltima palabra a la hora de elegir los tantos por cientos y de contemplar ciertos
aspectos los cuales pueden escapar a los cuestionarios, al fin al cabo, el auditor
tomar las respuestas de dichos cuestionarios como parte de sus informes a la
horadelarealizacindelaauditora,yaquesirvedeapoyoalauditor.

Por ltimo, tengo que comentar que se recomienda hacer los cuestionarios con
respuestas basadas en mltiples pesos, pero para ello hay que conocer
previamenteeltamaodelaentidadparaajustarlospesosasuscorrespondientes
medidasparalasdeterminadasentidades.

Preguntas.

Acontinuacinpondremostodaslaspreguntasdeloscuestionariosrealizados.

175

9.2Cuestiones

CUESTIONARIOS:

TERREMOTOS
1.Lasituacinfsicadeledificiodelaentidadestenunazonadondehay
existenciasdeterremotos? SNo
2.Losequiposinformticosestnenposicioneselevadasponiendoenpeligro
recursostantoshumanoscomofsicos? SNo
3.Seutilizanequipamientos(mesas,sillas)antiterremotos? SNo
4.Losequiposinformticosestnenmesasantiterremotos? SNo
5.Elequipamientoantiterremotostienenunplandemantenimiento? SNo

INUNDACIONES
existenciadeinundaciones? SNo
existenciadelagos,riachuelos,ros,mar? SNo
3.Sehaestablecidoelusodedetectoresdeaguaeneledificiodelaentidad? SNo
4.Existenciadecaerasenmalestado? SNo
5.Serevisanlascaeras? SNo
6.Existenciadecaerascercadecomponenteselctricos? SNo
7.Losdetectoresdeaguatienenunplandemantenimiento? SNo
8.Haypulsadordealarmadeinundacinparaserpulsadoporelpersonalde
laentidad? SNo
9.Lasalarmasdeinundacinavisanalosbomberos,hospitales,polica? SNo

FUEGOS
1.Elpersonaldelaentidadfumadentrodelasinstalacionesdelaentidad? SNo
2.Sehanestablecidozonadefumadoresparaelpersonaldelaentidadconel
findeevitardequefumenaescondidasdentrodeledificio(baos,escaleras)? SNo
3.Haypaneleselctricosdeteriorados? SNo
4.Haysimulacrosdeincendios? SNo
5.Usodematerialinflamable(mesas,sofas,etc)? SNo
6.Hacencursosdeformacindeprimerosauxiliosporpartedelpersonalde
laentidad? SNo
7.Hacencursosdeformacincontraincendiosporpartedelpersonaldela
entidad? SNo
8.Existenalmacenamientodepapelengrandesproporciones? SNo
9.Existenextintoresdentrodelaentidad? SNo

176

10.Existenindicacionesdelasituacindelosextintoresdelaentidad? SNo
11.Existenindicacionessobredondeestlapuertadesalida? SNo
12.Haydetectoresdefuegoyhumoenlaentidad? SNo
13.Haypulsadordealarmadefuegoparaserpulsadoporelpersonaldela
entidad? SNo
14.Existenindicacionessobredondeestelpulsadordealarma? SNo
15.Lasalarmasavisanalosbomberos,hospitales,polica? SNo
16.Losdetectorestienenunplandemantenimiento? SNo
17.Losextintorestienenunplandemantenimiento? SNo
18.Loscableselctricosestndentrodepaneles? SNo
19.Tienenlosservidoresproteccinautomticacontraelfuego? SNo

BACKUPS(informacinsalvaguardada)
1.ExistenciasdeBackups? SNo
2.Lainformacinseguardaenlosbackupsdeformaperidicas? SNo
3.Todaslascopiasdelainformacinseguardanjunta? SNo
4.LosBackupsestnenunasituacinfsicasegura(lejosdelaentidad)en
casodefuegos,inundaciones,etc.? SNo
5.Losbackupsestnprotegidosanterobos(usodesalasdeseguridad,cajas
fuertes)? SNo
6.LosBackupstienenunplandemantenimiento? SNo
7.Losbackupsestnprotegidosanteataquesinformticos(hackers,virus,
crackers,etc)? SNo
8.Existenprocedimientosparalareconstruccindelosarchivosencasodesu
destruccin? SNo
9.Estnidentificadoslosarchivosconinformacinclasificada? SNo
10.Dichainformacinclasificadatieneclavedeacceso? SNo
11.Haycertificacindequelosarchivosborrados? SNo
12.Haypersonalautorizadoparafirmarlasalidadelosarchivosclasificados? SNo
13.Hayresponsableencasodefallodelosbackups? SNo

TORMENTASELECTRICASYPICOSDETENSIONELECTRICIDAD
existenciadetormentaselctricas? SNo
2.Existelainstalacindepararrayoeneledificiodelaentidad? SNo
3.Lastormentaselctricashanproducidodaosenloequiposinformticos
enformafsica?(Placasquemadas,ordenadoresinutilizadoscompletamente) SNo
4.Lastormentaselctricashanproducidoperdidadelainformacin(basesde
datosdaadas)enlosequiposinformticos? SNo
5.Lospararrayostienenunplandemantenimiento? SNo
6.ExistenSAI(sistemasdealimentacinininterrumpida)? SNo
7.ExisteunplandemantenimientodelosSAI? SNo

177

8.Existesobrecargadecorrienteelctricas? SNo
9.Existeunplandemantenimientodelospaneleselctricos? SNo

CONTROLDEACCESOALASINSTALACIONESSEGURIDADFISICA
1.Usodecmarasdeseguridad? SNo
2.Sistemasdesensoresdemovimiento? SNo
3.Laspuertasestncerradas? SNo
4.Usodesistemasdecontroldeaccesoalassalas(tarjetas,biometra,etc.)? SNo
5.Existenciadepersonaldeseguridad? SNo
6.Existenciadeunregistrodeentradaaledificio? SNo
7.Existenciadeunregistrodesalidadeledificio? SNo
8.Existenciadeunregistrodeentradadelassalasdeledificio? SNo
9.Existenciadeunregistrodesalidadelassalasdeledificio? SNo
10.Lascmarasdeseguridadestnbiencolocadas? SNo
11.Lossensoresdemovimientoestnbiencolocados? SNo
12.Existeunplandemantenimientodelascmarasdeseguridad? SNo
13.Existeunplandemantenimientodelossensoresdemovimiento? SNo
14.Existeunplandemantenimientodelossistemasdecontroldeaccesoa
lassalas? SNo
15.Existenciadeunregistroparaeledificioparainvitados(personasqueno
trabajanenlaentidad)? SNo
16.Soncapacesdeaccederpersonasnorelacionadasconlaentidadenel
edificio? SNo
17.Sehacenpruebasdepersonascolndoseeneledificioparacomprobarlas
medidas? SNo
18.Elpersonaldeseguridadestbienformado? SNo
19.Existenciadecursosdereciclajeparaelpersonaldeseguridad? SNo
20.Trasfinalizarlajornadalaboralsecierranlaspuertas? SNo
21.Elpersonaldelaentidadrespetaesecontrol? SNo
22.Eltratodelpersonaldeseguridadescorrecto? SNo
23.Existedivisindelaresponsabilidadparateneruncontrolmejordela
seguridad? SNo
24.Seinvestigaalosvigilantesantesdesercontratados? SNo
25.Sebloqueanlastomasderedquenosonutilizadasparaevitarpinchazos
deterceraspersonas? SNo
26.Unavezdespedidounempleadoseleretirasutarjetadeaccesoala
entidad? SNo

CONTROLDEACCESOALOSEQUIPOSINFORMATICOS
1.Usodecontraseasporpartedelosempleados? SNo
2.Lascontraseastienenmsde8caracteres? SNo
3.Lacontraseaesalfanumrica? SNo

178

4.Existendiferentesnivelesdeacceso?(ejecutivos,programadores,analistas) SNo
5.Seregistralaentradaalequipoinformtico? SNo
6.Seregistralasalidaalequipoinformtico? SNo
7.Losempleadossoninformadossobrelosriesgosdelascontraseas? SNo
8.Usodecontraseasquenotienennadaqueverconinformacindel
personaldelaentidad(nombre,telfono,matrculadelcoche? SNo
9.Lascuentasdelosempleadosquevayanaserdespedidossonbloqueadas
ocapadasantesdelavisodedespido? SNo
10.Lascontraseassoncambiadasperidicamente? SNo
11.Lascontraseasdecadaempleadosondiferentesparacadatipode
acceso? SNo
12.Secompruebaquelascuentasqueestnendesusosoneliminadas? SNo
13.Existeunresponsabledelcontroldedichascuentas? SNo
14.Haydiferentesmodalidadesdeaccesosdependiendodelgradodeacceso
delempleado?(lectura,escritura,borrado,ejecucin) SNo
15.Elempleadosolopuedeaccederalosrecursosendeterminadashorasdel
da? SNo
16.Elempleadosolopuedeaccederadeterminadosequiposinformticos? SNo
17.Secambianlascontraseasquevienenpordefectoenlosequipos
informticos? SNo
18.Existencuentassincontrasea? SNo
19.Existeunnmerolimitadodeintentosalahoradeintroducirla
contrasea? SNo

SEGURIDADLOGICA
1.Haycadadelaconexinainternet? SNo
2.Losequiposinformticostienenlosprogramasnecesariosparatrabajar? SNo
3.Sonadecuadaslasrestriccionesdelaconfiguracindelequipo? SNo
4.Secontrolaalosanalistas? SNo
5.Secontrolaalosprogramadores? SNo
6.Existeunprocesodeemergenciaconelfindequelainformacinpueda
llegarhastaeldestinatario? SNo
7.Secompruebaquelainformacinllegadaaldestinarioeslamismaquefue
enviadadesdeelorigen? SNo
8.Lainformacintransferidallegaaserrecibidaporterceros? SNo
9.Existendiferentescaminosdetransmisinentrediferentespuntos? SNo

METRICA
1.Sesabelacalidaddelproductooservicioquerealizalaentidad? SNo
2.Losempleadosestnrealizandoelproductooserviciodeformacorrecta? SNo
3.Losempleadosestnrealizandoelproductooserviciodeformaeficaz? SNo
4.Losempleadosestnrealizandoelproductooserviciodeformarpida? SNo

179

5.Seconocenlosbeneficiosdelosnuevosprocesos? SNo
6.Seconocenlosbeneficiosdelasherramientasutilizadas? SNo
7.Seconocenlosbeneficiosdelosmtodosutilizados? SNo

8.Lamtricaindirectaes?
Centradaenlacalidad,complejidad,fiabilidad,eficiencia,funcionalidad,
facilidaddemantenimiento,etc. SNo
Englobalavelocidaddeejecucin,defectosencontradosenunacantidad
detiempo,costo,tamaodememoriausada,nmerodelneasdecdigo,etc. SNo

9.Lamtricadirectaes?
TRUE
Centradaenlacalidad,complejidad,fiabilidad,eficiencia,funcionalidad,
facilidaddemantenimiento,etc. FALSE
TRUE
Englobalavelocidaddeejecucin,defectosencontradosenunacantidad
detiempo,costo,tamaodememoriausada,nmerodelneasdecdigo,etc. FALSE

10.Lamedida?
Nosproporcionaunaindicacincuantitativadecantidad,dimensiones, TRUE
capacidad,tamaoyextensindealgunosdelosatributosdeunproductoo
desuproceso. FALSE
Procesoporelcuallosnmerossonasignadosaatributosoentidadesenel TRUE
mundorealtalcomosondefinidosdeacuerdoalasreglasclaramente
definidas. FALSE

11.Lamedicin?
Nosproporcionaunaindicacincuantitativadecantidad,dimensiones, TRUE
capacidad,tamaoyextensindealgunosdelosatributosdeunproductoo
desuproceso. FALSE
Procesoporelcuallosnmerossonasignadosaatributosoentidadesenel TRUE
mundorealtalcomosondefinidosdeacuerdoalasreglasclaramente
definidas. FALSE

12.Lasmtricassonambiguas? SNo
13.Usodeestadsticas? SNo
14.Automatizacindelarecogidadedatos? SNo

15.Cualeselordendelasetapasdelprocesodemedicin?
TRUE

Coleccin,anlisis,formulacin,realimentacineinterpretacin. FALSE
TRUE

Anlisis,interpretacin,realimentacin,formulacinycoleccin. FALSE

180

TRUE

Formulacin,coleccin,anlisis,interpretacinyrealimentacin. FALSE

16.Seutiliznmtricasparaevaluaraparticulares? SNo
17.Existeincompatibilidaddemtricas? SNo
18.Lasmtricassonfcilesdeobtener? SNo
19.Lasmtricasestnexpresadasenporcentajesoenescala? SNo
20.Lasmtricassondetalladas? SNo
21.Conlasmtricasobtenemoslospuntosdbilesdenuestraentidad? SNo

PREPARACIONPARALAIMPLEMENTACIONDELASNORMATIVASENUNA
ENTIDAD
1.Existeunmnimodeprocesosdefinidos? SNo
2.Existeuncompromisoporpartedetodoslosactoresdelaempresa? SNo
3.Elambientelaboralesagradable,sanoyactivo? SNo
4.Elpersonalesconscienteconlanecesidaddemejoramiento? SNo
5.Existeunaorientacinhaciaeltrabajoenequipodeformaeficaz? SNo
6.Existeunplanyvisindefuturo? SNo
7.Losobjetivosestnbiendefinidos? SNo
8.Existeapoyoentrelosempleados? SNo
9.Existecomunicacinentrelosempleados? SNo
10.Hayunabuenaintegracindeltrabajoentrelosdiferentes
departamentos? SNo
11.Existeunsistemaquereflejelosobjetivosconseguidosalolargodel
trabajo? SNo
12.Hayexplotacindeltrabajador? SNo
13.Sedesealaevolucindelaentidad? SNo
14.Laentidadvaenbuscadelosclientesatravsdetcnicascomerciales? SNo
15.Laentidadsecentraenlaefectividadyproductividadenelmercado? SNo
16.Losplanesconcretosquetienelaentidadsonejecutadosymedidos? SNo
17.Lasideasquesurjansonexpresadaslibremente? SNo
18.Existeparticipacindelempleadoenlaentidad? SNo
19.Seestimulaalempleadoatravsdemetas/resultados? SNo
20.Hayreunionesentreempleadosydirectivos? SNo
21.Existenciadeunaorganizacincentradahaciaelservicioaclientes? SNo
22.Laentidadestcentradaenlabsquedadeevitareltrabajoindividual? SNo
23.Laentidadestcentradaenlabsquedadeestudiar,conocery
comprenderalacompetencia? SNo
24.LaentidadestcentradaalabsquedadelusodelBenchamarking? SNo

CONLANORMATIVAINSTALADA

181

1.Sehadadodeladoelusodeunsistemaparticipativo? SNo
2.Sehadadodeladoelusodeljustintime? SNo
3.Sehadadodeladolaseguridadenlaentidad? SNo
4.Sehadadodeladoelusodelaparticipacindelaadministracin? SNo
5.Sehadadodeladoelusodelamejoracontinua? SNo
6.Sehapuestounritmodetrabajoalaentidadyasusempleadoselcualno
eselsuyopropiodebidoalanormativa? SNo
7.Lostrabajadoressoninformadosdeloqueocurreenlaempresa? SNo
8.Enelcomitdecalidaddelaempresaexistenrepresentantedelos
trabajadores? SNo
9.Semotivaalosempleadosconlanormativa? SNo
10.Laimplantacindelanormaseharealizadoporimposicinydemalas
maneras?(ejemplo,esloquehayyvamoshacerlo) SNo
11.Lanormativahasidoaplicadaporqueestdemoda? SNo

NORMATIVAISO/IEC27004Parte1
1.LaentidadtenaincorporadoelmodeloPDCA(plandocheckact)? SNo
2.ConestemodeloPDCA(plandocheckact)secumpleelobjetivodeindicar
yavisarlosvaloresdeseguridaddelaentidad? SNo
3.ConestemodeloPDCA(plandocheckact)secumpleelobjetivoderealizar
unaevaluacindelaeficienciadelsistemadegestindeseguridaddela
informacin? SNo
4.ConestemodeloPDCA(plandocheckact)secumpleelobjetivodeincluir
nivelesdeseguridadquesirvandeguaparalasrevisionesdelsistemade
gestindeseguridaddelainformacin? SNo
5.ConestemodeloPDCA(plandocheckact)secumpleelobjetivoderealizar
unaevaluacindelaefectividaddelaimplementacindeloscontrolesdela
seguridaddelaentidad? SNo
6.Elprogramademedicinestbasadoenunmodelodemedicionesparala
seguridaddelainformacin? SNo
7.Elmodelosecentraenunaarquitecturaquerelacionalosatributos
mediblesconunaentidadrelevante? SNo
8.Estndefinidoslosatributosmsimportantes? SNo
9.Existefrecuenciaencadamedicin? SNo
10.Pararealizarelestablecimientoylaoperacindelprogramademedicin
sedefinenlosprocesos? SNo
sedesarrollanlasmediciones? SNo
seimplementaelprograma? SNo
serevisanlasmediciones? SNo
14.Lasmedicionessoncuantitativas? SNo
15.Lasmedicionessonindivisibles? SNo

182

16.Lasmedicionesestnbiendefinidas? SNo
17.Lasmedicionessonrazonables? SNo
18.Alahoradeseleccionarloscontrolesnecesarioslaentidaddefineel
programa? SNo
19.Alahoradeseleccionarloscontrolesnecesariosdefinesusrespectivos
indicadores? SNo

20.EnelmodeloPDCA(plandocheckact)enquconsisteel"PLAN"?
TRUE

Revisinymejoradelasmtricasdeseguridad. FALSE
TRUE

Adaptarprocedimientosycontrolesparalaobtencindedatos. FALSE
TRUE
Definirlasmtricasyestablecerelsistemadegestindeseguridaddela
informacin(SGSI) FALSE
TRUE

Revisindelosdatosobtenidosdelasmtricasrealizadas. FALSE

21.EnelmodeloPDCA(plandocheckact)enquconsisteel"DO"?
TRUE

TRUE

TRUE
TRUE


22.EnelmodeloPDCA(plandocheckact)enquconsisteel"CHECK"?
TRUE

TRUE

TRUE
Revisindelosdatosobtenidosdelasmtricasrealizadas. TRUE

183

FALSE

23.EnelmodeloPDCA(plandocheckact)enquconsisteel"ACT"?
TRUE

TRUE

TRUE
TRUE


24.Paralaimplementacindeuncuadrodemando,laentidadsealatodala
informacinqueseatotalmentenecesariadeunaformacorrecta?(resumida,
entendible,sencilla,etc) SNo
25.Paralaimplementacindeuncuadrodemando,laentidadresumela
representacinusandounjuegodecoloreselcualnossirvaparaindicarlos
cambiosdeestado? SNo
26.Paralaimplementacindeuncuadrodemando,laentidadtieneelapoyo
deladireccin? SNo
27.Enrelacinconladireccin,secomunicadeinmediatocualquiertipode
acuerdoconlaentidad? SNo
28.Enrelacinconladireccin,haycreacindeusoderesponsabilidadesy
roles? SNo
29.Enrelacinconladireccin,haycomunicacindetodoelpersonalque
estinvolucradoenlosindicadoresdeprogresoyprogramademediciones? SNo
30.Enrelacinconladireccin,secompruebaqueelprogramasellevaa
cabo? SNo
31.Enrelacinconladireccin,seestableceelprogramademediciones? SNo
32.Enrelacinconladireccin,setienenlosrecursossuficientesparallevara
caboelprogramademediciones? SNo

NORMATIVAISO/IEC27004Parte2
1.Enlosobjetivosdemedicindelaseguridaddelainformacinenel
contextodeSGSI,seevalalaeficaciadeloscontrolesaplicadosogruposde
control? SNo
contextodeSGSI,seevalalaeficaciadelossistemasdegestindeseguridad
delainformacinimplementado? SNo
3.Losobjetivosdemedicindelaseguridaddelainformacinenelcontexto SNo

184

deSGSI,sefacilitalamejoradelrendimientodelaseguridaddela
informacinencuantosalosriesgosdenegocio?
contextodeSGSI,severificaelgradoenelquesefijaronlasnecesidadesde
seguridadysihansidocumplidas? SNo
contextodeSGSI,seproporcionainformacinparalarevisinporpartedela
direccin? SNo
6.Elprogramadelaseguridaddeinformacindelamedicinincluyemedidas
ymedicindedesarrollo? SNo
7.Elprogramadelaseguridaddeinformacindelamedicinincluyela
operacindemedicin? SNo
8.Elprogramadelaseguridaddeinformacindelamedicinincluyeel
anlisisdedatosymedicindeinformarlosresultados? SNo
9.Elprogramadelaseguridaddeinformacindelamedicinincluyela
evaluacinymejoradelprogramadelaseguridaddemedicindela
informacin? SNo
10.Enlosfactoresdexito,haycompromisoporpartedelagerenciaconel
apoyodelosrecursosapropiados? SNo
11.Enlosfactoresdexito,hayexistenciadeprocesosyprocedimientos
SGSI? SNo
12.Enlosfactoresdexito,hayunprocesorepetiblecapazdecapturary
presentarinformesparaproporcionardatossignificativos? SNo
13.Enlosfactoresdexito,haymedidascuantificablessobrelabasede
objetivosSGSI? SNo
14.Enlosfactoresdexito,haydatosfcilesdeobtenerquesepueden
utilizarparalamedicin? SNo
15.Enlosfactoresdexito,hayunaevaluacindelaefectividaddela
seguridaddelainformacin? SNo
16.Enlosfactoresdexito,hayunaevaluacindelaefectividaddela
medicindelaaplicacindemejorasidentificadas? SNo
17.Enlosfactoresdexito,hayunaaceptacindeinformacinsobrelos
resultadosdemedicindelaspartesinteresadas? SNo
18.Enlagestinderesponsabilidades,ladireccinestableceobjetivosparael
programadeinformacindeseguridaddemedicin? SNo
19.Enlagestinderesponsabilidades,ladireccinestableceunapolticapara
elprogramadeinformacindeseguridaddemedicin? SNo
20.Enlagestinderesponsabilidades,ladireccinestablecelasfuncionesy
responsabilidadesenmateriadelprogramadeinformacindeseguridadde
medicin? SNo
21.Enlagestinderesponsabilidades,ladireccinproporcionarecursos
suficientesparallevaracabolasmedidas? SNo
22.Enlagestinderesponsabilidades,ladireccinaseguraquelosobjetivos
delprogramadeinformacindelaseguridaddemedicinsecumplen? SNo
23.Enlagestinderesponsabilidades,ladireccinestableceelpropsitode
lamedicinparacadamedidaaconstruir? SNo

185

24.EnelSGSIseexaminasupoltica? SNo
25.EnelSGSIseexaminansusobjetivos? SNo
26.EnelSGSIseexaminansuscontroles? SNo
27.Sedaprioridadalainformacinbasadaenlosriesgos? SNo
28.Sedaprioridadalascapacidadesdelaentidad? SNo
29.Sedaprioridadalaspolticasdeseguridad? SNo
30.Segarantizaquelosatributosseleccionadossonapropiadosparala
medicin? SNo
31.Segarantizaquehayunnmerodeatributossuficientespararealizarla
medicin? SNo
32.Elmodelodeanlisisestbiendefinido? SNo
33.Losindicadoresestnbiendefinidos? SNo
34.Enlaconstruccindelamedicincontienelainformacin
correspondientealobjetodelamedicin? SNo
correspondientealobjetivodecontrol? SNo
correspondientealosdatosqueserecogenyutilizan? SNo
correspondientealprocesoderecogidadedatosyanlisis? SNo
correspondientealprocesoparalarepresentacindeinformes? SNo
correspondientealasresponsabilidadesdelaspartesinteresadas? SNo
40.Losdatossehanobtenidodentrodelosintervalosdetiempo? SNo
41.Losresultadosdelamedicinsoncomunicadosalosclientes? SNo
42.Losresultadosdelamedicinsoncomunicadosalospropietariosdela
informacin? SNo
43.Losresultadosdelamedicinsoncomunicadosalpersonalresponsable
delasareasidentificadas? SNo
44.Elprogramademedicindeseguridaddelainformacinproduce
resultadosdemedicindeunamaneraeficaz? SNo
45.Elprogramademedicindeseguridaddelainformacinseejecutasegn
loprevisto? SNo
46.Elprogramademedicindeseguridaddelainformacinseejecutasegn
lonecesario? SNo
47.Losresultadosdelamedicinsonfcilesdeentender? SNo
48.Losresultadosdelamedicinsoncomunicadosdemaneraoportuna? SNo
49.Losresultadosdelamedicinsonobjetivos? SNo
50.Losresultadosdelamedicinsoncomparables? SNo
51.Losresultadosdelamedicinsontiles? SNo
52.Losresultadosdelamedicinsecorrespondenconlanecesidaddela
informacin? SNo
53.Losprocesosestablecidosparaeldesarrollodelosresultadosdemedicin
estnbiendefinidos? SNo

186

sonfcilesdeoperar? SNo
sonseguidoscorrectamente? SNo

187

10.CONCLUSIONES

LOQUEHEAPRENDIDO
Una vez terminado dicho proyecto he comprobado que no existe ni existir una
seguridad total capaz de defenderse de todos los ataques que ocurran tanto en el
presenteascomoenunfuturocercanoolejanoparalaentidad,yportantolanica
meta que hay que aplicarse es la de la mejora continua ya sea mejorando los
controlesdeseguridadtantodelossistemasinformticos,comopersonales,etc.;hay
queabarcartodoloposibleparareducirlosfuturosriesgosoamenazasvenideras.
Inclusoesnecesariorealizarpruebassobrenuestropropiosistemamedianteelusode
ataquesintencionados,conelfindecomprobarnuestrapropiaseguridad,conelfinde
estarpreparados.
Adems he conseguido tener una visin ms concreta respecto a las normativas

ISO/IECserefiere.
He descubierto que en el mundo de la ingeniera informtica nunca se puede estar

parado, siempre hay que mejorar y estudiar para los cambios, la ingeniera
informticaesunaramaqueevolucionaconeltiempoyqueaquellosquesequedan
atascadosenelpasadonoserncapacesdellegaraningnlugar.Porlotantohayque
aprendeaevolucionar.
Tambingraciasalproyectohesidocapazdedesempearunafuncincomosideun
trabajo real se tratase, documentndome, desarrollando, explicando, redactando,
aplicando mis conocimientos de ingls para las documentaciones que no estaban en
castellano.Ascomolautilizacindelosconocimientosobtenidosalolargodeestos
aosdecarrera.
Alolargodesurealizacinhedescubiertoyaprendidoqueaunquetengamosunbuen
sistema de mtricas en la seguridad informtica no seremos capaces de buscar las
respuestasalosproblemasencontrados,enrealidadloqueconseguimosesreduciren

188

ciertoniveleseagujerodeseguridadquetendremossiempre,lonicoquevariaraser
eltamaodedichoagujeroysiempretendremosqueestardispuestosaminimizarlolo
msposible,yaqueesimposibleeliminarloporcompleto.
Ademsesteproyectomehaayudadoaobtenerunamayorexperienciaalahorade
alcanzarmis metas, enotras palabras a buscarme la vida con el finde obtenerlos
objetivosyresultadosdeseados.
APORTACIONESALPROYECTO
Enesteproyectoheaportadolanecesidaddelasempresasautilizardichanormativa,
siendoestaunapiedrafundamentalparalaentidadalahoraderealizarsutrabajode
formacorrecta.
Ascomotambinheexplicadobastanteinformacinsobredichanormativa.
Ademsdelasituacinenlaquetienequeestarunaempresasiquiereimplantarla.
Porsupuestoheaadidobastanteinformacinsobrelasauditorasenesteproyecto,
hehabladosobrelaauditorainformtica,peroaunasenelanexoheenglobadolos
diferentes tipos de auditoras que hay en el mundo del mercado laboral, lo cual
tambin servir de futura documentacin a los interesados en estos temas de
auditora, porque existe una gran cantidad de auditoras que existen actualmente
inclusopuedenllegaraaparecernuevasauditorasdependiendodelanecesidaddela
entidad,portantoelanexoservirdegranayudaalasgeneracionesvenideras.
He realizado una serie de cuestionarios divididos en clases, los cuales ayudar a los
procesos de auditora para comprobar si el trabajo que estn realizando en relacin
conlanormativaISO/IEC27004,seestrealizandodeformacorrecta,aligualquecon
losotrospuntosdeloscuestionarios,comoseguridadfsica,seguridadlgica,acceso
fsicoalaentidad,etc.
Adems gracias a las cuestiones realizadas las personas que vengan detrs de mi
podrn utilizarlo como un apoyo fundamental a la hora de la aplicacin de tal
normativaascomodesuentendimiento.

189

Tambinservirdeguaenrelacinalasentidadesenelmomentoenelquedeseen
implantarunanormativa.Conelfindesabersidichaentidadestpreparadaparaello,
enrelacinasuscaractersticascomoempresa,hastallegaraltratoconelpersonalde
laentidad.
VISIONDEFUTUROSPROYECTOS
Podra recomendar buscar nuevos puntos de vista y mejoras a la normativa ISO/IEC

27004lacualhasidorealizadacreadahacepocotiempoycomotodasconelpasode
losaossedescubrirnnuevosmtodosymedicionesquetodavanosehancreado,
ascomoactualizacionesdedichanormativayerroresquepuedenencontrar.
Este proyecto por tanto servir de gua para futuros usuarios que deseen tener un
conocimiento general y necesario para conocer dicha normativa y a partir de ella
realizarlasposiblesmejoras.
Adems a partir de dicha normativa podra crearse ciertas versiones centradas en

otrospuntosdeseguridadendiferentesareasdelaindustriaconelfindeexpandirse.
Lapartedeseguridadfsicanoestmuyextendidayportantopuedeserdesarrollada
porfuturasgeneracionesdealumnosqueutilicenesteproyectocomogua.
Elcuestionarioconelpasodelosaosalgunaspreguntaspodrnquedarseambiguas
conlocualpuedenseractualizadasysermasexhaustivas
Ademstambinserviresteproyectocomoguaparaexplicarfuturasnormativas.

190

11.BIBLIOGRAFA

http://www.iec.ch/
http://www.agn.gov.ar/
https://www.agpd.es
http://www.icac.meh.es/
http://www.asesoriasygestorias.es/
http://www.isaca.org
http://www.iso.org
http://www.seguinfo.com.ar
http://www.s21sec.com
http://www.wikipedia.org.
http://www.monografias.com/
ApuntesdelaasignaturaAuditoraInformtica

191

ISO/IEC27004InformationtechnologySecuritytechniquesInformationsecurity
managementMeasurement
ISO15408
ISO27001InformationtechnologySecuritytechniquesInformationsecurity
managementsystemsRequirements
ApuntesdelaasignaturaSeguridadyProteccindelaInformacin.
Apuntesdelaasignatura GestinyCalidaddelSoftware
http://www.rae.es

http://www.standardsinfo.net/
http://www.nist.gov/
http://www.uc3m.es/
http://www.secuware.com/
http://www.w3.org/WAI/

192

12.GLOSARIO

Backup:Eslacopiatotaloparcialdeinformacinimportantedebasesdedatos,CDs,
discosduros,etc.
Benchmarking:tcnicautilizadaporlasempresasqueconsisteenlacomparacincon
otrasentidadesconelfindesaberenqusediferencian.
Costos:gastoeconmicodeunaentidad.
CPU:CentralProcessingUnitUnidaddeProcesoCentral.Esdondeserealizanlos
clculosenlosequiposinformticos.
E.R.E.:ExpedientedeRegulacindeEmpleo.Setratadeunprocedimiento
administrativolaboral.
Firewall:MurodeFuegoCortafuego.Herramientadeseguridadquecontrolael
trficodeentrada/salidadeunared.
IP:(InternetProtocolProtocolodeInternet).Protocoloparalacomunicacinenla
redatravsdepaquetesconmutados.
Justintime:esunsistemadeorganizacindelaproduccinparalasfbricasdeorigen
japons.Elcualpermiteaumentarlaproductividad.
Hardware:componentesfsicosqueformanpartedeunequipoinformtico(teclado,
ratn,monitor,etc.)

193

MemoriaRAM:RandomAccessMemoryMemoriadeAccesoAleatorio,esunchipen
elcualseguardan,datos,programasquenecesitaelequipoinformticoydeforma
temporal,cuandoelequiposeapagasepierdetodosucontenido.
Mobbing:Acosolaboralquerecibeelempleadoporpartedesusuperioroporparte
desuscompaerosdetrabajo.
Monitoreo24*7:Consisteenllevaruncontroldelosequiposinformticoso
aplicacionesdurante24horaslos7dasdelasemana.
SAI:SistemadeAlimentacinIninterrumpida.Cualquierdispositivoquepermitedar
energaelctricaconstanteaunequipoinformticoinclusosielsuministroprincipalde
energaseveinterrumpido.
SeguridadMultinivel:lainformacinesmanejadadeacuerdoasuniveldesensibilidad
yalospermisosquetienelapersonaquedeseaaccederaella
Software:grupodeprogramasparapoderinteractuarconelsistema.
Spyware:Softwareespa.Programaquerecolectainformacinvaliosadelequipo
informticosinqueelusuariolosepa.
WAI:WebAccessibilityInitiative.IniciativaparalaAccesibilidadWeb.Velaporlaaccesibilidad
delaweb.

194

A.ANEXO

LAAUDITORAYSUSCLASES

195

INDICE

1. IntroduccinPag.197
1.1 Qu es la Auditora? ...Pag.197
1.2 Etapas de la auditora general...Pag.200
1.3 Cundo realizar una Auditora y por qu?..Pag.203
2. Tipos de Auditora..Pag.205
2.1 Auditora ContablePag.209
2.2 Auditora Energtica.Pag.213
2.3 Auditora Informtica...Pag.215
2.4 Auditora MedioambientalPag.217
2.5 Auditora SocialPag.219
2.6 Auditora de Seguridad de Sistemas de InformacinPag.220
2.7 Auditora de Innovacin...Pag.222
2.8 Auditora Poltica..Pag.223
2.9 Auditora de Accesibilidad...Pag.224
2.10 Auditora de MarcaPag.226
2.11 Auditora Sarbanes-Oxley(auditora de la bolsa)Pag.227
2.12 Auditora de Cdigo de Aplicaciones.Pag.228
2.13 Auditora Fiscal...Pag.229
2.14 Auditora AdministrativaPag.231
2.15 Auditora Financiera...Pag.233
2.16 Auditora OperativaPag.235
2.17 Auditora NocturnaPag.237
3. El AuditorPag.238

196

1. Introduccin
1.1QueslaAuditora?
Para empezar vamos a indicar una serie de definiciones sobre la Auditora.
Son una serie de tcnicas y un grupo de procedimientos cuyo fin es evaluar y

controlar un sistema con el objetivo de proteger sus recursos y activos, as como
comprobar que las actividades que se realizan de forma eficiente y con la normativa
general de cada empresa y para obtener la eficacia exigida en el marco de la
organizacin estableciendo planes de accin y recomendaciones.
Consiste en un examen detallado de la estructura de una empresa, en cuanto controles

y mtodos, su forma de operacin, sus objetivos y planes, y sus equipos fsicos y
humanos.
Es una visin sistemtica y formal con el fin de determinar hasta que parte una
organizacin cumple sus objetivos establecidos por la empresa, as como para
diferenciar los que necesitan mejorarse
Es una funcin cuyo objetivo es apreciar y analizar, con vistas a las acciones
correctivas eventuales, el control interno de la organizacin para cumplir la integridad
del patrimonio, la autenticidad de la informacin as como el mantenimiento de la
eficacia de los sistemas de gestin.
La auditora es en s una actividad que debe de realizar mediante el uso de

conocimientos acadmicos, para ello se utiliza una serie de tcnicas que nos lleven a la
prestacin de un servicio con alto nivel de calidad y reconociendo la responsabilidad
social, no solo del cliente sino del pblico en general, que necesite hacer el uso del
dictamen del auditor, para la eleccin de decisiones.
Clasificaciones de la auditora.
Las clases que pueden llegar a dividir a la auditora dependen, del requisito empresarial
de instalar pautas o controles para el cumplimiento de las acciones que se realizan en la
organizacin. Por ejemplo la auditora operativa u administrativa se encarga de analizar

197

los materiales, recursos humanos, procedimientos, estructuras y programas de los

diferentes complejos de la organizacin.
En resumen, las funciones que pertenecen a la gestin a excepcin de la auditora

financiera, para comprobar su correcto funcionamiento, as como proponer nuevas
mejoras as como la mejora de sus comportamientos disfuncionales.
Con lo explicado anteriormente nos aclara que la auditora puede diferenciarse segn
sea su punto de aplicacin, de igual manera podemos decir que se divide segn sean sus
objetivos
Bases Tericas de una Auditora.
La auditora moderna est desarrollada en una serie de ideas que sirven para determinar
cul es la base fundamental de su aplicacin. Los puntos son:
- La existencia de controles internos nos ayuda a disminuir la probabilidad de

que se comentan en la organizacin fraudes irregulares.
- La auditora est basada en que toda la informacin que se tiene puede ser
verificada y comprobada.
- Si no se realizan pruebas, lo que fue verdad en el pasado volver a serlo en el

futuro. (Problemas que no se han solucionado, debidos a que no se han intentado
resolver, no desaparecern)
- Gracias a la auditora evaluaremos y examinaremos las afirmaciones realizadas

por los administradores, ya que puede ocurrir un intento de tapar afirmaciones
las cuales podran resultar embarazosas a los administradores
- No tiene porque existir un conflicto entre auditor y administrador de la

organizacin que auditan.
Las normas de la auditora
Normas Generales
- Hay que tener cuidado en la preparacin del informe y el desarrollo de la

auditora.
- Para realizar una auditora se necesita una persona o un grupo de personas que
cuentan con la competencia del auditor y con una capacitacin tcnica adecuada.
- El auditor o los auditores tienen que tener una actitud mental de independencia.

198

Normas respecto a la Informacin
- Los informes contendrn una idea general y en referencia a los puntos que
estn involucrados en la auditora. En el caso de que no se puede expresar una
idea global, debern de dar las causas de ello.
- Los informes nos avisarn si el rea auditada o la informacin se presenta de

una forma conforme con las bases o principios establecidos como gua de la
auditora
- Las elevaciones informativas se considerarn de forma razonablemente

adecuada mientras que no se indique lo contrario.
Normas del Trabajo.
- Debe de ser planteado de forma adecuada y los asistentes estarn supervisados

de una forma adecuada.
- Se tienen que conseguir evidencias competentes y suficientes mediante

observaciones, inspecciones, consultas y confirmaciones, para tener una base
lgica para tener una idea en referencia a la informacin obtenida o rea que est
siendo auditada.

199

1.2Etapasdelaauditorageneral
Estudio General:
Est basado en la estimacin general de las caractersticas de la empresa, de sus estados

financieros y de sus elementos ms importantes, de forma de que nos sirva para la
orientacin a la hora de aplicar una serie de tcnicas que resulten ms convenientes en
la auditora.
El concepto que debe de tener el auditor respecto del negocio del cliente es:
- Las condiciones Econmicas y del Sector de la Empresa.
- La estructura de dicha Organizacin.
- Su estructura Legal y Operaciones.
Las condiciones Econmicas y del Sector de la Empresa.
El auditor tendr un conocimiento bsico referente a las condiciones econmicas de la

empresa, as como las condiciones competitivas que llegan a afectar a las operaciones
realizadas de un cliente y los cambios que se producen en la tecnologa. La nocin de
las prcticas contables relacionadas en el sector de la industria en la cual el cliente se
desenvuelve es de vital importancia.
La estructura de dicha Organizacin
En una organizacin de cualquier magnitud, ser esencial el uso de un diagrama de la

organizacin con el fin de especificar las tareas y las responsabilidades de los diversos
miembros de la misma organizacin. La estructura de una asociacin reparte las tareas
entre los diversos empleados, las posiciones y departamentos o grupos. Para poder
controlar el trabajo de una organizacin se adoptarn medidas de procedimiento y
mtodos que nos ayudarn a proporcionar evidencias de que aquellas tareas fijadas por
la estructura de la asociacin se llevan a cabo.
Su estructura Legal y Operaciones.
La auditora comenzar con el conocimiento de las circunstancias y operaciones de la

organizacin auditada. El auditor deber de preparar una descripcin breve de la
naturaleza de aquellas actividades comerciales adems de los factores ms importantes
que afectan a dichas operaciones.

200

Para ello el auditor deber de tener un conocimiento referente a las caractersticas de

funcionamiento, as como de los procedimientos relativos a la administracin y de su
estructura legal.
Para poder comprender la informacin obtenida mediante la auditora, el auditor deber

de saber los negocios del cliente as como todos los factores que pueden llegar a influir
en las operaciones
La revisin de los documentos legales de la organizacin es necesaria para el correcto

entendimiento de los registros contables, y de sus estados financieros. Esta informacin
nos ayudar a ampliar el conocimiento del negocio.
Hay que reconocer que sin esta fase del examen de la auditora sera una restriccin
referente al alcance de esta rea, en la cual sera una negativa por parte del cliente no
permitir al auditor contemplar los libros de actas, lo que conducir al auditor a la
denegacin de un dictamen. Ya que la informacin que se puede obtener de ello no se
podr obtener de otra forma.
Ejecucin de la Auditora
Encontraremos los aspectos siguientes en esta etapa:
- Anlisis: nos ayudar a clasificar y agrupar elementos de la organizacin.
- Inspeccin: se trata de comprobar mediante una serie de pruebas los elementos

de la organizacin.
- Confirmacin: consistir en obtener una comunicacin por parte de una

persona independiente de la empresa que est siendo auditada para el
conocimiento de las condiciones y de la naturaleza de la operacin de una
manera vlida sobre la misma
- Investigacin: el auditor obtendr una serie de conocimiento con el cual se

formar un juicio sobre los elementos de la empresa por medio de datos, ya que
estos nos sirven de base para la toma de decisiones.
- Observacin: consiste en presenciar los hechos o ciertas operaciones, mediante

las cuales el auditor se da cuenta de qu forma se realizan por el personal de
dicha empresa.

201

Informe Final
El informe constar de dos partes la primera ser de procedimiento y la segunda una

opinin del auditor, con la primera parte se indicar el alcance de dicha auditora
mientras que la segunda ser la opinin del autor referente al correcto funcionamiento y
presentacin de los estados de dicha organizacin.
El objetivo de este informe ser dar una opinin independiente y profesional.

202

1.3CundorealizarunaAuditorayporqu?
Las razones ms importantes a la hora de realizar una auditora podrn ser algunas de
las siguientes.
Razones Externas.
a) Cambio o modificacin en el marco legislativo.
- La legislacin o la liberacin pueden cambiar el entorno, siendo este menos

previsible ya que cambia la situacin definida por las leyes reguladoras por otra
regida por las fuerzas de otras entidades de la competencia.
- La anulacin de barreras comerciales obligando la apertura de nuevos

horizontes hacia mercados que pueden tener una competencia internacional en
vez de los mercados internos cerrados.
- La privatizacin de las organizaciones puede cambiar la orientacin de ellas

mismas, obligando a pasar de un modelo burocrtico a un modelo orientado a la
eficiencia de las actuaciones y al servicio al cliente.
b) Fluctuaciones del mercado.
- La innovacin y la mejora de la tecnologa puede llegar a provocar que sectores

industriales y las empresas queden obsoletas, para poder solucionar este
problema debern de adaptarse a los nuevos cambios
- Los ciclos econmicos pueden llegar a obligar a ciertas organizaciones a

adoptar a cambiar su orientacin por lo cual tendrn que tener una serie de
estrategias diferentes.
Razones interno-externas
a) La reorganizacin de una empresa
- Esto puede ser provocado por diferentes causas: ya sea un cambio de la

propiedad de la empresa, creacin de un producto nuevo, debilitamiento o
desgaste en el equipo directivo as como un cambio en la estrategia.

203

b) Emisin de ofertas pblicas en mercados
- Debido al xito de una oferta pblica, la publicidad de los resultados obtenidos

de la auditora puede llegar a servir para comunicar las ventajas competitivas de
la empresa as como el destacar el talento de los gestores.

204
PRO
OYECTOFINDECARRERA
A

2. Tiposs de Auditor
A ora
Existten numeroosos tipos de Auditooras de laas cuales vamos a destacarlas y a
contiinuacin lass trataremoss de forma ms
m detallad
da.
Entree las princippales Auditooras tenem

mos las siguientes:
Conttable Revisa la contab

bilidad de loos libros
(audiitora externna de
Y loss registros contables
c dee una organiizacin
estaddos financieeros)
Enerrgtica Anlisis, inspecccin y estuddio de los fllujos de eneerga del ediificio

Sistema o proceso para com mprender la energa din nmica
del sistema
s bajo
o estudio
Deterrminar si see salvaguardda el activo empresariaal,

Inforrmtica as coomo la integ
gridad de loos datos, utiilizacin efiiciente
de suus recursos y llevar a caabo los finees de la orgaanizacin
Mediioambientall Posicin de formma medioam mbiental de la organizaacin

Y la cuantificaccin de sus logros
l
Sociaal Revissa la contrib

bucin a la sociedad
s
as coomo la participacin enn actividades
sociallmente orien
ntadas

205
PRO
OYECTOFINDECARRERA
A

Gestin y anlisiis del sistem

ma para corrregir,
Seguuridad de Sistemas de
detecttar y preven
nir las vulneerabilidadess que
Inforrmacin
puedeen aparecer ya sea en reedes, serviddores, etc.
Obtenncin de infformacin de
d la entidadd
Innovvacin
respeccto a la inno
ovacin
Revissin de activ
vidades y prrocesos, orientadas
Polttica
ideolgicamente, para toma de decisionnes de un grrupo
Compprobacin de
d la accesibbilidad de unn lugar
Acceesibilidad
web mediante
m un
n experto
Marcca Nos sirve

s para medir
m el valoor de la marrca
Para las
l empresaas que cotizaan en bolsa de
Sarbanes-Oxleyy
acuerrdo a la ley Sarbanes-O
S Oxley.

206
PRO
OYECTOFINDECARRERA
A

Revissar cdigo con

c el fin dee encontrar eerrores
Cdiigo de Apliccaciones
en diiseo y tiem
mpo
Fiscaal Se deedica a observar el cum

mplimiento dde
las leyyes fiscales.
Adm
ministrativa Logroos de los obj
bjetivos de la Administrracin.
Desemmpeo de fu unciones addministrativas.
Finannciera Veraccidad de esttados financcieros.

nformes de acuerdo a pprincipios co
Prepaaracin de in ontables.
Exam
mina actividaades y funciiones dentroo de una
Operrativa organnizacin, co
onsiderandoo su personaal, sistema,
mtoodos, presuppuestos y luggar que ocuupa en la em
mpresa

207
PRO
OYECTOFINDECARRERA
A

Se reaaliza a diariio en los hotteles o restaaurantes en el turno de

Noctturna
nochee, cuya funccin es cheqquear todas las cuentas..

208

2.1AuditoraContable
Las auditoras puede ser sobre cualquier tipo de actividad. Aparecen como la necesidad
de la entidad de validar su informacin econmica, mediante un servicio o empresa
independiente. Cabe destacar que en las empresas grandes es normal la existencia de un
departamento de auditora interna, aunque hay que decir que tambin hay numerosas
empresas dedicadas a la auditora.
En referencia a las auditoras de estados Contables reside en un examen de la

informacin contenida en estos por el auditor independiente al emisor. Con el fin de
saber si los mismos fueron preparados de acuerdo a las normas contables existentes en
cada regin o pas.
Realizados los procedimientos adecuados que se consideren oportunos por el auditor,

deber de dar una opinin de si los Estados Contables dan la realidad financiera y
patrimonial del auditado. En cada punto dar una opinin desfavorable o favorable por
parte de un Contador Pblico.
La auditora contable (auditora externa de estados financieros), consiste en un proceso

llevado mediante unas normas, los estados financieros de una entidad se sometern a
una verificacin y un examen realizado por expertos independientes y cualificados
(auditores), cuyo objetivo es que digan su opinin sobre la estabilidad que se merece la
informacin econmico-financiera contenida en los mismos. Esto se comunicar
mediante el uso de un dictamen o informe de auditora.
El objetivo de un examen de los estados financieros de una compaa, por parte de un

auditor independiente, es la expresin de una opinin sobre si los mismos reflejan
razonablemente su situacin patrimonial, los resultados de sus operaciones y los
cambios en la situacin financiera, de acuerdo con los principios de contabilidad
generalmente aceptados y con la legislacin vigente.
La auditora contable es til e interesa a una variedad de organismos y personas por las
siguientes razones:
- Garantiza el cumplimiento y la honestidad de la gestin llevaba a cabo. Los

administradores y directivos querrn que se auditen o no dependiendo de que si
quieren esconder algo o no, pero tambin vara segn el gasto o coste de la
auditora
- Permite a los propietarios mostrarles la forma de cmo conserva su patrimonio

incluyendo como se maneja y lo ms importante el rendimiento obtenido.
- Consigue asegurarse de que la gestin, la direccin y el control del negocio se

llevan de forma y de acuerdo con las polticas y procedimientos establecidos,
permitiendo usar datos fiables a efectos de planificacin y anlisis.
- Gracias al informe obtenido del auditor servir para tomar decisiones en

funcin a la conveniencia de contratar crditos, distribuir dividendos, aumentar
el capital, etc.

209

- El dictamen del auditor servir como elemento de juicio para criticar la eficacia
de la entidad.
- En algunos casos si no se est auditado no se puede entrar en bolsa.
- Sirve a los inversores ya que debern obtener informacin de confianza que les
permita conocer la situacin financiera y rendimiento.
- Se realizan ms auditoras cuando no coinciden propietario y accionista. Lo

que en caso de problemas intentarn poner una solucin.
Los principios bsicos del control interno contable
Gracias a ciertos elementos que son esenciales para lograr un control interno correcto en
la mayora de las empresas son:
Con respecto a la organizacin:
- El nmero de empleados bajo el control de un jefe, supervisor, etc.,

permitiendo una efectiva supervisin.
- Separacin de funciones entre reas, personas o departamentos que llevan la

ejecucin, custodia, autorizacin, contabilizacin y pago o cobro de una
transaccin.
- Existencia de un rea de auditora interna la cual dependa de la gerencia,

responsabilizndose de una continua evaluacin, revisin y mejora del control
interno
- Definicin y explicacin de lneas de autoridad y responsabilidad, a travs de

organigramas y de manuales de organizacin, etc.
Respecto a la ejecucin, autorizacin y control de las operaciones:
- Uso de planes de cuentas normalizados.
- Uso de archivos seguros y apropiados.
- Instalacin de controles para cumplir normas y procedimientos.
- Uso de cuentas de control y aplicacin de cualquier otro procedimiento, para

permitir la comprobacin de la exactitud de la informacin contable.
- No puede existir ninguna persona que tenga la responsabilidad de todas las

fases relacionadas con una operacin.

210

- Utilizacin de procedimientos y normas operativos claramente definidos y a ser

posible que aparezcan en manuales de procedimientos, flujo gramas, etc.
- Proteccin de los activos
- Uso del sistema de formularios con el fin de documentar de forma vlida todas
las operaciones de la compaa.
- Instalacin de sistemas de seguros, de registro y operativos.
- Preparacin de implantacin y de presupuesto de sistemas de costes fiables.
Los siguientes principios pueden ser aplicados en la empresa:
- Implantacin de procedimientos y normas mnimos.
- Seleccin de personal de calidad. Cualquier empresa necesita contratar

personal de confianza y responsable para compensar la falta de controles que
pudieran implantarse.
- Supervisin efectiva y directa de la gerencia. Importante en pequeas empresas

donde el sistema de eficacia del sistema depende de la supervisin de la
gerencia.
Las pruebas de auditora
Para realizar el examen es necesaria una serie de evidencias que se obtienen por medio
de pruebas, que sirven para dar fiabilidad y validez a la informacin que se obtiene de
los sistemas contables y de los estados financieros.
Estas evidencias son:
- Documental. Comprobacin y verificacin de documentos.
- Fsica. Para identificar la existencia de activos.
- Comparaciones y ratios. Comparaciones con la misma entidad pero en otra

fecha, misma entidad otra sucursal.
- Registros contables. Sirven para la evidencia vlida, resumen del proceso de

contabilizacin de las operaciones realizadas por la compaa.
- Verbal. Uso de preguntas al personal de la empresa para descubrir hechos y

acontecimientos concretos.

211

- Control Interno. Pruebas para comprobar el cumplimiento del sistema de

control interno.
El auditor necesita realizar estas pruebas con el fin de obtener un informe detallado de
la empresa.

212

2.2AuditoraEnergtica

Consiste en un estudio, anlisis e inspeccin de la energa que consume un edificio,

sistema o proceso. Se lleva a cabo para reducir la cantidad de energa que consume el
sistema sin afectar a la produccin o servicios que la entidad ofrece al cliente.
Antes de la Auditora (tambin conocido por auditora de recorrido)
El proceso ms rpido y simple en una auditora. Consiste en una primera vista, que
consiste en realizar un seguimiento por el edificio con el fin de identificar y
familiarizarse con las zonas de desperdicio de energa, as como unos pequeos test con
el fin de entender el proceso del personal. Sin embargo en este proceso solo se sealan
los principales focos de prdidas de energa, por lo tanto ms adelante habr que hacer
una resea tambin en las zonas de menor prioridad. Aun as, sabiendo cuales son las
prioridades se har una rpida estimacin de costos, al igual del ahorro que se va a
obtener. Cabe destacar que esto solo son unos preliminares y que no es lo suficiente
para llegar a obtener una decisin final, ya que nos valdrn desde un principio de base
para el desarrollo de la auditora, la cual se har ms adelante y ms detallada.
La Auditora
Se realiza tomando como base el proceso anterior, ya que se toma la informacin sobre
operacin y la instalacin. Se tomarn las facturas de los servicios pblicos de hace
desde 12 a 36 meses con el fin de que el auditor pueda evaluar la demanda de energa, la
instalacin y las tasas de energa. Si en estos se dispone de perfiles y datos detallados
de energa servirn para analizar los signos de derroche energtico. Tambin se
realizarn entrevistas ya pueden ser verbales o tipo test con el fin de obtener una
informacin en profundidad con el personal de la entidad con el fin de comprender los
mayores consumos de energa y sistemas para saber a corto y a largo plazo los patrones
de consumo de energa. En esta auditora adems se obtendr informacin ms detallada
sobre las zonas de menor prioridad con el fin de encontrar alguna solucin, ya que
solucionando pequeos problemas podremos obtener un gran ahorro.
Instalaciones que se comprobarn
Se comprobarn mediante el uso de equipo de medicin, ya que es necesario medir para

poder cuantificar el grado de calidad que tiene una instalacin, los principales equipos
que hay que comprobar seran los equipos de calefaccin, climatizacin iluminacin,
elctricos, hbitos de consumo y el aislamiento de todos los equipos

213

Realizacin de la auditora
Este tipo de auditora debemos de realizarla cuando no sabemos cul es el consumo de

nuestras instalaciones, cuando no se realiza un mantenimiento habitual de los equipos,
los equipos utilizados no son eficientes o cuando se producen prdidas de fro o calor al
ser un aislamiento insuficiente o nulo.

214

2.3AuditoraInformtica
Sirve para recoger, agrupar y evaluar evidencias con el fin de confirmar si un sistema de
informacin mantiene la integridad de los datos, salvaguarda el activo empresarial,
cumple con los objetivos de la entidad de forma eficiente cumpliendo con las leyes y
regulaciones establecidas.
Con esta auditora podremos mejorar algunos puntos de la empresa como pueden ser la
eficacia, seguridad, rentabilidad y eficiencia.
En este tipo de auditora sus objetivos primarios son el control de la funcin

informtica, el anlisis de los sistemas informticos, que se cumpla la normativa en este
mbito y la revisin eficaz de la gestin de los recursos informticos.
Pruebas en la auditora
A lo largo de la auditora se deben de realizar una serie de pruebas con el fin de obtener
la mayor informacin posible a la hora de tomar decisiones
- Cumplimiento. Sirven para comprobar si un sistema de control interno

funciona correctamente.
- Sustantivas. Se obtienen por observacin, clculos, entrevistas, muestreos,

tcnicas de exmenes analticos, conciliaciones y revisiones. Sirven para
verificar la integridad, exactitud y validez de la informacin.
- Clsicas. Se comprueban sistemas y aplicaciones con datos de prueba, en un

entorno simulado. Observando la entrada y el resultado en la salida obtenido.
Cuando realizar la auditora?
- Por deficiencias econmicas, incrementos de los costes.
- Inseguridad en las instalaciones, ya sea seguridad fsica, lgica o la

confidencialidad de los datos.
- Cuando hay mala imagen o no se cumple con la satisfaccin de los clientes,

debido a que no se reparan las averas en los plazos que deben de ser, cuando no
se atiende correctamente a los clientes, o no se cumplen los plazos de entrega
firmados.
- Deben de realizarse cuando se descubren problemas de descoordinacin y

desorganizacin, esto es debido a que no se cumplen los estndares de
productividad conseguidos o cuando no coinciden los objetivos o no se cumplen
con los de la compaa.

215

Objetivo de la auditora informtica
La operatividad consiste en que la entidad y las mquinas funcionen aunque sea

mnimamente. Ya que no es necesario detener los equipos informticos para descubrir
sus fallos y comenzar de nuevo. Este tipo de auditora se realizar cuando los equipos
estn operativos, en eso consiste su principal objetivo, que el hecho de realizar la
auditora no pare la productividad de la empresa totalmente. Para conseguir este
objetivo habr que realizar los siguientes controles.
- Controles Tcnicos especficos, son necesarios para lograr la operatividad de

los sistemas. Por ejemplo se puede descubrir que los parmetros de asignacin
automtica en el espacio de un disco estn mal, provocando que no se pueda
utilizar por otra seccin distinta. Al igual que la prdida de informacin
provocando dificultad o anulando otras aplicaciones.
- Controles Tcnicos Generales, sirven para comprobar la compatibilidad entre

sistema operativo y software, as como la compatibilidad entre hardware y
software. Y por tanto es de los ms importantes, ya que un problema en la
compatibilidad puede crear un gran problema en la entidad.

216

2.4AuditoraMedioambiental
Tambin conocida por Eco-auditora. Este tipo de auditora consiste en cuantificar la

posicin medioambiental de una entidad. El informe en esta auditora ha de contener
una posicin medioambiental alcanzada as como una caracterizacin del desempeo.
Esto puede ayudar para conseguir las necesidades pendientes para mejorar los
indicadores de tales realizaciones y logros.
Esta auditora surge por la preocupacin por el medioambiente y la responsabilidad de

las empresas ya que les concierne. Sirve para evaluar y dar unas bases a una poltica
cuidadosa con el medioambiente, ya que rodea a las industrias.
Para analizar los riegos medioambientales que surgen debido a las actividades que
realizan las industrias los cuales afectan al medio ambiente, se realizan auditoras para
cumplir con la legislacin vigente en cada pas, sector de actividad o regin.
Segn pasa el tiempo se vuelven imprescindibles ya que en la mayora de los casos la

auditora medioambiental resulta de obligado cumplimiento segn sea la legislacin.
Este tipo de auditoras pueden ser internas, dentro de la propia empresa, o externas
realizadas por terceros.
Adems son instrumentos de gestin que validan el funcionamiento correcto de las

polticas adoptadas sobre el medio ambiente, las cuales ofrecen ventajas a la empresa
como al medio ambiente.
Debe de haber un equilibrio entre desarrollo econmico y conservacin del medio

ambiente.
Diferencias con otras auditoras
La mayor diferencia entre esta auditora y el resto, es el carcter multidisciplinario de

esta, ya que junta los esfuerzos de diferentes tipos de profesionales, ya sean tcnicos,
juristas y cientficos. El equipo de trabajo debe de hacer un estudio del impacto
medioambiental que provoca la entidad. Sus principales tareas sern investigacin,
evaluacin, diagnsticos, dictamen y proposiciones en este orden. Dicho equipo estar
formado por persona con conocimientos en estndares medioambientales adems de
tcnicas para la reduccin y minimizacin de impactos.

217

Ventajas de la auditora medioambiental
Cabe destacar que el hecho de realizar este tipo de auditora sirve para obtener una serie
de ventajas en la entidad las cuales pueden ser.
-Facilidad para obtener seguros que puedan cubrir riesgos ambientales, como la
obtencin de permisos, ayudas, licencias, contratos pblicos o subvenciones.
-Mayor rendimiento y utilizacin de recursos, consiguiendo un gran ahorro en la

entidad.
-Sirve para una base de toma de decisiones debido a la informacin que se

obtiene, lo que servira para poder tomar nuevas estrategias.
Objetivos
El objetivo a cumplir en dicha auditora consistir en cumplir con la legislacin vigente

en materia medioambiental. Este es el principal problema que tienen las empresas a la
hora de resolver sus conflictos por lo tanto se convierte en su principal objetivo, ya que
al realizar dicha auditora es porque no cumplen con las normas. Entonces en esta
auditora una vez realizada la investigacin y realizado el informe final debe de
proporcionar los medios necesarios para salvar la situacin. Se realizar un plan de
actuacin para la entidad y adems de que la empresa no vuelva a incumplir tal
normativa.

218

2.5AuditoraSocial
Este tipo de auditora constituye el proceso que una entidad realiza, para ensear su
balance de accin social, as como el comportamiento tico de la entidad u
organizacin, en funcin de sus objetivos y a las personas directamente o
indirectamente implicados.
La primera auditora social que se realiz en Espaa fue en Catalua, para un proyecto
de Europa.
Ventajas
Sus principales ventajas de esta auditora son.
-Se obtiene un mayor rendimiento de los recursos humanos.
-Se refuerza la entidad cuando estamos ante cambios, consiste en involucrar a las
personas que contribuyen en la entidad directamente o indirectamente con los
valores de dicha entidad, incluyndolos en proyectos y estrategias.
-Ayuda a la hora de toma de decisiones, la entidad tomar cualquier decisin

difcil la cual pueda originar un beneficio a corto o a largo plazo para la
empresa.
-Adems nos ayuda a destacar el espritu de la empresa y la aspiracin de

promocionar del personal.
La estrategia de la auditora social
Nos servir para evaluar y controlar las acciones tomadas por la empresa, para ello se
aplicar la estrategia de recursos humanos con eficacia y coherencia, por tanto en un
proceso estratgico hay que controlar, hacer un seguimiento y evaluar las acciones.
Cabe destacar que los recursos humanos son un recurso de fuentes de ventajas y
estratgico.

219

2.6AuditoradeSeguridaddeSistemasdeInformacin
Consiste en un estudio que abarca la gestin y el anlisis para identificar y corregir las
vulnerabilidades que se pueden encontrar en las estaciones de trabajo, servidores o redes
de ordenadores. Tambin cabe destacar que se puede dividir en auditora fsica y lgica.
Obtenido el resultado, se detallan, archivan y reportan a sus responsables quienes tienen

que tomar las medidas necesarias para establecer medidas preventivas de refuerzo.
Gracias a esto sabremos la situacin exacta de sus activos de informacin respecto a

proteccin, medidas de seguridad y control.
reas que abarca
En esta auditora se llegan a abarcar las siguientes reas de seguridad, ya que forman
parte de los objetivos de una revisin de la seguridad.
- Las amenazas fsicas externas
- La proteccin de datos segn est fijado en la LOPD (Ley Orgnica de

Proteccin de Datos) de cuyo Reglamento de Desarrollo destacamos el artculo
96 que consiste en que
El informe de auditora deber dictaminar sobre la adecuacin de las medidas

y controles a la Ley y su desarrollo reglamentario, identificar sus deficiencias y
proponer las medidas correctoras o complementarias necesarias. Deber,
igualmente, incluir los datos, hechos y observaciones en que se basen los
dictmenes alcanzados y las recomendaciones propuestas
- Control de accesos adecuados fsicos y lgicos
- Redes y comunicaciones: tipos de comunicaciones, proteccin de antivirus y

las topologas.
- Desarrollo y uso de las polticas.
- Fundamentos de la seguridad: planes, polticas, funciones, etc.
- El desarrollo de aplicaciones en un entorno o lugar seguro.
- El control de produccin
Cabe destacar que las reas no son independientes unas a las otras ya que entre ellas
tienen ciertos enlaces por los cuales estn comunicadas unas a las otras.

220

Fases en la auditora
Las fases que hay que hacer en este tipo de auditora son las siguientes:
- Eleccin de objetivos as como su alcance y la profundidad de la auditora.
- Recopilacin de la informacin y el anlisis de cualquier fuente que nos pueda

servir.
- Uso de un plan de trabajo, adems de los recursos y plazos necesarios para

realizarlos.
- Aplicacin de pruebas y de entrevistas.
- Anlisis de resultados con su respectiva valoracin de riegos.
- Presentacin y las discusiones respecto al informe provisional.
- Informe final.
Auditora de la seguridad fsica
Consistir en la evaluacin de las protecciones fsicas de datos, equipos redes,

programas instalaciones y soportes, adems habr que considerar a las personas, que
estn protegidas y que haya medidas de evacuacin, salidas alternativas, alarmas, etc.
Las amenazas pueden ser desde: vandalismo, explosiones, inundaciones, sabotaje,

averas importantes, incendios, as como los dems que pueden afectar al trabajador
impidiendo su trabajo afectando al funcionamiento correcto de la entidad como pueden
ser huelgas, errores o negligencias.
Auditora de la seguridad lgica
Habr verificaciones para comprobar que cada usuario solo podr acceder a los recursos
los cuales autorice el propietario con las posibilidades que se hayan fijado, por ejemplo:
lectura, borrado, modificacin, ejecucin, etc.
Se usaran mtodos de autenticacin, los cuales pueden ser desde la biometra el cual es
uno de los ms sofisticados hasta el mtodo ms usado que es la contrasea.
Las contraseas cumplirn las normas y los estndares de la entidad. Algunos aspectos
para evaluar en las contraseas sern, una longitud mnima, un nmero de intentos para
introducirla por el usuario, cambiarlas con el tiempo, etc.

221

2.7AuditoradeInnovacin

Consiste en obtener la informacin sobre la posicin actual de la entidad frente a las

innovaciones, comprobando si se llevan a cabo las actividades de este tipo, as como su
desarrollo y los resultados obtenidos. El objetivo final de esta auditora ser una
propuesta de las partes susceptibles de poder mejorar indicando el marco de actuacin
sobre ellas.
La innovacin consiste en la mejora de los procesos productivos (mejorando la

eficiencia disminuyendo los costes), uso de nuevas estructuras organizativas y la
interaccin y comunicacin entre entidades, cambio en las formas del uso de los
productos o nuevos servicios.
Metodologa
Consiste en la evaluacin de la capacidad innovadora que tiene una entidad, que gracias
a ello sabemos la presin externa que tiene la entidad para innovar y como es la
estructura de la entidad respecto a los procesos que tienen que ver con el desarrollo de
las innovaciones para saber que procesos tienen que permanecer existiendo, cuales hay
que incluir, cuales mejorar, su eficiencia y que herramientas se necesitan para realizarlo.
Adems de saber cules son las personas que participan en dicha evaluacin, que
pueden ser desde proveedores, clientes, etc. Obteniendo todo lo necesario que implica
una funcin en la entidad.
Con ello se podr analizar y evaluar la situacin de los procesos de la entidad. Que estn
relacionados con la innovacin, cmo mejorar, e introduciendo nuevos procesos,
herramientas o mejoras para incrementar la capacidad innovadora, como por ejemplo:
-Uso de nuevas tcnicas de creatividad.
-Toma de recoleccin, evaluacin y seleccin de ideas nuevas.
- Comunicacin con proveedores y clientes.
- Motivacin de los empleados.
- Acuerdos o tratados de cooperacin con empresas y universidades.

222

2.8AuditoraPoltica
Consiste en una revisin detallada de las actividades y procesos, ideolgicamente
orientadas, de toma de decisiones de un grupo con el fin de obtener unos objetivos, en
beneficios individuales y de grupo.
En dicha auditora habr que comparar, sistematizar, recompilar y evaluar los

compromisos de campaa tomados por las personas que ocupan cargos de eleccin
popular de un carcter pblico: congresistas, diputados, alcaldes, presidente regionales,
presidentes de la nacin, etc.; con las actividades realizadas una vez puestos en el cargo,
as como los logros alcanzados en beneficio del pueblo.

223

2.9AuditoradeAccesibilidad
Como su propio nombre indica consiste en la comprobacin de la accesibilidad de una
pgina web realizada por un experto. Terminada la auditora se informar sobre los
problemas que existen en dicha pgina respecto a su accesibilidad as mismo ofrecer a
la entidad posibles soluciones con el fin de arreglar el problema.
Tiene que cumplir con la Ley 34/2002 sobre la accesibilidad web.
Este tipo de auditora sirve para que una pgina web pueda ser visualizada en cualquier
tipo de soporte y lo ms importante que sea visualizada tambin por usuarios
discapacitados.
Tambin hay otras tcnicas para comprobar la accesibilidad y que no son de la auditora
de accesibilidad, son:
- Test Accesibilidad automtico
- Test Accesibilidad
Ventajas
En referencia a estas dos tcnicas la auditora de accesibilidad se aventaja de ellas dos

por el uso de menor coste econmico, mayor rapidez y ms exhaustivo a la hora de
realizarlo.
Desventaja
En relacin a estas dos tcnicas su desventaja reside en que no se realiza una

transmisin de conocimiento del auditor al cliente, el cual es quien est auditado con l.
Fases
Sus fases suelen ser:
- Se realiza una revisin preliminar. Consiste en un estudio del estado de la

accesibilidad de la web de la entidad.
- Se hace una valoracin de la accesibilidad de la pgina web respecto a las

pautas de la WAI.
- Arreglo de problemas en la fase de desarrollo.

224

- Realizacin del informe.
- Monitorizacin constante y supervisin de cambios.

225

2.10AuditoradeMarca
Nos sirve para saber el valor de una marca de una entidad mediante el uso de una
mtrica.
Con esta auditora sabremos si la marca por la cual hacemos la auditora se desempea
como se crea en un principio, ya sea para el dueo o el cliente a los cuales les afecta
directamente la marca. Se puede realizar un anlisis de la estrategia y de la experiencia
de la marca con el fin de comprobar cmo se est comportando actualmente en el
mercado.
Tambin hay que reconocer que con este tipo de auditora de marca se pueden obtener
las diferencias que hay en la entidad construyendo un mapa para dar consistencia,
adems de obtener una visin universal de la marca por parte de toda la entidad.
No hay que olvidar que las marcas de las entidades estn basadas en emociones
humanas, y esto sirve para que las personas se sientan reconocidas con esa marca
convirtindose en nuestros prximos clientes.
Gracias a esta auditora podemos saber cul es la posicin de la marca mostrando como
audiencias externas e internas perciben la fuerza del servicio. Explicamos en qu
consiste cada una de ellas a continuacin.
Auditora de marca externa
Consiste en saber como la marca es percibida por gente de fuera de la entidad, ya sean
clientes, proveedores, detallistas, etc. Consiste en analizarlos sobre como perciben la
marca, basadas en sus experiencias pasadas. Que aunque la experiencia pasada no
predice el futuro s nos ayuda para hacernos una idea de cmo mejorar en ciertos
puntos.
Tambin cabe recalcar que se debe de incluir a los clientes perdidos as como
distribuidores para obtener una informacin detallada de las razones por las cuales han
decidido ir a la competencia. Toda la informacin obtenida es necesaria a la hora de
realizar el informe final.
Auditora de marca interna
Consiste en la toma de datos respecto a cmo valoran los empleados de la entidad

mediante el uso de entrevistas o el uso de test, cualificando a la entidad en relacin a la
marca.

226

2.11AuditoraSarbanesOxley(auditoradelabolsa)
Consiste en una revisin practicada a las firmas de las entidades que cotizan en la bolsa
segn la Ley Sarbanes-Oxley(SOX).
La Ley Sarbanes-Oxley, surge en 2002 con el objetivo de mejorar la proteccin de los

accionistas respecto a las entidades que cotizan en bolsa segn unas medidas. Esta ley
llega a todo lo relacionado entre la entidad y la cotizacin en bolsa desde los directivos
de las entidades, los analistas financieros o los consejos de administracin.
Esta Ley se basa en seis puntos las cuales son los siguientes:
- Refuerzo de responsabilidades en el gobierno corporativo de las entidades.
- Auditores con mayor cualificacin.
- Aumento de las sanciones debido a incumplimientos.
- Mejora de la supervisin respecto a los mercados cotizados.
- Mejora de la calidad de la informacin as como sus detalles.
- Obtener un comportamiento tico respecto a la informacin confidencial, que

pueda afectar a la bolsa.
Estos puntos afectarn a la actividad del auditor a la hora de realizar dicha auditora.
Ley Sarbanes-Oxley aplicada en la auditora
Esta ley provoca la mejora de los sistemas de control interno financiero. Obligando a
auditar a la entidad. Esta auditora tiene como nico objetivo mejorar la confiabilidad y
la calidad de la informacin financiera mediante el uso de mtricas con el fin de
comprender los controles, riesgos, valoracin identificacin y prueba continua. La
calidad de la informacin es uno de los puntos ms importantes e influyentes ya que en
la misma auditora no se podr obtener un informe correcto sobre el aspecto de la
entidad que cotiza en bolsa si no se tienen unos datos detallados, correctos,
condensados, completos y a tiempo. Adems con esta ley se fijan estndares que deben
de cumplir los auditores en dichas auditoras.

227

2.12AuditoradeCdigodeAplicaciones
Con esta auditora conseguimos revisar el cdigo de nuestros programas realizados para
una aplicacin con el fin de encontrar errores en el tiempo del diseo con el fin de
mejorar nuestra calidad de nuestros productos
Este tipo de auditora es necesaria del ciclo de vida del software en desarrollo, ya que si
dejamos dicha revisin para el final lo que vamos a conseguir es que a la hora de
arreglar dicho fallo sea mucho ms costoso y se tardar mayor tiempo en arreglarlo,
adems con dicha auditora minimizaremos el mantenimiento del cdigo as como una
mejora de la calidad, adems conseguiremos que nuestro equipo de trabajo vaya
obteniendo una mayor experiencia sobre cmo se deben realizar ciertas modificaciones.
Adems los entornos integrados sirven para comprobar la sintaxis de nuestro cdigo lo
cual es una funcin necesaria pero su defecto es que no se encargan de ciertos puntos
que pueden surgir en el cdigo como puede ser la existencia del cdigo duplicado, las
convenciones de nombrado de las variables, la visibilidad innecesaria que puede haber
de un atributo, o del conocido cdigo muerto que consiste en un cdigo el cual est
escrito en la aplicacin pero no se llega a usar nunca debido a que no es llamado.
Para solucionar estos problemas que pueden surgir usaremos las herramientas que
tenemos en la auditora de cdigo de aplicaciones para solucionar dichos defectos que
no podemos solucionarlos con los entornos integrados.

228

2.13AuditoraFiscal

Esta auditora se puede definir de varias formas, as que pondremos a continuacin

algunas definiciones respecto a la auditora fiscal.
Proceso sistemtico con el fin de evaluar y obtener de manera objetiva las evidencias
relacionadas con informes sobre las actividades econmicas as como otros
acontecimientos relacionados, cuyo nico objetivo consiste en determinar el grado de
correspondencia del contenido informativo con las posibles evidencias que dieron lugar
al origen, adems de establecer si los informes entregados han sido elaborados
observando los principios establecidos para el caso.
Es una herramienta para la supervisin y control que sirve para la creacin de una
cultura de la disciplina de una organizacin que gracias a ella nos ayuda a descubrir
vulnerabilidades que podemos encontrar en la entidad as como fallos en la estructura.
Consiste en un examen de los comprobantes, cuentas, estados y anotaciones de la

entidad.
Objetivos
Dividiremos sus objetivos en dos grupos, especficos y generales.
En el primer grupo tendremos que evaluar y revisar la efectividad, la aplicacin y la

propiedad de los controles internos, as como mejorar la eficiencia operacional,
comprobar el grado de cumplimiento de las normas, procedimientos y polticas
vigentes.
Mientras en el segundo grupo de objetivos consiste en comprobar el cumplimiento de

los controles internos establecidos en la entidad, as como la comprobacin de las
cuentas de dicha organizacin desde un punto de vista contable, administrativo,
operativo y financiero.
Hay que realizar ciertas funciones a la hora de aplicarse dicha auditora.
- Comprobar y evaluar si existen posibles riesgos econmico-fiscales, para poder

reducirlos o evitarlos en el mejor de los casos.
- Imposicin de multas debido a las infracciones fiscales que podemos encontrar

a la hora de realizar dichas auditoras.
-Investigar cualquiera de los casos de denuncia y comisin de delitos fiscales.
-Presentarse a las reuniones semestrales con las administraciones locales y

regionales que haya de auditora fiscal competentes en las que participan en
equipo con la Direccin General de la Auditora Fiscal Federal, Jurdica de

229

Ingresos y de Recaudacin en las que se evaluarn los avances y las acciones

realizadas por, el Estado.
-Comprobar que existe una planificacin fiscal la cual tiene que ser la ms
adecuada con respecto al entorno familiar y futuro de la propiedad.
Normas
Se exigir una correcta planificacin de los procedimientos y mtodos a aplicar adems

de los necesarios papeles de trabajo cuyo objetivo ser dar fundamentos a las
conclusiones a la hora de realizar el examen final.
Hay que destacar que no todo el trabajo lo tiene que hacer el auditor ya que como tal
deber delegar ciertas acciones en ayudantes, pero no liberar al auditor de la
responsabilidad del todo el trabajo.
Como definicin de estas normas podemos decir que son los requisitos necesarios o
mnimos de calidad relacionados con la personalidad del auditor, ya sea la informacin
que da como resultado y la funcin que desempea de este tipo de trabajo.

230

2.14AuditoraAdministrativa
Consiste en una revisin evaluatoria y sistemtica de una organizacin, que se lleva a
cabo con el fin de determinar si la entidad est operando de forma eficiente. Consiste en
una bsqueda para encontrar los problemas y errores relacionados con la eficiencia
dentro de la misma entidad. Esta auditora tiene una revisin de los planes, objetivos y
programas de la empresa; sus funciones y su estructura orgnica; sus sistemas, controles
y procedimientos; las instalaciones de la entidad, el personal y el rea en que se
desarrolla, en funcin de la eficiencia de operacin y el ahorro que se consigue en los
costos. Adems esta auditora puede ser hecha por un licenciado en administracin de
empresas as como otros profesionales capacitados para dicha funcin. Gracias a esta
auditora conseguimos una opinin sobre la eficiencia administrativa de toda la entidad.
Principios
Al tratar este tipo de auditoras necesitamos explicar o recalcar tres principios

fundamentales los cuales son los siguientes:
-El sentido de la evaluacin. No se intenta evaluar la capacidad de contadores,

abogados e ingenieros en las operaciones de sus trabajos. En realidad se ocupa
de realizar una evaluacin y examen de la calidad de la entidad tanto colectiva
como individual, de las personas responsables (gerentes) de la administracin de
funciones de operacin de dicha entidad y comprobar si se han llegado a tomar
modelos necesarios que garanticen la implantacin de los controles
administrativos necesarios.
- La importancia del proceso de verificacin. Habr que determinar que se hace

realmente en los niveles administrativos, operativos y directivos; gracias a la
prctica nos indicar que ellos no siempre estarn de acuerdo con lo que el
responsable del departamento o supervisor cree que est ocurriendo de verdad.
Los procesos de esta auditora respaldan tcnicamente la comprobacin
mediante la observacin directa, el anlisis, la comprobacin de informacin de
terrenos as como la confirmacin de datos.
-Capacidad de pensar en trminos administrativos. El auditor en todo momento

tendr que saber colocarse en la posicin de un administrador a quien se le hace
responsable de dicha funcin operacional as como pensar como ste debera de
hacer. Consiste en pensar de una forma administrativa.

231

Metodologa y Fases
1. Objetivos y planes. Consiste en discutir y examinar con la direccin de la entidad el

estado de los objetivos y los planes.
2. La Entidad.
2.1 Observar, estudiar y comprobar la estructura de la entidad respecto al rea

que se valora.
2.2 Comparar la estructura real de la entidad con la del pasado (estructura de

hace un mes)
2.3 Comprobar si se llevan a cabo los principios de una buena entidad, departa
mentalizacin y funcionamiento.
3. Prcticas y polticas. Realizacin de un estudio para saber qu accin hay que realizar
con el fin de mejorar dichas prcticas y polticas.
4. Controles. Saber si estos son eficaces y adecuados para la entidad.
5. El equipo fsico y su disposicin. Saber si se pueden realizar mejoras en la

disposicin del equipo.
6. Reglamentos. Consiste en saber si la entidad cumple con los reglamentos federales,

locales y estatales.
7. Procedimientos y sistemas. Comprobar si se encuentran irregularidades, errores o

deficiencias en los objetos a examen y conseguir una solucin para mejorarlos.
8. Personal. Saber cules son las necesidades de las personas de la entidad en relacin al
trabajo que estn realizando.
9. Operaciones. Consiste en comprobar las operaciones con el fin de saber qu es lo que

necesitan para obtener mejores resultados.
10. El informe. Se realizara un informe en el cual se mostrarn las deficiencias

encontradas as como sus posibles soluciones.

232

2.15AuditoraFinanciera
Consiste en examinar los estados financieros as como las operaciones financieras

mediante un examen sistemtico de los registros y los libros de la entidad, con el fin de
dar una opinin profesional.
Para ello esta auditora contempla las transacciones que se han realizado en el pasado.
Dicha auditora se puede definir de la siguiente manera:
Consiste en el examen de los registros, comprobantes, documentos y otras evidencias

que sustentan los estados financieros de una entidad u organismo, efectuado por el
auditor para formular el dictamen respecto de la razonabilidad con que se presentan los
resultados de las operaciones, la situacin financiera, los cambios operados en ella y en
el patrimonio; para determinar el cumplimiento de las disposiciones legales y para
formular comentarios, conclusiones y recomendaciones tendientes a mejorar los
procedimientos relativos a la gestin financiera y al control interno
Objetivos
Los objetivos en esta auditora se dividen en dos, los especficos y los generales.
-Especficos. Consisten en una serie de puntos los cuales son:
a. Examinar el manejo de los recursos financieros de una

organizacin con el fin de establecer el grado en que sus
servidores utilizan y administran los recursos y si la informacin
financiera obtenida es til, adecuada, oportuna y confiable.
b. Dar recomendaciones con el fin de mejorar el control interno y

contribuir a la fortaleza de la gestin pblica as como promover
su eficiencia operativa.
c. Comprobar que las organizaciones realicen eficientes controles

sobre los ingresos pblicos, as como tambin comprobar las
disposiciones reglamentarias, normativas y legales aplicables en
las operaciones de las actividades desarrolladas.
d. Desarrollar los sistemas de informaciones de entes pblicos, ya

que sirven para la toma de decisiones as como la ejecucin de la
auditora.
e. Cumplir y evaluar los objetivos establecidos para la prestacin

de servicios y la produccin de bienes por los organismos de la
administracin pblica.

233

-Generales. Su principal objetivo ser dar un dictamen sobre la razonabilidad de

los estados financieros preparados y organizados por la administracin de las
entidades pblicas.

234

2.16AuditoraOperativa
El concepto o definicin de esta auditora es la valoracin independiente de todas las

funciones y operaciones de una entidad, de una forma analtica objetiva y sistemtica,
para saber si se lleva a cabo. Procedimientos y polticas aceptables, adems de
comprobar si se mantienen las normas establecidas as como la utilizacin de los
recursos de una forma econmica y eficaz, tambin se debe saber si los objetivos y las
metas de la entidad se han llegado a alcanzar.
Se basa en la consulta, revisin, investigacin, comprobacin, evidencia y verificacin

relacionada con la entidad. Consiste en un examen realizado por un personal
independiente de acuerdo con normas de contabilidad, cuyo objetivo es dar una opinin
que muestre lo acontecido en el negocio.
Objetivo
Su objetivo reside en identificar y comprobar las reas de reduccin de costes, intentar

mejorar los procesos operativos y aumentar la rentabilidad con fines constructivos y de
ayuda a las necesidades comprobadas o examinadas.
Con esta auditora sabremos si la actividad que estamos comprobando puede operar de
manera ms efectiva, eficiente y econmica. Adems sirve para saber si la produccin
que se realiza en los departamentos cumple con las especificaciones dadas por la
entidad. Tambin nos ayudar a encontrar deficiencias en procedimientos, prcticas y
polticas. Por ltimo se revisar la financiacin en la adquisicin de productos y
elementos para la realizacin de los productos o servicios de la entidad para determinar
si afectan a la calidad y cantidad de compras que se hubieran realizado.
Metodologa
La metodologa de este tipo de auditora est basada en 4 caractersticas.
- Familiarizacin. El auditor deber conocer las metas de la entidad, adems

sobre cmo se van a conseguir y como van a determinar en los resultados
obtenidos.
- Verificacin. Hay que examinar una serie de muestras de transacciones,

seleccionadas previamente por una muestra estadstica. Al realizar dicha
verificacin se centrar en tres puntos concretos costo, calidad y periodo
correcto.
- Recomendacin y evaluacin. Solo se podrn hacer cuando el auditor est

completamente seguro tras la realizacin del examen.

235

- Informar de los resultados obtenidos a la direccin. El resultado obtenido de

hacer el informe deber de ser entregado a los altos directivos.

236

2.17AuditoraNocturna
Es toda aquella que se realiza todos los das en el turno de noche, ya sean hoteles,
cajeros o restaurantes.
Objetivo
Su objetivo es ayudar a la proporcin y al desarrollo de los movimientos realizados

durante el turno de noche, con el fin de ayudar al auditor de ingresos en su misin de
elaborar, controlar y supervisar la contabilidad de la entidad (hotel).
Esta se realiza con la nica finalidad de aligerar el trabajo del auditor de ingresos,
debido a que el auditor nocturno tiene que realizar el cuadre de los ingresos obtenidos
que se han tenido a lo largo de la noche para que as el auditor de ingresos pueda hacer
la contabilidad ms fcilmente.
Para ello el auditor nocturno deber canalizar la operacin de los cargos de los ingresos
por ventas mientras que el auditor de ingresos hace la contabilizacin y la verificacin
de los ingresos del restaurante u hotel.

237

3. El Auditor

Para empezar tenemos que saber que un mismo auditor no tiene porque servir para
distintas auditoras, por tanto tenemos que elegir aquella persona que tenga la
experiencia necesaria y los conocimientos necesarios acorde al tipo de auditora que se
va a realizar ya que interactuar de una forma ms natural.
Su formacin acadmica puede ser desde unos estudios de nivel tcnico hasta pasando
por ingeniera industrial, derecho, informtica, ciencias polticas, contabilidad, o
cualquier otra formacin, esto es debido a que las auditoras pueden ser de tantas clases
como formaciones se tienen, lo importante es que tenga una formacin relacionada con
la auditora que vaya a realizar, ya que por ejemplo un auditor en auditora informtica
si el da de maana va a realizar una auditora fiscal y no tiene los conocimientos
necesarios respecto a ese tema, no va a poder realizar el trabajo correctamente aunque
su experiencia en auditoras sea alta .
Tambin se valorar toda aquella formacin complementaria que habr obtenido el

auditor mediante seminarios, conferencias o cursos de reciclaje.
Respecto a las caractersticas personales del auditor las cuales son determinantes a la
hora de hacer su trabajo correctamente tiene que tener algunas de las siguientes
propuestas a continuacin:
-Estabilidad emocional: el auditor no podr dejarse llevar por sentimientos

personales (angustia, rabia, etc.) los cuales pueden influenciar negativamente a
la hora de realizar dicha auditora.
-Escuchar: deber de estar atento y saber todo lo que est ocurriendo a su

alrededor entendiendo claramente lo que diga el personal de la entidad.
-Analizar: tendr que ser una persona capaz de examinar objetivamente una vez
obtenidos los datos necesarios.
-tica: tiene ser una persona con moral y que no se pueda corromper.
-Observador: tendr que estar atento a todo lo que est pasando mientras realiza
la auditora.
-Optimista: habr que dar una actitud positiva a la hora de realizar dicha
auditora para que la gente que est en dicha entidad no llegue a tomarle miedo,
aunque tendrn que demostrar cierto respeto al auditor.

238

-Objetivo: deber de tener su propio punto de vista neutral a la hora de realizar el

examen final.
-Discrecin: su paso a la hora de realizar la auditora desde la toma de datos

hasta la realizacin del examen debe de pasar lo ms inadvertido en la entidad.
-Trabajo en equipo: en el caso de trabajar con ayudantes u otros auditores deber

saber delegar el trabajo, as como una actitud correcta en todo el momento con
los dems compaeros del equipo.
-Iniciativa: sabr qu pasos realizar en cada momento y como tienen que hacerse
sin dudar ni flaquear.
-Exposicin en pblico: deber expresarse correctamente al personal de la

entidad.
Por ltimo cabe resaltar que la experiencia del auditor es uno de los mayores puntos a
favor que tiene, ya que gracias a ella cada vez tendr mejores conocimientos y
capacidades a la hora de enfrentarse a nuevos retos.

239

240

PFC Agustin Larrondo Quiros

Hochgeladen von

Dokumentinformationen

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

PFC Agustin Larrondo Quiros

Hochgeladen von

Copyright:

Verfügbare Formate

Universidad Carlos III de Madrid

Repositorio institucional e-Archivo http://e-archivo.uc3m.es

Uso de la norma ISO/IEC 27004 para

Larrondo Quirs, Agustn

Descargado de e-Archivo, repositorio institucional de la Universidad Carlos III de Madrid

Realizado el acto de defensa y lectura del Proyecto Fin de Carrera el da 14 de Octubre

Para aprender a levantarnos."

Cmo empezar este proyecto resumiendo todo en una frase NO PODEMOS

This International Standard provides guidance on the development and use of

Esta norma Internacional proporciona orientacin sobre la elaboracin y utilizacin

Esto incluye la poltica, gestin de informacin de riesgo de seguridad, objetivos de

Adems la seguridad de la informacin se expande desde la identificacin de

Cuando hablamos de seguridad ambiental nos estamos refiriendo a los

Para su detencin se recomienda avisar a las autoridades necesarias (bomberos,

Las tormentas elctricas consisten en fenmenos atmosfricos los cuales pueden

Un caso de ejemplo es el siguiente, el cual est basado en mi propia experiencia,

Despus de estos casos de ejemplo se debe de garantizar la seguridad fsica ya que

porque sern despedidos en cuestin de das, su nico objetivo ser corromper,

introduce en el lector de tarjetas el cual suele ser como el de la figura de a

Desventajas: Si la persona est alterada debido a situaciones emocionales puede no

A continuacin comentaremos un tipo de ataque en el cual para evitarlo habr que

Son una serie de tcnicas y de un grupo de procedimientos, cuyo fin es evaluar y

Consiste en un examen detallado de la estructura de una empresa, en cuanto a

La auditora es en s una actividad que debe de realizarse mediante el uso de

Est basado en la estimacin general de las caractersticas de la empresa, de sus

Para poder comprender la informacin obtenida mediante la auditora, el auditor

Inspeccin: se trata de comprobar mediante una serie de pruebas los

Confirmacin: consistir en obtener una comunicacin por parte de una

Observacin: consiste en presenciar los hechos o ciertas operaciones,

La legislacin o la liberacin pueden cambiar el entorno, siendo este menos

La anulacin de barreras comerciales obligando a la apertura de nuevos

La privatizacin de las organizaciones puede cambiar la orientacin de ellas

La innovacin y la mejora de la tecnologa puede llegar a provocar que

Los ciclos econmicos pueden llegar a obligar a ciertas organizaciones a

Esto puede ser provocado por diferentes causas: ya sea un cambio de la

Debido al xito de una oferta pblica, la publicidad de los resultados

Tambin se valorar toda aquella formacin complementaria que habr obtenido el

Estabilidad emocional: el auditor no podr dejarse llevar por sentimientos

Escuchar: deber de estar atento y saber todo lo que est ocurriendo a su

Discrecin: su paso a la hora de realizar la auditora desde la toma de datos

Trabajo en equipo: en el caso de trabajar con ayudantes u otros auditores

Exposicin en pblico: deber expresarse correctamente al personal de la

En este tipo de auditora sus objetivos primarios son, el control de la funcin

A lo largo de la auditora se deben de realizar una serie de pruebas con el fin de

Cumplimiento. Sirven para comprobar si un sistema de control interno

Sustantivas. Se obtienen por observacin, clculos, entrevistas, muestreos,

Inseguridad en las instalaciones, ya sea seguridad fsica, lgica o la

Cuando hay mala imagen o no se cumple con la satisfaccin de los clientes,

Deben de realizarse cuando se descubren problemas de descoordinacin y

La operatividad consiste en que la entidad y las mquinas funcionen aunque sea

La misin de IEC es ser reconocida mundialmente como el proveedor lder de

El IEC debe mejorar su promocin, marketing y comunicacin

Adems, el IEC ampliar su cooperacin y comunicacin con

El IEC seguir fomentando la participacin de las nuevas

(a) promover y apoyar la aplicacin nacional de la IEC y sustituir

El IEC continuar su prudente gestin financiera, el mantenimiento del saldo de los

ISO surgi en Ginebra (Suiza), su principal objetivo era la unificacin de los

El trabajo de ISO es muy descentralizado, se lleva a cabo mediante una jerarqua de

Este planestratgicoidentificarlasaccionesque debenadoptarseoemprender paralograr

4.3.3.2 Visin global de la ISO en 2010

A travs de la red y la colaboracin de sus miembros los organismos nacionales,

4.3.3.3 Objetivos de la ISO para el 2010

La industria, autoridades pblicas, consumidores y otros interesados reconocidos,

-Garantizar la participacin de los interesados