Beruflich Dokumente
Kultur Dokumente
2010-10
http://hdl.handle.net/10016/10564
PROYECTOFINDECARRERA
"UsodelanormaISO/IEC27004para
AuditoraInformtica"
INGENIERIATECNICADEINFORMATICADEGESTION
Autor:AGUSTNLARRONDOQUIRSNIA:100061619
Tutor:MIGUELNGELRAMOS
Legansoctubrede2010.
0
PROYECTOFINDECARRERA
Ttulo:UsodelanormaISO/IEC27004paraAuditoraInformtica.
Autor:AGUSTNLARRONDOQUIRS
Director:MIGUELNGELRAMOS
ELTRIBUNAL
Presidente:BENJAMNRAMOS
Vocal: FUENSANTAMEDINADOMNGUEZ
Secretario: EDUARDOGALNHERRERO
VOCAL
SECRETARIO PRESIDENTE
1
PROYECTOFINDECARRERA
AGRADECIMIENTOS
AmiprofesorMiguelngelRamosporayudarmeahaceresteproyectoconsu
indispensableapoyo,estandosiempreyayudndomearesolverlasdudasque
surganencualquiermomentodelda.Pocosprofesoresheconocidoas.
A todos mis abuelos Agustn, Rafael, Orencia y Visitacin, los cuales sepan
donde quieran que estn, que ya tienen a su primer ingeniero en la familia y
quedeseoyesperonoserelltimo.
AmispadresFernandoyRosario,darleslasgraciaspordarmelaoportunidad
depermitirmeestudiarunacarrera,sobretodocuandoellosnohantenidoesa
oportunidadensusvidas,ascomodeofrecermesuplenaconfianzaenmpara
conseguirla, por todos los besos y abrazos que me dieron, as como por
aguantarmeenmisbuenoscomoenmismalosmomentosduranteestosaos
decarrera,yaquesinellosestonoseraposible.GRACIAS.
AmishermanosRafaelyFernando,tambinconocidoelprimerocomoRAFAy
elsegundocomoNANETEoNANO,ambosmeensearonanorendirmeantela
adversidad,porsusconsejos,porapoyarmeenlosmalosmomentos,poresas
partidas a la play, por ese bao en su piscina, por ese viaje de sky el cual
necesitaba y por todos los abrazos que me dieron durante aos. Gracias por
estaramilado.
A mi amigo David conocido tambin como Tejero o Tejerito, por sus
amenazasquerecibaparaseguirestudiandolacarreracadavezqueledeca
que no sera capaz de terminarla, por todas esas partidas a los dardos, por
hacerme rer tanto en los buenos momentos como en los malos, y por esa
energapositivaquetransmitealagentequelerodea.
AmiamigaEvaoEvita,portodasesasnochescenandoodecopasporGetafeo
porMadrid,enlascualessiempreestachiquillameesperabaconunabrazo,
un beso y una sonrisa independientemente de cmo se encontraba ella para
animarme y poder hablar cuando lo necesitaba. Tengo que apreciar siempre
esosbuenosdetalles.
2
PROYECTOFINDECARRERA
A mis amigos Rubn y Lorenzo conocidos tambin como LOS GEMELOS, por
esas noches perdidas entre risas y chupitos de tequila por Getafe, en las
cualesnosabamosdndebamosaterminarperosconquienlasestbamos
pasando.Graciasporesasnoches!
A mi amiga Sonia, por esas noches de terrazas de verano, sus abrazos y por
ensearme que los museos no son tan aburridos despus de todo. Debera
estarenunmuseo!"Sigueestudiandochiquilla,tupuedes!
AmiamigoRubn,portodasesaspalizasquerecibenlaplay,poraguantarme
enmisdasmscrticosenloscualesmevolvainsoportable,porensearmeel
caminodelapalabraylomsimportante,aestarpresentecuandonecesitaba
hablar.Hayquesabervaloraresaspequeascosas.
AmiamigoJuanCarlos,portodasesasnochesdefiestapaseandopordonde
losgaritos...yaseaMadrid,Getafe,Benidorm,Salou,etc.Poresasterrazasde
veranoconsusmltiplesconversaciones.Sintialanochelefaltaalgoynose
puedesalirdejuerga.VaaserLEGENDARIO!!
A mi amigo Diego, por aguantarme en mis das malos, por sus conocimientos
aportadosenestosaosdecarrera,poresoslargospaseosporparquesur,por
sus comentarios graciosos sobre series de televisin y videojuegos, haca las
clasesmsllevaderas.
A mi amigo Oscar, por sus conocimientos sobre chistes, por apoyarme en los
buenos momentos como en los malos, por las mltiples conversaciones en la
cafetera de la universidad tomando caf y por ese viaje terminando en un
hotelperdidodelamanodeDiossacadodeunapelculadeterror.
AmiamigaPaula,portodasesasnochesdebolos,maquinasdebailar,cenas,
conversaciones, cines y algn que otro bingo y/o chupito de piruleta por ah
perdido.Habrquerepetirlochiquilla.
3
PROYECTOFINDECARRERA
Y a los amigos que dejamos atrs, por diversos motivos, que an as tambin
pusieronsugranitodearena.
Enresumen,atodosellosporensearmeacreerenmmismo.Yportodasesas
charlasquetuvimosalolargodelosaosencualquiermomentodeldaydela
noche.
Solopuedodecir,quesoylasumadetodosvuestrosapoyos,graciasportodoy
osdeseolomejorenvuestrasvidas.
Para finalizar quiero concluir con una frase que siempre me ha gustado
escucharlayportantoquieroaadirla.
"Por qu nos caemos?
P.D.:Estanocheinvitoyo!!
4
PROYECTOFINDECARRERA
INDICE
1.INTRODUCCION.................................................................................................................9
2.SEGURIDADINFORMATICA..............................................................................................12
2.1Introduccinseguridadinformtica...............................................................................12
2.1.1QuientienelainformacincontrolarelmundoPorqu?.........................................13
2.2Seguridadambiental......................................................................................................15
2.2.1Terremotos.................................................................................................................15
2.2.2Inundaciones..............................................................................................................16
2.2.3Fuegos(incendios)......................................................................................................17
2.2.4Tormentaselctricas...................................................................................................19
2.2.5Picosdetensin..........................................................................................................20
2.2.6BackUp......................................................................................................................20
2.3Seguridadlgica............................................................................................................21
2.3.1Controlesdeaccesoalsistema....................................................................................22
2.3.2Nivelesdeseguridadinformtica................................................................................23
2.4Seguridadfsica..............................................................................................................25
2.4.1Accesofsicoalsistema...............................................................................................25
2.5Sistemasdeseguridad...................................................................................................29
2.5.1Autentificacindelpersonal.......................................................................................29
2.5.1.1Porloquesetiene...................................................................................................32
2.5.1.1.1Tarjetasmagnticas..............................................................................................32
2.5.1.1.2Tarjetaselectrnicas(smartcard).........................................................................33
2.5.1.2Porloquesesabe....................................................................................................35
2.5.1.2.1Contraseas..........................................................................................................35
2.5.1.2.1.1Consejosalahoradeelegircontraseas............................................................36
2.5.1.2.1.2Comoprotegerunacontrasea..........................................................................37
2.5.1.2.1.3Medidasdegestinyproteccindelascontraseas..........................................38
2.5.1.3Porloquees(Biometra)..........................................................................................39
2.6Criptografa....................................................................................................................42
3.AUDITORIAINFORMATICA...............................................................................................44
3.1Quesunaauditoria?..................................................................................................44
3.2Etapasdelaauditorageneral........................................................................................45
3.3CundorealizarunaAuditorayporqu?....................................................................48
3.4Auditorinformtico.......................................................................................................50
3.5Auditoriainformtica.....................................................................................................53
4.QUESUNAISO/IEC?.....................................................................................................55
4.1Introduccin..................................................................................................................55
4.2IEC.................................................................................................................................56
4.2.1Historia........................................................................................................................56
4.2.2Visin.........................................................................................................................56
4.2.3Misin........................................................................................................................57
4.2.4Importanciadelmercado............................................................................................57
4.2.5ElIECcomounaherramientaestratgica....................................................................58
5
PROYECTOFINDECARRERA
4.2.6Alcancemundial.........................................................................................................59
4.2.7Innovacionyvaloraadido.........................................................................................60
4.2.8Mejoraysostenimiento..............................................................................................60
4.3ISO.................................................................................................................................62
4.3.1Historia.......................................................................................................................62
4.3.2QuintrabajaenISO?...............................................................................................63
4.3.3Planestratgico20052010delaISO..........................................................................63
4.3.3.1Prologo.....................................................................................................................63
4.3.3.2VisinglobaldelaISOen2010.................................................................................64
4.3.3.3ObjetivosdelaISOparael2010................................................................................64
4.4ISO/IECJTC1..................................................................................................................67
4.5PuntosdbilesdelasnormasISO/IEC............................................................................70
4.5.1Repercusionesdesuspuntosdbiles...........................................................................71
4.5.2Posiblessoluciones.....................................................................................................71
4.6Preparacionparalaimplementacindelasnormativasenunaentidad.........................71
4.6.1Culturamadura...........................................................................................................72
4.6.2Culturainmadura.........................................................................................................73
4.7Diferenciasdegerencias(repectoalaculturainmaduraylamadura).............................74
4.8Condicionesparalaimplementacindeunanormativallegeabuenpuerto..................75
4.9Problemasquesurgenenlaimplantacindelanormativa............................................78
5.QUESUNAMETRICA?...................................................................................................80
5.1Introduccin..................................................................................................................80
5.1.1Conceptosbsicosdemtricas....................................................................................81
5.2Cmonosvendenlanecesidaddeaplicarunamtrica?..............................................82
5.2.1Porqueaumentanlosataquesalasempresas?.........................................................83
5.3Qusonlasmtricassoftware?....................................................................................84
5.4Creacindeunamtrica................................................................................................86
5.4.1Comoconseguimosbuenasmtricas?.......................................................................89
5.5Clasificacindemtricas................................................................................................89
5.5.1Metricasexternas.......................................................................................................90
5.5.2Metricasinternas........................................................................................................91
5.5.3Metricasdecalidad.....................................................................................................91
5.6Porqu?Lasmtricasdeseguridad.............................................................................92
5.6.1Algunascaractersticasdelasmtricasdeseguridad...................................................94
5.6.2Beneficiosdelasmtricasenseguridad......................................................................94
5.7MEMSI(Modeloestratgicodemtricasenseguridaddelainformacin)......................94
5.7.1Caractersticasdelmodelo..........................................................................................97
5.7.2Ejemplosdemtricasparalaseguridadinformatica....................................................97
6.ISO/IEC27004..................................................................................................................99
6.1INTRODUCIN................................................................................................................99
6.2ElporqudelaISO27001?.........................................................................................101
6.3Lasmediciones.............................................................................................................102
6.4Modelodelasmediciones............................................................................................103
6.5Mtododelasmediciones............................................................................................104
6.6Seleccinydefinicindelasmediciones.......................................................................105
6.7PlanDoCheckAct(PDCA)............................................................................................108
6.8Cuadrodemando.........................................................................................................112
6.8.1Quesuncuadrodemando?...................................................................................112
6
PROYECTOFINDECARRERA
6.8.2Cmoimplantaruncuadrodemandocorrectoennuestraentidad?........................112
6.9Direccin.....................................................................................................................114
6.10Explicaciondetalladadelanormativa.........................................................................115
6.10.1.VisinGeneraldeMedicindelaInformacindelaseguridad...............................115
6.10.1.1Objetivosdelamedicindelaseguridaddelainformacin.................................115
6.10.1.2Programadelaseguridaddemedicindelainformacin.....................................117
6.10.1.3Factoresdexito..................................................................................................118
6.10.1.4Modelodemedicindelaseguridaddelainformacin........................................119
6.10.1.4.1Informacingeneral..........................................................................................119
6.10.1.4.2Basedemedidaymtododemedicin............................................................121
6.10.1.4.3Medidaderivadayfuncindemedicin............................................................124
6.10.1.4.4Indicadoresyelmodeloanaltico......................................................................126
6.10.1.4.5Resultadosdelasmedicionesycriteriosdedecisin.........................................128
6.10.2Gestinresponsabilidades......................................................................................130
6.10.2.1Informacingeneral.............................................................................................130
6.10.2.2Gestindelosrecursos........................................................................................131
6.10.2.3Medicindeformacin,sensibilizacinycompetencia........................................131
6.10.3Lasmedidasylamedicindeldesarrollo................................................................131
6.10.3.1Informacingeneral.............................................................................................131
6.10.3.2Definicindealcancedemedicin.......................................................................132
6.10.3.3Identificacindelainformacinnecesaria...........................................................132
6.10.3.4Objetoyatributodeseleccin..............................................................................133
6.10.3.5Medicindeconstruireldesarrollo......................................................................135
6.10.3.5.1Medidadeseleccin..........................................................................................135
6.10.3.5.2Mtododemedicin.........................................................................................135
6.10.3.5.3Medicindelafuncin......................................................................................136
6.10.3.5.4Modelodeanlisis............................................................................................137
6.10.3.5.5Indicadores.......................................................................................................137
6.10.3.5.6Criteriosdedecisin..........................................................................................137
6.10.3.5.7Laspartesinteresadas.......................................................................................138
6.10.3.6Construccindemedicin....................................................................................138
6.10.3.7Reunindedatos,anlisisypresentacindeinformes.........................................139
6.10.3.8Medicindelaimplementacinyladocumentacin............................................140
6.10.4Medicindelaoperacin........................................................................................140
6.10.4.1Informacingeneral.............................................................................................140
6.10.4.2Procedimientodeintegracin..............................................................................141
6.10.4.3Reunindedatos,almacenamientoyverificacin................................................141
6.10.5Resultadosdeanlisisdelosdatosylamedicindepresentacindeinformes.......142
6.10.5.1Informacingeneral.............................................................................................142
6.10.5.2Anlisisdelosdatosydesarrollodelosresultadosdemedicin...........................142
6.10.5.3Comunicarlosresultadosdemedicin..................................................................143
6.10.6ProgramademedicindeseguridaddelainformacindeEvaluacinyMejora......144
6.10.6.1Informacingeneral.............................................................................................144
6.10.6.2Criteriosdeevaluacindeidentificacindelprogramademedicindeseguridadde
lainformacin...............................................................................................................145
6.10.6.3Monitorizar,revisaryevaluarelprogrmademedicindeseguridaddela
informacin...................................................................................................................146
6.10.6.4Implementarmejoras...........................................................................................147
6.10.7PLANTILLAS.............................................................................................................147
6.10.7.1Plantillabase........................................................................................................147
6.10.7.2Plantilladeejemplo.............................................................................................151
7
PROYECTOFINDECARRERA
7.CUESTIONARIOAPLICACION...........................................................................................154
7.1Introduccin................................................................................................................154
7.2Creacindeuncuestionario.........................................................................................154
8.USODELCUESTIONARIO.................................................................................................163
9.PREGUNTASDELCUESTIONARIO....................................................................................174
9.1Introduccin................................................................................................................174
9.2Cuestiones...................................................................................................................176
10.CONCLUSIONES............................................................................................................188
11.BIBLIOGRAFA..............................................................................................................191
12.GLOSARIO.....................................................................................................................193
A.ANEXO...........................................................................................................................195
8
PROYECTOFINDECARRERA
1.INTRODUCCION
Para solucionarlo necesitamos el uso de mtricas las cuales nos ayudarn a alcanzar
nuestros objetivos de una forma eficaz, rpida, sin errores y lo ms importante
reduciendo el coste que nos ocasionaran dichos problemas, los cuales surgirn a la
horaderealizarnuestrotrabajo.
Sinosencontramosanteuncontrolelcualnosabemoscmomedir,aquseriadonde
entrara el estndar ISO/IEC 27004, el cual nos proporciona la ayuda necesaria para
realizardichamedicin.
La norma ISO/IEC 27004 comienza con una pequea introduccin, en la que cabe
destacarlosiguiente,paraaclararenquconsiste:
Traducindoloalespaol:
9
PROYECTOFINDECARRERA
PorlotantoconesteproyectoelobjetivoesentendermejorlaISO/IEC27004,adems
medianteelusodeloscuestionariosnosindicarsiestamosrealizandocorrectamente
dichanormativaatravsdeunaseriedepreguntas,lascualesalserrespondidasnos
indicar en qu estado se encuentra la empresa o entidad en la que realiza dicha
ISO/IEC27004.
2.SEGURIDADINFORMATICA
Enestepuntohablaremossobrelaseguridadinformticaylosmtodosnecesariosconelfin
degarantizardichaseguridad.
3.AUDITORIAINFORMATICA
Aqu nos centraremos en qu consiste, por qu se tiene que hacer y cmo se realiza dicha
auditora.
4.QUEESUNAISO/IEC?
Hablaremossobrequconsisteunanormativa,explicaremosporseparadoenquconsistela
ISOeIEC,ascomocuandosonISO/IEC.
5.QUEESUNAMETRICA?
Noscentraremossobreenquconsiste,comoconseguirbuenasmtricas,suclasificacin,etc.
10
PROYECTOFINDECARRERA
6.ISO/IEC27004
TrataremossobrelanormaISO/IEC27004.
7.CUESTIONARIOAPLICACIN
Mostraremosunejemplosobrecmocrearuncuestionario.
8.USODELCUESTIONARIO
Indicaremoscomoutilizaruncasodeejemplodeuncuestionarioenparticular.
9.PREGUNTASDELCUESTIONARIO
Mostraremostodaslaspreguntasrealizadasalahoradelaaplicacindelcuestionario.
ANEXO
En l veremos los diferentes tipos de auditora que pueden existir en el mercado laboral,
ademsayudarcomocomplemento.
11
PROYECTOFINDECARRERA
2.SEGURIDADINFORMATICA
2.1Introduccinseguridadinformtica
Cuando hablamos de seguridad pensamos que es una especie de clase (o
estado) donde nuestro equipo informtico est libre de cualquier tipo de
ataque que pueda ocasionar daos tanto a la infraestructura de nuestra
empresaoentidadquepuedeprovocarenelpeordeloscasoslaprdidadela
informacinnecesariaparalaempresa.
Se imaginan bancos en los cuales se pierda la informacin de nuestras
cuentascorrientes,aseguradorasquepierdenclientes,hospitalesenloscuales
se pierdan nuestros registros como pacientes, y todo ello por no tener un
mnimo de seguridad? la verdad si eso llegase a ocurrir el mundo sera un
completocaosanivelglobal.
Portantoparaqueunsistemapuedaestarsegurodebedetenerlassiguientes
principales caractersticas las cuales son esenciales para tener seguridad ante
posibleserroresoataquesquepuedansurgir:
Confidencialidad: con esta caracterstica conseguimos que la
informacin que estamos salvaguardando slo pueda ser legible por
parte de los usuarios autorizados e impidiendo que sea legible por
terceros.
No Repudio: consiste en que si dicha informacin es modificada o
simplemente ha sido legible por parte de los usuarios autorizados
quedarregistrado,obteniendoasqueelusuarioautorizadonopodr
negardichouso,debidoadichoregistro
Integridad: la informacin que se est salvaguardando solo podr ser
modificadaporusuariosautorizados.
12
PROYECTOFINDECARRERA
Disponibilidad: debe de estar presente en cualquier momento para la
utilizacindelosusuarios.
Ademsdeestascaractersticashayquedecirquenoexistelaseguridadtotal,
ya que es una utopa, simplemente lo que podemos hacer es reducir los
posibles errores que tenga nuestra seguridad, nadie ni nada nos garantiza la
seguridadtotal,solopodemossabersinuestraseguridadesalta,mediaobaja,
perononosgarantizaquepuedanexistirhuecosporloscualespuedapeligrar
lainformacindelaentidad.
2.1.1QuientienelainformacincontrolarelmundoPorqu?
La informacin es el centro de poder de la mayora de entidades, como por
ejemplolosbancos,noexisteeldinerofsico,disminuyenlosregistrosenpapel,
oporejemplolasfichasfsicasdeloshistorialesdelospacientesdecualquier
hospital estn siendo transferidas a bases de datos, toda la informacin est
centralizadaytieneungrandsimovalor,alfinalcabo,esloqueapareceenlas
pantallasdenuestrosordenadores,sondatos,sonnuestrainformacinysin
ellanotenemosabsolutamentenada.
Por tanto quien controle dicha informacin podr controlar aquello que
representa.
Hay que destacar que dicha informacin que tenemos puede ser robada,
modificada y usada en beneficio propio, son estas cosas por las cuales la
informacindebedeestaraseguradadequenuncasalgadelaentidadycaiga
enmanosajenas.
Alfinalcabolainformacinespoder.Yportantoescrticaparalaentidadya
queapartirdeellasetomandecisionesacorto,medioylargoplazo,debede
ser conocida solo por las personas autorizadas de la entidad y por ltimo es
totalmenteimportanteyaqueeselactivodelaempresa,esdecirloestodo.
13
PROYECTOFINDECARRERA
14
PROYECTOFINDECARRERA
2.2Seguridadambiental
2.2.1Terremotos
Los terremotos o sesmos son una serie de sacudidas del terreno debido al choque
entre las placas tectnicas y tambin a la liberacin de energa en el curso de una
reorganizacin brusca de los materiales de la corteza terrestre debido a superar el
estadodeequilibriomecnico.
Respecto a la hora de invertir en estas medidas, depende mucho de la situacin
geogrficadelaentidad,porejemplo,siestuviramosenunpascomoJapndonde
losterremotosestnalaordendeldaseratotalmentenecesariayfundamentaldicha
inversin, pero si fuese como en el caso de Espaa, donde nunca se da ningn
terremotoimportanteyaquesusposibilidadessonmnimasdichasinversionessern
menores.
Enestecasoserecomiendanosituarnuestrosequipososistemasinformticoscerca
delasventanasoensuperficiesaltaspormiedodesusposiblescadas,serecomienda
15
PROYECTOFINDECARRERA
elusodefijaciones.Porsupuestotampocohayquecolocarobjetospesadosencima
delosequipospormiedoaprovocardaosendichosequipos.
Tambinserecomiendaelusodeplataformasdegomalascualesabsorbenpartede
las vibraciones generadas por los terremotos, adems del uso de mesas anti
vibraciones ya que sin ellas podran daar los discos duros donde se guarda la
informacinvital.
2.2.2Inundaciones
Lasinundacionesconsistenenlaocupacindelaguaenzonasqueestnlibresdeella,
esto es debido por el desbordamiento de ros, subida de mareas, o por avalanchas
causadaspormaremotos.
16
PROYECTOFINDECARRERA
Estosproblemassongravesyaquesonlosquemsdaohacenalaentidad,yaque
cualquier sistema elctrico en contacto con el agua, puede ser mortal para los
empleadosdelaentidadyseperdertodalaltimainformacinobtenidaademsde
la prdida del equipo electrnico ya que dejar de funcionar y no tendr reparacin
alguna.
Adems nunca habr que ponerse en contacto fsicamente con los equipos
electrnicosyaquesucontactoseramortalparalosempleadosdelaentidad.
Serecomiendaelusodedetectoresdeagualoscualesaldispararselaalarmacorten
automticamentelacorrienteelctricaparaevitarmalesmayores.
2.2.3Fuegos(incendios)
El fuego consiste en una reaccin qumica de una oxidacin violenta de una materia
combustible, provocando desprendimiento de llamas, vapor de agua, dixido de
carbonoycalor.Esunprocesoexotrmico.
Los fuegos son ocasionados por cortocircuitos, cigarros mal apagados, etc., y estos
ocasionangravsimosdaostantomaterialescomopersonales.
17
PROYECTOFINDECARRERA
Se recomienda el uso de alarmas, las cuales al detectar fuego o humo, se activan
directamentelosextintoresqueestnsituadoseneltechoyavisanalasautoridades
conelfindeevitarmalesmayores.
Tambinesnecesarioelusodeextintoresdemanoqueestnrepartidosportodala
entidad. Adems al lado de estos extintores deben existir carteles anunciado su
presenciaeindicandosusituacin.
18
PROYECTOFINDECARRERA
2.2.4Tormentaselctricas
Serecomiendaelusodepararrayos,estosconsistenenunavarillademetal,puestaen
eltejadooenlapartemselevadadeledificiodelaentidad,lacualtieneuncablede
cobrequevaaapararaunaplanchadelmismometalintroducidaaunosmetrosbajo
tierra.Encasodequeunrayotoqueelpararrayosestededescargaraltocartierra.
Evitandoposiblesdaos.
19
PROYECTOFINDECARRERA
Adems se recomienda que las copias de seguridad que se realicen estn siempre
alejadasdelasestructurasmetlicasdeledificiodelaentidad.
2.2.5Picosdetensin
Lospicosdetensinsonotrosproblemasquepuedetenercualquierentidadyconsiste
en una sobrecarga en la corriente elctrica, los cuales pueden provocar pequeos
daosanuestrosequiposinformticos.
SerecomiendaelusodeSAIs,loscualesconsistencomodicensussiglasenunSistema
deAlimentacinIninterrumpida,graciasaestosdispositivosencasodequeexistaun
picodetensinmantendralequipoenunestadoasalvodecualquierposibledao.
2.2.6BackUp
UnbackUpconsisteenunacopiadeseguridadenformatodigitaldeladocumentacin
delosdatosdelaentidad,esunconjuntodearchivos,loscualessonalmacenadoscon
elfindeprotegerlosantecualquierdaointerioroexterioralaentidad.
Estas copias de seguridad son tiles, ya que nos sirven para restaurar un equipo
informtico despus de haber ocurrido un ataque, desastre para recuperar archivos
que hayan sido borrados sin querer, y la ms importante de todas, es que es
obligatorioyaqueesnecesarioguardarlosdatosdebidoalaAEPD(AgenciaEspaola
deProteccindeDatos)enrelacinalosdatospersonales.
20
PROYECTOFINDECARRERA
2.3Seguridadlgica
Enestecasocuandollamamosseguridadlgicaconsisteenquelosprocedimientosde
seguridadsirvenparasaberquin,cmoycuandounusuarioaccedeaunapartedela
informacin,portantosusprocedimientossirvenparacontrolardichoaccesolgico,y
encasodequenoseaelusuarioadecuadoparalainformacin,elsistemabloquear
dichainformacin,paraelloincluirbarrerasycontrolesqueprotejanelaccesodelos
datosaterceraspersonasquenotenganlaautorizacinnecesaria.
Paraellohayquerealizarunaseriedepuntosclaveparalaseguridadlgica:
Encasodeproblemasenlatransmisindebedehaberunprocesodeemergenciacon
elfindequelainformacinpuedallegarhastaeldestinatario.
Comprobar que los empleados que usen dichos archivos y programas puedan estar
trabajandosinnecesidaddeunasupervisinyquealaveznoseancapacesdecambiar
omodificarlosarchivosyprogramasquenolescorrespondencomoempleados.
La informacin recibida por el destinatario, tiene que ser la misma que la que fue
enviadadesdeelorigen.
Limitarelaccesoalosarchivosyprogramasdelaentidad.
21
PROYECTOFINDECARRERA
Sostenerquelosempleadosqueestnutilizandolosarchivos,programasylosdatos
estnsiendoutilizadosenelprocedimientocorrectoynoporotros.
Todalainformacintransferidasolopuedeserrecibidaporeldestinarioreal,ynoa
terceros,yaqueestoseraungraveproblemaenlaentidad.
Debendeexistirdiferentescaminosdetransmisinentrediferentespuntos.
2.3.1Controlesdeaccesoalsistema
Loscontrolesdeaccesosonunaherramientatotalmentenecesariaybsicaparatener
unmnimodeseguridadlgicaenlaentidad.Ademssondeunagranayudayaque
protegen a nuestro sistema respecto a modificaciones no consentidas, mantienen la
integridaddenuestrainformacin,protegenlasaplicacionesqueestamosutilizandoy
protegenlainformacinrespectoaempleadosquenotienenelaccesonecesariopara
ello.
Cabe destacar que el National Institute of Standards and Technology(NIST) ha
compiladolosrequisitosmnimosquedebedetenercualquiersistemadeseguridad:
Identificacinyautentificacindelpersonal.
Los roles: Consiste en que el acceso a la informacin por parte del empleado se
controla con diversos roles que pueda tener, para cada uno tendr una serie de
privilegiosorestriccionesdependiendodeculsea.
Modalidaddeacceso:consisteenelmododeaccesoquepuedetenerunempleado
de la entidad respecto a unos determinados recursos, el usuario puede tener
cualquieradelossiguientesmodosotodosellosdependiendodelgradodeaccesoque
tenga:
Lectura:enestecasosolopodrleeryvisionareldocumento.
Escritura:solopodrmodificardichodocumento.
Borrado:sercapazdeeliminareldocumento.
Ejecucin:permiteelaccesoalprograma.
Las transacciones: los controles se pueden desarrollar a travs de dichas
transacciones, un ejemplo de esto puede ser que para realizar una determinada
transaccinsesoliciteunaclavedeterminada.
22
PROYECTOFINDECARRERA
Limitando los servicios: este control se centra en las posibles restricciones que
puedenexistirdependiendodelaaplicacinodatosutilizados,todoelloestablecido
poreladministradordelsistemaqueponedichasrestricciones.
HorarioyUbicacin:enestecasoelempleadosolopodraccederalosrecursosen
determinadashorasdeldayendeterminadosequiposinformticosdelaentidad.
Control de Acceso Interno: como su nombre indica consiste en un control que se
realizacentradoparaunposibleataquedesdeelinteriordelaentidad,consisteenuso
decontraseas,listasdeacceso,cifradodelosdatos,etc.
ControldeAccesoExterno:sirveparaprevenirunataquedesdeelexterior,paraello
seutilizancortafuegos(firewalls),dispositivosdecontroldepuertos,etc.
Administracin: en esta parte consiste en realizar una correcta implementacin,
pruebas, seguimientos y modificaciones sobre los accesos de los usuarios a los
sistemasdelaentidad.
2.3.2Nivelesdeseguridadinformtica
Losnivelesdeseguridadutilizadosmundialmenteportodaslasentidadesconsistenen
laISO15408enreferenciaalasnormasdeseguridadenlosequiposinformticosdel
DepartamentodeDefensadelosEstadosUnidos.
Cadaniveltieneunaseriedecaractersticaslascualesdescribenunniveldeseguridad,
estosvandesdeunnivelmnimodeseguridadhastaelmximo.
Dichos niveles fueron la base para el desarrollo de los estndares internacionales
ISO/IEC.
Acontinuacinexplicamostodoslosniveles.
NivelD:Esteeselnivelmnimoenelcualsolotieneunadivisinyestguardadapara
los sistemas que hayan sido evaluados y por supuesto no cumplen con ninguna
especificacin de seguridad. En este caso no hay autentificacin con respecto a los
usuariosyportantonohayproteccinreferentealaccesodelainformacin.
NivelC1enestenivelseprecisadeunaidentificacinporpartedelosusuariospara
permitirelaccesodeinformacin,delacualnoseobtenaenelNivelD.Apartirde
ahora se hace la distincin entre los usuarios del sistema y el administrador del
sistema,quientendruncontroldeaccesototalalsistema.EnreferenciaalnivelC1,
23
PROYECTOFINDECARRERA
podrnexistirgruposdeusuariosconigualesprivilegiosascomogruposderecursos,
respecto de los cuales podr actuar el grupo de usuarios. Por ejemplo: todos los
becariosdelauc3mqueestntrabajandoenlasaulasinformticas,tienenaccesoa
una pequea base de datos que ellos mismos pueden modificar en cualquier
momento,porcualquieradeellos.
NivelC2:EstenivelsirveparasolucionarlasflaquezasquetieneelnivelC1.Consiste
en restringir a los usuarios que ejecuten ciertos comandos o que tengan el acceso a
ciertos archivos. Los empleados tienen autorizacin para poder hacer algunas tareas
deadministradorsintenerqueseradministradores.Ayudanamejorarlascuentasde
lastareascentradasconlaadministracindesistema.
NivelB1:ElnivelBsedivideen3,esteeselprimerodeellos,enestecasoescapazde
soportar seguridad multinivel, como la secreta y ultra secreta. Se consolida que el
dueodelarchivonopuedesercapazdemodificarlospermisosdeunobjetoqueest
bajoelcontroldeaccesoobligatorio.Elusuarioquequiereaccederaundeterminado
objeto deber tener un permiso para hacerlo. Consiste en que cada usuario tendr
unosobjetosasociados.
NivelB2:Consisteenquecadaobjetodenivelsuperiorseetiqueteporserpadrede
unobjetodenivelinferior.Enestapartedelsistema,avisaryalertaralosusuariossi
suscaractersticasdeseguridadyaccesohansidomodificadas.
Nivel B3: En este nivel se necesita que la terminal del usuario debe conectarse al
sistema a travs de una conexin segura. Adems aumenta a los dominios con la
instalacindehardware.Porltimoelusuariotieneasignadoslosobjetosyloslugares
alosquepuedeaccederparaconectarse.
NivelA:eselnivelmximo,parapoderllegaraestepuntodeseguridad,sedebende
incluir todos los niveles anteriores. Por supuesto al ser el nivel ms alto tiene un
procesodediseo,controlyverificacinmediantemtodosoprocesosmatemticos,
para garantizar todos los procesos que realiza un usuario sobre el sistema de la
entidad. Por ltimo debe de existir proteccin para que tanto el hardware como el
softwarenotenganinfiltracionesanteposiblesmovimientosdelequipo.
24
PROYECTOFINDECARRERA
2.4Seguridadfsica
Respecto a la seguridad fsica son procesos que existen y sirven para controlar el
acceso fsico al equipamiento informtico. Para ello se usarn cmaras de video,
puertasdeaccesocontarjetas,etc.Porejemplo,sivisitamoslasoficinasdecualquier
edificio de una gran empresa veremos cmo tendrn desde la entrada principal del
edificio un control para saber quin entra y quin sale, y todo ello automatizado y
controlado.
2.4.1Accesofsicoalsistema
Pormuchaseguridadquetengamosennuestrosistemaalahoradeaccederal,no
nossirvedenadasiademsnosomoscapacesdetratarlaseguridaddelaccesofsico
al sistema, por lo tanto cualquier extrao que entrase en la empresa podra abrir
cualquier CPU de nuestra entidad y llevarse fsicamente nuestros discos duros con
nuestracorrespondienteinformacin.
Otrocasodeejemploconsistiraenquepersonasajenasalaentidadutilicenundisco
dearranqueconelfindemontarlosdiscosdurosdenuestrapropiaentidadyextraer
nuestra informacin. Para llevarlo a cabo tendra que entrar fsicamente a nuestra
empresa.
25
PROYECTOFINDECARRERA
Sistemasdeprevencin Inversin
Usodehardware,desdeanalizadoresde Alta
retina,usodevideocmaras,usodecontrol
depuertas,personaldeseguridadenel
edificio,etc.
Usodelectoresdecdigo,conelfindesaber Media
quinentrayquinsaleencadadeterminada
saladenuestraentidadconelfindetenerun
controlsobresuacceso.
Bloquearlastomasderedquenoson Baja
utilizadasascomoloscablesderedpara
evitarpinchazosporterceraspersonas,cerrar
todaslaspuertasconllavealsalir.
TipodeinversinALTA:
Usodehardware:
Analizadoresderetina:
Videocmaras:
26
PROYECTOFINDECARRERA
Controldepuertas:
Personaldeseguridad:
Por ltimo cabe destacar que por mucha prevencin que haya nunca es suficiente y
por tanto hay que detectar los posibles ataques lo antes posible, para disminuir el
daoquevamosarecibir.Enestecasohayqueconcienciaralpersonaldelaentidad,
sobrelaseguridaddelentornofsico,conelfindequeencasodequeseencuentren
eneledificioconpersonalnoautorizadosepongaencontactoyavisealaseguridad
delaentidad.
27
PROYECTOFINDECARRERA
TipodeinversinMEDIA:
Sonmtodosasequiblesporcualquierentidad.
TipodeinversinBAJA:
Estainversineslamsbarata,debidoaquesonaccionescotidianasydesentidocomn.Aun
astambinsuelendarseproblemas.
28
PROYECTOFINDECARRERA
2.5Sistemasdeseguridad
2.5.1Autentificacindelpersonal
Estoconsisteenlaverificacindelpersonaldelaempresa,esdecirenconfirmarqueel
usuarioquevaausarymanejarlosdatoseselusuarioquecreemosquees.
Paraaccederaunsistemalomscomnesutilizarunacontraseaoinclusodospara
controlar el rango de acceso, aun as existen otras tcnicas que hacen lo mismo, y
estas se dividen en tres clases dependiendo el tipo de informacin que se necesita
paralaautenticacinconelfindeobtenerelaccesoalosdatos.
Porloquesetiene:esdecirelusodeunatarjetaelectrnicaomagntica.
Porloquesesabe:esteeselmtodomsclsico,elusodecontrasea.
Porloquesees:biometra,esdecirelusodehuellasdigitalesuotrossistemas.
Paraunusomejorrecomiendoelusocomomnimodedosclases,siendosiempreuno
deesosdoslaclasedePorloquees,yaquesisolousamosunmtodoenelcasode
quefueradelaclasedePorloquesetieneoPorloquesesabetienelagunasde
seguridad como el posible robo de contraseas o robo de la tarjeta electrnica o
magnticadelempleado,yportantocreandounserioproblemaanuestraseguridad,
dejandoelaccesoalosdatosenunasituacincomprometedora.
Ms adelante comentaremos cadauna de estas formas, por separado, de control de
accesoydeseguridadalossistemasydatosdelaentidad.
Paraqusirveidentificarse?
Laidentificacinsirveparatenerunabarreradeseguridadmnima,conelfindeevitar
posiblesdaosalaentidad,ademsconlaidentificacinpodemosentrarennuestro
sistemaconnuestrascaractersticascorrespondientescomousuario.
Porquestaraninteresadosendestruirorobardatosdelaentidad?
Podemos responder a esta pregunta en una sola frase, QUIEN TIENE LA
INFORMACIONCONTROLARELMUNDO,sinosfijamosenelmundoquetenemosa
nuestroalrededorcomprobaramosquetodosealmacenaenbasesdedatoscomopor
ejemplo, cuentas bancarias, historiales clnicos, datos financieros, fichas policiales,
29
PROYECTOFINDECARRERA
inversiones, Hacienda, etc.; hasta el punto de que por ejemplo un banco si quiere
sabertodoeldineroquetienenolesirvedenadacontareldinerofsicoquetengaen
lascajasfuertes,sinoelqueseindicaquetieneensubasededatos.Porlotantoesa
informacin,queesbastantegolosaparaterceraspersonas,tienequeestarasalvode
cualquier posible robo o destruccin de datos, estos son conocidos como delitos
informticos.
Quinesestaraninteresadosendestruirorobardatosdelaentidad?
Puedenserdesde,personasquenotienenningunarelacin,pasandoporempleados
delamismacompaaocompaascompetidoras,lascomentaremosacontinuacin.
Personassinrelacinconlaentidad,enestecasopuedenserdedostipos:
Hackers: son personas que atacan a la compaa con el nico objetivo de encontrar
brechasenelsistemadeseguridadyobtenerassoloelreconocimientopersonalde
haberencontradoesabrechadeseguridadenelsistema,sonconocidosporelnombre
dehackers.
Crackers:enestesegundocasosonpersonascuyoobjetivoesencontraresasbrechas
deseguridadconelfindeobtenerlosdatosdelaentidadyaseapararobarlosparasu
beneficio o destruirlos por puro placer y malicia, se les conoce por el nombre de
crackersloscualesademsdeutilizarsushabilidadesdeinformticapararomperlos
sistemas de la entidad son capaces de colapsar los servidores, entrar a zonas
restringidasdelaentidadocompaaparaluegoinfectarlasyapoderndosedeellas.
Empleadosdelamismaentidad:enestapartelosmismosempleadospuedenatacara
sumismaempresaporvariasrazonescomoporejemplo:porqueestndescontentos
con la entidad debido al trabajo que desempean, al trato que reciben por parte de
suscompaerososussuperioresyelltimoyporlotantoelpeordetodosloscasoses
30
PROYECTOFINDECARRERA
Compaascompetidoras:muchasempresasquecompitenenelmismomercadoque
nuestrapropiaentidadpuedenllegarahacercualquiercosacontaldeeliminarnosde
sucompetencia,yaquenospuedenvercomounaseriaamenazaparaellos,porelloa
vecesalgunasempresas(notodas),deformaocasional,puedensercapacesdeatacar,
espiar o robar con tal de obtener una gran ventaja respecto a su competencia en el
mercado,aunqueparaellorealiceunactodelictivo.Sepuedeexplicarconunafrase
Enelamoryenlaguerratodovale,yalfinalcaboalahoradeentrarenelmercado
delasgrandesempresasesunaguerra.
31
PROYECTOFINDECARRERA
2.5.1.1Porloquesetiene
Un tipo de seguridad para la identificacin del usuario es mediante el control y
comprobacindeunobjetoquetienelapersonayqueleidentificacomotalusuarioy
poseedordedichoobjeto,esteobjetopuedeserunatarjetamagnticaounatarjeta
electrnica(smartcard).Paralaidentificacindeunapersonaatravsdeunobjetose
suele utilizar alguna de estas dos clases de tarjeta, aunque ltimamente empieza a
estar en desuso la tarjeta magntica y est ganando adeptos la tarjeta electrnica
(smartcard),aunasvamosaidentificaracontinuacinlosdostiposdetarjetascon
suscorrespondientescaractersticas.
2.5.1.1.1Tarjetasmagnticas
Sonunaseriedetarjetasquealmacenandatosatravsdeunabandamagnticaconla
cualsepuedengrabardatosenella.Consistesimplementeenunatarjetadeplsticoa
lacualseleaadeunabandamagnticaenelprocesodesufabricacin.
Labandamagnticaconsisteenunabandaoscura,lacualestformadaporpartculas
ferromagnticasinsertadasenunamatrizderesinayquesoncapacesdealmacenar
informacinatravsdeunacodificacindeterminadaqueescapazdepolarizardichas
partculas.
Dichabandamagnticaesledaograbadaatravsdelcontactofsicointroducindola
a travs de una cabeza de escritura/lectura mediante la induccin magntica. Se
32
PROYECTOFINDECARRERA
Susprincipalescaractersticasson:
Debajocostoparalaentidad
Nosonreutilizables,esdecirsilatarjetahaterminadodehacersufuncin
no puede ser utilizada para otra diferente, a menos que vuelvan a ser
grabadaenellanuevosdatos.
Puedenserledasygrabadastodaslasvecesquesedesea.
Aunquesoncapacesdealmacenarinformacinsucapacidadesbaja.
2.5.1.1.2Tarjetaselectrnicas(smartcard)
Consistenenserunatarjetadeplsticoigualmentequelastarjetasmagnticasconla
diferencia de que se ha quitado la banda magntica y ha sido sustituida por un chip
que consiste en un microprocesador. Estas tarjetas son la evolucin de las tarjetas
magnticas, estas tarjetas electrnicas a las cuales al incorporar un microprocesador
consiguentenermayorcapacidaddeprocesamientoquelasmagnticasademsdeser
msverstiles.
33
PROYECTOFINDECARRERA
Lascaractersticasdeestastarjetassecentranenlosiguiente:
Sonresistentesalusocontinuado.
Se pueden hacer varias aplicaciones con una misma tarjeta, cosa que no se poda
hacerconlastarjetasmagnticas.
Losdatosquecontieneestncifrados,ademsdelposibleusodeunPIN.
Tieneunagrancapacidaddealmacenamiento.
Puedenserreprogramadas.
Talcomohemoscomentadoalprincipiodeestaparte,elusodeestetipodetarjetas
sirveparalosmecanismosdecontroldeseguridadyacceso.
34
PROYECTOFINDECARRERA
2.5.1.2Porloquesesabe
2.5.1.2.1Contraseas
Lascontraseassirvenparaverificarqueelusuarioqueestaaccediendoalsistemaes
dicho usuario y no terceras personas, ya que entonces estamos teniendo una grave
brecha en nuestra seguridad, para ello se realiza un proceso de verificacin de la
identidaddelusuarioenelcualsecompruebaqueesquiendiceser.Aunasnoexiste
unaseguridadtotal,yportantocomentaremosmsadelanteconsejosnecesariospara
reduciresaposiblebrechaennuestraseguridad.
Ademselusodecontraseasseraparalaentidadunpequeocosto,yaqueeslo
msbaratoymnimorespectoalaseguridad.
Enestecasohayunpequeoproblemaconelusuarioyconsisteenquesielusuario
tienequerecordarvariascontraseasystenoseacapazderecordarlaspuedaocurrir
algunadeestasdoscosas:
Que apunte todas las contraseas en algn sitio, esto sera un grave error ya que
entoncesestaraenjaquetodalaseguridaddenuestrosistema,yportantoestaraen
peligro nuestra informacin ya que si alguien encuentra el papel donde estn
apuntadaslascontraseasproducirunabrechaenormeennuestraseguridad.
Quealfinalelusuariodecidaponerlamismacontraseaparatodoslosaccesosque
necesita identificarse, en este caso, si alguien es capaz de averiguar su contrasea
podra entrar en cualquiera del resto de los sistemas que quiera. Ejemplo: muchos
usuariosutilizanlamismacontraseadesuemailquelaquetienencomocontrasea
en su puesto de trabajo. Esto tambin es una gran brecha para la seguridad de la
entidad.
Para que no ocurran dichos problemas se recomienda mentalizar a los empleados
respectoalusodesuscontraseas.
35
PROYECTOFINDECARRERA
2.5.1.2.1.1Consejosalahoradeelegircontraseas
Para empezar indicaremos un par de consejos totalmente necesarios respecto a las
clavesquehayqueelegir.
Tienen que tener como mnimo 8 caracteres. Esto es debido a que si se hiciera un
ataque intentando escribir todas las contraseas posibles incluyendo todos los
caracteres que tenemos se tardara un tiempo dependiendo de la longitud de la
contrasea. En la imagen de a continuacin indicamos el tiempo que se tarda en
descubrir una contrasea partiendo del nmero de caracteres que tiene nuestra
contrasea.
Nohayqueutilizarunacontraseadeaccesoaunsitioparausarlaenotro.Estoes
debido a que mucha gente utiliza la misma contrasea para multitud de accesos
provocando un gran riesgo en el caso en que se descubraya queestar enriesgo el
accesoalrestodesitios.
Nunca usar contraseas numricas que tengan relacin con el usuario, como puede
ser,nmerodetelfono,fechadenacimientoodealgunafechasignificativa,nmero
dematrculadelcoche,oelnmerodelaloteraquejuegasiempre,etc.
36
PROYECTOFINDECARRERA
Toda contrasea debe de ser alfanumrica, es decir nmeros con letras y adems
intentar que algunas letras sean maysculas y otras minsculas, adems de posibles
smbolos.
Nunca hay que utilizar palabras con significado o de un nombre personal, ya que
entoncesnospuedenhacerunagujeroenlaseguridadconunataquedediccionario.
2.5.1.2.1.2Comoprotegerunacontrasea
Laseguridadrespectoalahoradeprotegerunacontraseanosolorecaeenelusuario
quelatiene,ymuchasvecessoloechanlaculpaalusuario,sinoqueademstambin
eladministradortienepartedeculpa.Estoesdebidoaquesilacontraseadelusuario
caeentercerasmanosnosolosecomprometealusuariosinoatodoelsistema,enel
cualeladministradortienequeestarpendientedeunposibleataque.
Acontinuacindaremosunaseriedeconsejosconelfindeprotegerunacontrasea
tantoparaelusuariocomoparaeladministrador.
La contrasea debe de ser modificada cada cierto tiempo, semanalmente,
mensualmente, etc.; dependiendo de cada caso, en definitiva la contrasea debe de
cambiarconeltiempo.
Siempre habr que cambiar todas las contraseas que estn por defecto en el
sistema, suele ocurrir que mucha gente no se preocupa por ellas, pero estas
contraseassonfcilmentedeconseguirsinningnesfuerzo.
Las contraseas son de uso individual, por tanto no hay que compartirlas o
distribuirlasentrecompaerosdelaentidad.Consejoparaelusuario.
Nuncahayqueescribirlacontraseaenalgnsitio,debedeestarmemorizada,yasea
medianteelusodetcnicasnemotcnicas,yaquecualquierpersonapuedeencontrar
donde se haya escrito la contrasea poniendo en grave situacin la seguridad del
sistema.
Nodebedeexistirunacuentasincontrasea,estoesungraveerror,yportantopara
queestonoocurraeladministradordebedeestarpendienteyrepasarquenoexista
unacuentasincontrasea.
Hayquetenercuidadoalahoradeintroducirlacontraseayaquehayqueevitarque
nadievealoqueestamosescribiendoconelteclado.
37
PROYECTOFINDECARRERA
Parafinalizarnuncahayquepronunciardichacontraseaencualquierconversacin
quetengamos.
2.5.1.2.1.3Medidasdegestinyproteccindelascontraseas
Adems de la seguridad que debe de tener el usuario y el administrador tambin se
puede aplicar a la gestin de dicha contrasea a la hora de introducirla en nuestro
sistema,teniendostaunosrequisitosdeseguridad,stospuedenser:
Exigenciadeunacontraseaconunalongitudmnimade8caracteres,encasodeque
seainferior,nopermitirlocomocontrasea.
Elsistemanopermitircontraseasquenoseanalfanumricas,encasodedequeno
secumpla,nopermitirlocomocontrasea.
Tenerunnmerolimitadodeintentosalahoradeintroducirlacontrasea,encaso
desobrepasaresenmero,sepuedebloquearalusuariomientrasseenvaunmensaje
aladministradorindicandolasituacinanteunposibleataqueytomarmedidasenel
casomsgrave.
Hacer un ataque a nuestro propio sistema con el fin de saber si son vulnerables las
contraseas.
Indicaralusuarioquelacontraseatieneuntiempodevidalimitadoyenelcasode
quefaltepocotiempoparaqueexpireavisaralusuariosobreelcambiodecontrasea.
38
PROYECTOFINDECARRERA
2.5.1.3Porloquees(Biometra)
Esta tcnica consiste en la verificacin del personal de la empresa mediante sus
caractersticasfsicas(voz,huellas,retina,mano,cara,firma,etc.).Estatcnicaesuna
delasmssegurasquehay,aunassiemprehayquedecirquenoexistelaseguridad
perfecta sin embargo con esta tcnica aumentamos bastante nuestra propia
seguridad.
Adems la biometra tiene una serie de ventajas con respecto a otros sistemas de
seguridad,alahoradelaautentificacincomoporejemplo:
Noesnecesariomemorizarningunacontrasea.
Noesnecesariollevarunobjetoidentificndonosquieneselusuario,amenosquese
est utilizando como mtodo de biometra el mtodo de 1 a 1, el cual ser
comentadomsadelante.
No hay que actualizar los registros de los usuarios, la gente mantendr los mismos
rasgosfsicossiempre.
Difcilmentedefalsificardichosrasgosfsicos.
Elfuncionamientodeestesistemaconsisteenlosiguiente,paraempezarelindividuoo
personal de la entidad se debe registrar en el sistema, obteniendo este ltimo las
caractersticasfsicasdelapersonaatravsdeunalgoritmonumrico,obteniendouna
seriedevalores,loscualessealmacenarnenunabasededatos.
Ahoracuandoelempleadovayaaidentificarseexistendostiposdeautentificacinel
mtodode1a1yelmtodode1aN,loscualescomentaremosacontinuacin:
Mtodode1a1,enestecasoelusuariodeberidentificarseprimeroatravsdeuna
credencial,conellolabasededatossabrconqueregistrodebercompararlosdatos
que obtenga a continuacin de dicho usuario cuando ste se haga la prueba
39
PROYECTOFINDECARRERA
biomtrica, por tanto en este caso los datos obtenidos por el usuario en la
identificacinbiomtricasolosecompararnconunregistroguardadoenlabasede
datos.
Mtodo de 1 a N, en este tipo de autentificacin el usuario no necesita el uso de
ningntipodecredencial,simplementesetomanlosvaloresdelusuarioporelsistema
biomtricoysoncomparadoscontodoslosregistrosquehayaenlabasededatosdel
sistema.
Hayvariostiposdeclasesdebiometrasegnloquequeramosverificardelpersonal,
cadaunadeellastienesuspropiasventajasydesventajas,lascualescomentaremosun
pocoporencimayquesealaremosacontinuacin.
Tcnica:
Lecturadelamanodelempleado:
Ventajas:Pocanecesidaddememoriadealmacenamientodelospatrones.
Desventaja:Lentoynoesmuyseguro.
Lecturadelahuelladigitaldelempleado:
Ventajas:Baratoymuyseguro.
Desventaja:Cortesoaraazosquepuedetenerelusuariopuedenocasionarqueno
seareconocidocomotal,ademsexistelaposibilidaddeunaposibleimitacin.
40
PROYECTOFINDECARRERA
Lecturadelirisdelempleado:
Ventajas:Muyseguro.
Desventajas:Puedeprovocarmolestiasalusuario,ohacerdaoalaretina,aunqueeso
yanosueleocurrir.
Lecturadelacaradelempleado:
Ventajas:Rpido,fcilybarato.
Desventajas: Factores externo como la iluminacin de la sala puede alterar dicho
reconocimiento.
Reconocimientodelavozdelempleado:
Ventajas:tilparaaccesosremotosybaratos.
41
PROYECTOFINDECARRERA
Reconocimientodelafirma:
Ventajas:Barato.
Desventaja:Puedeserimitadoporterceros.
2.6Criptografa
La criptografa es un punto en la seguridad informtica que siempre habr que
comentar,yaqueformapartedeello.
Tambin hay que indicar un error que existe en este mundo a la hora de hablar en
relacin a este tema y que reside en usar la palabra encriptar como si fuese un
sinnimodelapalabracifrar.
A lo largo del tiempo el ser humano ha intentado ocultar informacin con el fin de
mantener una seguridad mnima para evitar posibles abusos por parte de terceras
personas,paraelloutilizabadiferentestcnicasdecifradocomoporejemploelcifrado
CsaroelmtododecifradodePlayfair,cifradoVigenre,etc.
Unejemploactualdelusodelacriptografaenelmundodelaseguridadinformtica
consiste en los diferentes tipos de cifrado, con el fin de mantener la seguridad de
nuestrasclavescuandoestamosintroduciendounacontraseaparaaccederanuestra
cuenta de correo o cuando enviamos un correo electrnico para alguien, estos
mtodosdeseguridadsirvenparaqueencasodequeterceraspersonasseancapaces
de obtener dicha informacin, mediante diferentes mtodos de ataque como por
ejemploelhombreenmedio,noseancapacesdeleerlasdebidoaqueestncifradas
yporlotantonopuedanserledaspordichosatacantes.
Estas tcnicas de cifrado con el paso del tiempo son ms complejas para que
garanticenunamayorseguridadanuestrainformacinyseanmsdifcilesderomper.
42
PROYECTOFINDECARRERA
A continuacin comentaremos por encima diferentes tipos de algoritmos que son
usadosparacifrarinformacinypodersalvaguardarlaencasodeposiblesataques:
Data Encryption Standard (DES): algoritmo de cifrado en bloques simtrico, cuyo
tamao de bloque tiene una longitud fija de 64 bits, y uso de una clave de 56 bits,
dicho cifrado se realiza con 16 ciclos de reiteracin. Aunque este sistema est en
desuso.
Triple Data Encryption Standard (TDES o 3DES): consiste en una variacin del DES, y
resideenquecomosupropionombreindicaaplicartresveceselDES.Dichosistema
usaunaclavede168bits.
AdvancedEncryptionStandard(AES):algoritmomsusadoenrelacinalacriptografa
simtrica, consiste en un esquema de cifrado por bloques, el tamao del bloque de
datos y de la clave pueden ser de 128, 192 y 256 bits. Es el ms usado actualmente
debidoasuseguridadyrapidez.
43
PROYECTOFINDECARRERA
3.AUDITORIAINFORMATICA
3.1Quesunaauditora?
Paraempezarvamosaindicarunaseriededefinicionessobrelaauditora.
Es una visin sistemtica y formal con el fin de determinar hasta que parte una
organizacin cumple sus objetivos establecidos por la empresa, as como para
diferenciar los que necesitan mejorarse
Es una funcin cuyo objetivo es apreciar y analizar, con vistas a las acciones
correctivas eventuales, el control interno de la organizacin para cumplir la integridad
del patrimonio, la autenticidad de la informacin as como el mantenimiento de la
eficacia de los sistemas de gestin.
44
PROYECTOFINDECARRERA
3.2Etapasdelaauditorageneral
EstudioGeneral:
Elconceptoquedebedetenerelauditorrespectodelnegociodelclientees:
LascondicionesEconmicasydelSectordelaEmpresa.
LaestructuradedichaOrganizacin.
SuestructuraLegalyOperaciones.
LascondicionesEconmicasydelSectordelaEmpresa.
Elauditortendrunconocimientobsicoreferentealascondicioneseconmicasdela
empresa, as como las condiciones competitivas que llegan a afectar las operaciones
realizadasdeunclienteyloscambiosqueseproducenenlatecnologa.Lanocinde
lasprcticascontablesrelacionadasenelsectordelaindustriaenlacualelclientese
desenvuelveesdevitalimportancia.
LaestructuradedichaOrganizacin
Enunaorganizacindecualquiermagnitud,seresencialelusodeundiagramadela
organizacinconelfindeespecificarlastareasylasresponsabilidadesdelosdiversos
miembrosdelamismaorganizacin.Laestructuradeunaasociacinrepartelastareas
entre los diversos empleados, las posiciones y departamentos o grupos. Para poder
controlar el trabajo de una organizacin se adoptar medidas de procedimiento y
mtodosquenosayudaraproporcionarevidenciasdequeaquellastareasfijadaspor
lasestructuradelaasociacinsellevanacabo.
45
PROYECTOFINDECARRERA
SuestructuraLegalyOperaciones.
Laauditoracomenzarconelconocimientodelascircunstanciasyoperacionesdela
organizacin auditada. El auditor deber de preparar una descripcin breve de la
naturaleza de aquellas actividades comerciales adems de los factores ms
importantesqueafectanadichasoperaciones.
Paraelloelauditordeberdetenerunconocimientoreferentealascaractersticasde
funcionamiento,ascomodelosprocedimientosrelativosalaadministracinydesu
estructuralegal.
Larevisindelosdocumentoslegalesdelaorganizacinesnecesariaparaelcorrecto
entendimiento de los registros contables, y de sus estados financieros. Con esta
informacinnosayudaraampliarelconocimientodelnegocio.
Hayquereconocerquesinestafasedelexamendelaauditoraseraunarestriccin
referentealalcancedeestarea,enlacualseraunanegativaporpartedelclienteno
permitir al auditor contemplar los libros de actas, lo que conducir al auditor a la
denegacindeundictamen.Yaquelainformacinquesepuedeobtenerdeellonose
podrobtenerdeotraforma.
EjecucindelaAuditora
Encontraremoslosaspectossiguientesenestaetapa:
Anlisis:nosayudarnparaclasificaryagruparelementosdelaorganizacin.
46
PROYECTOFINDECARRERA
Investigacin:elauditorobtendrunaseriedeconocimientosconloscuales
seformarunjuiciosobreloselementosdelaempresapormediodedatos,ya
queestosnossirvendebaseparalatomadedecisiones.
InformeFinal
Elinformeconstardedosparteslaprimeraserdeprocedimientoylasegundauna
opinin del auditor, con la primera parte se indicar el alcance de dicha auditora
mientrasquelasegundaserlaopinindelautorreferentealcorrectofuncionamiento
ypresentacindelosestadosdedichaorganizacin.
Elobjetivodeesteinformeserdarunaopininindependienteyprofesional.
47
PROYECTOFINDECARRERA
3.3CundorealizarunaAuditorayporqu?
Lasrazonesmsimportantesalahoraderealizarunaauditorapodrnseralgunasde
lassiguientes.
RazonesExternas.
a)Cambioomodificacinenelmarcolegislativo.
b)Fluctuacionesdelmercado.
48
PROYECTOFINDECARRERA
Razonesinternoexternas
a)Lareorganizacindeunaempresa
b)Emisindeofertaspblicasenmercados
49
PROYECTOFINDECARRERA
3.4Auditorinformtico
Paraempezartenemosquesaberqueunmismoauditornotieneporquservirpara
distintas auditoras, por tanto tenemos que elegir aquella persona que tenga la
experiencianecesariaylosconocimientosnecesariosacordesaltipodeauditoraque
sevaarealizaryaqueinteractuardeunaformamsnatural.
Suformacinacadmicapuedeserdesdeunosestudiosdeniveltcnicohastapasando
por ingeniera industrial, derecho, informtica, ciencias polticas, contabilidad, o
cualquier otra formacin, esto es debido a que las auditoras pueden ser de tantas
clases como formaciones se tienen, lo importante es que tenga una formacin
relacionada con la auditora que vaya a impartir, ya que por ejemplo un auditor en
auditorainformticasieldademaanavaarealizarunaauditorafiscalynotienelos
conocimientos necesarios respecto a ese tema, no va a poder realizar el trabajo
correctamenteaunquesuexperienciaenauditorasseaalto.
Respectoalascaractersticaspersonalesdelauditorlascualessondeterminantesala
hora de hacer su trabajo correctamente tiene que tener algunas de las siguientes
propuestasacontinuacin:
50
PROYECTOFINDECARRERA
Analizar: tendr que ser una persona capaz de examinar objetivamente una
vezobtenidolosdatosnecesarios.
tica:tienequeserunapersonaconmoralyquenosepuedacorromper.
Observador: tendr que estar atento a todo lo que est pasando mientras
realizalaauditora.
Optimista: habr que dar una actitud positiva a la hora de realizar dicha
auditora para que la gente que est en dicha entidad no llegue a tomarle
miedo,aunquetendrnquedemostrarciertorespetoalauditor.
Objetivo:deberdetenersupropiopuntodevistaneutralalahoraderealizar
elexamenfinal.
51
PROYECTOFINDECARRERA
Iniciativa: sabr qu pasos realizar en cada momento y como tienen que
hacersesindudarniflaquear.
Porltimocaberesaltarquelaexperienciadelauditoresunodelosmayorespuntosa
favor que tiene, ya que gracias a ella cada vez tendr mejores conocimientos y
capacidadesalahoradeenfrentarseanuevosretos
52
PROYECTOFINDECARRERA
3.5Auditoriainformtica
Sirvepararecoger,agruparyevaluarevidenciasconelfindeconfirmarsiunsistema
deinformacinmantienelaintegridaddelosdatos,salvaguardaelactivoempresarial,
cumpleconlosobjetivosdelaentidaddeformaeficientecumpliendoconlasleyesy
regulacionesestablecidas.
Conestaauditorapodremosmejoraralgunospuntosdelaempresacomopuedenser
laeficacia,seguridad,rentabilidadyeficiencia.
Pruebasenlaauditora
Clsicas.Secompruebansistemasyaplicacionescondatosdeprueba,enun
entornosimulado.Observandolaentradayelresultadoenlasalidaobtenido.
Cundorealizarlaauditora?
Pordeficienciaseconmicas,incrementosdeloscostes.
53
PROYECTOFINDECARRERA
productividadconseguidosocuandonocoincidenlosobjetivosonosecumple
conlosdelacompaa.
Objetivodelaauditorainformtica
ControlesTcnicosespecficos,sonnecesariosparalograrlaoperatividadde
lossistemas.Porejemplosepuededescubrirquelosparmetrosdeasignacin
automticaenelespaciodeundiscoestnmal,provocandoquenosepueda
utilizar por otra seccin distinta. Al igual que la prdida de informacin
provocandodificultadoanulandootrasaplicaciones.
ControlesTcnicosGenerales,sirvenparacomprobarlacompatibilidadentre
sistema operativo y software, as como la compatibilidad entre hardware y
software. Y por tanto es de los ms importantes, ya que un problema en la
compatibilidadpuedecrearungranproblemaenlaentidad.
54
PROYECTOFINDECARRERA
4.QUESUNAISO/IEC?
4.1Introduccin
Son estndares de seguridad publicados por la Comisin Electrotcnica Internacional
(IEC)ylaOrganizacinInternacionalparalaEstandarizacin(ISO).
La serie ISO/IEC 27000 sirve para desarrollar, mantener e implementar
especificaciones para los sistemas de gestin de la seguridad de la informacin,
tambinconocidocomo(SGSI).
PodemosnombraralgunasISOrelacionadascomoporejemplo:
ISO/IEC27000consisteenunvocabularioestndarparaelSGSI
ISO/IEC27001eslacertificacinquedebendetenerlasorganizaciones,ademses
unanormaqueespecificalosrequisitosnecesariosparalaimplantacindelSGSI.Sela
consideralanormamsimportantedelafamilia.Estcentradaenlamejoracontinua
delosprocesosydelagestinderiesgos.
ISO/IEC27002Tecnologadelainformacin,tcnicasdeseguridadycdigoparala
prcticadelaseguridaddelagestindelainformacin.
ISO/IEC 27003 Directrices para la implementacin de un SGSI. Tambin se le
consideraelsoportedelanormaISO/IEC27001.
ISO/IEC27004Mtricasparalagestindeseguridaddelainformacin.Proporciona
recomendaciones de quin, cundo y cmo realizar mediciones de seguridad de la
informacin.
ISO/IEC 27005 Gua para la gestin del riesgo en relacin a la seguridad de la
informacin.
ISO/IEC27006Enellaseespecificanlosrequisitosparalaacreditacindeentidades
decertificacindesistemasdegestindeseguridaddelainformacinyauditora.
Cadadasonmslasentidadesquequierenobtenerdichasnormasconsiguiendoassu
certificacin con el fin de tener un requisito que le permite competir con otras
entidades,consiguiendomayorcapacidaddenegociacinconentidadesquepidenque
susproveedoresyclientesestncertificados.
55
PROYECTOFINDECARRERA
Otrasentidadesloquequierenobtenerrealmentecondichasnormativaseslamejora
desusprocesosyacogersealosestndaresdecalidadinternacionales.
AcontinuacincomentaremosporseparadolaIECeISO,paraluegohablardeISO/IEC.
4.2IEC
LOGOIEC
4.2.1Historia
IEC surgi en Reino Unido en 1906 y desde sus inicios ha estado proporcionando
estndaresglobalesatodaslasindustriaselectrotcnicasmundiales.
LaIECesunaorganizacinnogubernamentalsinfinesdelucro.Suobjetivoconsisteen
publicaryprepararestndaresinternacionalesparatodaslastecnologaselctricaso
relacionadasalaelectrnica.
4.2.2Visin
QuelasnormasdelaIECylosprogramasdeevaluacindelaconformidadseanla
clavealcomerciointernacional.
56
PROYECTOFINDECARRERA
4.2.3Misin
4.2.4Importanciadelmercado
AlpromoverlaadopcindetodasylautilizacindelasNormasIECylosserviciosalo
anchodelmundo,lagestinIEChartodoloposibleparagarantizarquelosmiembros
de los comits nacionales representan todos los intereses nacionales en tanto el
sector privado y el sector pblico. Estos incluyen a los fabricantes,
servicios pblicos, proveedores, distribuidores, usuarios, consumidores,
investigadores, acadmicos, normas de las organizaciones de desarrollo y los
reguladores.
El IEC seguir poniendo de relieve el papel esencial de su representante en los
comitsnacionales,reconociendotantoqueesatravsdeunabuenarepresentacin
deloscomitsnacionalesyquelaindustriapuedeinfluenciareltrabajodelaIECyque
lamayoradeloscostosdelaIECnormalizacinsonsufragadosporlospatrocinadores
deexpertosquerealizaneltrabajotcnico.
El IEC har hincapi en el carcter democrtico y transparente de su
organizacin y funcionamiento, que ofrece igualdad de oportunidades a todos los
miembrosenbeneficiodeacuerdoconsuscontribucionesalaactividadtcnicadela
IEC.
A fin de maximizar aportaciones y beneficios a sus principales mercados,
el IEC desarrollar los medios y procesos mediante los cuales se puede atraer e
incrementar sustancialmente la participacin de la industria en su normalizacin y
gestindelosorganismosdeevaluacindeconformidad.
Para garantizar la mayor aceptacin posible de trabajo IEC y reflexionar
sobre la evolucin de la sociedad, los comits nacionales de la IEC fomentarn
laparticipacindelosusuariosfinalesylosconsumidoresanivelnacionalycomolos
miembrosdesusdelegaciones.
57
PROYECTOFINDECARRERA
ElIECseesforzarporaumentarsuaceptacincomounaplataformamundialparauna
plena serie de publicaciones tcnicas de los documentos de consenso limitado a un
consenso pleno las normas internacionales, as como para la evaluacin de la
conformidadsistemasyserviciosrelacionadosconlasnormas.
4.2.5ElIECcomounaherramientaestratgica.
El IEC se encargar de dirigir en la evaluacin emergentes y convergentes
tecnologasylaidentificacindenuevasreasparaeldesarrollodenormas.
Reconociendoquelaindustriasecentranentornoalamayoradelarelacincosto
efectiva de las estructuras de la normalizacin que pueda influir o controlar, la IEC
seguir desarrollando mecanismos efectivos, herramientas y procesos innovadores
para servir a los mercados en rpido movimiento a travs de relaciones con los
consorciosyampliadoforosyconfuncionariosdedesarrollosocialrelevantesquehan
alcanceglobal.
Con el fin de satisfacer mejor las necesidades del mercado, el IEC considerar
alternativasalmodelodenegociocomoelestablecimientodeunaunidaddeIECas
mismo, separado de la estructura existente para todo el consenso de Normas
Internacionales, a desarrollar y publicar los documentos de consenso y la limitada
58
PROYECTOFINDECARRERA
disposicindeotrosserviciosalosconsorcios.Industriaseanimaaasumirelliderazgo,
queparticipadirectamenteenladireccinylosnivelestcnicos.
4.2.6Alcancemundial
(b)paraformaruncomitnacionalplenamenterepresentativoelectrotcnico,
(c)participaractivamenteenlostrabajostcnicos.
Para lograr su misin de facilitar el comercio internacional, el IEC
aplicarasupolticadeimportanciaanivelmundialparamaximizarlaaceptacinanivel
mundialylaadopcindelasnormasIECarmonizadoanivelmundialquesatisfaganlas
necesidadesdetodoslosprincipalesmercados.
A fin de maximizar la armonizacin mundial de las normas IEC y apoyar
sistemas de evaluacin de conformidad, el IEC se desarrollar y mejorar las
relacionesconlasconformidadesinternacionalesdelosorganismosdeevaluacin.
Conelfinderacionalizarlosgastosparalaspequeasynuevasindustrializacionesde
pases, y alentar a los nuevos miembros, la IEC examinar a travs de una frmula
matemtica aprobada por el Consejo y se obtendr el clculo de las cuotas de los
miembros.
59
PROYECTOFINDECARRERA
4.2.7Innovacinyvaloraadido
El IEC sigue respondiendo a las necesidades del mercado en forma oportuna y
rentable, el desarrollo y la mejora de herramientas y servicios para ahorrar tiempo
y costo. Esto se devolver para facilitar las inversiones en proyectos futuros
yserviciosparaelbeneficiodelosusuariosylosestndaresdedesarrollo.
En particular, la comisin electoral independiente colaborar con los comits
nacionalesparaproporcionarliderazgoeneldesarrolloysuministrodeinnovadoresy
eficacesherramientasinformticasnecesariasparalanormalizacindelacomunidad
entera.
Altratardeagregarvalorparaelmercadosalvaguardandoalmismotiempolasfuentes
deingresosparaelfuturo,elIECenconjuntoconloscomitsnacionalesinvestigary
evaluarn una serie de nuevos servicios de informacin. El objetivo ser facilitar el
acceso al mercado de la informacin electrotcnica relacionada con las normas de
mltiplesfuentes,enespecialloscomitsnacionales,atravsdeunnico,integradoy
interfazdeusuario.
4.2.8Mejoraysostenimiento
El IEC mejorar an ms la cooperacin con ISO en las polticas, procedimientos y
procesos.Tambinseidentificarnyperseguirnnuevasreasparalacooperacincon
laISO(porejemplo,serviciosdesubcontratacinotareasentrelaIECylassecretaras
de la ISO), que aumentara las eficiencias de las secretaras y beneficiaria a las
comunidades de las organizaciones en su conjunto, mientras que respetando la
integridad de cada organizacin y el mantenimiento de una eficiente, operacin
independienteIECparaservirmejoralosmercadosdelaIEC.
El IEC trabajar en estrecha colaboracin con la ISO para desarrollar una poltica
coherenteenfoquedelosderechosdepropiedadintelectual.
60
PROYECTOFINDECARRERA
El IEC continuamente adaptar sus estructuras y procesos internos,
que deseen adquirir la mejor informacin y recursos de calidad de
interesados, en particular la industria, para dar prioridad a los trabajos tcnicos y
mantenersucalidadyalavezcumplirconlosrequisitosdemercadoparalaeficiencia
decostesyplazos.
El IEC procurar reforzar los recursos directos de mercado a las Juntas del Sector,
larevisinsistemticadelosmecanismosdefuncionamientodelaJustasdelsectory
laadaptacindesucoberturadesectoresespecficos,segnseanecesario.Elobjetivo
seraumentarlaparticipacindelaindustriaylatomadedecisiones,especialmente
enloqueserefierealasactividadesdeIECconlosconsorciosyforos,endesarrolloo
mejoradeprocesosparaidentificarloscriteriosdemercadoparalosproductosdeIEC
ylosserviciosdemejorsatisfacerlasnecesidadesdelusuario.
El IEC continuar mejorando la calidad y eficiencia del
desarrollodelaestructuradesusnormas.Alternativaparticipacindelosinteresados
y el documento de modelos de aprobacin, as como las estructuras del comit
tcnico.
El IEC estudiar los medios por los que podrn seguir para optimizar la
estructura, la gobernanza, la gestin y el funcionamiento eficaz de sus
sistemasdeevaluacindelaconformidadparasatisfacerlasnecesidadesdelmercado,
paragarantizarrecursosdedichosregmenesyparaapoyarlalabordenormalizacin
enelquesebasan.
61
PROYECTOFINDECARRERA
4.3ISO
LOGOISO
4.3.1Historia
LaISOesunaorganizacinnogubernamentalqueformaunpuenteentrelossectores
privados y pblicos. Su objetivo consiste en publicar y desarrollar estndares
internacionalesalrestodelmundo.
HayquedestacarquelassiglasISO,provienendelgriego(isos),'igual'.
Adems la ISO consiste en una red de los institutos de normas nacionales de 160
pases(yposiblementevayaenaumentosegnpaseeltiempo)
CabedestacarquetodaslasnormasdesarrolladasporISOsonsiemprevoluntariasya
quelaISOesunorganismonogubernamentalynodependedeningnotroorganismo
internacional,porloquenotieneautoridadyportantonopuedeimponeraunpas.
Respectoasuorganizacinsedivideentresclaseslascualessonlassiguientes:
a)Miembrosnatos
b)Miembroscorrespondientes
c)Miembrossuscritos
Existeunacuartaclasequesimplementesonaquellosloscualesnosonmiembrosde
laISO.
62
PROYECTOFINDECARRERA
4.3.2QuintrabajaenISO?
4.3.3Planestratgico20052010delaISO
4.3.3.1Prlogo
ElPlanEstratgico20052010esbozalavisinglobaldelaorganizacinen2010,juntoconlos
sieteobjetivosestratgicosestablecidosparasatisfacerlasexpectativasdesusmiembrosylas
partesinteresadasylosresultadosISOesperaalcanzar.
63
PROYECTOFINDECARRERA
LaISOtienelossiguientespuntosacontemplar:
Lafacilitacindelcomerciomundial
Mejoradelacalidad,seguridad,medioambienteyproteccindelosconsumidores,ascomo
elusoracionaldelosrecursosnaturales
Difusinglobaldelastecnologasydelasbuenasprcticas,
Contribuiralprogresoeconmicoysocial.
LaISOtieneunaseriedeobjetivosloscualessonlossiguientes:
Eldesarrollodeunacoleccincoherenteymultisectorialdelasnormasinternacionales
pertinentesanivelmundial
64
PROYECTOFINDECARRERA
ISO,atravsdesusmiembrosnacionales,sureddecontactosyalianzas,suconjunto
coherente de las prestaciones, su facilidad de acceso electrnico y sus iniciativas,
promueveelvalordelanormalizacinvoluntaria,permitelaadecuadaparticipacinde
partes interesadas y afectadas en sus trabajos y procesos, y por lo tanto se basa el
nivel adecuado de consenso para garantizar que sus resultados sean efectivamente
utilizadosyreconocidosenlosmercadosmundiales
Lasautoridadesgubernamentalessonconscientesdelosbeneficiosylasmodalidades
de la referencia a Normas Internacionales ISO en los reglamentos o como una
alternativa para la reglamentacin. Participan de manera efectiva en su desarrollo,
tantoatravsdemiembrosdelaISOylacolaboracindelaISOconlasorganizaciones
intergubernamentales.
65
PROYECTOFINDECARRERA
ISO,encooperacinconlaIEC,ofreceunagamacompletadenormasyguasparala
aplicacin y el reconocimiento de las buenas prcticas de evaluacin de la
conformidad, apta para todas las formas de primera, la participacin de las partes
segunda y tercera y la evaluacin, ampliamente utilizado por los proveedores,
evaluacin de la conformidad operadores y agentes acreditadores y reconocidos por
los clientes y autoridades pblicas. Se reconoce claramente que la ISO no est
directamenteimplicadaenlaevaluacindelaconformidadconsusestndares,pero
supervisaelusodesumarcaenmateriadeevaluacindelaconformidad.
66
PROYECTOFINDECARRERA
4.4ISO/IECJTC1
IECeISOestablecieronuncomittcnicoconjuntollamadoISO/IECJTC1(ISO/IECJoin
Technical Committee). Este comit est relacionado con todos los asuntos de
tecnologa de la informacin. La mayora del trabajo de ISO/IEC JTC1 es hecho por
subcomitsquetratanconunreaocampoenparticular.
AcontinuacincomentaremoslossubcomitsquehayenISO/IECJTC:
ISO/IECJTC1/SC02:Conjuntosdecaracterescodificados
ISO / IEC JTC 1/SC 06: Telecomunicaciones e intercambio de informacin entre
sistemas
ISO/IECJTC1/SC07:Elsoftwareylaingenieradesistemas
ISO / IEC JTC 1/SC 11: Medios magnticos flexibles para el intercambio de datos
digitales
ISO/IECJTC1/SC17:Lastarjetasylaidentificacinpersonal
ISO / IEC JTC 1/SC 22: Los lenguajes de programacin, sus entornos e interfaces de
softwaredelsistema
ISO / IEC JTC 1/SC 23: los medios de comunicacin, la grabacin digital para el
intercambioyalmacenamientodeinformacin
ISO / IEC JTC 1/SC 24: Grficos por ordenador, el procesamiento de la imagen y
representacindedatosambientales
67
PROYECTOFINDECARRERA
ISO/IECJTC1/SC25:Lainterconexindelosequiposdetecnologadelainformacin
ISO/IECJTC1/SC27:TcnicasdeseguridaddeTI
ISO/IECJTC1/SC28:Equipodeoficina
ISO / IEC JTC 1/SC 29: Codificacin de audio, fotografa, multimedia e informacin
hipermedia incluye dos grupos de trabajo: WG 11 Codificacin de imgenes en
movimientoyaudio(MovingPictureExpertsGroupMPEG)yGT1Codificacinde
imgenes fijas (con dos subgrupos Joint Photographic Experts Group JPEG y
Conjunto.LosexpertosdelaimagencondosnivelesengrupoJBIG)
ISO/IECJTC1/SC31:Laidentificacinautomticaycapturadedatostcnicas
ISO/IECJTC1/SC32:Gestindedatoseintercambio
ISO / IEC JTC 1/SC 34: Descripcin de documentos y procesamiento de idiomas
incluye seis grupos de trabajo, por ejemplo, GT 1: Descripcin de la Informacin
(SGML,DSDL,etc.),WG4:OfficeOpenXMLyWG6:FormatoOpenDocument
ISO/IECJTC1/SC35:Lasinterfacesdeusuario
ISO/IECJTC1/SC36:Tecnologadelainformacinparaelaprendizaje,laeducaciny
laformacinincluyesietegruposdetrabajo,porejemplo,GT1Vocabulario,WG2
Latecnologadecolaboracin.
ISO/IECJTC1/SC37:Biometra
EstaISO/IECtienelossiguientespuntoscomocaractersticasprincipales:
68
PROYECTOFINDECARRERA
Organizacinenrelacinalaseguridaddelainformacin:comosedebetrabajarenla
seguridaddelainformacinenlaentidad,tantodeformainternacomoexterna.
Gestindeactivos:sedebeteneruninventarioactualizadoycompletodelosactivos,
ascomosuclasificacin,quinessonresponsablesdelosactivos,etc.
Gestindeoperacionesycomunicaciones:consisteenasegurarlacorrectaoperacin
decadaunodelosprocesos,incluyendolascomunicacionesyoperacionesquesedan
enlaentidad.
Polticasdeseguridad:debedehaberpolticasorganizacionalesclarasybiendefinidas
lascualespuedanregulareltrabajoqueseestrealizandoeneltemadeseguridadde
lainformacin.
Seguridadenrelacinalosrecursoshumanos:seespecificanlasresponsabilidadesde
losrecursoshumanosdelaentidad.
69
PROYECTOFINDECARRERA
4.5PuntosdbilesdelasnormasISO/IEC
Las normas ISO/IEC sirven para aportar beneficios en los sistemas de calidad a las
entidades o empresas, aunque estas normas estn creadas para aportar valor en el
sistemadecalidad,nosiempresecumpleelobjetivoporelcualesaportadaendicha
entidadoempresa.
Su punto dbil puede tener como origen en diferentes puntos, el ms simple y por
tantoelqueelmayornmerodevecesocurreesquenotodaslasentidadesincluyen
lanormacomounsistemadecalidad,yaqueenvezdeeso,loquepiensanessoloque
laISO/IECnoesmsqueunacertificacinnecesariaqueproporcionaalasentidades
ventajascompetitivasrespectoasuscompetidoras,porloqueprovocaqueelobjetivo
en vez de estar centrado en el mejoramiento de la calidad, sea en la certificacin
provocandoproblemasalahoradeincluirla.
Ejemplo:(unatiracmica)
Esta tira cmica cida, muestra claramente lo que suele ocurrir muchas veces en
algunasdelasempresas,suprincipalobjetivonoeselmejoramientodelacalidad,sino
eldelpropiocertificadoqueseobtiene,yaqueseobtieneunamejoradelaimagende
laempresadesdeelexteriorcaptadaporlosclientes.
LaISOoIECeslanuevamoda,todaslasempresasdeseantenersucertificadocomo
sea,aunqueparaellolespuedaocasionarterriblesperdidas.
Otrodelosproblemasquetieneconsisteenquecondichanormaseiniciaelproceso
deimplementacindedichanormasinhacerunprocesodesensibilizacinatodoslos
actoresdelaempresaquefacilitedichaimplementacin,yaquebastantesempresas
noestnencondicionesdeiniciarunprocesodecertificacinenlanormaISO.
70
PROYECTOFINDECARRERA
4.5.1Repercusionesdesuspuntosdbiles
Con estos puntos dbiles provoca que la norma ISO o IEC deje de ser un gran valor
incluido el sistema de mejoramiento de la calidad, para convertirse en un gran
problemaquellegaaafectarelambienteoeltratoorganizacionaldedichaentidad,lo
queprovocaunasatisfaccinnegativaporpartedelclienteyobteniendofinalmente
quedichaempresapierdadinero,clientesquesevanaotroscompetidores,denuncias,
malaimagen,etc.;locualalfinalcaboeselprincipalobjetivodelaempresa.
4.5.2Posiblessoluciones
Por tanto primero se tendr que interveniren la cultura de la empresa con el finde
que cuando se vaya a recibir dicho sistema tenga una visin positiva por parte de
todos.
4.6Preparacinparalaimplementacindelasnormativasenunaentidad
Para la implementacin de las normas hay que hacer un anlisis del ambiente del
trabajo, son muchas las cosas que hay que tener en cuenta antes de dicha
implementacin.
Todas las entidades por constituidas que se encuentren no estn preparadas para
implementar una norma, para ello se necesita ms que tiempo de experiencia
empresarial, tipo de producto, cobertura del mercado, son indispensables unas
condicionesbsicasdeorganizacin,lascualessonlassiguientes:
71
PROYECTOFINDECARRERA
Unmnimodeprocesosdefinidos.
Compromisoporpartedetodoslosactoresdelaempresa.
Unaculturaorganizacionalmadura.
Elambientelaboraldebeseragradable,sanoyactivo.
Serconscientesdelanecesidaddemejoramiento.
Tenerunabuenaplanificacin
Orientacinhaciaeltrabajoenequipodeformaeficaz.
Dependiendodelaentidadnospodemosencontrarcondiferentesclasesdeculturao
caractersticasquetienedichaentidad.Lascualesvamosacomentaracontinuacin
parapoderreconocerlasencasodeunaauditora:
4.6.1Culturamadura
Estcaracterizadaporalgunosdelossiguientespuntos.
Autocontrolodisciplina:Cadaempleadodelaentidadsabeculessuresponsabilidad
yloscontrolesqueejerce.
Mando:enlaentidadexistenmenoslneasdemandoymsliderazgo.
Estrategiaalargoplazo:existeenlaentidadunplanyvisindefuturo,losobjetivos
estnbiendefinidosyseadministramsparaelfuturo.
Compaerismo:existeungranapoyoycomunicacinentreempleados.
Trabajo en equipo: hay una buena integracin del trabajo por los diferentes
departamentosqueexisten.
72
PROYECTOFINDECARRERA
Controldelobjetivo:debedeexistirunsistemaquereflejeloslogrosconseguidosalo
largodeltrabajo,sedebenhacermedicionesconelfindesaberenqusituacinnos
encontramos.
Laempresaoentidadquetieneestascaractersticastambinesconocidaporseruna
gerencia moderna. En este caso las normativas como la ISO, ven en ella una gran
ventajaconelfindemejorarsusprocesosdecalidad.
4.6.2Culturainmadura
Estcaracterizadaporalgunosdelossiguientespuntos.
Grandependencia:elpoderdelaempresaestcentradoenlagerenciaoenungrupo
depersonaslascualessonlosdirectivos,noaceptancualquiersugerenciaporpartede
otraspersonasdelaentidad,yporlotantoelrestodelosempleadosrealizaloquese
lesmanda.
Nohaysuficientemotivacin:lanicamotivacinqueexistepuedeseroporelsalario
que cobra el empleado o por las amenazas que puede recibir, como puede ser un
despido,oelrumordeaplicarunE.R.E.obteniendoasquelagentetrabajebienyque
nohayaquejasporpartedelostrabajadores,tambinpuedeocurrirquesimplemente
noexisteningunamotivacin.Existenciademobbing.
73
PROYECTOFINDECARRERA
Pasividaddelpersonal:alnoexistirningunamotivacin,losempleadossolotrabajanlo
justoporlaempresa.
Explotacin del trabajador: las empresas abusan del trabajador, como puede ser
realizandomshorasdetrabajo,lascualesnoestabanplanificadasdesdeunprincipio,
estoprovocamalestarenelempleado.
Tradicin: las empresas se apoyan siempre en frases hechas con el fin de hacer las
cosasdelamismamaneraynotratardecambiarloaunquesupongaunamejoraenel
proceso. Como por ejemplo frases de tipo, siempre se ha hecho as, siempre
funcionaanuestramanera,paraqucambiarsifunciona.
Laempresaoentidadquetieneestascaractersticastambinesconocidaporseruna
gerenciatradicional.EnestecasolasnormativascomolaISO/IEC,venenellaunagran
amenazayaquevenenellaalgoquevaatenerquemodificarelsistemadelaempresa
yportantoaproducircambiosenella.Tienenmiedoalcambio.
4.7Diferenciasdegerencias(respectoalaculturainmaduraylamadura)
Hayquedestacarquelaculturainmaduratambinesconocidacomolatradicional,mientras
quelamaduraeslanuevagerenciatambinconocidacomogerenciamodernalacualseest
realizandodeunaformacorrectaconelfindequelaimplantacindelasnormativascauseuna
mejoraenlacalidadynounproblemacomopuedesurgirenlaculturainmadura.
74
PROYECTOFINDECARRERA
CulturainmaduraGerenciatradicional CulturamaduraGerenciamoderna
Secentraenaspectosinternosrutinarios. Hacetodoloposiblepordefinirestrategias.
Estorientadaautilidadesyademssoloa Fijasuobjetivoaresultadoseconmicosa
cortoplazo. largoplazo.
Elempleoestasociadoasalarioeconmico Elempleoestasociadoalarealizacin
poreficienciadelpersonal. personal.
Estmuloeconmicoporeficiencia Estmuloporresultados.
Estilodirectivocentralizadoyautocrtico. Estiloparticipativoydescentralizado.
Actualizaprocesostcnicosyenmquinas Mejoravaloreseintervienelasactitudes
negativasdelpersonal
nfasisencostos,controldeloexistente. Centradaeninnovaryasignarrecursosala
generacindevaloragregadoconelfinde
obtenerbeneficios.
Por lo tanto, ahora tenemos que saber cules son las condiciones que necesita una
entidad,paraquelaimplementacindenormativasISO/IECseafavorable.
4.8Condicionesparalaimplementacindeunanormativallegueabuenpuerto
Paraconseguirqueseafavorablesenecesitaquelaentidadtengaunamenteabierta
respecto al enfoque hacia el mercado y de un sistema abierto a cualquier tipo de
cambio,ytodoellosemanifiestaencondicionescomolassiguientes:
75
PROYECTOFINDECARRERA
Envezesperaraquelosclientesquevayanalaentidad,eslaentidadlaquebuscaa
losclientes,medianteelusodetcnicascomerciales.
Tienequecentrarseenlavaloracindelmercadoatravsdelcumplimientodemetas
y de la satisfaccin del cliente, en vez de la valoracin de resultados a travs de los
rendimientosfinancieros.
Enunaentidaddondetieneunaculturamadura,noexisteresistenciaalcambiodebido
alanormativaquesevayaaimplementar,tieneunagerenciaabiertaylosdirectivos
detalentidadsonllamadoscomolderesynocomojefes.Ademslaculturamadura
tienebastantescaractersticascomolassiguientes:
Existenciadeprocesolgicoaunquelosprocesosnoestnestandarizados.
Losejecutivostrabajanenequipo.
Losplanesconcretosquetienelaentidadsonejecutadosymedidos.
Todas las ideas que surjan para mejorar la entidad son expresadas libremente y
ademssirvenparalaparticipacindelempleadodentrolaentidad.
Seestimulaatravsdemetasyresultadosqueporuncontroldetiempo.
Existeunacomunicacincorrectadeformahorizontalyvertical.
Hayreunionesentredirectivosyempleadosdelaentidad.
76
PROYECTOFINDECARRERA
Quetengalosmejoresrecursoshumanosposibles
Existenciadeunaorganizacincentradahaciaelservicioaclientes
Tenerunaorientacinhacialoestratgicoyunamayordelegacindelooperativo.
Ademslaorganizacindelaentidadtienequeestarcentradaenlabsquedade:
Reducireltiempoparadecidir.
Serunaorganizacinmshorizontal.
Reducirelcosto.
Mejorarelclimaorganizacional.
Disminuirnivelesorganizacionales.
Estudiar,conocerycomprenderalacompetencia.
Evitareltrabajoindividual.
UsodelBenchmarking.
Usodemsprocesos.
Bsquedadelainnovacin
Si una entidad es capaz de conseguir todo esto, podr obtener los certificados de
dichas normativas, lo cual conseguira que la entidad tome ventaja respecto a sus
competidoras, gracias a las ventajas obtenidas mediante la aplicacin de las
normativas.Lascualesson:
Motivacinporpartedelpersonal.
Compromisoporpartedelosempleados.
Reduccindeloscostosdelaentidad.
Mejoramientodelaproductividad.
Obtencindeunamayorrentabilidad.
Tenerunamejoradelaposicinenelmercadorespectoaloscompetidores.
77
PROYECTOFINDECARRERA
Cabedestacarquecuandosevayaahacerlaimplementacindelanormativahayque
vigilarquelaentidadnosealejedecentrarseenimportantespuntosestratgicos,los
cualesdurantelaimplementacinpuedenserdadosdelado.Comoporejemplo:
Usodeunsistemaparticipativo.
UsodelJustintime
Lamejoracontinua.
Laseguridadenlaentidad.
Lacalidaddeltrabajoporpartedeltrabajador.
Laparticipacindelaadministracin.
4.9Problemasquesurgenenlaimplantacindelanormativa
Sepuedendestacarlossiguientesproblemas:
Nocreerquetodoslosempleadosdelaentidadestnsatisfechostrasaplicarlafasedeinicio
(sensibilizacin)delanormativa,siempreexistenempleadosquesonmsreticentesalahora
deloscambios,portantohabrquerealizarmsesfuerzoenconvencerles,yaqueentoncessi
noleshacemoscasonospuedenocasionarproblemasenunfuturoinmediatoportantohay
quehacerloantesdequesurjandichosproblemas.
Quelostrabajadoresnoseaninformadosdeloqueocurreenlaempresa.Estotambinesun
graveproblemayaquelesdaaentenderquenosonnadieenlaentidad.
Crearlaexistenciadeuncomitdecalidadparalaentidadelcualsoloestformadoporlos
directivosoejecutivosdelaempresa,estoprovocasiemprequelosempleadosdelaempresa
creenqueestnconspirandootramandoalgocontraelmtodooloscontrolesqueaplicanlos
empleadosensutrabajo,estoocasionaenlamayoradelasvecesunmalambientedetrabajo,
78
PROYECTOFINDECARRERA
por tanto para poder solucionar este problema tendr que haber como mnimo un
representantedelosempleadosendichoscomitsparaquenoocurranestosproblemas.
Elconsultorelcualseaespecialistaysepacmoaplicarlanormativa,noseacapazdemotivar
alpersonaldelaentidad,estoqueaunquepuedenosermuyimportanteesmstrascendental
que otras cosas, debido a que el grado de optimismo de los empleados es una baza
importantsimaparalaentidad.
Quedichaimplantacindelanormasehagaporimposicin,usodefrasescomoporejemplo:
es lo que hay y vamos a hacerlo, puede provocar el malestar general por tanto se
recomienda hacerlo por convencimiento de los empleados, no hay que utilizar nunca el
lenguajesoez.
La implantacin se hace simplemente porque est de moda tener dicha normativa con su
correspondientecertificado,paradarunaimagenquenosetieneenrealidad.
Dar de lado otros programas de la entidad con el fin de obtener dicha certificacin, ya que
entoncesestamosperdiendocalidadenvezdemejorar.
79
PROYECTOFINDECARRERA
5.QUESUNAMETRICA?
5.1Introduccin
Graciasalusodelasmtricasestasnossirvenparapoderentenderelprocesotcnico
que se est aplicando para crear o desarrollar un producto, ya que a travs de ellas
somoscapacesdemedirdichoproductoparasabercmomejorarsucalidad.
Lamedicindelosproductosesalgototalmentenecesarioparaobtenerunproducto
congrancalidadconelfindepoderentrarenelmercadoycompetircontralosdems.
Sinembargoexisteunproblemarespectoadichamedicinyesquesurjanpreguntas
comolassiguientesalahoradeelegirqutipodemtricahayquerealizar.
Ejemplo:
Quhacerconlosdatosqueobtenemosdedichamtrica?
Hayqueaplicarlamtricasoloconelproducto,otambinconelrestodelacadena
queintervienecomosonlosempleadosyprocesos?
Qumtricaesapropiadaparanuestroproducto,elempleadoyparaelproceso?
Estassonunejemplodelaspreguntasquesurgenalahoradebuscaryrealizaruna
mtrica, sin embargo hay varias razones por las que tenemos que utilizar la mtrica
connuestrosprocesos,empleadosyproductos.Lasrazonesson:
Saber la calidad de nuestro producto, con el fin de saber en qu aspectos hay que
mejorarlo.
Saberlosbeneficiosdelosnuevosprocesos,herramientasymtodosqueseaplican
paraobtenerelproducto.
Todaslasmtricasquesepuedenhacerparamedirlacalidaddelsoftwareseagrupan
endoscategorasdiferentesdependiendodeltipodemtricaqueserealice:
a) Mtricaindirecta:enestasecentranenlacalidad,complejidad,fiabilidad,
eficiencia,funcionalidad,facilidaddemantenimiento,etc.
80
PROYECTOFINDECARRERA
5.1.1Conceptosbsicosdemtricas
Para empezar a hablar de mtrica hay que diferenciarla de otras palabras como
medidaymedicinlascualessonasociadasalapalabramtricaparadecirlomismo
cuandoenrealidadtienenotrosignificado.Lascomentamosacontinuacin.
Medida nos proporciona una indicacin cuantitativa de cantidad, dimensiones,
capacidad, tamao y extensin de algunos de los atributos de un producto o de su
proceso
Medicin:procesoporelcuallosnmerossonasignadosaatributosoentidadesenel
mundorealtalcomosondefinidosdeacuerdoalasreglasclaramentedefinidas.
Mtrica: segn el IEEE define la mtrica como una medida cuantitativa del grado en
queunsistema,componenteoprocesoposeeunatributodado.
Ahorapondremosfrasesrelacionadasconlamtricaporpartedealgunosautores
Cuando puedas medir lo que ests diciendo y expresarlo en nmeros, sabrs algo
nmeros,tusconocimientossernescasosynosatisfactorios
LordKelvin
Loquenoseamedible,hazlomedible
GalileoGalilei
81
PROYECTOFINDECARRERA
Nosepuedecontrolarloquenosepuedemedir
TomDeMarco
OtrasdefinicionesdelapalabramedirsegnlaRAEson:
Medir.
(Dellat.metri).
1. tr. Comparar una cantidad con su respectiva unidad, con el fin de averiguar
cuntasveceslasegundaestcontenidoenlaprimera.
2.tr.Comprobarlamedidadeunverso.
3.tr.Compararalgonomaterialconotracosa.Medirlasfuerzas,elingenio.U.t.
c.prnl.
4.tr.Moderarlaspalabrasoacciones.U.t.c.prnl.
5.2Cmonosvendenlanecesidaddeaplicarunamtrica?
Enelmundodelaindustriasiemprenosestnvendiendoelusodeaplicarlamtrica
de seguridad, esto es debido al uso del miedo e incertidumbre por parte de algunas
compaasparaquenosdenlasensacindequeestamosexpuestosaalgoterrorfico
quepuedesertotalmentedainoparanosotros.
82
PROYECTOFINDECARRERA
Muchos productos que nos venden son sometidos y evaluados por las revistas
relacionadasconlasindustriasmostrandosusprincipalescaractersticas.
Ademsestosproductosestnrelacionadosconlasbuenasprcticasesdecir,loque
se lleva demoda en relacin a lo que la industria sugiere como lo ms adecuadoen
dichomomentoparanuestraseguridad,comoelusodecertificaciones.
5.2.1Porquaumentanlosataquesalasempresas?
Cada vez con el paso del tiempo el nmero de ataques se dispara aumentando
significativamenteysuponiendoungravepeligroparalaempresa,estoobligaaquelas
empresastenganqueestarpendientesdemejorarsuseguridadencadamomentocon
elfindenoencontrarseconunasituacinderiesgolacualpuedehacerpeligrarala
empresa.
Existenvariasrazonesporlascualesestosataquesaumentanysonporalgunasdelas
siguientesrazonesqueexponemosacontinuacin:
Elhechodequenoexistaelsoftwareperfectohacequelosatacantesbusquendicho
error por muy escondido que est y sea este su punto de ataque. No hay nada
perfecto,siemprehayerroresgrandesopequeos,elobjetivoconsisteenreducirtodo
loposibledichoerrorporpartedelaempresaconelfindeevitarposiblesataques.
Laexistenciadeempleadosdescontentosenlaempresaesotradelasrazonesporlas
cualesesunagranmotivacinparaelatacante.
Coneltiempolasconfiguracionesdelainfraestructuradeseguridadsevuelvenms
complejasconelfindesermssegurassinembargotienenunpequeopuntodbil
83
PROYECTOFINDECARRERA
queconsisteenquelaprobabilidadderealizarunaconfiguracininadecuadaaumente
yconellosedebiliteelseguimientoalcontroldecambios.
5.3Qusonlasmtricassoftware?
84
PROYECTOFINDECARRERA
Gracias a las mtricas van a ayudar a la hora de evaluar los modelos de diseo y
anlisis, servirn para mejorar y disear nuevas pruebas con mayor efectividad.
Mejorandoconellolacalidaddenuestroproducto.
Para realizar una medicin hay que tener unos puntos bastantes claros antes de
llevarlaacabo,comoson:
Lasmtricasnopuedenserambiguas.
Usodeestadsticas
Automatizarlarecogidadedatos.
Paraelprocesodemedicinserecomiendadividirloencincoetapasdiferentes.
85
PROYECTOFINDECARRERA
Formulacin:enestaprimeraetapatienecomoprincipalobjetivoeldebuscaryelegir
lasmtricasymedidasdelsoftwareapropiadasparaaplicarloalsoftwareencuestin.
Coleccin: en esta segunda etapa hay que acumular y obtener todos los datos
necesariosyobtenidosdelsoftware.
Anlisis:ahoraconlosdatosobtenidosenlaanterioretapa,serealizanlosclculosde
lasmtricas.
Interpretacin:acontinuacinconlosclculoshechosserealizasuevaluacinconel
findeobtenerunavisininternadelacalidaddelarepresentacin.
5.4Creacindeunamtrica.
A la hora de crear una mtrica debemos de crear una tabla con toda la informacin
correspondiente a dicha mtrica, en la cual se indican todas las caractersticas que
posee que van desde su nombre, propsito, costo que tiene para la empresa,
localizacin,tipo,etc.;todasestascaractersticasyelrestodeellaslascomentaremos
acontinuacinexplicndolassufuncin.
Titulo:
Propsito:
Secomentarloquelamtricaestdiseadaparahacer.
Costo:
Consisteenlaestimacindeloscostesrealesdelarecogidadelaseguridaddedicha
mtrica.
86
PROYECTOFINDECARRERA
Tipo:
Localizacin:
Aqu sabremos donde se deben encontrar los datos a recoger, as como los datos
previosutilizadosconelfinderealizardichamtrica.
Frecuencia:
Conellosabremoscuandosedebenderecogerlosdatosascomoelnmerodeveces
quehayqueobtenerlos.
Categora:
En este apartado deberemos de hacernos una serie de preguntas con las cuales
rellenaremosdichoapartado.Laspreguntasson:
Cuntasvecessucedealgo?
Conqufrecuenciasucedealgo?
Cuntotiempoduraunevento?
Cuntocuestaunevento?
Inicioyparada:
Criteriosparainiciarydetenerlarecogidadedatosparalamtricadeseguridadypara
elusoylapresentacindelagarantadedichamtrica.
Duracindelarecogida:
Consisteenunaestimacinorealdelperiodoenelqueserecogernlosdatos.
Duracindeuso:
Consisteenunaestimacinorealdelperiodoenelqueseutilizardichamtricade
seguridad.
87
PROYECTOFINDECARRERA
Ejemplodeunatabla.
Caracterstica Comentarios
Empleadosconentrenamiento
complementado
Propsito Conocereltantoporcientodenuevos
empleadosqueterminaron
correctamentesuentrenamiento
respectoaltotaldenuevosempleados
queentraronenlaempresa
Costo Tieneuncostomuybajoyaquesolohay
querevisarellistadodeempleadosque
terminaroncorrectamente
Tipo Esunamtricadegestin
Localizacin Losdatossetomarndelasalade
recursoshumanosyaquesonelloslos
quellevanelentrenamientodedichos
empleados.
Frecuencia Lafrecuenciadedichamtricaesquese
realizacadavezquelaempresacontrata
anuevosempleados.
Categora Dichamtricatardaenrealizarseunas3
horas,1horaparalarecogidadedatosy
2horasparaelestudio.
Inicio/paradadecriterios Criteriosparainiciarydetener:
Recogidadedatosparalaseguridad
mtricas
Usoylapresentacindelagarantade
mtricas
Duracindelarecogida Losdatosserecogernenunahora
respectoaldepartamentoderecursos
humanos.
88
PROYECTOFINDECARRERA
Duracindeuso Laduracindeestamtricaserdeforma
continuada,siemprequeexistannuevos
empleadoscontratados.
5.4.1Cmoconseguimosbuenasmtricas?
Paraellotendremosqueusarnuestrosentidocomnalahoradeinterpretardatosde
mtricas.
Trabajarconequiposygenteprofesionalparaestablecerobjetivosclarosymtricasa
utilizarparaalcanzarlos.
Noutilizarmtricasparaevaluaraparticulares.
Enfin,elusodelamedicinesesencialparaconstruirelsoftwareconcalidad.
5.5Clasificacindemtricas
Lasmtricasseclasificanendiferentesgruposdependiendodesuscaractersticas,la
clasificacindeunamtricadesoftwaredescribelaconductadelsoftware.
Acontinuacinlasclasificamosen:
METRICASEXTERNAS
Mtrica externa de mantenibilidad
Mtrica externa de analizabilidad
Mtrica externa de cambiabilidad
Mtrica externa de estabilidad
Mtrica externa de facilidad de prueba
Mtrica externa de conformidad
METRICAS INTERNAS
Mtrica interna de desempeo
Mtrica interna de complejidad
Mtrica interna estilizadas
METRICAS DE CALIDAD
Mtrica de efectividad
Mtrica de productividad
Mtrica de seguridad
89
PROYECTOFINDECARRERA
- Mtrica de satisfaccin
Ahoralascomentaremosunaporuna,empezaremosporlasmtricasexternas.
5.5.1Mtricasexternas
Estasmtricasexternasestnrelacionadasconelcomportamientodelsoftware
cuandoestenejecucin.
Mtricaexternademantenibilidad.
Enestecasolamtricadebedesercapazdemedirlosatributosrelacionadoscomoel
comportamiento del usuario, personal de mantenimiento o sistema incluyendo el
software, cuando dicho software es modificado o se mantiene durante la fase de
mantenimientoodeprueba.
Mtricaexternadeanalizabilidad.
Estas mtricas son capaces de medir atributos como esfuerzo del personal de
mantenimiento, recursos utilizados o del usuario cuando intentan diagnosticar las
deficienciasocausasoerroresdelfallodelsoftwareoidentificarlaspartesconelfin
desermodificadas.
Mtricaexternadecambiabilidad
Deben de ser capaces de medir atributos como el esfuerzo del personal de
mantenimiento, del usuario y del sistema incluyendo el software cuando tratan de
implementar una modificacin especificada anteriormente con el fin de mejorar un
errorquesedescubriantes.
Mtricaexternadeestabilidad
Esta mtrica debe de ser capaz de medir los atributos en relacin con el
comportamiento del sistema cuando tiene un comportamiento inesperado del
sistema,incluyendocuandoelsoftwaresepruebaosehacenmodificacionesconelfin
demejorarlo.
Mtricasexternadefacilidaddeprueba
90
PROYECTOFINDECARRERA
Debedesercapazdemedirelesfuerzodelusuario,delpersonaldemantenimientoy
del sistemaincluyendoel softwarecuando estn tratando de probar dicho software,
ademstambinhabrqueprobarloenelcasodequehayasidomodificado.
Mtricaexternadeconformidad
Enesteltimocaso,tienenquemedirunatributocomoelnmerodefuncionesyde
ocurrencias de problemas de conformidad, que no son capaces de que el producto
software cumple los estndares, convenciones o regulaciones relacionadas a la
mantenibilidadquesequierecumplir.
5.5.2Mtricasinternas
Enestaclasedemtricassemidenlascaractersticasdelsoftwareensmismo,como
puedeserelnmerodellamadasdefuncinoelnmerodelneasdecdigoquese
realizansobreunosproductossoftwarenoejecutable,etc.
Mtricasinternasdedesempeo:
Estnrelacionadasconlasmtricasquemidenlaconductadesistemasdesoftwarey
mdulos,bajolasupervisindelhardwareosistemaoperativo.Estnrelacionadascon
laeficienciadeejecucin,almacenamiento,complejidaddealgoritmos,tiempo,etc.
Mtricasinternasdecomplejidad:
Aquellascuyasmtricasdesoftwarequedefinenlamedicindelacomplejidad,yasea
tomando datos como el tamao, volumen anidaciones, agregacin, costo, flujo y
configuracin.Estospuntossoncrticosparalaconcepcin,anlisis,viabilidadydiseo
desoftware.
Mtricasinternasestilizadas:
Sufuncinconsisteenmtricasdepreferenciayexperimentacin.Estosignificacomo
puede ser el estilo de cdigo o de programacin, limitaciones de datos, etc. No hay
queconfundirconlasmtricasinternasdecomplejidad.
5.5.3Mtricasdecalidad
Lasmtricasdecalidadconsistenenlacalidadenuso,desdeelpuntodevistadel
usuariorespectoalacalidaddelentornoenelcualestpresenteelsoftwareyse
mideapartirdelosresultadosobtenidosdeutilizarelsoftwareenelentorno.Las
mtricasdecalidaddedividenencuatrobloques.
91
PROYECTOFINDECARRERA
Mtricadeefectividad
Estrelacionadaconlosobjetivosdelosusuariosconlacompletitudyprecisinconla
quetalesobjetivossonlogrados.
Mtricadeproductividad
Mtricadeseguridad.
Estas evalan el grado de riesgo de dao que pueden recibir objetos, recursos y
personas. Contempla salud y seguridad tanto del usuario como de los afectados por
dichouso,aligualqueconsecuenciaseconmicasofsicasnointencionadas.
Mtricadesatisfaccin.
Puntan la actitud del usuario respecto al uso del producto software y un contexto
determinado.
5.6Porqu?Lasmtricasdeseguridad.
Acontinuacincomentaremosdeformarpidaestepunto,ascomolosproblemas
queencontramos.
Porquseusanmtricasdeseguridad?
Gestindeseguridaddelainformacinenunaorganizacin.
Proporcionarinformacinparalagestindeinformes.
Indicarelcumplimientodelalegislacin,reglamentacinylasnormas.
Apoyoalasactividadesdegestinderiesgos.
92
PROYECTOFINDECARRERA
Principalesproblemasidentificados:
Nohayunpropsitoclaro.
Dificultaddemtricasdeseguridadqueserefierenalaactividad.
Incompatibilidaddemtricasdeseguridadconmtricasdenegocio.
Loqueseutilizaactualmenteyserecoge:
Incidentes.
Proteccinantivirus.
Gestinderiesgos.
Revisindelagestin.
Cumplimientodelaspolticasinternas.
Resultadosdelafiscalizacin.
Costo.
Principalesproblemasidentificados:
Difcilparaseleccionarparmetrosdeseguridad.
Mtricasdeseguridadorientadasalosnegocios.
Faltadeunavisinclara,entodalaempresa,deseguridaddelainformacin.
Cmoseusanmtricasdeseguridadysonpresentadas:
Seotorgaaunaampliagamadeaudiencias.
Presentadoconunavariedaddeformatosdiferentes.
Principalesproblemasidentificados:
- Dificultadparaidentificaralaaudienciacorrecta.
- Difcilparaseleccionarycombinarelformatodepresentacinalaaudiencia.
Interpretacininadecuadadelaseguridaddelainformacin.
93
PROYECTOFINDECARRERA
5.6.1Algunascaractersticasdelasmtricasdeseguridad
Tienenqueserfcilesdeobtener.
Expresadasenporcentajesonmerosenescala.
Necesariasconelfinderealizartomasdedecisiones.
Tienenqueserdetalladasexplicandocadacosaqueseanecesario.
5.6.2Beneficiosdelasmtricasenseguridad.
Atravsdelasmtricassomoscapacesdeobtenerbastantesbeneficioscomopor
ejemplo:
Encontrarposiblesproblemasquesurgirnacortoplazo.
Saberlospuntosdbilesdenuestraentidad.
Conocerlosriesgosquepodemosobtener.
5.7MEMSI(Modeloestratgicodemtricasenseguridaddela
informacin)
divideentresniveles.
a)Nivelestratgico
b)Niveltctico
c)Niveloperativo.
94
PROYECTOFINDECARRERA
Enelcualcadaunodeellostienevariosgruposdentrodes.Loscualescomentaremos
acontinuacin:
a)Enelnivelmsaltoconocidocomonivelestratgicoencontraremostresgruposlos
cualesson:
informtica,realizarauditorasascomolaspruebasdecumplimiento.
Administracinderiesgos:lacualconsisteenidentificacindelosactivosdela
95
PROYECTOFINDECARRERA
riesgos.
Objetivosdenegocio:estegruposecentrarenlasrelacionesconlosclientes
ocurran,elsignificadodelaseguridadrespectoalosprocesosdenegocioyde
lasexpectativasdelagerenciaenrelacinalaconfianzadelossistemas.
b)Enelnivelintermedioconocidocomoniveltcticoencontraremosotrostresgrupos
loscualesson:
administracindeparches.
Aplicaciones:suresponsabilidadeslasiguiente,desderevisarelcdigofuente,
vulnerabilidadesidentificadasyutilizacindefuncionesnodocumentadas.
desdelaefectividaddelAntispam,antivirus,firewall,ascomolaefectividaddel
monitoreo24*7.
b)Enelnivelbajoconocidocomoniveloperativoencontraremosotrostresgruposlos
cualesson:
Integridad:cuyafuncinconsisteeneliminar,borraromanipulardatos,como
protegerseantevirusinformticos.
96
PROYECTOFINDECARRERA
Disponibilidad:seencargadelanegacindelservicio,inundacindepaquetes,
suplantacindedatosoIP,eliminar,borrarymanipulardatos.
terceraspersonas,configuracinpordefectoquepuedeponerenpeligrosino
tienelaconfiguracindeseada,monitoreonoautorizado.
5.7.1Caractersticasdelmodelo
Seconsiguesugerirunamaneradeintegrarlosprincipiosdelaseguridadinformtica,
losincidentesylastecnologasdeseguridad.
Exigeundiagnsticoyanlisis
Sereconocenlasdiferentesculturasdedichaorganizacinendiferentesniveles.
Comopartefundamentalparaeldesarrollodelasmtricassevinculanlosobjetivos
denegocio
Sereconocequelaseguridadnoesunfenmenonodualista(causaefecto)sinoque
esdual(circular)
5.7.2Ejemplosdemtricasparalaseguridadinformtica
Acontinuacincomentaremossolounpardemtricasquepodemosutilizarpara
algunodelostresnivelesquehemoscomentadoanteriormente,quedaaclararque
solosonalgunosejemplosyquepuedenhacersemuchosms.
Nivelestratgico:
Algunasmtricaspuedenser:
Conocerel%(tantoporciento)delascuentasinactivasdeusuariodeshabilitadas
respectoaltotaldecuentasinactivas.
97
PROYECTOFINDECARRERA
Conocerelvalortotaldelosincidentesdeseguridadinformticarespectoal
presupuestototaldeseguridadinformtica.
Conocerel%(tantoporciento)delosnuevosempleadosquecompletaronsu
entrenamientodeseguridadrespectoaltotaldelosnuevosempleadosqueentraron.
Propsitodeestamtrica:desempeodepersonasyprocesos.
Niveltctico:
Algunasmtricaspuedenser:
Conocerelnmerodemensajessalientesconspywareovirus.
Numerodemensajesdespamdetectadorespectoalnmerototaldemensajes
ignorados.
Nmerodeestacionesdetrabajoenfuncionamientoconfiguradascorrectamente
respectototaldelasestacionesdetrabajo.
Numerodespywareovirusdetectadosenestacionesdetrabajooservidores.
Propsitodeestasmtricas:desempeodelastecnologasdeseguridadinformtica.
Niveloperativo:
Algunasmtricaspuedenser:
Nmerodeincidentesasociadosconladisponibilidadrespectoaltotaldeincidentes.
Nmerodeincidentesasociadosconlaconfidencialidadrespectoaltotalde
incidentes.
Propsitodeestasmtricas:desempeodelaadministracindeincidentes
98
PROYECTOFINDECARRERA
6.ISO/IEC27004
6.1INTRODUCIN
Lanorma27004secreparacomplementaralanormaISO27001,yaquelanorma
27001destacaqueloscontrolestienenquesermedibles,yaquesinosomoscapaces
de medir un control no nos servir de nada para nuestro SGSI, por lo tanto hay que
hacerlomedible,yesporesaraznporlaqueserealizalanormativa27004enlacual
nos ensea cmo debemos medir dichos controles, su objetivo consiste en hacerlos
medibles.
Estanormativa27004nossirvedeayudaparaguiarnossobrelacreacinyelusodelas
mediciones con el fin de poder evaluar la eficiencia del sistema de gestin de la
informacin aplicada a los controles y seguridad. Con esta normativa se incluye la
gestin de informacin de seguridad de riesgos, procesos, poltica, objetivos de
control, procedimientos, ayudar al proceso de su revisin, as como ayudar a
determinar si alguno de los procesos de SGSI o controles necesitan ser mejorados o
modificados.
Elusodeestanormativaconstituyeunamedicindelaseguridaddelainformacin.El
sistema de gestin de la seguridad de la informacin nos ayudar evaluar y a
identificar aquellos procesos o normas ineficaces en nuestro sistema de la seguridad
delainformacin,ascomoloscontrolesyprioridadesdelasaccionesasociadas.
Quedaaclararqueelobjetivodedichanormativaconsisteenfortalecerlaorganizacin
yquegraciasalanormativaproporcionaunainformacinfiablealaentidadsobrelos
99
PROYECTOFINDECARRERA
Losdatosobtenidosdelasmedicionesrealizadasnosservirnparahacerunapequea
comparacindelosavancesoprogresosobtenidosenreferenciaalaseguridaddela
informacin en un perodo de tiempo, comprobando as la mejora continua de la
organizacinensuSGSI.
Estanormativasepuedeaplicaracualquiertipodetamaodelaorganizacindesde
multinacionales repartidas por todo el mundo hasta las PYME, la nica diferencia
consistirenlacomplejidadquetomaraparalasmultinacionalesalahoradeaplicarlo
ya que tendra que realizar mltiples programas de seguridad de la informacin de
medicin, mientras que en las PYME, las cuales son las medianas y pequeas
empresas, una informacin menos completa ser suficiente. Ya que con una sola
medicindeseguridaddelainformacinpuedesersuficienteparadichasempresas
Ademshayquerecordadqueestanormativanoesobligatoriaynoesnecesariosu
uso,comoelrestodelasnormativasISO/IECsirvenparaaconsejar.Enestecasoesta
normativaaconsejasobrelassiguientesactividades.
Medidadedesarrollo
Aplicacinyoperacindeunprogramadeseguridaddelainformacinenrelacinala
medicin.
Recogidayanlisisdedatos
Elaboracindelosresultadosdelamedicin
Comunicarlosresultadosdelamedicindesarrolladosparalaspartesinteresadas.
Utilizarlosresultadosdemedicinalahoradetomarlasdecisionesrelacionadascon
elSGSI
UtilizarlosresultadosdemedicinparamejorarelSGSI(alcance,polticas,controles,
procesos,objetivosyprocedimientos)
Facilitarlamejoracontinuadelaseguridaddelainformacin
Para finalizar hay que indicar que con dicha normativa nunca se podr garantizar la
seguridadtotal.
100
PROYECTOFINDECARRERA
6.2ElporqudelaISO27001?
GraciasalaISO/IEC27001seaadeunnuevoconceptodeindicadorsobrelaeficacia
de los controles, lo cual provoca que el SGSI (Sistema de Gestin de Seguridad de la
Informacin)seacapazdeevaluarsucalidadysueficaciaelmismo.
La ISO/IEC 27001 desea que la entidad u organizacin tenga que hacer revisiones
peridicas de la eficacia de su SGSI en referencia a los resultados obtenidos de la
medicindesueficacia,yconesosresultadosobtenidosverificarquelosrequisitosde
seguridadsecumplen.
Ademstambinquierequedichaentidadseacapazdedefinirlamanerademedirla
eficaciadeloscontrolesseleccionadosogruposdecontrolesyespecificarcmoestas
medidas sevan a utilizar para evaluar la eficacia de control para producir resultados
comparablesyreproducibles.
101
PROYECTOFINDECARRERA
6.3Las mediciones
- Indicaryavisarlosvaloresdeseguridaddelaentidad.
- Realizar una evaluacin de la eficiencia del Sistema de Gestin de
SeguridaddelaInformacin.
- Incluirnivelesdeseguridadquesirvandeguaparalasrevisionesdel
Sistema de Gestin de Seguridad de la Informacin, lo cual
provocarnuevasentradasparaauditaryparaayudaramejorarla
seguridaddelaentidad.
- Realizarunaevaluacindelaefectividaddelaimplementacinde
loscontrolesdelaseguridaddelaentidad.
102
PROYECTOFINDECARRERA
Parallevarloacabosenecesitacrearunprogramaconelfinderealizarlamedicinde
la seguridad de la informacin de la entidad. El programa deber centrarse en las
ayudasqueaportandichasmedicionesalahoradetomardecisiones.
Estoobligaaquedichoprogramademedicindebadeestarbasadoenunmodelode
medicionesparalaseguridaddelainformacin.
Elmodelosecentraenunaarquitecturaquerelacionalosatributosmediblesconuna
entidad relevante. Dichas entidades pueden incluir, productos, recursos, proyectos y
procesos.
Este modelo servir para describir como dichos atributos son cuantificados y
transformados en indicadores que servirn para la entidad a la hora de tomar
decisiones.
Paradesarrollarestemodeloesnecesariodefinirlosatributosquesonconsiderandos
msimportantesparamedirlainformacinquelaorganizacinnecesita.
Tambinsepuedeconsiderarqueunmismoatributopuedeincorporarseenmltiples
medicionesparalascualessetendrninformacionesdistintas.
103
PROYECTOFINDECARRERA
Cmotienenquesermedidoslosatributos?
Conestanormativanosindicacmolosatributostienenquesermedidos,porlocual
proponeunMtodo.
Existendostiposdemtodosalahoradecuantificarlosatributosnecesarios.
- Objetivos:loscualessecentranenunareglanumrica(porejemplo
de1a5)quesepuedenaplicaralaspersonasoalosprocesos,se
recomiendaqueserealiceprimeroalosprocesos.
- Subjetivos: se centran en el criterio de los empleados o de los
evaluadoresexternos.
Dichosmtodospuedenenglobardiferentestiposdeactividadesyasuvezunmtodo
englobaavariosatributos.
Algunosmtodosqueseutilizanenlaentidadconelfindemedirlosatributosson:
- Cuestionariosalpersonaldelaentidad.
- Inspeccionesdelasareasdedichaorganizacin.
- Tomadenotasapartirdeobservaciones.
- Comparacindeatributosendiferentesmomentos.
- Muestreo.
- Consultasdelossistemas.
Unavezrealizadoslosmtodosdemedicinesasociarloauntipodeescala,lasclases
deescalapuedenser:
- Ratio:usodeescalasdedistancias.
- Nominal:usodevalorescategricos
- Intervalos:usodemximosymnimos.
- Ordinal:usodevaloresordenados.
104
PROYECTOFINDECARRERA
Parafinalizarsetienequeconsiderarlafrecuenciadecadamedicin.Serecomienda
que la entidad programe dicha frecuencia de las mediciones, ya sean diarios,
semanales,mensuales,semestrales,trimestrales,cuatrimestralesoanuales.
Tambinseindicacmodesarrollardichasmedicionesparacuantificarlaeficienciade
nuestroSistemadeGestindeSeguridaddelaInformacin,controlesyprocesos.
Dichasmedicionesdelainformacinsonrequeridaspara:
- La certificacin de nuestro Sistema de Gestin de Seguridad de la
Informacindelaentidad.
- LamejoraenlaeficienciadelSistemadeGestindeSeguridaddela
Informacin.
- Paralosclientesdelaentidad,accionistas,etc.
- Paracumplirconlasregulacionesyrequisitoslegales.
- Paralamejoradelosprocesos.
- Paralaaltadireccindelaentidad.
Ahora para poder realizar el establecimiento y la operacin de un programa de
medicionesnecesitarealizarlossiguientespuntosenorden.
- Definirlosprocesos
- Desarrollodemediciones
- Implementacindelprograma
- Revisindemediciones.
105
PROYECTOFINDECARRERA
Lasmedicionespuedenestarrelacionadascon:
- Ejecucindecontrolesdeseguridaddelainformacin,comopuede
serporejemploelvolumendeincidenciasportipo.
- Procesosdesistemasdegestin,comopuedeserporejemplosise
realizanlasauditorasindicadas.
Adems las mediciones tienen que cumplir con una serie de criterios para que sean
validadasporlaentidad.Loscualesson:
- Cuantitativo:usodedatosnumricos.
- Indivisible:losdatosdeobtendrenelnivelmsbajo.
106
PROYECTOFINDECARRERA
- Tendencia:losdatosdeberandeserrepresentarelimpactocuando
serealizancambios.
A la hora de seleccionar los controles necesarios la entidad tiene que hacer los
siguientespasos:
- Definirunprograma.
- Seleccionarloscontrolesyobjetivosdecontrolparaserincluidosen
dichasmediciones.
- Definirlosindicadoresparasusrespectivoscontroles.
107
PROYECTOFINDECARRERA
6.7Plan-Do-Check-Act (PDCA)
Consisteenunarelacincclicadeentradaysalidadelasactividadesdemedicin.Las
cualessedividenencuatroetapas.
Plan
Do
Check
Act
EnestecicloPDCA(PlanDoCheckAct),hayquetenermuchocuidadoencadanively
tratarlodeformacuidadosadesdeelprincipiodesudesarrolloyaquesevantomando
una informacin totalmente necesaria a la hora de la toma de decisiones para la
entidad y un pequeo error en ellas puede ocasionar graves problemas para la
entidad. Ya que pueden arrastrar los errores una tras otra. Por lo tanto sern
necesariascomentarlasunaporuna.
108
PROYECTOFINDECARRERA
Ahoralascomentaremosacontinuacinlascuatroetapasdeformamsexhaustiva:
PLAN:consisteenestablecerSGSIydefinirlasmtricas,enestepuntoparaque
la mtrica que estemos definiendo para la seguridad sea correcta tiene que
cumplirunaseriedepuntosnecesariosparaello.
- Tienequeseralgonotableparalaentidadenlacualsevaarealizar.
- Tienequepodermedirlaevolucindelaseguridadenlaentidaden
elpasodeltiempo(cambios,mejoras)
- Tienequeserreproducible.
- Tienequeserobjetiva.
- Tienequeserjustificable
- Tienequeserimparcial.
109
PROYECTOFINDECARRERA
Sinembargoalahoradeelegirlasmtricashayquepensarquelosrecursosde
laentidadsonlimitados,loqueobligaaquesolosepuedanrealizarlasmtricas
queseanrentablesalaentidad,ademshayquetenercuidadoporquepuede
serunaarmadedoblefiloyaquesiaplicamosmsrecursosdelosdebidosa
dichas mtricas de seguridad puede provocar grandes prdidas a la entidad y
acabar siendo un gran error en vez de ser un fortalecimiento para nuestra
entidad, por lo tanto a la hora de elegir la mtrica correcta tendremos que
justificar los recursos utilizados junto al esfuerzo realizado con la informacin
resultante que obtengamos, ya que si gastamos muchos recursos y esfuerzos
paraunaobtenerunainformacinquenosealobastantevaliosaparajustificar
tantoesfuerzonohabrvalidolapenayaquehabrproducidomsgastosde
los necesarios para obtener dicha informacin y ser una prdida de tiempo,
recursosyesfuerzoquetraducidoliteralmenteparalaentidadconsistirenuna
granprdidadedineroparalaentidad.
DO:consisteenadaptarprocedimientosycontrolesconelfindepoderobtener
losdatosnecesarios.
Enestepuntoesnecesarialaexistenciadelpersonaldetrabajoparaobtener,
procesarycomunicarlosdatosobtenidosalcuadrodemando.Estoobligaque
dichopersonaltienequeestarcualificadoparaelloyportantodichopersonal
tienequeestarformadoyconcienciadoalostrabajadoresalahoradeevaluar
dichosdatos,yaqueentoncespodemosestarcometiendoungraveerrorala
hora de evaluar por parte del personal de la empresa y tener unos datos
errneos, por tanto para la empresa consistir en dar un trabajo adicional a
dichostrabajadoresformndolesalavezdeinvertirmsdineroenellos(pagar
horas extras a los trabajadores por la formacin) as como invertir en los
recursos.
Estas personas que estn tomando los datos tendrn que avisarlo de forma
continua al cuadro de mando. Ya que gracias al cuadro de mando
visualizaremoslosdatosobtenidosascomolosresultadosconelfindeayudar
alamejoradelaentidadyaellosmismosalahoraderealizarsutrabajo.
CHECK: en este punto tendremos que revisar los datos obtenidos de las
mtricasrealizadas.
Este tambin es un punto importante ya que a la hora de las decisiones que
tomeunaentidadsebasanenrelacinasusdatosobtenidosyportantodichos
datosnopuedensererrneosyaqueentoncestomarndecisionesapartirde
una base la cual no es real o est equivocada debido a los datos tomados
errneamente,portantoenestepuntosecentraenrevisarlosdatosobtenidos
delasmtricasparaquelaentidadseparealmenteloqueestocurriendo.
110
PROYECTOFINDECARRERA
Pararealizarlarevisindedichosdatossehardespusdequelosindicadores
han sido implantados en la entidad. Consiguiendo as poder saber si dichos
indicadoressonrentablesytilesparalaentidad.
Porltimoademsderevisarlosdatoscogidosserecomiendatambintomar
nota de las opiniones de los empleados que usan dichos indicadores ya que
toda informacin es necesaria, y posiblemente se necesiten varios puntos de
vistaalahoradeenfrentarseaunproblema.
ACT: Este ltimo punto se centra en la revisin y mejora de las mtricas de
seguridad.
Ahora se centrarn en las revisiones de la calidad de las mtricas y de los
objetivos con el fin de comprobar que siguen cumpliendo con los objetivos
definidosenelprincipioademsdequesigansiendotilesparalaentidad.
Cuandoserealizandichasrevisionestienenquecomprobaryportantorealizar
unaseriedepuntosparacomprobarquesiguensiendotiles.Loscualessonlos
siguientes:
- Tienen que evaluar la eficiencia del SGSI (sistema de gestin de
seguridaddelainformacin.
- Saberqueelcostedemantenerlasmtricasylaobtencindedatos
noseasuperioralvalorqueaportadichainformacin.
- Indicar la evolucin de los objetivos de seguridad indicados por la
entidad.
Segnvayapasandoeltiempoyelsistemadegestindeseguridaddelainformacin
vayaalaparmadurandolasmtricasquetienenirncambiandosegnpasaeltiempo
yelsistemadegestindeseguridaddelainformacinmadureprovocandoquedichas
mtricassemodifiquen,secreannuevas,oseeliminen.Esdecirqueindicadoresque
ahora pueden servirnos completamente con el paso del tiempo pueden dejar de ser
tiles.
111
PROYECTOFINDECARRERA
6.8Cuadrodemando
6.8.1Quesuncuadrodemando?
Uncuadrodemandoesunaherramientadegestin.
Alcuadrodemandoseleconsideracomounadelasherramientasmsimportantes,
valiosasypotentesquepuedeutilizarladireccindelaentidadparaevaluarsuestado
deseguridadelcuallesservirparalatomadedecisiones.
Dichaherramientadebercentrarseenlosindicadoresdelaorganizacinloscuales
no cumplen los lmites elegidos por la entidad as como los indicadores que pueden
llegarasuperarloslmiteselegidos.
Adems el cuadro de mando tiene otras funciones como por ejemplo ayudar a la
comunicacinentrediferentesnivelesdelosempleadosdelaentidad,tambinsirve
paraasignarresponsabilidadesadichosempleados.
Tambinelcuadrodemandoayudaralaentidadalahoradeafrontarnuevosriesgos
de seguridad, as como gestionar dichos controles de seguridad, cmo se percibe la
seguridad por parte de los clientes, accionistas y empleados de la entidad y la ms
importanteacontribuiralahoradeobtenerlosobjetivosdenegociodelaentidad.
El objetivo principal del cuadro de mando consistir en mejorar los resultados que
obtienelaentidad.
6.8.2Cmoimplantaruncuadrodemandocorrectoennuestraentidad?
Paralaimplantacindeuncuadrodemandodeseguridadesuntrabajoconbastante
dificultaddesdeelpuntodevistaorganizativoytcnico.Estoprovocaqueenmuchos
casosdichoproyectofracaseensuimplantacin.
Alahoradeimplantaruncuadrodemandoennuestraentidadtendremosquetomar
en cuenta ciertos puntos y aspectos con el fin de que la implantacin sea de forma
correctaysincausarpequeosproblemasenlaentidad.
Paraelloserecomiendaquesecumplanlassiguientesacciones:
- Sealar toda la informacin que sea totalmente necesaria de una
forma resumida, sin complicaciones, entendible, sencilla y eficaz,
todoestoservirparalatomadedecisiones.
- Resumir la representacin usando un juego de colores el cual nos
sirvaparaindicarloscambiosdeestado.(Rojo,amarillo,verde)
112
PROYECTOFINDECARRERA
- Encadenarlosindicadoresasusrespectivosobjetivos,con elfinde
saberquesloqueseestmidiendo.
- Deberdefacilitareltrabajodecompararresultadosentrereasde
laentidaddiferentes.
- Sealar lo importante para la compaa indicando aquellos
indicadores que no evolucionan segn era lo planificado por la
entidad.
- Y el ms importante de todos obtener el apoyo de la Direccin y
alcanzar el mayor consenso posible entre los participantes del
diseo.
Porltimotenemosquesealarquedependiendodeaquienestdirigidoelcuadro
de mando, los indicadores se agruparn de manera diferente dependiendo de los
empleadosquelosutilizan.
- SiestcentradoenlaDireccindelaentidadhabrquerealizarun
cuadrodemandodevaloracineconmicadelosimpactostcnicos
paralaentidad.
- Siestcentradoenlosempleadostcnicosdelaentidadsetendra
quehaceruncuadrodemandodeimpactodefallostcnicos.
113
PROYECTOFINDECARRERA
6.9Direccin
Ladireccinseencargademanteneryestableceracuerdosdesusmediciones.La
implementacintienequeestardeacuerdoaloqueindicanlosestndares
internacionales,centrndoseenlaaceptacindelosrequerimientosdemediciones.
- Cualquiertipodeacuerdosercomunicadoalaentidadde
inmediato.
- Existirnacuerdosentreelpersonalquerealizalasactividadesde
medicinyladireccin,conelfindedemostrarqueexisteuninters
detodaslasreasdelaentidad.
Ademsladireccintienequehacerindicacionesdedichosacuerdos,desuoperacin,
revisin,implementacin,mantenimiento,mejoraymonitorizacindelprogramade
medicionesmedianteelusode:
- Creacindeusoderesponsabilidadesyroles.
- Comunicacindetodoelpersonalqueestinvolucradoenlos
indicadoresdeprogresoyprogramademediciones.
- Comprobarqueelprogramaselleveacabo.
- QuelasrevisionesdedichoprogramaseanpartedelSistemade
GestindeSeguridaddelainformacin
- Setienequeestablecerelprogramademediciones.
- Comprobarquelasauditorasinternasqueserealizanenrelacinal
programademedicionesseancorrectas.
- Tenerlosrecursossuficientesparallevaracaboelprogramade
mediciones.
Tambinladireccinestencargadadeproveeryasignarlosrecursosnecesariospara
dichoprogramademediciones,yaseadesderecursosmaterialesparallevarsus
funcionescomodelpersonalnecesarioparallevarloacabo.
Ladireccinasignarlassiguientesresponsabilidadesyrolesparalamediciny
ejecucindedichamedicinloscualessonlossiguientes:
114
PROYECTOFINDECARRERA
- Personalresponsabledelosrequerimientosdemediciones.
- Propietariodelamedicin.
- Personalquedirigeeintervieneenelprograma.
- Personalresponsabledelaevaluacindelprograma.
- Personalresponsabledealmacenaryrecolectarlosatributos.
- Personalresponsabledelacomunicacinalaentidad,sobrela
importanciadelprogramademedicinascomodesusresultados.
Parafinalizarhayquerecalcarqueserdevitalimportanciarealizar,acreditaciones,
autorizacionesalpersonalquerealizarloscriteriosyestastareasparalaformacin
tcnicadelosmismos.Hayqueinculcaralempleadoquesondevitalimportanciaya
quecontribuyenalamejorardelosobjetivosdelSistemadeGestindelaSeguridad
delaInformacin.
6.10Explicaciondetalladadelanormativa
6.10.1.VisinGeneraldeMedicindelaInformacindelaseguridad.
6.10.1.1Objetivosdelamedicindelaseguridaddelainformacin.
a) Evaluarlaeficaciadeloscontrolesaplicadosogruposdecontroles.
b) EvaluarlaeficaciadelaaplicacinSGSI.
c) Verificarelgradoenelquesefijaronlasnecesidadesdeseguridadysabersi
hansidocumplidas.
d) Facilitarlamejoradelrendimientodelaseguridaddelainformacinencuanto
alosriesgosdenegociodelaorganizacinglobal.
e) Proporcionarinformacinparalarevisinporpartedeladireccinparafacilitar
latomadedecisionesrelacionadasconelSistemadeGestindeSeguridadde
laInformacinyjustificarlanecesidaddemejoradelaaplicacindelSistema
deGestindeSeguridaddelaInformacin.
115
PROYECTOFINDECARRERA
Figura1MedidaentradasysalidasenelciclodeSGSIPDCAdelagestindeseguridad
delainformacin.
116
PROYECTOFINDECARRERA
Laorganizacindeberestablecerlosobjetivosdemedicinbasadosenunaseriede
consideraciones:
a) Elroldelaseguridaddelainformacinenapoyodeactividadesgeneralesyde
riesgosdelaorganizacinempresarial.
b) Losrequisitoslegalesaplicables,reglamentariosycontractuales.
c) Laestructuraorganizacional
d) Costosybeneficiosdeimplementarmedidasdeseguridaddelainformacin
e) Loscriteriosderiesgodeaceptacindelaorganizacin
f) La necesidad de comparar varios Sistemas de Gestin de Seguridad de la
Informacindentrolamismaentidad,yaquepuedencompararconanteriores
SGSIquehansidoutilizadosporlaentidadusndoloscomoreferencia.
En este punto vemos la utilizacin del PDCA, como ciclo, en el cual forma parte a la
horadecumplirtodoslosobjetivos,comogua.
6.10.1.2Programadelaseguridaddemedicindelainformacin
Una organizacin debe establecer y administrar un programa de seguridad de la
informacindemedicinparapoderalcanzarlosobjetivosdemedicinestablecidosy
adoptar el modelo PDCA dentro de la organizacin global de las actividades de
medicin.
YaqueelmodeloPDCAsirvedeapoyocomoestructuraalaentidadenrelacinconlas
actividadesqueserealizanenlamedicin.
Laorganizacintambindeberaaplicarydesarrollarlamedidaconstruidaconelfinde
obtener objetivos y resultados tiles de medicin basados en el modelo de la
SeguridaddelaInformacindemedicin.
El programa de la gestin de la seguridad de la informacin y el desarrollo de la
medicindebenvelarporlaconstruccindeunaorganizacineficazparalograrmedir
demanerareproducibleyobjetiva,paraproporcionarlamedidadelosresultadosde
las partes interesadas para determinar las necesidades para la mejora del SGSI
implementado, incluyendo su alcance, polticas, objetivos, controles, procesos y
procedimientos.
117
PROYECTOFINDECARRERA
Elprogramadelaseguridaddeinformacindelamedicindebeincluirlossiguientes
procesos:
Medidasymedicindedesarrollo
Laoperacindemedicin
a) Elanlisisdedatosymedicindeinformarlosresultados
b) Evaluacin y mejora del programa de la seguridad de medicin de la
informacin.
Laestructuraorganizativayoperativadelprogramadelaseguridaddemedicindela
informacindeberaserdeterminadateniendoencuentalaescalaylacomplejidaddel
SGSI.Entodosloscasos,losrolesyresponsabilidadesparaelprogramadelamedicin
deseguridaddelainformacinserasignadaalpersonalcompetente.
Enestepuntoestotalmentenecesario(pornodecirobligatorio,yaqueningunanorma
obliga, solo aconseja) la existencia de un programa de medicin con sus respectivos
procesoscreadoporlapropiaentidad,conelfindellegaraobtenersusobjetivos.
6.10.1.3Factoresdexito.
Los siguientes puntos a continuacin son algunos de los factores que contribuyen al
xito del programa de la medicin de seguridad de la informacin para facilitar la
mejoracontinuadelSGSI:
a) Compromisodelagerenciaconelapoyodelosrecursosapropiados.
b) ExistenciadeprocesosyprocedimientosSGSI.
c) Unprocesorepetiblecapazdecapturarypresentarinformesparaproporcionar
datossignificativossobrelastendenciaspertinentesaunperiododetiempo.
d) MedidascuantificablessobrelabasedeobjetivosSGSI.
e) Datosfcilesdeobtenerquesepuedenutilizarparalamedicin.
f) Evaluacindelaefectividaddelaseguridaddelainformacinydelamedicin
delaaplicacindemejorasidentificadas.
g) Recogidaperidicadeanlisisyreportededatosdemedicindeunamanera
mssignificativa.
118
PROYECTOFINDECARRERA
h) Aceptacin de informacin sobre los resultados de medicin de las partes
interesadaspertinentes
i) Las evaluaciones de la utilidad de los resultados de las mediciones y la
implementacindelasmejorasidentificadas
Una vez realizado con xito, un programa de medicin de la seguridad de la
informacinpuede:
1) Demostrar el cumplimiento de una organizacin con los requisitos legales
aplicablesoreglamentariosyobligacionescontractuales
2) Laidentificacinalosproblemasdeseguridadnodetectadaspreviamente
3) Ayudar a los informes de gestin satisfaccin de las necesidades al afirmar
medidasporrazoneshistricasyactividadesactuales.
4) Serutilizadoscomomateriaprimaenprocesodeseguridaddelainformacin
degestinderiesgos,auditorasinternas,ySGSIconrevisionesporladireccin.
Comocualquierfactordexitolamayorimportanciaquehayquetomarconsisteen
no tener ningn error a la hora de la realizacin del programa de la medicin y que
todossusprocesosserealicendeformaeficiente.
6.10.1.4Modelodemedicindelaseguridaddelainformacin
6.10.1.4.1Informacingeneral
El modelo de medicin de la seguridad de la informacin consiste en ser una
estructuraqueuneunanecesidaddeinformacindelosobjetosrelevantesdemedida
y sus atributos. Objetos de medicin pueden incluir planificacin o de ejecucin de
procesos,procedimientos,proyectosyrecursos.
Elmodelodemedicindeseguridaddelainformacinsedescribecmolosatributos
relevantessoncuantificadosyconviertealosindicadoresqueproporcionanunabase
paralatomadedecisiones.
119
PROYECTOFINDECARRERA
Figura2modelodemedicindeseguridaddelainformacin.
120
PROYECTOFINDECARRERA
6.10.1.4.2Basedemedidaymtododemedicin
Unamedidabaseeslamedidamssencillaquesepuedeobtener.Unamedidabase
de los resultados de la aplicacin es un mtodo de medicin de los atributos
seleccionadosdeunobjetodelamedicin.
Un objeto de medicin puede tener muchos atributos, slo algunos de los cuales
pueden proporcionar valores tiles para ser atribuido a un acto de base. Un
determinadoatributopuedeutilizarseparavariasmedidasdebasediferentes.
Un mtodo de medicin es una secuencia lgica de operaciones, utilizadas en la
cuantificacindeunatributoconrespectoaunaescalaespecificada.Lasoperaciones
puedenincluiractividadestalescomocontarsucesosuobservandoelpasodeltiempo.
Unmtododemedicinpuedeutilizarlosobjetosdemedicinylosatributosdeuna
variedaddefuentes,talescomo:
Anlisisderiesgosyresultadosdeevaluacinderiesgos;
Cuestionariosyentrevistaspersonales;
Informesdeauditorasexternasointernas;
Losregistrosdelosacontecimientos,lasestadsticasdeinformesydeauditora;
Informesdeincidencias,enparticularlasquedanlugaralaocurrenciadeunimpacto;
Resultadosdelosensayos,laingenierasocial,herramientasparaelcumplimiento,y
lasherramientasdeauditoradeseguridad;o
Losregistrosdelosprocedimientosdelaorganizacinseguridaddelainformaciny
programasrelacionados.
Las tablas a continuacin presentan la solicitud del modelo de seguridad de
informacinparalossiguientescontroles:
"Control 2" hace referencia al control A.8.2.1 responsabilidad de la Direccin de la
normaISO/IEC27001:2005("Gestinexigiralosempleados,contratistasyusuarios
deterceraspartesaplicarlaseguridaddeconformidadconpolticasyprocedimientos
establecidosdelaorganizacin");seaplicacomosigue:"Todoelpersonalpertinente
para el SGSI debe firmar acuerdos de usuario antes de acceder a un sistema de
informacin";
"Control1"serefierealcontrolA.8.2.2"acercadelaseguridaddelainformacin,la
educacin y la formacin" de ISO / IEC 27001: 2005 ("Todos los empleados de la
121
PROYECTOFINDECARRERA
Tabla1incluyeunejemplodelasrelacionesentreelobjetodelamedicin,elatributo,
elmtododelamedicinylamedidadebaseparamedirlosobjetosestablecidospara
elcontrolimplementadodescritoanteriormente.
122
PROYECTOFINDECARRERA
123
PROYECTOFINDECARRERA
6.10.1.4.3Medidaderivadayfuncindemedicin
Unamedidaderivadaesunagregadodedosomsmedidasdebase.Unamedidabase
determinadapuedeservircomoentradaaplicableadiversasmedidasderivadas.
Unafuncindelamedicinesunclculoutilizadoparacombinarlasaccionesdebase
paracrearunamedidaderivada.
Laescalaylaunidaddelamedidadependendelaescaladerivadayunidadesdelas
medidasdebasedesdelacuallacomponen,ascomolaformaenquesecombinanla
funcindemedicin.
La funcinde medicin puedeimplicar una variedad de tcnicas,como promedio de
medidasdebase,aplicandopesosalasmedidasdelabase,olaasignacindevalores
cualitativosalasmedidasdebase.
Lafuncindemedicinpuedecombinarmedidasdebaseutilizandodiferentesescalas,
talescomoporcentajesylosresultadoscualitativosdeevaluacin.
Por supuesto a la hora de hacer una medida derivada tiene que existir una relacin
entre las medidas bases que se van a juntar con el fin de obtener nuestra medida
derivada.
Unejemplodelarelacindeloselementosadicionalesdelaaplicacindeseguridad
de la informacin del modelo de medicin medida base es decir, la funcin de
medicinylasedicionesobtenidassepresentanenlaTabla2.
124
PROYECTOFINDECARRERA
Cuadro2Ejemplodemedidaderivadaylafuncindemedicin
125
PROYECTOFINDECARRERA
6.10.1.4.4Indicadoresyelmodeloanaltico
Unindicadoresunamedidaqueproporcionaunaestimacinoevaluacindelos
atributosespecificadosderivadosdeunamodelodeanlisisconrespectoala
necesidaddeinformacindefinida.Losindicadoresseobtienenmediantelaaplicacin
deunanlisismodeloaunabasey/ounamedidaderivadaysucombinacinconlos
criteriosdedecisin.
Siunindicadorestrepresentadoenunaformagrfica,debeserutilizableporlos
usuarioscondiscapacidadvisual.Parahacerloposibleladescripcindelosindicadores
debeincluirloscolores,sombras,fuentesuotrosmtodosvisuales.
Laescalayelmtododemedicinafectaalaeleccindelastcnicasanalticas
utilizadasparaproducirindicadores.
Unejemplodelasrelacionesentrelasmedidasdederivados,elmodelodeanlisise
indicadoresparalaseguridaddelainformacindemedicinsolicituddemodelose
presentaenlatabla3.
Tabla3Ejemplodeindicadorymodeloanaltico
126
PROYECTOFINDECARRERA
127
PROYECTOFINDECARRERA
6.10.1.4.5Resultadosdelasmedicionesycriteriosdedecisin
Losresultadosdemedicinsedesarrollanconlainterpretacindelosindicadores
aplicablessobrelabasedecriteriosdedecisinsedefineydebeconsiderarseenel
contextodelosobjetivosdemedicinglobaldelaevaluacindelaeficaciadelSGSI.
Loscriteriosdedecisinseutilizanparadeterminarlanecesidaddeactuarorealizar
otrasinvestigaciones,ascomoadescribirelniveldeconfianzaenlosresultadosdela
medicin.Loscriteriosdedecisinpuedenseraplicadosaunaseriedeindicadores,
porejemplopararealizaranlisisdetendenciassobrelabasedeindicadoresrecibida
endiferentespuntoseneltiempo.
Elobjetivoesproveerunaespecificacindetalladaderendimiento,aplicableala
organizacin,derivadosdelosobjetivosdeseguridaddelainformacincomolos
objetivosdeSGSIylosobjetivosdecontrol,yquenecesitanestablecerseyreunirse
paraalcanzardichosobjetivos.
128
PROYECTOFINDECARRERA
Tabla4Ejemploderesultadosdelamedicinyanlisisdelmodelo
129
PROYECTOFINDECARRERA
6.10.2Gestinresponsabilidades
6.10.2.1Informacingeneral
Laadministracinesresponsabledeestablecerelprogramademedicindeseguridad
de la informacin, con la participacin de las partes interesadas pertinentes en las
actividadesdemedicin,laaceptacindelosresultadosdemedicinparaelanlisisde
lagestinyelusodemedicindelosresultadosenlamejoradelasactividadesdentro
delSGSI.
Paralograrlo,ladireccindebera:
a)Establecerobjetivosparaelprogramadeinformacindeseguridaddemedicin;
b)Establecerunapolticaparaelprogramadeinformacindeseguridaddemedicin;
c)Establecerlasfuncionesyresponsabilidadesenmateriadeprogramadeinformacin
deseguridaddemedicin;
d)Proporcionarrecursossuficientesparallevaracabolasmedidas,incluidapersonal,
lafinanciacin,lasherramientaseinfraestructura;
f) Velar por que las herramientas y equipos utilizados (recursos) para recopilar los
datossemantienencorrectamente;
g)Establecerelpropsitodelamedicinparacadamedidaaconstruir;
En este caso para poder realizar dicha norma de forma correcta la administracin
tendr que tomar sus propias responsabilidades para poder llevarlo a cabo de una
formacorrectaysinerrores.
130
PROYECTOFINDECARRERA
6.10.2.2Gestindelosrecursos
La administracin debe asignar y proporcionar recursos para apoyar las actividades
esencialesdelamedida,talescomorecopilacindedatos,anlisis,almacenamiento,
elaboracin de informes y distribucin. Las asignaciones de recursos deben incluir la
asignacinde:
a)Laspersonasconresponsabilidaddetodoslosaspectosdelprogramadeseguridad
delainformacindemedicin;
b)apoyofinancieroadecuado;
Finalmentelosrecursossontotalmentenecesariosparalamedidaaunquehabrque
gestionarlos de manera eficaz para no ocasionar perdidas en la entidad cuando se
utilizandichosrecursos.
6.10.2.3Medicindeformacin,sensibilizacinycompetencia
Laadministracindebegarantizarque:
a) Las partes interesadas tengan una capacitacin adecuada para el logro de sus
funciones y responsabilidades en el programa de seguridad de la informacin de
medicin, y debidamente cualificado para desempear sus funciones y
responsabilidades
b) Las partes interesadas entienden que sus deberes incluyen sugerencias para la
mejoradelaseguridaddelainformacinaplicadasalamedicindelprograma.
6.10.3Lasmedidasylamedicindeldesarrollo
6.10.3.1Informacingeneral
Consiste en cmo desarrollar las medidas y mediciones para la elaboracin de la
evaluacin de la eficacia de los SGSI implementados y el control de un grupo de
controles,ylaidentificacinespecficadelaorganizacindelconjuntodemedicinde
las construcciones. Las actividades necesarias para desarrollar las medidas y la
medicindeberdeserestablecidosydocumentados,incluyendolassiguientes:
a)Definirelalcancedemedicin;
b)Laidentificacindeunanecesidaddeinformacin;
131
PROYECTOFINDECARRERA
c)Seleccionarelobjetodemedicinysusatributos;
d)Eldesarrollodelamedicindelasconstrucciones;
e)Laaplicacindelamedidadelasconstrucciones;
f)Elestablecimientoderecogidadedatosyprocesosdeanlisisyherramientas
g)Elestablecimientodelmtododemedicinejecucinyladocumentacin.
6.10.3.2Definicindealcancedemedicin
Dependiendodelascapacidadesdeunaorganizacinylosrecursos,elalcanceinicial
delamedicindeunaactividaddelaorganizacinselimitaaelementostalescomo
controles especficos, los activos de informacin protegida por controles especficos,
acciones especficas para la seguridad de la informacin que se concede la mxima
prioridad por la administracin. Con el tiempo, el alcance de las actividades de
medicinseampliparahacerfrenteaotroselementosdelSGSIimplementadoylos
controlesogrupodecontroles,teniendoencuentalasprioridadesdelosinteresados.
Las partesinteresadasdeben ser identificadas y deben participar en la definicin del
alcance de medicin. Los interesados pueden ser internos o externos a las unidades
organizativas, tales como directores de proyectos, gestores de informacin del
sistema,olosresponsablesdeseguridaddeinformacindedecisiones.Losresultados
especficosdemedicinabordarlaefectividaddeloscontrolesindividualesoungrupo
decontrolesdebenserdefinidosycomunicadosalaspartesinteresadas.
La organizacin puede considerar limitar el nmero de resultados de las mediciones
que se inform a los responsables polticos dentro de un perodo de tiempo
determinadoparagarantizarsucapacidadparamejorarelefectodeSGSIbasadoenla
informaresultadosdelasmediciones.Losresultadosdemedicindebeserpriorizadas
con base en la importancia de las necesidades de informacin correspondiente y los
objetivosasociadosdeSGSI.
6.10.3.3Identificacindelainformacinnecesaria.
132
PROYECTOFINDECARRERA
2)Legalidad,losrequisitoscontractualesydeorganizacindeseguridaddela
informacin;
3) La informacin de riesgos de seguridad los resultados del proceso de
gestin,talcomosedescribeenlanormaISO/IEC27001.
b) Darprioridadalainformacinidentificada,necesidadesbasadasencriterios,tales
como:
1) Tratamientodelosriesgosyprioridades;
2)Lascapacidadesdeunaorganizacinylosrecursos;
3)Losinteresesdelaspartesinteresadas;
4)Lapolticadeseguridaddelainformacin;
5)Lainformacinnecesariaparacumplirlosrequisitoslegales,reglamentarios
ycontractuales;
6)Elvalordelainformacinenrelacinconelcostedelamedida;
c)Seleccionarunsubconjuntodelainformacinnecesariadirigidaenlamedicinde
lasactividadesdelaprioridadlista,
d) Documentar y comunicar la informacin seleccionada a que todas las partes
interesadas.
Toda informacin es necesaria siempre que no provoque una congestin de la
informacinprovocandoretrasosparalaentidad,ademsestainformacintieneque
sercorrecta,breveyatiempo.
6.10.3.4Objetoyatributodeseleccin
Unobjetodemedicinysusatributosdebenseridentificadosenelcontextogeneraly
el alcance de un SGSI. Cabe sealar que un objeto de medicin puede tener varios
atributosaplicables.
El objeto y sus atributos para ser utilizados por la medicin deben ser seleccionados
sobrelabasedelaprioridaddeunasnecesidadescorrespondientesdelainformacin.
Losvaloresqueseasignaraunamedidadelabaseencuestinseobtienenmediante
laaplicacindeunamedidaapropiadayunmtodoparalosatributosseleccionados.
Estealgoritmodeseleccindebevelarporque:
133
PROYECTOFINDECARRERA
Slolosatributosquesonrelevantesparalamedidadebasecorrespondientedeben
de ser seleccionados. Aunque la seleccin de los atributos debe tener en cuenta el
grado de dificultad en la obtencin de los atributos que mida, no debe hacerse
nicamente en los datos que se obtienen fcilmente o el atributo de ser fcil de
medida.
Cabe destacar que no todos los atributos de un objeto son necesarios a la hora de
realizar las mediciones, algunos atributos pueden ser necesarios para una
determinadamedicinopuedenserparadiversasmediciones,ascomolasexistencias
deatributossinutilidadparalasmediciones.
Ademas cualquier tipo de atributo u objeto deber estar siempre documentado, as
comolasrazonesporlascualeshansidoelegidosparalaseleccin.
134
PROYECTOFINDECARRERA
6.10.3.5Medicindeconstruireldesarrollo
6.10.3.5.1Medidadeseleccin
Lasmedidasquepodransatisfacerlanecesidaddeinformacinseleccionadadebende
ser identificadas. La identificacin de las medidas debe establecerse de manera
suficientemente detallada para permitir la seleccin de las medidas que deban
aplicarse.
Las medidas identificadas que podran satisfacer la necesidad de informacin
seleccionadadebendeserseleccionadas.
Las medidas seleccionadas deben reflejar la prioridad de las necesidades de
informacin.Otroscriteriosdeejemploquepuedenserutilizadosparalaseleccinde
medidasincluyen:
Lafacilidadderecogidadedatos;
Disponibilidadderecursoshumanospararecogerygestionarlosdatos;
Ladisponibilidaddeherramientasadecuadas;
Nmerodeindicadorespotencialmenterelevantesconelapoyodelamedidadela
base;
Facilidaddeinterpretacin;
Nmerodeusuariosdelosresultadosdemedicindesarrollados;
Laspruebasdeaptituddelamedidaparaelpropsitoylainformacinquenecesita;
Loscostesderecogida,gestinyanlisisdelosdatos.
Sepuederealizarunlistadodecriteriosporlaentidad,comoguaalahoradetomar
lasmedidasnecesarias,enrelacinaunenfoquecomn.
6.10.3.5.2Mtododemedicin
Para cada medida bsica individual un mtodo de medicin debe ser definido. Este
mtododemedicinesutilizadoparacuantificarunobjetodelamedicinatravsde
la transformacin de los atributos en el valor a asignar en la medida de base. Un
mtododemedicinpuedesersubjetivouobjetivo.Losmtodossubjetivossebasan
enlacuantificacindeparticipacindelaopinindelempleado,mientrasqueeluso
demtodosobjetivosdecuantificacinnumricabasadaenreglascomoelrecuento
deloquepodrllevarseacaboatravsdemedioshumanosoautomatizados.
135
PROYECTOFINDECARRERA
Elmtododemedicincuantificalosatributoscomovaloresmediantelaaplicacinde
una escala adecuada. Cada escala utiliza unidades de medida. Slo las cantidades
expresadasenlamismaunidaddemedidaestndirectamentecomparables.
Para cada mtodo de medicin, el proceso de verificacin debe ser establecido y
documentado.Estaverificacindebegarantizarunniveldeconfianzaenelvalorque
se obtendr mediante la aplicacin de un mtodo de medicin que un atributo del
objetodemedicinyatribuidoaunactodebase.
Cuando sea necesario para determinar el valor vlido, herramientas utilizadas para
obtener los atributos deben estar normalizadas y verificadas en los intervalos
especificados.
Laprecisindelmtododemedidasedebetomarencuentayladesviacinasociadao
variacindeberquedarregistrado.
Unmtododemedicindebesercoherenteeneltiempodemaneraquelosvalores
asignadosaunamedidatomadadebaseendiferentesmomentossoncomparablesy
que los valores asignados a una medida derivada y un indicador tambin son
comparables.
6.10.3.5.3Medicindelafuncin
Paracadamedidaindividualderivadadeunafuncindemedicindeberserdefinida
para que se aplique a dos o ms los valores asignados a las medidas de base. Esta
funcin de medicin se utiliza para transformar los valores asignados a una o ms
medidasdebaseenelvalorqueseasignaaunamedidaderivada.Enalgunoscasos,
una base medida puede contribuir directamente al modelo analtico, adems deuna
medidaderivada.
Una funcin de medicin (por ejemplo, un clculo) puede implicar una variedad de
tcnicas, como promedio de valores asignados a las medidas de base, aplicar
ponderaciones de los valores asignados a las medidas de base o de asignar valores
cualitativosalosvaloresasignadosalasmedidasdebaseantesdeagregarqueenel
valorqueseasignaraunlasmedicionesobtenidas.Lafuncindemedicinpueden
combinar los valores asignados a las medidas de base utilizando diferentes escalas,
talescomoporcentajesylosresultadoscualitativosdeevaluacin.
Porlotantoseconsideraquelaentidaddebedebuscarnuevasfuncionesconelfinde
obtenerunosdatosmsprecisos,puedeexistirundeterminadogrupodepersonalde
la entidad encargados en la bsqueda de estas nuevas funciones para ayudar a la
entidad,debendeestarsiempreintentadoencontrarnuevosmtodos.
136
PROYECTOFINDECARRERA
6.10.3.5.4Modelodeanlisis
Para cada indicador, un modelo de anlisis debe ser definido con el propsito de
transformarunoomsvaloresasignadosaunabasey/ounamedidaderivadaenel
valorqueseasignaaunindicador.
El modelo analtico combina medidas pertinentes en una forma que produce una
salidaqueseasignificativaparalaspartesinteresadas.
La decisin sobre criterios que se aplican a un indicador tambin debe tenerse en
cuentaaldefinirelmodelodeanlisis.
Avecesunmarcadomodeloanalticopuedesertansimplecomolatransformacinde
unnicovalorasignadoaunaderivamedidaenelvalorqueseasignaaunindicador.
6.10.3.5.5Indicadores
Losvaloresqueseasignarnalosindicadoressernproducidosporlaagregacinde
losvaloresasignadosaladerivadamedidaeinterpretacindeestosvaloresenfuncin
de los criterios de decisin. Para cada indicador que se informar al cliente para la
presentacin formal de un indicador como parte de formatos de informacin debe
definirse. Los formatos para la presentacin del indicador deben ser personalizados
parasatisfacerlasnecesidadesdeinformacindelcliente.
Todoslosindicadorestendrnqueestardocumentadosexplicandoenqueconsisten.
6.10.3.5.6Criteriosdedecisin
Los criterios de decisin que corresponden a cada indicador deben ser definidos y
documentados sobre la base de la informacin de los objetivos de seguridad, para
orientaraccionesconcretasparalosinteresados.Estaorientacindebeatenderalas
expectativasdeprogreso,ylosumbralesparainiciaraccionesdemejorabasadasenel
indicador.
Loscriteriosdedecisinestablecenunobjetivoporelcualelxitosemideyofrecer
orientacinsobreinterpretarelindicadorenrelacinconsuproximidadalameta.
Losobjetivosquedebenfijarseparacadaelementoconrespectoalrendimientodelos
procesos de SGSI y los controles, el logro de objetivos, y para la eficacia del SGSI a
evaluar.
Una vez que las correcciones de las acciones basadas en los datos iniciales son
identificados,loscriteriosadecuadosdedecisinyfasesdeaplicacinsepuededefinir
queseanrealistasparaunSGSIespecfico.
Elestablecimientodecriteriosdedecisinsepuedefacilitarsilosdatoshistricosque
serefierenalospasesdesarrolladososeleccionadosestndisponibles.Lastendencias
137
PROYECTOFINDECARRERA
observadas en el pasado, dan una idea de los rangos de rendimiento que son
existentes previamente y orientar la creacin de criterios de decisin realistas. Los
criteriosdedecisinpuedensercalculadosobasadosenunacomprensinconceptual
de comportamiento esperado. Los criterios de decisin pueden derivarse de datos
histricos,planos,ylaheurstica,ocalculadocomoelcontroldelmitesestadsticos.
6.10.3.5.7Laspartesinteresadas
Para cada medida de las partes interesadas deben de ser identificadas y
documentadas.Laspartesinteresadaspuedenincluirlossiguientes:
a) Para la medida del cliente: la gestin de otras partes interesadas que soliciten o
requieraninformacinsobrelaeficaciadeunSGSI,controlesogrupodecontroles;
b) Revisor de medicin: la persona o unidad organizativa que valida que los pases
desarrolladoscondichamedicindelasconstruccionessonapropiadasparaevaluarla
eficaciadeunSGSI,controlesodegrupodemando;
c) Propietarios de la informacin: la persona o unidad organizativa que posee la
informacin acerca de un objeto de medicin y atributos y es responsable de la
medicin;
d) Informacin del colector: la persona o unidad organizativa responsable de la
recogida,registroyalmacenamientolosdatos
e)Informacindelcomunicador:lapersonaounidadorganizativaresponsabledelos
anlisisdedatosquetienequecomunicarlosresultadosdelamedicin.
Laraznporlaquehayqueidentificarydocumentarresideenquetodasellasforman
partedelprogramademedicindeseguridaddelainformacinyportantohayque
estarpendientesdeellassiempre.
6.10.3.6Construccindemedicin
a)Objetodelamedicin;
b)Objetivodecontrolquedebealcanzarloscontrolesycontrolesespecficos,elgrupo
deloscontrolesyelprocesodeSGSIamedir;
c)Objetodelamedicin;
d)Datosqueserecogeyseutilizan;
e)Losprocesosderecogidadedatosyanlisis;
138
PROYECTOFINDECARRERA
f)Procesoparalapresentacindeinformesderesultadosdelasmediciones,incluidos
losinformes
g)Lasresponsabilidadesdelaspartesinteresadaspertinentes
6.10.3.7Reunindedatos,anlisisypresentacindeinformes
Losprocedimientosderecogidadedatosyanlisis,ylosprocesosdecomunicacinde
los resultados de medicin desarrollados deben de ser establecidos. Apoyo a
herramientas,equiposdemedicinytecnologasdebenseralgoritmosestablecidos,si
esnecesario.Estosprocedimientos,herramientas,equiposdemedicinytecnologas
sedirigirnalassiguientesactividades:
a)Larecopilacindedatos,incluidoelalmacenamientodedatosylaverificacin.Los
procedimientos deben identificar cmo los datos se recogen mediante el mtodo de
medicin,medicindelafuncinyelmodelodeanlisis,ascomoelcmoyeldnde
sealmacenarnjuntocontodalainformacindecontextonecesariaparacomprender
ycomprobarlosdatos.Laverificacindedatospuedehacersemediantelainspeccin
delosdatoscontraunalistadecontrolqueseconstruyeparaverificarquelosdatos
quefaltansonmnimos,yqueelvalorquesehaasignadoacadamedidaesvlido.
139
PROYECTOFINDECARRERA
Todosestoselementosformanpartedelamedicinysondevitalnecesidadconelfin
detenertodolosdetallescontrolados.
6.10.3.8Medicindelaimplementacinyladocumentacin
Elenfoqueglobaldelamedidadebeserdocumentadoenunplandeimplementacin.
Lapuestaenprcticadebeincluirlasiguienteinformacincomomnimo:
a) El programa de la seguridad de la informacin de medicin implementado para la
organizacin;
b)Medicindelasiguienteespecificacin:
1)Lamedicingenricadelaconstruccindelaorganizacin;
2)Medicinindividualdelasconstruccionesdelaorganizacin,
3) Definicin de la gama y los procedimientos de recopilacin de datos y
anlisisdedatos;
c)Plandecalendariopararealizarlasactividadesdemedicin;
d) Los registros creados a travs de actividades de medicin, entre ellas los datos
recopiladosylosregistrosdeanlisis;
e) formatos de los informes de resultados de las mediciones que se comunique a la
direccinylosagentesinteresados
6.10.4Medicindelaoperacin
6.10.4.1Informacingeneral
La operacin de medida de seguridad de informacin incluye actividades que son
esenciales para asegurar que los resultados obtenidos en la medicin proporcionen
informacinprecisaconrespectoalaeficaciadeunaaplicacinSGSI,controlesogrupo
decontrolesylanecesidaddeaccionesdemejoraapropiadas.Estaactividadincluyeel
textosiguiente:
a)Laintegracindelosprocedimientosdemedicinenelfuncionamientogeneraldel
SGSI.
b)Reunir,almacenaryverificarlosdatos.
140
PROYECTOFINDECARRERA
6.10.4.2Procedimientodeintegracin
141
PROYECTOFINDECARRERA
b)Ladocumentacindelarecogidadedatos,incluyendo:
1)Fecha,horaylugardereunindedatos;
2)Colectordelainformacin;
3)Informacindelpropietario;
4) Los problemas que surgieron durante la recogida de datos que pueden ser
tiles;
5)Informacinparalaverificacinymedicindedatosdevalidacin
c)Verificacindelosdatosrecogidoscontralasmedidasdeloscriteriosdeselecciny
medicin de las construcciones de validacin. Los datos recogidos y cualquier
informacin de contexto necesaria deben ser consolidados y restaurados en una
grabacinformalconducentesalanlisisdedatos.
6.10.5Resultadosdeanlisisdelosdatosylamedicindepresentacindeinformes
6.10.5.1Informacingeneral
Losdatosrecogidosdebenseranalizadosparadesarrollarlosresultadosdemediciny
resultadosobtenidosenlamedicindebensercomunicados.Estaactividadincluye:
a)Elanlisisdelosdatosyeldesarrolloderesultadosdelamedicin,
b)Comunicarresultadosdelasmedicionesalaspartesinteresadas.
6.10.5.2Anlisisdelosdatosydesarrollodelosresultadosdemedicin
Losdatosrecogidosdebenseranalizadoseinterpretadosentrminosdeloscriterios
de decisin. Los datos pueden ser agregados, transformados, o recodificados antes
delanlisis.Duranteestatarea,losdatosseprocesanparaproducirlosindicadores.Se
puedeaplicarunnmerodetcnicasdeanlisis.Laprofundidaddelanlisisdeberser
determinadaporlanaturalezadelosdatosylanecesidaddeinformacin.
Losresultadosdeanlisisdedatosdebenserinterpretados.Lapersonaqueanalizalos
resultados (comunicador) debe ser capaz de extraer algunas conclusiones iniciales
sobrelabasedelosresultados.Sinembargo,elcomunicadorpuedenoserparticpe
directamente en las conclusiones tcnicas y procesos de gestin, y deben ser
revisadasporotroslaspartesinteresadas.
142
PROYECTOFINDECARRERA
El anlisis de datos debe identificar las brechas entre los resultados esperados y la
medicin real de una aplicacin SGSI, controles o grupos de controles. Las brechas
detectadasapuntarnalasnecesidadesparamejorarelSGSIenprctica,incluyendo
sualcance,laspolticas,objetivos,controles,procesosyprocedimientos.
143
PROYECTOFINDECARRERA
Los resultados de medicin deben ser comunicados a una variedad de grupos de
intersinternosincluyendoa:
Clientesparalamedicin
Informacinpropietarios
Personal a cargo de la gestin de la informacin de riesgos de seguridad,
especialmentedondeelfracasoderiesgodeevaluacinseanconocido
Elpersonalresponsabledelasreasidentificadasennecesidaddemejoramiento.
Laorganizacinpodrsolicitar,enalgunoscasosparadistribuirinformesderesultados
delamedicinalaspartesexternas,incluidaslasautoridadesreguladoras,accionistas,
clientes y proveedores. Se recomienda que los informes sobre resultados de las
medicionesquesedistribuyanalexteriorslocontenganlosdatosapropiadosparala
liberacin externa y sean aprobados por la administracin y las partes interesadas
antesdeserliberados.
El comunicador tiene una gran responsabilidad ya que las decisiones que tome para
indicarquedeterminadosresultadoshabrquesealarinternamenteoexternamente
tendrnunagraninfluenciaenlatomadedecisiones.
6.10.6ProgramademedicindeseguridaddelainformacindeEvaluacinyMejora
6.10.6.1Informacingeneral
Laorganizacindebeevaluaraintervalosplanificadoslosiguiente:
1)Produceresultadosdemedicindeunamaneraeficaz;
2)seejecutasegnloprevisto;
3)loscambiosdedireccionesenelSGSIimplementadoy/ocontroles;
4)cambiosdedireccionesenelmedioambiente(porejemplo,losrequisitos,la
legislacinolatecnologa),
144
PROYECTOFINDECARRERA
1)DeterminarloscriteriosdeevaluacinparalamedicindelaSeguridadde
laInformacin;
2)Parasupervisar,revisaryevaluarlamedicin,
3)Implementarmejoras
6.10.6.2 Criterios de evaluacin de identificacin del programa de medicin de
seguridaddelainformacin
La organizacin debe definir los criterios para evaluar la eficacia del programa de
medicin de seguridad de la informacin, as como la utilidad de los resultados de
medicindesarrollados.Loscriteriosdebenserdefinidosenelcomienzodelprograma
de medicin de seguridad de la informacin, teniendo en cuenta los objetivos de
negociodelaorganizacin.
Los criterios ms probables cuando las organizaciones deben evaluar y mejorar la
seguridaddelainformacinaplicadasalprogramademedicinson:
Cambiosenlosobjetivosdenegociodelaorganizacin;
Loscambiosenlosrequisitoslegalesoreglamentariosylasobligacionescontractuales
enmateriadeseguridaddelainformacin;
Cambiosenlosrequisitosdeorganizacinenmateriadeseguridaddelainformacin;
Loscambiosenlosriesgosdeseguridaddelainformacinalaorganizacin;
Mayor disponibilidad de datos ms precisos o convenientes y / o mtodos para
recogerdatosparalamedicin;
Loscambiosenelobjetodelamediday/osusatributos;
Los siguientes criterios pueden aplicarse para evaluar los resultados de medicin
desarrollada
a)Losresultadosdemedicinson:
1)Fcilesdeentender;
2)Comunicadosdemaneraoportuna
145
PROYECTOFINDECARRERA
3)Objetivos,comparablesyreproducibles.
b)Losprocesosestablecidosparaeldesarrollodelosresultadosdemedicinson:
1)Biendefinidos;
2)Facilidaddeoperacin;
3)Seguidoscorrectamente.
c)Losresultadosdemedicinsontilesparamejorarlaseguridaddelainformacin.
d) Los resultados de medicin que corresponde atender a las necesidades de
informacin.
6.10.6.3Monitorizar,revisaryevaluarelprogramademedicindeseguridadde la
informacin
La organizacin debe supervisar, revisar y evaluar su programa de medicin de
seguridaddelainformacinconloscriteriosestablecidos.
Laorganizacindebeidentificarlasnecesidadesdepotencialdemejoradelamedicin
deprogramadeSeguridaddelaInformacin,incluyendo:
a)Larevisindelasmedidasadoptadas,oeliminarlasconstruccionesqueyanoson
apropiadas,
b) Volver a la asignacin de recursos para apoyar la seguridad de la informacin de
medicin.
LaorganizacintambindebeidentificarlasposiblesnecesidadesdemejoradelSGSI,
incluido su mbito de aplicacin, las polticas, objetivos, controles, procesos y
procedimientos, y las decisiones de gestin de documentos para permitir la
comparacinyanlisisdetendenciasdurantelasrevisionesposteriores.
146
PROYECTOFINDECARRERA
6.10.6.4Implementarmejoras
La organizacin debe asegurarse de que haya interesados en identificar las mejoras
necesarias del programa de medicin de seguridad de la informacin. Las mejoras
identificadasdebenseraprobadasporladireccin.Losplanesaprobadosdebenestar
documentadosycomunicadosalosinteresadosquecorresponda.
La organizacin debe asegurarse de que las mejoras aprobadas de la informacin de
medidadeseguridaddelprogramaseestnejecutandosegnloprevisto.
Laorganizacintendrqueestarbuscandosiemprelamejoracontinua.
6.10.7PLANTILLAS
6.10.7.1Plantillabase
Identificacindelamedicinaconstruir
Nombredelamedicindeconstruccin Nombredelamedicin
Identificadornumrico Numeronicodeidentificacinnumricode
laorganizacin
Propsitodelamedidaaconstruir Describirlasrazonesparalarealizacindetal
medicin
Control/Procesoobjetivo Control/procesoobjetivobajolamedicin
Control(1)/Proceso(1) Control/procesobajomedicin
Control(2)/Proceso(2) Opcional:otroscontrolesyprocesosincluidos
dentrodelamismamedicin
Objetodelamedicinyatributos
147
PROYECTOFINDECARRERA
automatizados.
Especificacindelamedidaderivada
Especificacindelindicador
148
PROYECTOFINDECARRERA
Especificacindeloscriteriosdedecisin
Resultadosdelasmediciones
Laspartesinteresadas
149
PROYECTOFINDECARRERA
Frecuencia/periodo
Frecuenciadelarecogidadedatos Conqufrecuenciaserecopilanlosdatos?
Frecuenciadeanlisisdedatos Conqufrecuenciaseanalizanlosdatos?
Periododemedicin Defineelperiodoquesemide
150
PROYECTOFINDECARRERA
6.10.7.2Plantilladeejemplo
Acontinuacinvamosaponerunaplantilladeejemplorespectoalentrenamientodel
personaldelSGSI.
identificacindelamedicinaconstruir
Nombredelamedicindeconstruccin SGSIpersonalcapacitado
Identificadornumrico Especficodecadaorganizacin
Objetodelamedicinyatributos
Objetodemedicin Empleadosdelabasededatos
Atributo Registrosdeentrenamiento
Basemedidadelasespecificaciones(porcadamedidadereferencia[1..n])
151
PROYECTOFINDECARRERA
Escala Numrico
Tipodeescala Proporcin
Unidaddemedida Empleado
Especificacindelamedidaderivada
Especificacindelindicador
Resultadosdelasmediciones
152
PROYECTOFINDECARRERA
Interpretacindeindicador Especificodelaorganizacin
Laspartesinteresadas
Frecuencia/periodo
Frecuenciadeanlisisdedatos Trimestral
Lafrecuenciadepresentacindeinformes Trimestral
resultadosdelasmediciones
Periododemedicin Anual
153
PROYECTOFINDECARRERA
7.CUESTIONARIOAPLICACION
7.1Introduccin
Paraayudaralosauditoresalahoradelarealizacindelcuestionariohepartidodel
programaFreeexam,conelcualelauditorpodrcrearomodificarcualquiertipode
cuestionario, en caso de que tenga preguntas o respuestas ambiguas, en funcin de
susnecesidades,etc.;ademselprogramasoportalostestmultirespuesta,ascomo
losdeverdaderoyfalso,etc.
7.2Creacindeuncuestionario.
Empezaremosejecutandoelarchivoelcualnosmostrarlasiguienteimagen.
154
PROYECTOFINDECARRERA
Ahorapartiremosdeunonuevo
Siledamosalbotndecrear(New)pasaremosalasiguienteimagen
En la cual pondremos un nombre al cuestionario para crearlo, as como la ubicacin
dondeloqueremosguardar.
Unavezguardadopasaremosalasiguienteimagen.
155
PROYECTOFINDECARRERA
Enestapartetendremosqueponerunnombrealcuestionario,ascomoelautorque
lohacreado,suversinyunapequeadescripcinparaelproyecto.
Tambin tenemos que rellenar el tanto por ciento necesario que hay que tener
acertadoparaquecuandoserealiceseaconsideradocomoapto(enestecaso60%),
as como el numero de cuestiones en este caso 10 y lo ltimo sera el tiempo lmite
para hacerlo (como no hay necesidad de poner un tiempo lmite simplemente
ponemos la cantidad mxima de minutos para realizarlo, en este caso 300 minutos).
Unavezcubiertasestascaractersticasledamosalbotndesalvar(Save).
Ahoranossaldrestaimagen:
156
PROYECTOFINDECARRERA
Enlacualnoscomunicaqueelcuestionariohasidocreadoyqueserde10preguntas,
sinembargonosindicaquesolohay1preguntacreada(el1vienepordefecto),porlo
tantoahorahayqueintroducirlaspreguntasdenuestrocuestionario.
Para ello como ya tenemos seleccionado el cuestionario creado, por defecto, ahora
tendremosquepulsarelbotndeeditar(Edit).
157
PROYECTOFINDECARRERA
Enestepunto,tendremosqueintroducirlacuestin,ascomosusposiblesrespuestas
y la explicacin. Para indicar cul es la respuesta correcta haremos clic al lado de la
preguntaenestacasoeslaB.
PararealizarlasiguientepreguntaharemosclicenAdd.
158
PROYECTOFINDECARRERA
EnestasegundapreguntahemoselegidolaopcindetipoVERDADEROoFALSO(true
ofalse).
AligualquelaanteriorrellenaremosloscuadrosenblancoyvolveremosapulsarEdit
parasalvarlapreguntayAddparapasaralasiguiente.
159
PROYECTOFINDECARRERA
Enestecasohemoselegidounapreguntaconmultirespuesta.
ConbotonesenformadeflechaquehayencimadelbotnEdit,podremosmovernos
de una pregunta a otra y si escribimos el nmero de pregunta y luego pulsamos GO
iremosdirectamenteaesapregunta.
Ahoraharemoselltimocasoquepodemoshacerdepregunta.
160
PROYECTOFINDECARRERA
Estapreguntaconsistirenquehayquerellenarlarespuesta.
UnavezfinalizadonuestrocuestionariotendremosquepulsarelbotndeSaveconlo
cual guardaremos de forma correcta nuestro cuestionario, para finalizar pulsaremos
Exit.
En caso de que cuando realicemos el cuestionario por primera vez y aparezca una
pregunta que no tiene nada que ver pulsaremos el botn de New. Para empezar a
partirdecero.
UnavezpulsadoelbotndeExitvolveremosaaparecerenlasiguientefigura
161
PROYECTOFINDECARRERA
Enlacualnoscomunicaquenuestrocuestionariode10preguntastiene10preguntas
creadas.
162
PROYECTOFINDECARRERA
8.USODELCUESTIONARIO
En este punto comentaremos la realizacin de uno de los cuestionarios reales
creados para el proyecto por parte del auditado. En este caso haremos el
cuestionariosobrelosterremotos.
Ejecutamoselprogramayempezaremosenestaventana.
AhorapulsaremoselbotndeLOADconelfindecargaruncuestionario,elcualya
hasidocreadoyalmacenado.
163
PROYECTOFINDECARRERA
En este caso elegimos el archivo Terremotos.dat el cual contiene el cuestionario a
realizar.
164
PROYECTOFINDECARRERA
AhorapulsaremoselbotndeRUNparalarealizacindelcuestionario
165
PROYECTOFINDECARRERA
Una vez respondida dicha pregunta podemos dar al botn de NEXT para la siguiente
preguntadelcuestionario.
166
PROYECTOFINDECARRERA
El botn de PREVIOUS nos har movernos sobre las cuestiones anteriores por si
queremosvolveraleeryresponderunapregunta,mientrasqueelNEXTnosmover
paraadelante.
167
PROYECTOFINDECARRERA
Contestamosypasamosalasiguientepregunta.
168
PROYECTOFINDECARRERA
Tambinencualquiermomentopodemosparardehacerelcuestionariopulsandoel
botndePAUSE,peroenestoscuestionariosnoesnecesariodebidoaquetienenun
tiempobastantegrandepararealizarlos.
169
PROYECTOFINDECARRERA
Una vez realizada la ltima pregunta del cuestionario, haremos clic en el botn END
EXAMconelfindequenosmuestrelosresultadosobtenidos.
170
PROYECTOFINDECARRERA
Enestaimagennosindicaquehasidoapto,altenerun60%yportantoalserigualo
mayor (en este caso igual a la hora de tener un 60% como mnimo de cuestiones
correctas) correcto de las cuestiones de la auditora, adems si hacemos clic en
cualquierpreguntanosmostrarlossiguiente.
171
PROYECTOFINDECARRERA
Estaimagennosmuestralapreguntaseleccionada,ascomolarespuestacorrectaen
colorverde(enestecasolaA),ylarespuestadelauditado(enesecasolaB),quetiene
queserparaunaentidadalahoradelequipamientodelosterremotos.
Para finalizar si pulsamos el botn SHOW ANSWER, nos mostrar una pequea
explicacin.
172
PROYECTOFINDECARRERA
Enlaexplicacinavisamosqueserecomiendatenerunplandemantenimiento.
173
PROYECTOFINDECARRERA
9.PREGUNTASDELCUESTIONARIO
9.1Introduccin
En este punto indicaremos todas las preguntas que he introducido en los
cuestionarios realizados. Las preguntas se agrupan dependiendo del tipo de
cuestionario.
CaberecalcarquelamayoradepreguntasserespondenconSoNo,hepensado
enlaideaderealizarlosconmltiplespesos(nada,poco,bastante,mucho,todo,o
usosdetantosporcientos),peroelproblemaquemesurgaeraelsiguiente.
Uncaso:
Tiene el mismo significado decir poco para el auditado de una gran empresa
queparaunapequea?
Si un auditor estuviera realizando una auditora y le preguntase al auditado
cuntos ordenadores sin control de acceso tiene en su organizacin? Y este
respondiera al cuestionario con la respuesta de pocos, tendra el mismo
significadosilaentidadalaqueestamoshaciendolaauditorafuesepequea?Tal
vez pocos para una entidad grande podra ser una grave brecha de seguridad,
mientrasqueparaunaentidadpequeaseraunamnimabrecha.
Otrocaso:
Ysielauditadorespondieraconun%?
Sielauditadocomentaquesolotienemenosdeun10%deordenadoressincontrol
de acceso tal vez en una entidad pequea que tiene unos 2050 equipos
informticos,esetantoporcientoseramnimo,siendodeunos25ordenadores
comomuchoysiendoasunabrechafcildesolucionar,peroimaginemosquees
una empresa multinacional con cientos o miles de ordenadores repartidos por
todas sus oficinas, ese tanto por ciento aunque es mnimo tiene una cantidad
altsima de equipos sin control de acceso, siendo una gravsima brecha de
seguridadensusequipos.
Nosepuedecastigaropenalizarporigualaunaentidadqueseagrande,mediana
o pequea. Por tanto los pesos tendran que ser diferentes para cada tipo de
entidad.
174
PROYECTOFINDECARRERA
Porestasrazoneshedecididoquelascuestionesserespondanconunsono,es
decirsecumpleonosecumple.S=1No=0.
Ademsladecisindehacerloenbaseadosnicasrespuestassecentraenqueel
cuestionariopuedeaplicarseacualquiertipodetamaodeempresatantogrande,
medianaobaja.
Paraqueuncuestionarioseaaptotendrquetenercomomnimoun60%como
para garantizar que tiene una seguridad mnima, aunque posiblemente no la
suficiente, ya que por debajo de ese 60% el auditado tendra serios problemas,
ante posibles incidencias en el futuro. Aun as ser el auditor quien tomar la
ltima palabra a la hora de elegir los tantos por cientos y de contemplar ciertos
aspectos los cuales pueden escapar a los cuestionarios, al fin al cabo, el auditor
tomar las respuestas de dichos cuestionarios como parte de sus informes a la
horadelarealizacindelaauditora,yaquesirvedeapoyoalauditor.
Por ltimo, tengo que comentar que se recomienda hacer los cuestionarios con
respuestas basadas en mltiples pesos, pero para ello hay que conocer
previamenteeltamaodelaentidadparaajustarlospesosasuscorrespondientes
medidasparalasdeterminadasentidades.
Preguntas.
Acontinuacinpondremostodaslaspreguntasdeloscuestionariosrealizados.
175
PROYECTOFINDECARRERA
9.2Cuestiones
CUESTIONARIOS:
TERREMOTOS
1.Lasituacinfsicadeledificiodelaentidadestenunazonadondehay
existenciasdeterremotos? SNo
2.Losequiposinformticosestnenposicioneselevadasponiendoenpeligro
recursostantoshumanoscomofsicos? SNo
3.Seutilizanequipamientos(mesas,sillas)antiterremotos? SNo
4.Losequiposinformticosestnenmesasantiterremotos? SNo
5.Elequipamientoantiterremotostienenunplandemantenimiento? SNo
INUNDACIONES
1.Lasituacinfsicadeledificiodelaentidadestenunazonadondehay
existenciadeinundaciones? SNo
2.Lasituacinfsicadeledificiodelaentidadestenunazonadondehay
existenciadelagos,riachuelos,ros,mar? SNo
3.Sehaestablecidoelusodedetectoresdeaguaeneledificiodelaentidad? SNo
4.Existenciadecaerasenmalestado? SNo
5.Serevisanlascaeras? SNo
6.Existenciadecaerascercadecomponenteselctricos? SNo
7.Losdetectoresdeaguatienenunplandemantenimiento? SNo
8.Haypulsadordealarmadeinundacinparaserpulsadoporelpersonalde
laentidad? SNo
9.Lasalarmasdeinundacinavisanalosbomberos,hospitales,polica? SNo
FUEGOS
1.Elpersonaldelaentidadfumadentrodelasinstalacionesdelaentidad? SNo
2.Sehanestablecidozonadefumadoresparaelpersonaldelaentidadconel
findeevitardequefumenaescondidasdentrodeledificio(baos,escaleras)? SNo
3.Haypaneleselctricosdeteriorados? SNo
4.Haysimulacrosdeincendios? SNo
5.Usodematerialinflamable(mesas,sofas,etc)? SNo
6.Hacencursosdeformacindeprimerosauxiliosporpartedelpersonalde
laentidad? SNo
7.Hacencursosdeformacincontraincendiosporpartedelpersonaldela
entidad? SNo
8.Existenalmacenamientodepapelengrandesproporciones? SNo
9.Existenextintoresdentrodelaentidad? SNo
176
PROYECTOFINDECARRERA
10.Existenindicacionesdelasituacindelosextintoresdelaentidad? SNo
11.Existenindicacionessobredondeestlapuertadesalida? SNo
12.Haydetectoresdefuegoyhumoenlaentidad? SNo
13.Haypulsadordealarmadefuegoparaserpulsadoporelpersonaldela
entidad? SNo
14.Existenindicacionessobredondeestelpulsadordealarma? SNo
15.Lasalarmasavisanalosbomberos,hospitales,polica? SNo
16.Losdetectorestienenunplandemantenimiento? SNo
17.Losextintorestienenunplandemantenimiento? SNo
18.Loscableselctricosestndentrodepaneles? SNo
19.Tienenlosservidoresproteccinautomticacontraelfuego? SNo
BACKUPS(informacinsalvaguardada)
1.ExistenciasdeBackups? SNo
2.Lainformacinseguardaenlosbackupsdeformaperidicas? SNo
3.Todaslascopiasdelainformacinseguardanjunta? SNo
4.LosBackupsestnenunasituacinfsicasegura(lejosdelaentidad)en
casodefuegos,inundaciones,etc.? SNo
5.Losbackupsestnprotegidosanterobos(usodesalasdeseguridad,cajas
fuertes)? SNo
6.LosBackupstienenunplandemantenimiento? SNo
7.Losbackupsestnprotegidosanteataquesinformticos(hackers,virus,
crackers,etc)? SNo
8.Existenprocedimientosparalareconstruccindelosarchivosencasodesu
destruccin? SNo
9.Estnidentificadoslosarchivosconinformacinclasificada? SNo
10.Dichainformacinclasificadatieneclavedeacceso? SNo
11.Haycertificacindequelosarchivosborrados? SNo
12.Haypersonalautorizadoparafirmarlasalidadelosarchivosclasificados? SNo
13.Hayresponsableencasodefallodelosbackups? SNo
TORMENTASELECTRICASYPICOSDETENSIONELECTRICIDAD
1.Lasituacinfsicadeledificiodelaentidadestenunazonadondehay
existenciadetormentaselctricas? SNo
2.Existelainstalacindepararrayoeneledificiodelaentidad? SNo
3.Lastormentaselctricashanproducidodaosenloequiposinformticos
enformafsica?(Placasquemadas,ordenadoresinutilizadoscompletamente) SNo
4.Lastormentaselctricashanproducidoperdidadelainformacin(basesde
datosdaadas)enlosequiposinformticos? SNo
5.Lospararrayostienenunplandemantenimiento? SNo
6.ExistenSAI(sistemasdealimentacinininterrumpida)? SNo
7.ExisteunplandemantenimientodelosSAI? SNo
177
PROYECTOFINDECARRERA
8.Existesobrecargadecorrienteelctricas? SNo
9.Existeunplandemantenimientodelospaneleselctricos? SNo
CONTROLDEACCESOALASINSTALACIONESSEGURIDADFISICA
1.Usodecmarasdeseguridad? SNo
2.Sistemasdesensoresdemovimiento? SNo
3.Laspuertasestncerradas? SNo
4.Usodesistemasdecontroldeaccesoalassalas(tarjetas,biometra,etc.)? SNo
5.Existenciadepersonaldeseguridad? SNo
6.Existenciadeunregistrodeentradaaledificio? SNo
7.Existenciadeunregistrodesalidadeledificio? SNo
8.Existenciadeunregistrodeentradadelassalasdeledificio? SNo
9.Existenciadeunregistrodesalidadelassalasdeledificio? SNo
10.Lascmarasdeseguridadestnbiencolocadas? SNo
11.Lossensoresdemovimientoestnbiencolocados? SNo
12.Existeunplandemantenimientodelascmarasdeseguridad? SNo
13.Existeunplandemantenimientodelossensoresdemovimiento? SNo
14.Existeunplandemantenimientodelossistemasdecontroldeaccesoa
lassalas? SNo
15.Existenciadeunregistroparaeledificioparainvitados(personasqueno
trabajanenlaentidad)? SNo
16.Soncapacesdeaccederpersonasnorelacionadasconlaentidadenel
edificio? SNo
17.Sehacenpruebasdepersonascolndoseeneledificioparacomprobarlas
medidas? SNo
18.Elpersonaldeseguridadestbienformado? SNo
19.Existenciadecursosdereciclajeparaelpersonaldeseguridad? SNo
20.Trasfinalizarlajornadalaboralsecierranlaspuertas? SNo
21.Elpersonaldelaentidadrespetaesecontrol? SNo
22.Eltratodelpersonaldeseguridadescorrecto? SNo
23.Existedivisindelaresponsabilidadparateneruncontrolmejordela
seguridad? SNo
24.Seinvestigaalosvigilantesantesdesercontratados? SNo
25.Sebloqueanlastomasderedquenosonutilizadasparaevitarpinchazos
deterceraspersonas? SNo
26.Unavezdespedidounempleadoseleretirasutarjetadeaccesoala
entidad? SNo
CONTROLDEACCESOALOSEQUIPOSINFORMATICOS
1.Usodecontraseasporpartedelosempleados? SNo
2.Lascontraseastienenmsde8caracteres? SNo
3.Lacontraseaesalfanumrica? SNo
178
PROYECTOFINDECARRERA
4.Existendiferentesnivelesdeacceso?(ejecutivos,programadores,analistas) SNo
5.Seregistralaentradaalequipoinformtico? SNo
6.Seregistralasalidaalequipoinformtico? SNo
7.Losempleadossoninformadossobrelosriesgosdelascontraseas? SNo
8.Usodecontraseasquenotienennadaqueverconinformacindel
personaldelaentidad(nombre,telfono,matrculadelcoche? SNo
9.Lascuentasdelosempleadosquevayanaserdespedidossonbloqueadas
ocapadasantesdelavisodedespido? SNo
10.Lascontraseassoncambiadasperidicamente? SNo
11.Lascontraseasdecadaempleadosondiferentesparacadatipode
acceso? SNo
12.Secompruebaquelascuentasqueestnendesusosoneliminadas? SNo
13.Existeunresponsabledelcontroldedichascuentas? SNo
14.Haydiferentesmodalidadesdeaccesosdependiendodelgradodeacceso
delempleado?(lectura,escritura,borrado,ejecucin) SNo
15.Elempleadosolopuedeaccederalosrecursosendeterminadashorasdel
da? SNo
16.Elempleadosolopuedeaccederadeterminadosequiposinformticos? SNo
17.Secambianlascontraseasquevienenpordefectoenlosequipos
informticos? SNo
18.Existencuentassincontrasea? SNo
19.Existeunnmerolimitadodeintentosalahoradeintroducirla
contrasea? SNo
SEGURIDADLOGICA
1.Haycadadelaconexinainternet? SNo
2.Losequiposinformticostienenlosprogramasnecesariosparatrabajar? SNo
3.Sonadecuadaslasrestriccionesdelaconfiguracindelequipo? SNo
4.Secontrolaalosanalistas? SNo
5.Secontrolaalosprogramadores? SNo
6.Existeunprocesodeemergenciaconelfindequelainformacinpueda
llegarhastaeldestinatario? SNo
7.Secompruebaquelainformacinllegadaaldestinarioeslamismaquefue
enviadadesdeelorigen? SNo
8.Lainformacintransferidallegaaserrecibidaporterceros? SNo
9.Existendiferentescaminosdetransmisinentrediferentespuntos? SNo
METRICA
1.Sesabelacalidaddelproductooservicioquerealizalaentidad? SNo
2.Losempleadosestnrealizandoelproductooserviciodeformacorrecta? SNo
3.Losempleadosestnrealizandoelproductooserviciodeformaeficaz? SNo
4.Losempleadosestnrealizandoelproductooserviciodeformarpida? SNo
179
PROYECTOFINDECARRERA
5.Seconocenlosbeneficiosdelosnuevosprocesos? SNo
6.Seconocenlosbeneficiosdelasherramientasutilizadas? SNo
7.Seconocenlosbeneficiosdelosmtodosutilizados? SNo
8.Lamtricaindirectaes?
Centradaenlacalidad,complejidad,fiabilidad,eficiencia,funcionalidad,
facilidaddemantenimiento,etc. SNo
Englobalavelocidaddeejecucin,defectosencontradosenunacantidad
detiempo,costo,tamaodememoriausada,nmerodelneasdecdigo,etc. SNo
9.Lamtricadirectaes?
TRUE
Centradaenlacalidad,complejidad,fiabilidad,eficiencia,funcionalidad,
facilidaddemantenimiento,etc. FALSE
TRUE
Englobalavelocidaddeejecucin,defectosencontradosenunacantidad
detiempo,costo,tamaodememoriausada,nmerodelneasdecdigo,etc. FALSE
10.Lamedida?
Nosproporcionaunaindicacincuantitativadecantidad,dimensiones, TRUE
capacidad,tamaoyextensindealgunosdelosatributosdeunproductoo
desuproceso. FALSE
Procesoporelcuallosnmerossonasignadosaatributosoentidadesenel TRUE
mundorealtalcomosondefinidosdeacuerdoalasreglasclaramente
definidas. FALSE
11.Lamedicin?
Nosproporcionaunaindicacincuantitativadecantidad,dimensiones, TRUE
capacidad,tamaoyextensindealgunosdelosatributosdeunproductoo
desuproceso. FALSE
Procesoporelcuallosnmerossonasignadosaatributosoentidadesenel TRUE
mundorealtalcomosondefinidosdeacuerdoalasreglasclaramente
definidas. FALSE
12.Lasmtricassonambiguas? SNo
13.Usodeestadsticas? SNo
14.Automatizacindelarecogidadedatos? SNo
15.Cualeselordendelasetapasdelprocesodemedicin?
TRUE
Coleccin,anlisis,formulacin,realimentacineinterpretacin. FALSE
TRUE
Anlisis,interpretacin,realimentacin,formulacinycoleccin. FALSE
180
PROYECTOFINDECARRERA
TRUE
Formulacin,coleccin,anlisis,interpretacinyrealimentacin. FALSE
16.Seutiliznmtricasparaevaluaraparticulares? SNo
17.Existeincompatibilidaddemtricas? SNo
18.Lasmtricassonfcilesdeobtener? SNo
19.Lasmtricasestnexpresadasenporcentajesoenescala? SNo
20.Lasmtricassondetalladas? SNo
21.Conlasmtricasobtenemoslospuntosdbilesdenuestraentidad? SNo
PREPARACIONPARALAIMPLEMENTACIONDELASNORMATIVASENUNA
ENTIDAD
1.Existeunmnimodeprocesosdefinidos? SNo
2.Existeuncompromisoporpartedetodoslosactoresdelaempresa? SNo
3.Elambientelaboralesagradable,sanoyactivo? SNo
4.Elpersonalesconscienteconlanecesidaddemejoramiento? SNo
5.Existeunaorientacinhaciaeltrabajoenequipodeformaeficaz? SNo
6.Existeunplanyvisindefuturo? SNo
7.Losobjetivosestnbiendefinidos? SNo
8.Existeapoyoentrelosempleados? SNo
9.Existecomunicacinentrelosempleados? SNo
10.Hayunabuenaintegracindeltrabajoentrelosdiferentes
departamentos? SNo
11.Existeunsistemaquereflejelosobjetivosconseguidosalolargodel
trabajo? SNo
12.Hayexplotacindeltrabajador? SNo
13.Sedesealaevolucindelaentidad? SNo
14.Laentidadvaenbuscadelosclientesatravsdetcnicascomerciales? SNo
15.Laentidadsecentraenlaefectividadyproductividadenelmercado? SNo
16.Losplanesconcretosquetienelaentidadsonejecutadosymedidos? SNo
17.Lasideasquesurjansonexpresadaslibremente? SNo
18.Existeparticipacindelempleadoenlaentidad? SNo
19.Seestimulaalempleadoatravsdemetas/resultados? SNo
20.Hayreunionesentreempleadosydirectivos? SNo
21.Existenciadeunaorganizacincentradahaciaelservicioaclientes? SNo
22.Laentidadestcentradaenlabsquedadeevitareltrabajoindividual? SNo
23.Laentidadestcentradaenlabsquedadeestudiar,conocery
comprenderalacompetencia? SNo
24.LaentidadestcentradaalabsquedadelusodelBenchamarking? SNo
CONLANORMATIVAINSTALADA
181
PROYECTOFINDECARRERA
1.Sehadadodeladoelusodeunsistemaparticipativo? SNo
2.Sehadadodeladoelusodeljustintime? SNo
3.Sehadadodeladolaseguridadenlaentidad? SNo
4.Sehadadodeladoelusodelaparticipacindelaadministracin? SNo
5.Sehadadodeladoelusodelamejoracontinua? SNo
6.Sehapuestounritmodetrabajoalaentidadyasusempleadoselcualno
eselsuyopropiodebidoalanormativa? SNo
7.Lostrabajadoressoninformadosdeloqueocurreenlaempresa? SNo
8.Enelcomitdecalidaddelaempresaexistenrepresentantedelos
trabajadores? SNo
9.Semotivaalosempleadosconlanormativa? SNo
10.Laimplantacindelanormaseharealizadoporimposicinydemalas
maneras?(ejemplo,esloquehayyvamoshacerlo) SNo
11.Lanormativahasidoaplicadaporqueestdemoda? SNo
NORMATIVAISO/IEC27004Parte1
1.LaentidadtenaincorporadoelmodeloPDCA(plandocheckact)? SNo
2.ConestemodeloPDCA(plandocheckact)secumpleelobjetivodeindicar
yavisarlosvaloresdeseguridaddelaentidad? SNo
3.ConestemodeloPDCA(plandocheckact)secumpleelobjetivoderealizar
unaevaluacindelaeficienciadelsistemadegestindeseguridaddela
informacin? SNo
4.ConestemodeloPDCA(plandocheckact)secumpleelobjetivodeincluir
nivelesdeseguridadquesirvandeguaparalasrevisionesdelsistemade
gestindeseguridaddelainformacin? SNo
5.ConestemodeloPDCA(plandocheckact)secumpleelobjetivoderealizar
unaevaluacindelaefectividaddelaimplementacindeloscontrolesdela
seguridaddelaentidad? SNo
6.Elprogramademedicinestbasadoenunmodelodemedicionesparala
seguridaddelainformacin? SNo
7.Elmodelosecentraenunaarquitecturaquerelacionalosatributos
mediblesconunaentidadrelevante? SNo
8.Estndefinidoslosatributosmsimportantes? SNo
9.Existefrecuenciaencadamedicin? SNo
10.Pararealizarelestablecimientoylaoperacindelprogramademedicin
sedefinenlosprocesos? SNo
11.Pararealizarelestablecimientoylaoperacindelprogramademedicin
sedesarrollanlasmediciones? SNo
12.Pararealizarelestablecimientoylaoperacindelprogramademedicin
seimplementaelprograma? SNo
13.Pararealizarelestablecimientoylaoperacindelprogramademedicin
serevisanlasmediciones? SNo
14.Lasmedicionessoncuantitativas? SNo
15.Lasmedicionessonindivisibles? SNo
182
PROYECTOFINDECARRERA
16.Lasmedicionesestnbiendefinidas? SNo
17.Lasmedicionessonrazonables? SNo
18.Alahoradeseleccionarloscontrolesnecesarioslaentidaddefineel
programa? SNo
19.Alahoradeseleccionarloscontrolesnecesariosdefinesusrespectivos
indicadores? SNo
20.EnelmodeloPDCA(plandocheckact)enquconsisteel"PLAN"?
TRUE
Revisinymejoradelasmtricasdeseguridad. FALSE
TRUE
Adaptarprocedimientosycontrolesparalaobtencindedatos. FALSE
TRUE
Definirlasmtricasyestablecerelsistemadegestindeseguridaddela
informacin(SGSI) FALSE
TRUE
Revisindelosdatosobtenidosdelasmtricasrealizadas. FALSE
21.EnelmodeloPDCA(plandocheckact)enquconsisteel"DO"?
TRUE
Revisinymejoradelasmtricasdeseguridad. FALSE
TRUE
Adaptarprocedimientosycontrolesparalaobtencindedatos. FALSE
TRUE
Definirlasmtricasyestablecerelsistemadegestindeseguridaddela
informacin(SGSI) FALSE
TRUE
Revisindelosdatosobtenidosdelasmtricasrealizadas. FALSE
22.EnelmodeloPDCA(plandocheckact)enquconsisteel"CHECK"?
TRUE
Revisinymejoradelasmtricasdeseguridad. FALSE
TRUE
Adaptarprocedimientosycontrolesparalaobtencindedatos. FALSE
TRUE
Definirlasmtricasyestablecerelsistemadegestindeseguridaddela
informacin(SGSI) FALSE
Revisindelosdatosobtenidosdelasmtricasrealizadas. TRUE
183
PROYECTOFINDECARRERA
FALSE
23.EnelmodeloPDCA(plandocheckact)enquconsisteel"ACT"?
TRUE
Revisinymejoradelasmtricasdeseguridad. FALSE
TRUE
Adaptarprocedimientosycontrolesparalaobtencindedatos. FALSE
TRUE
Definirlasmtricasyestablecerelsistemadegestindeseguridaddela
informacin(SGSI) FALSE
TRUE
Revisindelosdatosobtenidosdelasmtricasrealizadas. FALSE
24.Paralaimplementacindeuncuadrodemando,laentidadsealatodala
informacinqueseatotalmentenecesariadeunaformacorrecta?(resumida,
entendible,sencilla,etc) SNo
25.Paralaimplementacindeuncuadrodemando,laentidadresumela
representacinusandounjuegodecoloreselcualnossirvaparaindicarlos
cambiosdeestado? SNo
26.Paralaimplementacindeuncuadrodemando,laentidadtieneelapoyo
deladireccin? SNo
27.Enrelacinconladireccin,secomunicadeinmediatocualquiertipode
acuerdoconlaentidad? SNo
28.Enrelacinconladireccin,haycreacindeusoderesponsabilidadesy
roles? SNo
29.Enrelacinconladireccin,haycomunicacindetodoelpersonalque
estinvolucradoenlosindicadoresdeprogresoyprogramademediciones? SNo
30.Enrelacinconladireccin,secompruebaqueelprogramasellevaa
cabo? SNo
31.Enrelacinconladireccin,seestableceelprogramademediciones? SNo
32.Enrelacinconladireccin,setienenlosrecursossuficientesparallevara
caboelprogramademediciones? SNo
NORMATIVAISO/IEC27004Parte2
1.Enlosobjetivosdemedicindelaseguridaddelainformacinenel
contextodeSGSI,seevalalaeficaciadeloscontrolesaplicadosogruposde
control? SNo
2.Enlosobjetivosdemedicindelaseguridaddelainformacinenel
contextodeSGSI,seevalalaeficaciadelossistemasdegestindeseguridad
delainformacinimplementado? SNo
3.Losobjetivosdemedicindelaseguridaddelainformacinenelcontexto SNo
184
PROYECTOFINDECARRERA
deSGSI,sefacilitalamejoradelrendimientodelaseguridaddela
informacinencuantosalosriesgosdenegocio?
4.Enlosobjetivosdemedicindelaseguridaddelainformacinenel
contextodeSGSI,severificaelgradoenelquesefijaronlasnecesidadesde
seguridadysihansidocumplidas? SNo
5.Enlosobjetivosdemedicindelaseguridaddelainformacinenel
contextodeSGSI,seproporcionainformacinparalarevisinporpartedela
direccin? SNo
6.Elprogramadelaseguridaddeinformacindelamedicinincluyemedidas
ymedicindedesarrollo? SNo
7.Elprogramadelaseguridaddeinformacindelamedicinincluyela
operacindemedicin? SNo
8.Elprogramadelaseguridaddeinformacindelamedicinincluyeel
anlisisdedatosymedicindeinformarlosresultados? SNo
9.Elprogramadelaseguridaddeinformacindelamedicinincluyela
evaluacinymejoradelprogramadelaseguridaddemedicindela
informacin? SNo
10.Enlosfactoresdexito,haycompromisoporpartedelagerenciaconel
apoyodelosrecursosapropiados? SNo
11.Enlosfactoresdexito,hayexistenciadeprocesosyprocedimientos
SGSI? SNo
12.Enlosfactoresdexito,hayunprocesorepetiblecapazdecapturary
presentarinformesparaproporcionardatossignificativos? SNo
13.Enlosfactoresdexito,haymedidascuantificablessobrelabasede
objetivosSGSI? SNo
14.Enlosfactoresdexito,haydatosfcilesdeobtenerquesepueden
utilizarparalamedicin? SNo
15.Enlosfactoresdexito,hayunaevaluacindelaefectividaddela
seguridaddelainformacin? SNo
16.Enlosfactoresdexito,hayunaevaluacindelaefectividaddela
medicindelaaplicacindemejorasidentificadas? SNo
17.Enlosfactoresdexito,hayunaaceptacindeinformacinsobrelos
resultadosdemedicindelaspartesinteresadas? SNo
18.Enlagestinderesponsabilidades,ladireccinestableceobjetivosparael
programadeinformacindeseguridaddemedicin? SNo
19.Enlagestinderesponsabilidades,ladireccinestableceunapolticapara
elprogramadeinformacindeseguridaddemedicin? SNo
20.Enlagestinderesponsabilidades,ladireccinestablecelasfuncionesy
responsabilidadesenmateriadelprogramadeinformacindeseguridadde
medicin? SNo
21.Enlagestinderesponsabilidades,ladireccinproporcionarecursos
suficientesparallevaracabolasmedidas? SNo
22.Enlagestinderesponsabilidades,ladireccinaseguraquelosobjetivos
delprogramadeinformacindelaseguridaddemedicinsecumplen? SNo
23.Enlagestinderesponsabilidades,ladireccinestableceelpropsitode
lamedicinparacadamedidaaconstruir? SNo
185
PROYECTOFINDECARRERA
24.EnelSGSIseexaminasupoltica? SNo
25.EnelSGSIseexaminansusobjetivos? SNo
26.EnelSGSIseexaminansuscontroles? SNo
27.Sedaprioridadalainformacinbasadaenlosriesgos? SNo
28.Sedaprioridadalascapacidadesdelaentidad? SNo
29.Sedaprioridadalaspolticasdeseguridad? SNo
30.Segarantizaquelosatributosseleccionadossonapropiadosparala
medicin? SNo
31.Segarantizaquehayunnmerodeatributossuficientespararealizarla
medicin? SNo
32.Elmodelodeanlisisestbiendefinido? SNo
33.Losindicadoresestnbiendefinidos? SNo
34.Enlaconstruccindelamedicincontienelainformacin
correspondientealobjetodelamedicin? SNo
35.Enlaconstruccindelamedicincontienelainformacin
correspondientealobjetivodecontrol? SNo
36.Enlaconstruccindelamedicincontienelainformacin
correspondientealosdatosqueserecogenyutilizan? SNo
37.Enlaconstruccindelamedicincontienelainformacin
correspondientealprocesoderecogidadedatosyanlisis? SNo
38.Enlaconstruccindelamedicincontienelainformacin
correspondientealprocesoparalarepresentacindeinformes? SNo
39.Enlaconstruccindelamedicincontienelainformacin
correspondientealasresponsabilidadesdelaspartesinteresadas? SNo
40.Losdatossehanobtenidodentrodelosintervalosdetiempo? SNo
41.Losresultadosdelamedicinsoncomunicadosalosclientes? SNo
42.Losresultadosdelamedicinsoncomunicadosalospropietariosdela
informacin? SNo
43.Losresultadosdelamedicinsoncomunicadosalpersonalresponsable
delasareasidentificadas? SNo
44.Elprogramademedicindeseguridaddelainformacinproduce
resultadosdemedicindeunamaneraeficaz? SNo
45.Elprogramademedicindeseguridaddelainformacinseejecutasegn
loprevisto? SNo
46.Elprogramademedicindeseguridaddelainformacinseejecutasegn
lonecesario? SNo
47.Losresultadosdelamedicinsonfcilesdeentender? SNo
48.Losresultadosdelamedicinsoncomunicadosdemaneraoportuna? SNo
49.Losresultadosdelamedicinsonobjetivos? SNo
50.Losresultadosdelamedicinsoncomparables? SNo
51.Losresultadosdelamedicinsontiles? SNo
52.Losresultadosdelamedicinsecorrespondenconlanecesidaddela
informacin? SNo
53.Losprocesosestablecidosparaeldesarrollodelosresultadosdemedicin
estnbiendefinidos? SNo
186
PROYECTOFINDECARRERA
54.Losprocesosestablecidosparaeldesarrollodelosresultadosdemedicin
sonfcilesdeoperar? SNo
55.Losprocesosestablecidosparaeldesarrollodelosresultadosdemedicin
sonseguidoscorrectamente? SNo
187
PROYECTOFINDECARRERA
10.CONCLUSIONES
LOQUEHEAPRENDIDO
Una vez terminado dicho proyecto he comprobado que no existe ni existir una
seguridad total capaz de defenderse de todos los ataques que ocurran tanto en el
presenteascomoenunfuturocercanoolejanoparalaentidad,yportantolanica
meta que hay que aplicarse es la de la mejora continua ya sea mejorando los
controlesdeseguridadtantodelossistemasinformticos,comopersonales,etc.;hay
queabarcartodoloposibleparareducirlosfuturosriesgosoamenazasvenideras.
Inclusoesnecesariorealizarpruebassobrenuestropropiosistemamedianteelusode
ataquesintencionados,conelfindecomprobarnuestrapropiaseguridad,conelfinde
estarpreparados.
Tambingraciasalproyectohesidocapazdedesempearunafuncincomosideun
trabajo real se tratase, documentndome, desarrollando, explicando, redactando,
aplicando mis conocimientos de ingls para las documentaciones que no estaban en
castellano.Ascomolautilizacindelosconocimientosobtenidosalolargodeestos
aosdecarrera.
Alolargodesurealizacinhedescubiertoyaprendidoqueaunquetengamosunbuen
sistema de mtricas en la seguridad informtica no seremos capaces de buscar las
respuestasalosproblemasencontrados,enrealidadloqueconseguimosesreduciren
188
PROYECTOFINDECARRERA
ciertoniveleseagujerodeseguridadquetendremossiempre,lonicoquevariaraser
eltamaodedichoagujeroysiempretendremosqueestardispuestosaminimizarlolo
msposible,yaqueesimposibleeliminarloporcompleto.
Ademsesteproyectomehaayudadoaobtenerunamayorexperienciaalahorade
alcanzarmis metas, enotras palabras a buscarme la vida con el finde obtenerlos
objetivosyresultadosdeseados.
APORTACIONESALPROYECTO
Enesteproyectoheaportadolanecesidaddelasempresasautilizardichanormativa,
siendoestaunapiedrafundamentalparalaentidadalahoraderealizarsutrabajode
formacorrecta.
Ascomotambinheexplicadobastanteinformacinsobredichanormativa.
Ademsdelasituacinenlaquetienequeestarunaempresasiquiereimplantarla.
Porsupuestoheaadidobastanteinformacinsobrelasauditorasenesteproyecto,
hehabladosobrelaauditorainformtica,peroaunasenelanexoheenglobadolos
diferentes tipos de auditoras que hay en el mundo del mercado laboral, lo cual
tambin servir de futura documentacin a los interesados en estos temas de
auditora, porque existe una gran cantidad de auditoras que existen actualmente
inclusopuedenllegaraaparecernuevasauditorasdependiendodelanecesidaddela
entidad,portantoelanexoservirdegranayudaalasgeneracionesvenideras.
He realizado una serie de cuestionarios divididos en clases, los cuales ayudar a los
procesos de auditora para comprobar si el trabajo que estn realizando en relacin
conlanormativaISO/IEC27004,seestrealizandodeformacorrecta,aligualquecon
losotrospuntosdeloscuestionarios,comoseguridadfsica,seguridadlgica,acceso
fsicoalaentidad,etc.
Adems gracias a las cuestiones realizadas las personas que vengan detrs de mi
podrn utilizarlo como un apoyo fundamental a la hora de la aplicacin de tal
normativaascomodesuentendimiento.
189
PROYECTOFINDECARRERA
Tambinservirdeguaenrelacinalasentidadesenelmomentoenelquedeseen
implantarunanormativa.Conelfindesabersidichaentidadestpreparadaparaello,
enrelacinasuscaractersticascomoempresa,hastallegaraltratoconelpersonalde
laentidad.
VISIONDEFUTUROSPROYECTOS
Este proyecto por tanto servir de gua para futuros usuarios que deseen tener un
conocimiento general y necesario para conocer dicha normativa y a partir de ella
realizarlasposiblesmejoras.
Lapartedeseguridadfsicanoestmuyextendidayportantopuedeserdesarrollada
porfuturasgeneracionesdealumnosqueutilicenesteproyectocomogua.
Elcuestionarioconelpasodelosaosalgunaspreguntaspodrnquedarseambiguas
conlocualpuedenseractualizadasysermasexhaustivas
Ademstambinserviresteproyectocomoguaparaexplicarfuturasnormativas.
190
PROYECTOFINDECARRERA
11.BIBLIOGRAFA
http://www.iec.ch/
http://www.agn.gov.ar/
https://www.agpd.es
http://www.icac.meh.es/
http://www.asesoriasygestorias.es/
http://www.isaca.org
http://www.iso.org
http://www.seguinfo.com.ar
http://www.s21sec.com
http://www.wikipedia.org.
http://www.monografias.com/
ApuntesdelaasignaturaAuditoraInformtica
191
PROYECTOFINDECARRERA
ISO/IEC27004InformationtechnologySecuritytechniquesInformationsecurity
managementMeasurement
ISO15408
ISO27001InformationtechnologySecuritytechniquesInformationsecurity
managementsystemsRequirements
ApuntesdelaasignaturaSeguridadyProteccindelaInformacin.
Apuntesdelaasignatura GestinyCalidaddelSoftware
http://www.rae.es
http://www.standardsinfo.net/
http://www.nist.gov/
http://www.uc3m.es/
http://www.secuware.com/
http://www.w3.org/WAI/
192
PROYECTOFINDECARRERA
12.GLOSARIO
Backup:Eslacopiatotaloparcialdeinformacinimportantedebasesdedatos,CDs,
discosduros,etc.
Benchmarking:tcnicautilizadaporlasempresasqueconsisteenlacomparacincon
otrasentidadesconelfindesaberenqusediferencian.
Costos:gastoeconmicodeunaentidad.
CPU:CentralProcessingUnitUnidaddeProcesoCentral.Esdondeserealizanlos
clculosenlosequiposinformticos.
E.R.E.:ExpedientedeRegulacindeEmpleo.Setratadeunprocedimiento
administrativolaboral.
Firewall:MurodeFuegoCortafuego.Herramientadeseguridadquecontrolael
trficodeentrada/salidadeunared.
IP:(InternetProtocolProtocolodeInternet).Protocoloparalacomunicacinenla
redatravsdepaquetesconmutados.
Justintime:esunsistemadeorganizacindelaproduccinparalasfbricasdeorigen
japons.Elcualpermiteaumentarlaproductividad.
Hardware:componentesfsicosqueformanpartedeunequipoinformtico(teclado,
ratn,monitor,etc.)
193
PROYECTOFINDECARRERA
MemoriaRAM:RandomAccessMemoryMemoriadeAccesoAleatorio,esunchipen
elcualseguardan,datos,programasquenecesitaelequipoinformticoydeforma
temporal,cuandoelequiposeapagasepierdetodosucontenido.
Mobbing:Acosolaboralquerecibeelempleadoporpartedesusuperioroporparte
desuscompaerosdetrabajo.
Monitoreo24*7:Consisteenllevaruncontroldelosequiposinformticoso
aplicacionesdurante24horaslos7dasdelasemana.
SAI:SistemadeAlimentacinIninterrumpida.Cualquierdispositivoquepermitedar
energaelctricaconstanteaunequipoinformticoinclusosielsuministroprincipalde
energaseveinterrumpido.
SeguridadMultinivel:lainformacinesmanejadadeacuerdoasuniveldesensibilidad
yalospermisosquetienelapersonaquedeseaaccederaella
Software:grupodeprogramasparapoderinteractuarconelsistema.
Spyware:Softwareespa.Programaquerecolectainformacinvaliosadelequipo
informticosinqueelusuariolosepa.
WAI:WebAccessibilityInitiative.IniciativaparalaAccesibilidadWeb.Velaporlaaccesibilidad
delaweb.
194
PROYECTOFINDECARRERA
A.ANEXO
LAAUDITORAYSUSCLASES
195
PROYECTOFINDECARRERA
INDICE
1. IntroduccinPag.197
2. Tipos de Auditora..Pag.205
3. El AuditorPag.238
196
PROYECTOFINDECARRERA
1. Introduccin
1.1QueslaAuditora?
Para empezar vamos a indicar una serie de definiciones sobre la Auditora.
Es una visin sistemtica y formal con el fin de determinar hasta que parte una
organizacin cumple sus objetivos establecidos por la empresa, as como para
diferenciar los que necesitan mejorarse
Es una funcin cuyo objetivo es apreciar y analizar, con vistas a las acciones
correctivas eventuales, el control interno de la organizacin para cumplir la integridad
del patrimonio, la autenticidad de la informacin as como el mantenimiento de la
eficacia de los sistemas de gestin.
Clasificaciones de la auditora.
Las clases que pueden llegar a dividir a la auditora dependen, del requisito empresarial
de instalar pautas o controles para el cumplimiento de las acciones que se realizan en la
organizacin. Por ejemplo la auditora operativa u administrativa se encarga de analizar
197
PROYECTOFINDECARRERA
Con lo explicado anteriormente nos aclara que la auditora puede diferenciarse segn
sea su punto de aplicacin, de igual manera podemos decir que se divide segn sean sus
objetivos
La auditora moderna est desarrollada en una serie de ideas que sirven para determinar
cul es la base fundamental de su aplicacin. Los puntos son:
- La auditora est basada en que toda la informacin que se tiene puede ser
verificada y comprobada.
Normas Generales
- Para realizar una auditora se necesita una persona o un grupo de personas que
cuentan con la competencia del auditor y con una capacitacin tcnica adecuada.
- El auditor o los auditores tienen que tener una actitud mental de independencia.
198
PROYECTOFINDECARRERA
- Los informes contendrn una idea general y en referencia a los puntos que
estn involucrados en la auditora. En el caso de que no se puede expresar una
idea global, debern de dar las causas de ello.
199
PROYECTOFINDECARRERA
1.2Etapasdelaauditorageneral
Estudio General:
El concepto que debe de tener el auditor respecto del negocio del cliente es:
200
PROYECTOFINDECARRERA
Hay que reconocer que sin esta fase del examen de la auditora sera una restriccin
referente al alcance de esta rea, en la cual sera una negativa por parte del cliente no
permitir al auditor contemplar los libros de actas, lo que conducir al auditor a la
denegacin de un dictamen. Ya que la informacin que se puede obtener de ello no se
podr obtener de otra forma.
Ejecucin de la Auditora
201
PROYECTOFINDECARRERA
Informe Final
202
PROYECTOFINDECARRERA
1.3CundorealizarunaAuditorayporqu?
Las razones ms importantes a la hora de realizar una auditora podrn ser algunas de
las siguientes.
Razones Externas.
Razones interno-externas
203
PROYECTOFINDECARRERA
204
PRO
OYECTOFINDECARRERA
A
2. Tiposs de Auditor
A ora
Existten numeroosos tipos de Auditooras de laas cuales vamos a destacarlas y a
contiinuacin lass trataremoss de forma ms
m detallad
da.
205
PRO
OYECTOFINDECARRERA
A
Obtenncin de infformacin de
d la entidadd
Innovvacin
respeccto a la inno
ovacin
Revissin de activ
vidades y prrocesos, orientadas
Polttica
ideolgicamente, para toma de decisionnes de un grrupo
Compprobacin de
d la accesibbilidad de unn lugar
Acceesibilidad
web mediante
m un
n experto
Para las
l empresaas que cotizaan en bolsa de
Sarbanes-Oxleyy
acuerrdo a la ley Sarbanes-O
S Oxley.
206
PRO
OYECTOFINDECARRERA
A
Adm
ministrativa Logroos de los obj
bjetivos de la Administrracin.
Desemmpeo de fu unciones addministrativas.
Exam
mina actividaades y funciiones dentroo de una
Operrativa organnizacin, co
onsiderandoo su personaal, sistema,
mtoodos, presuppuestos y luggar que ocuupa en la em
mpresa
207
PRO
OYECTOFINDECARRERA
A
208
PROYECTOFINDECARRERA
2.1AuditoraContable
Las auditoras puede ser sobre cualquier tipo de actividad. Aparecen como la necesidad
de la entidad de validar su informacin econmica, mediante un servicio o empresa
independiente. Cabe destacar que en las empresas grandes es normal la existencia de un
departamento de auditora interna, aunque hay que decir que tambin hay numerosas
empresas dedicadas a la auditora.
La auditora contable es til e interesa a una variedad de organismos y personas por las
siguientes razones:
209
PROYECTOFINDECARRERA
- El dictamen del auditor servir como elemento de juicio para criticar la eficacia
de la entidad.
- Sirve a los inversores ya que debern obtener informacin de confianza que les
permita conocer la situacin financiera y rendimiento.
Gracias a ciertos elementos que son esenciales para lograr un control interno correcto en
la mayora de las empresas son:
210
PROYECTOFINDECARRERA
- Uso del sistema de formularios con el fin de documentar de forma vlida todas
las operaciones de la compaa.
Para realizar el examen es necesaria una serie de evidencias que se obtienen por medio
de pruebas, que sirven para dar fiabilidad y validez a la informacin que se obtiene de
los sistemas contables y de los estados financieros.
211
PROYECTOFINDECARRERA
El auditor necesita realizar estas pruebas con el fin de obtener un informe detallado de
la empresa.
212
PROYECTOFINDECARRERA
2.2AuditoraEnergtica
El proceso ms rpido y simple en una auditora. Consiste en una primera vista, que
consiste en realizar un seguimiento por el edificio con el fin de identificar y
familiarizarse con las zonas de desperdicio de energa, as como unos pequeos test con
el fin de entender el proceso del personal. Sin embargo en este proceso solo se sealan
los principales focos de prdidas de energa, por lo tanto ms adelante habr que hacer
una resea tambin en las zonas de menor prioridad. Aun as, sabiendo cuales son las
prioridades se har una rpida estimacin de costos, al igual del ahorro que se va a
obtener. Cabe destacar que esto solo son unos preliminares y que no es lo suficiente
para llegar a obtener una decisin final, ya que nos valdrn desde un principio de base
para el desarrollo de la auditora, la cual se har ms adelante y ms detallada.
La Auditora
Se realiza tomando como base el proceso anterior, ya que se toma la informacin sobre
operacin y la instalacin. Se tomarn las facturas de los servicios pblicos de hace
desde 12 a 36 meses con el fin de que el auditor pueda evaluar la demanda de energa, la
instalacin y las tasas de energa. Si en estos se dispone de perfiles y datos detallados
de energa servirn para analizar los signos de derroche energtico. Tambin se
realizarn entrevistas ya pueden ser verbales o tipo test con el fin de obtener una
informacin en profundidad con el personal de la entidad con el fin de comprender los
mayores consumos de energa y sistemas para saber a corto y a largo plazo los patrones
de consumo de energa. En esta auditora adems se obtendr informacin ms detallada
sobre las zonas de menor prioridad con el fin de encontrar alguna solucin, ya que
solucionando pequeos problemas podremos obtener un gran ahorro.
213
PROYECTOFINDECARRERA
Realizacin de la auditora
214
PROYECTOFINDECARRERA
2.3AuditoraInformtica
Sirve para recoger, agrupar y evaluar evidencias con el fin de confirmar si un sistema de
informacin mantiene la integridad de los datos, salvaguarda el activo empresarial,
cumple con los objetivos de la entidad de forma eficiente cumpliendo con las leyes y
regulaciones establecidas.
Con esta auditora podremos mejorar algunos puntos de la empresa como pueden ser la
eficacia, seguridad, rentabilidad y eficiencia.
Pruebas en la auditora
A lo largo de la auditora se deben de realizar una serie de pruebas con el fin de obtener
la mayor informacin posible a la hora de tomar decisiones
215
PROYECTOFINDECARRERA
216
PROYECTOFINDECARRERA
2.4AuditoraMedioambiental
Para analizar los riegos medioambientales que surgen debido a las actividades que
realizan las industrias los cuales afectan al medio ambiente, se realizan auditoras para
cumplir con la legislacin vigente en cada pas, sector de actividad o regin.
Este tipo de auditoras pueden ser internas, dentro de la propia empresa, o externas
realizadas por terceros.
217
PROYECTOFINDECARRERA
Cabe destacar que el hecho de realizar este tipo de auditora sirve para obtener una serie
de ventajas en la entidad las cuales pueden ser.
-Facilidad para obtener seguros que puedan cubrir riesgos ambientales, como la
obtencin de permisos, ayudas, licencias, contratos pblicos o subvenciones.
Objetivos
218
PROYECTOFINDECARRERA
2.5AuditoraSocial
Este tipo de auditora constituye el proceso que una entidad realiza, para ensear su
balance de accin social, as como el comportamiento tico de la entidad u
organizacin, en funcin de sus objetivos y a las personas directamente o
indirectamente implicados.
La primera auditora social que se realiz en Espaa fue en Catalua, para un proyecto
de Europa.
Ventajas
-Se refuerza la entidad cuando estamos ante cambios, consiste en involucrar a las
personas que contribuyen en la entidad directamente o indirectamente con los
valores de dicha entidad, incluyndolos en proyectos y estrategias.
Nos servir para evaluar y controlar las acciones tomadas por la empresa, para ello se
aplicar la estrategia de recursos humanos con eficacia y coherencia, por tanto en un
proceso estratgico hay que controlar, hacer un seguimiento y evaluar las acciones.
Cabe destacar que los recursos humanos son un recurso de fuentes de ventajas y
estratgico.
219
PROYECTOFINDECARRERA
2.6AuditoradeSeguridaddeSistemasdeInformacin
Consiste en un estudio que abarca la gestin y el anlisis para identificar y corregir las
vulnerabilidades que se pueden encontrar en las estaciones de trabajo, servidores o redes
de ordenadores. Tambin cabe destacar que se puede dividir en auditora fsica y lgica.
En esta auditora se llegan a abarcar las siguientes reas de seguridad, ya que forman
parte de los objetivos de una revisin de la seguridad.
- El control de produccin
Cabe destacar que las reas no son independientes unas a las otras ya que entre ellas
tienen ciertos enlaces por los cuales estn comunicadas unas a las otras.
220
PROYECTOFINDECARRERA
Fases en la auditora
Las fases que hay que hacer en este tipo de auditora son las siguientes:
- Informe final.
Habr verificaciones para comprobar que cada usuario solo podr acceder a los recursos
los cuales autorice el propietario con las posibilidades que se hayan fijado, por ejemplo:
lectura, borrado, modificacin, ejecucin, etc.
Se usaran mtodos de autenticacin, los cuales pueden ser desde la biometra el cual es
uno de los ms sofisticados hasta el mtodo ms usado que es la contrasea.
Las contraseas cumplirn las normas y los estndares de la entidad. Algunos aspectos
para evaluar en las contraseas sern, una longitud mnima, un nmero de intentos para
introducirla por el usuario, cambiarlas con el tiempo, etc.
221
PROYECTOFINDECARRERA
2.7AuditoradeInnovacin
Metodologa
Consiste en la evaluacin de la capacidad innovadora que tiene una entidad, que gracias
a ello sabemos la presin externa que tiene la entidad para innovar y como es la
estructura de la entidad respecto a los procesos que tienen que ver con el desarrollo de
las innovaciones para saber que procesos tienen que permanecer existiendo, cuales hay
que incluir, cuales mejorar, su eficiencia y que herramientas se necesitan para realizarlo.
Adems de saber cules son las personas que participan en dicha evaluacin, que
pueden ser desde proveedores, clientes, etc. Obteniendo todo lo necesario que implica
una funcin en la entidad.
Con ello se podr analizar y evaluar la situacin de los procesos de la entidad. Que estn
relacionados con la innovacin, cmo mejorar, e introduciendo nuevos procesos,
herramientas o mejoras para incrementar la capacidad innovadora, como por ejemplo:
222
PROYECTOFINDECARRERA
2.8AuditoraPoltica
Consiste en una revisin detallada de las actividades y procesos, ideolgicamente
orientadas, de toma de decisiones de un grupo con el fin de obtener unos objetivos, en
beneficios individuales y de grupo.
223
PROYECTOFINDECARRERA
2.9AuditoradeAccesibilidad
Como su propio nombre indica consiste en la comprobacin de la accesibilidad de una
pgina web realizada por un experto. Terminada la auditora se informar sobre los
problemas que existen en dicha pgina respecto a su accesibilidad as mismo ofrecer a
la entidad posibles soluciones con el fin de arreglar el problema.
Este tipo de auditora sirve para que una pgina web pueda ser visualizada en cualquier
tipo de soporte y lo ms importante que sea visualizada tambin por usuarios
discapacitados.
Tambin hay otras tcnicas para comprobar la accesibilidad y que no son de la auditora
de accesibilidad, son:
- Test Accesibilidad
Ventajas
Desventaja
Fases
224
PROYECTOFINDECARRERA
225
PROYECTOFINDECARRERA
2.10AuditoradeMarca
Nos sirve para saber el valor de una marca de una entidad mediante el uso de una
mtrica.
Con esta auditora sabremos si la marca por la cual hacemos la auditora se desempea
como se crea en un principio, ya sea para el dueo o el cliente a los cuales les afecta
directamente la marca. Se puede realizar un anlisis de la estrategia y de la experiencia
de la marca con el fin de comprobar cmo se est comportando actualmente en el
mercado.
Tambin hay que reconocer que con este tipo de auditora de marca se pueden obtener
las diferencias que hay en la entidad construyendo un mapa para dar consistencia,
adems de obtener una visin universal de la marca por parte de toda la entidad.
No hay que olvidar que las marcas de las entidades estn basadas en emociones
humanas, y esto sirve para que las personas se sientan reconocidas con esa marca
convirtindose en nuestros prximos clientes.
Gracias a esta auditora podemos saber cul es la posicin de la marca mostrando como
audiencias externas e internas perciben la fuerza del servicio. Explicamos en qu
consiste cada una de ellas a continuacin.
Consiste en saber como la marca es percibida por gente de fuera de la entidad, ya sean
clientes, proveedores, detallistas, etc. Consiste en analizarlos sobre como perciben la
marca, basadas en sus experiencias pasadas. Que aunque la experiencia pasada no
predice el futuro s nos ayuda para hacernos una idea de cmo mejorar en ciertos
puntos.
Tambin cabe recalcar que se debe de incluir a los clientes perdidos as como
distribuidores para obtener una informacin detallada de las razones por las cuales han
decidido ir a la competencia. Toda la informacin obtenida es necesaria a la hora de
realizar el informe final.
226
PROYECTOFINDECARRERA
2.11AuditoraSarbanesOxley(auditoradelabolsa)
Consiste en una revisin practicada a las firmas de las entidades que cotizan en la bolsa
segn la Ley Sarbanes-Oxley(SOX).
Esta Ley se basa en seis puntos las cuales son los siguientes:
Estos puntos afectarn a la actividad del auditor a la hora de realizar dicha auditora.
Esta ley provoca la mejora de los sistemas de control interno financiero. Obligando a
auditar a la entidad. Esta auditora tiene como nico objetivo mejorar la confiabilidad y
la calidad de la informacin financiera mediante el uso de mtricas con el fin de
comprender los controles, riesgos, valoracin identificacin y prueba continua. La
calidad de la informacin es uno de los puntos ms importantes e influyentes ya que en
la misma auditora no se podr obtener un informe correcto sobre el aspecto de la
entidad que cotiza en bolsa si no se tienen unos datos detallados, correctos,
condensados, completos y a tiempo. Adems con esta ley se fijan estndares que deben
de cumplir los auditores en dichas auditoras.
227
PROYECTOFINDECARRERA
2.12AuditoradeCdigodeAplicaciones
Con esta auditora conseguimos revisar el cdigo de nuestros programas realizados para
una aplicacin con el fin de encontrar errores en el tiempo del diseo con el fin de
mejorar nuestra calidad de nuestros productos
Este tipo de auditora es necesaria del ciclo de vida del software en desarrollo, ya que si
dejamos dicha revisin para el final lo que vamos a conseguir es que a la hora de
arreglar dicho fallo sea mucho ms costoso y se tardar mayor tiempo en arreglarlo,
adems con dicha auditora minimizaremos el mantenimiento del cdigo as como una
mejora de la calidad, adems conseguiremos que nuestro equipo de trabajo vaya
obteniendo una mayor experiencia sobre cmo se deben realizar ciertas modificaciones.
Adems los entornos integrados sirven para comprobar la sintaxis de nuestro cdigo lo
cual es una funcin necesaria pero su defecto es que no se encargan de ciertos puntos
que pueden surgir en el cdigo como puede ser la existencia del cdigo duplicado, las
convenciones de nombrado de las variables, la visibilidad innecesaria que puede haber
de un atributo, o del conocido cdigo muerto que consiste en un cdigo el cual est
escrito en la aplicacin pero no se llega a usar nunca debido a que no es llamado.
Para solucionar estos problemas que pueden surgir usaremos las herramientas que
tenemos en la auditora de cdigo de aplicaciones para solucionar dichos defectos que
no podemos solucionarlos con los entornos integrados.
228
PROYECTOFINDECARRERA
2.13AuditoraFiscal
Proceso sistemtico con el fin de evaluar y obtener de manera objetiva las evidencias
relacionadas con informes sobre las actividades econmicas as como otros
acontecimientos relacionados, cuyo nico objetivo consiste en determinar el grado de
correspondencia del contenido informativo con las posibles evidencias que dieron lugar
al origen, adems de establecer si los informes entregados han sido elaborados
observando los principios establecidos para el caso.
Es una herramienta para la supervisin y control que sirve para la creacin de una
cultura de la disciplina de una organizacin que gracias a ella nos ayuda a descubrir
vulnerabilidades que podemos encontrar en la entidad as como fallos en la estructura.
Objetivos
229
PROYECTOFINDECARRERA
-Comprobar que existe una planificacin fiscal la cual tiene que ser la ms
adecuada con respecto al entorno familiar y futuro de la propiedad.
Normas
Hay que destacar que no todo el trabajo lo tiene que hacer el auditor ya que como tal
deber delegar ciertas acciones en ayudantes, pero no liberar al auditor de la
responsabilidad del todo el trabajo.
Como definicin de estas normas podemos decir que son los requisitos necesarios o
mnimos de calidad relacionados con la personalidad del auditor, ya sea la informacin
que da como resultado y la funcin que desempea de este tipo de trabajo.
230
PROYECTOFINDECARRERA
2.14AuditoraAdministrativa
Consiste en una revisin evaluatoria y sistemtica de una organizacin, que se lleva a
cabo con el fin de determinar si la entidad est operando de forma eficiente. Consiste en
una bsqueda para encontrar los problemas y errores relacionados con la eficiencia
dentro de la misma entidad. Esta auditora tiene una revisin de los planes, objetivos y
programas de la empresa; sus funciones y su estructura orgnica; sus sistemas, controles
y procedimientos; las instalaciones de la entidad, el personal y el rea en que se
desarrolla, en funcin de la eficiencia de operacin y el ahorro que se consigue en los
costos. Adems esta auditora puede ser hecha por un licenciado en administracin de
empresas as como otros profesionales capacitados para dicha funcin. Gracias a esta
auditora conseguimos una opinin sobre la eficiencia administrativa de toda la entidad.
Principios
231
PROYECTOFINDECARRERA
Metodologa y Fases
2. La Entidad.
2.3 Comprobar si se llevan a cabo los principios de una buena entidad, departa
mentalizacin y funcionamiento.
3. Prcticas y polticas. Realizacin de un estudio para saber qu accin hay que realizar
con el fin de mejorar dichas prcticas y polticas.
8. Personal. Saber cules son las necesidades de las personas de la entidad en relacin al
trabajo que estn realizando.
232
PROYECTOFINDECARRERA
2.15AuditoraFinanciera
Para ello esta auditora contempla las transacciones que se han realizado en el pasado.
Objetivos
Los objetivos en esta auditora se dividen en dos, los especficos y los generales.
233
PROYECTOFINDECARRERA
234
PROYECTOFINDECARRERA
2.16AuditoraOperativa
Objetivo
Con esta auditora sabremos si la actividad que estamos comprobando puede operar de
manera ms efectiva, eficiente y econmica. Adems sirve para saber si la produccin
que se realiza en los departamentos cumple con las especificaciones dadas por la
entidad. Tambin nos ayudar a encontrar deficiencias en procedimientos, prcticas y
polticas. Por ltimo se revisar la financiacin en la adquisicin de productos y
elementos para la realizacin de los productos o servicios de la entidad para determinar
si afectan a la calidad y cantidad de compras que se hubieran realizado.
Metodologa
235
PROYECTOFINDECARRERA
236
PROYECTOFINDECARRERA
2.17AuditoraNocturna
Es toda aquella que se realiza todos los das en el turno de noche, ya sean hoteles,
cajeros o restaurantes.
Objetivo
Esta se realiza con la nica finalidad de aligerar el trabajo del auditor de ingresos,
debido a que el auditor nocturno tiene que realizar el cuadre de los ingresos obtenidos
que se han tenido a lo largo de la noche para que as el auditor de ingresos pueda hacer
la contabilidad ms fcilmente.
Para ello el auditor nocturno deber canalizar la operacin de los cargos de los ingresos
por ventas mientras que el auditor de ingresos hace la contabilizacin y la verificacin
de los ingresos del restaurante u hotel.
237
PROYECTOFINDECARRERA
3. El Auditor
Para empezar tenemos que saber que un mismo auditor no tiene porque servir para
distintas auditoras, por tanto tenemos que elegir aquella persona que tenga la
experiencia necesaria y los conocimientos necesarios acorde al tipo de auditora que se
va a realizar ya que interactuar de una forma ms natural.
Su formacin acadmica puede ser desde unos estudios de nivel tcnico hasta pasando
por ingeniera industrial, derecho, informtica, ciencias polticas, contabilidad, o
cualquier otra formacin, esto es debido a que las auditoras pueden ser de tantas clases
como formaciones se tienen, lo importante es que tenga una formacin relacionada con
la auditora que vaya a realizar, ya que por ejemplo un auditor en auditora informtica
si el da de maana va a realizar una auditora fiscal y no tiene los conocimientos
necesarios respecto a ese tema, no va a poder realizar el trabajo correctamente aunque
su experiencia en auditoras sea alta .
Respecto a las caractersticas personales del auditor las cuales son determinantes a la
hora de hacer su trabajo correctamente tiene que tener algunas de las siguientes
propuestas a continuacin:
-Analizar: tendr que ser una persona capaz de examinar objetivamente una vez
obtenidos los datos necesarios.
-tica: tiene ser una persona con moral y que no se pueda corromper.
-Observador: tendr que estar atento a todo lo que est pasando mientras realiza
la auditora.
-Optimista: habr que dar una actitud positiva a la hora de realizar dicha
auditora para que la gente que est en dicha entidad no llegue a tomarle miedo,
aunque tendrn que demostrar cierto respeto al auditor.
238
PROYECTOFINDECARRERA
-Iniciativa: sabr qu pasos realizar en cada momento y como tienen que hacerse
sin dudar ni flaquear.
Por ltimo cabe resaltar que la experiencia del auditor es uno de los mayores puntos a
favor que tiene, ya que gracias a ella cada vez tendr mejores conocimientos y
capacidades a la hora de enfrentarse a nuevos retos.
239
PROYECTOFINDECARRERA
240