SEGURIDAD DE AUDITORIA DE SISTEMAS

Clase 01 Conceptos Básicos de Auditoria

Viernes 29-Mar-2019
Objetivo: Dotar al estudiante de
las competencias necesarias para
entender, hacer frente y gestionar un
proceso de auditoria (Como:
Empresario o Gerente, como auditor
o como auditado). “El único sistema verdaderamente
protegido es aquél que está apagado,
encerrado en un bloque de hormigón y
sellado en una habitación forrada de
plomo con guardias armados - y aún
así tengo mis dudas ”.

Gene Spafford profesor y experto en seguridad

informática (1989).

MA. Juan Carlos Reátegui Morales (MBA-ISO 27001-ISO 9001-ISO 22301)

reateguimoralesjuancarlos@gmail.com
 Campo Laboral del Ingeniero de la UNTELS
En Ingeniería de Sistemas buscamos formar profesionales con calidad técnica-
científica, humana y de responsabilidad social, para desempeñarse en el
contexto regional, nacional e internacional.

Con aptitudes de inteligencia emocional y valorativa, así mismo estarán

capacitados en investigación científica y tecnología aplicada, así como en
capacidades productivas.

También buscamos ser una carrera profesional líder, reconocida por su

excelencia académica, científica y por el desarrollo e innovación tecnológica
permanente, contribuyendo al desarrollo económico y social de la región y del
país.

Valorando el capital humano existente.

 Campo Laboral del Ingeniero de la UNTELS
El Ingeniero de Sistemas egresado de la UNTELS, tiene como
campo laboral y ocupacional en:

1. Desarrollar, optimizar, proponer, analizar, evaluar, diseñar y dar mantenimiento a

soluciones informáticas en organizaciones públicas o privadas, así como de la sociedad en
general.
2. Dirigir proyectos de sistemas en un ambiente multidisciplinario, con visión proactiva
orientando el esfuerzo de equipo al logro de los objetivos estratégicos de las
organizaciones..
3. Planificar, organizar, dirigir, proponer, evaluar y desarrollar investigaciones que generen
soluciones integrales a problemas locales, regionales o nacionales, enfocados en la ética
profesional y el bien común
4. Generar y dirigir nuevos modelos de negocio.
5. Ejercer la consultoría en tecnologías de información a organizaciones, en cuestiones del
tratamiento de la información, networking, desarrollo de software, implementación de
nuevos procesos y sistemas integrales, planeación y ejecución de programas de control
con auditoria de sistemas y gestión de procesos, basados en estándares internacionales
6. Gerenciar el área de tecnologías de información y comunicación de las diferentes
organizaciones públicas o privadas, valorando el capital humano existente.
 INTRODUCCIÓN

 Hoy en día los sistemas computacionales forma parte de la gestión

de la empresa.

 Los sistemas no gestiona propiamente a la empresa, sino que

ayuda a la toma de decisiones. (Ojo con las reglas del negocio).

 Debido a la importancia en el funcionamiento de una empresa es

que existe la Auditoría de Sistemas.
 ¿Qué es Auditoria?

Proviene del latín auditorius y esta proviene de la palabra auditor

que significa “todo aquel que tiene la virtud de oir”
Auditoría: es un examen crítico que se realiza con fin de evaluar la
eficacia y eficiencia de una actividad.

Auditor: es el responsable de realizar la actividad de evaluar la

eficiencia y eficacia.
¿Qué es auditoría?
“Es la revisión independiente que realiza un auditor profesional,
aplicando técnicas, métodos y procedimientos especializados, a fin de
evaluar el cumplimiento de las funciones, actividades, tareas y
procedimientos de una entidad administrativa, así como dictaminar
sobre el resultado de dicha evaluación”

Muñoz Razo, Carlos “Auditoría de sistemas computacionales”

 AUDITORIA DE SISTEMAS
Es la revisión técnica, especializada y exhaustiva que se realiza a los
sistemas computacionales, software e información utilizados en una
empresa, sean individuales, compartidos y/o de redes, así como a sus
instalaciones, telecomunicaciones, mobiliario, equipos periféricos y
demás componentes.

Dicha revisión se realiza de igual manera a la gestión informática, al

aprovechamiento de sus recursos, las medidas de seguridad y los
bienes necesarios para el funcionamiento del centro de cómputo.

Muñoz Razo, Carlos “Auditoría de sistemas computacionales”

 TIPOS DE AUDITORIA

Por su lugar de aplicación:

Externa -Realizada por auditores
Interna totalmente ajenos a la empresa.
- El auditor tiene total libertad
Por su área de aplicación: de criterio y ninguna influencia
Financiera - La emisión de los resultados
Administrativa es absolutamente
Operacional independiente
Integral
Gubernamental
Sistemas
De Sistemas de Gestión (ISO)
 OBJETIVOS AUDITORIA DE SISTEMAS

Realizar una revisión independiente de las actividades, áreas o

funciones especiales de una institución, a fin de emitir un dictamen
profesional sobre la razonabilidad de sus operaciones y resultados.

Hacer una revisión especializada, desde un punto de vista

profesional y autónomo, del aspecto contable, financiero y
operacional de una empresa.

Evaluar el cumplimiento de los planes, programas, políticas,

normas y lineamientos que regulan la actuación de los empleados
y funcionarios de una institución.

Determinar de manera profesional e independiente sobre los

resultados obtenidos por una empresa y sus áreas.
 OBJETIVOS AUDITORIA DE SISTEMAS

Salvaguardar los activos. Protección del hardware, software y

recursos humanos.

Integridad de los datos. Los datos deben mantener consistencia y no

duplicarse.

 Eficacia de los sistemas. Los objetivos deben cumplir con los

objetivos de la organización.

 Eficiencia de sistemas. Que se cumplan los objetivos con los

menores recursos.

 Seguridad y confidencialidad.
 ÁREAS DE LA AUDITORIA DE SISTEMAS
ÁREAS DE LA AUDITORIA
DE SISTEMAS
 Auditoría física
 Auditoría de la ofimática
 Auditoría de la dirección
 Auditoría de la explotación
 Auditoría del desarrollo
 Auditoría del mantenimiento
 Auditoría de bases de datos
 Auditoria de técnica de sistemas
 Auditoria de la calidad
 Auditoria de la seguridad de información
 Auditoria de redes
 Auditoria de aplicaciones
 IMPORTANCIA DE LA AUDITORIA DE SISTEMAS

La importancia de realizar una auditoría de sistemas se debe a:

 Las computadoras se convierten en blancos apetecibles para el

espionaje, la delincuencia y el terrorismo (Auditoría de la
seguridad).

 Los sistemas creados para procesar y difundir información

elaborada pueden producir información errónea si dichos datos
son erróneos (auditoría de bases de datos, aplicaciones).

 Un sistema informático mal diseñado se convierte en una

herramienta peligrosa para la empresa, puesto que las máquinas
obedecen ciegamente las órdenes que reciben.
 SISTEMA DE CONTROL INTERNO

Conjunto de acciones, actividades, planes, políticas,

normas, registros, organización, procedimientos y
métodos incluyendo la actitud de las autoridades y el
personal, organizados e instituidos en cada entidad
del Estado o empresa privada.

13
 CONTROL INTERNO
 Controla diariamente que todas las actividades de sistemas de
información sean realizadas cumpliendo los procedimientos,
estándares y normas fijadas por la Dirección de la organización o
la Dirección informática.

 Propósito es asegurarse de que las medidas que se obtienen de los

mecanismos implantados por cada responsable sean correctas y
válidas
COSO Committee of Sponsoring Organizations of the Treadway Commission (COSO):
Iniciativa de 5 organismos para la mejora de control interno dentro de las
organizaciones.
DEFINICIÓN DE CONTROL

Comprobar:
Verificar,
confirmar la
veracidad o la
exactitud de
algo.
Supervisión:
Es ejercer la
Inspeccionar:
inspección
Examinar,
superior en
reconocer
trabajos
atentamente
realizados por
otros CONTROL

Intervenir:
Fiscalizar:
Examinar y
Criticar y traer
censurar las
a juicio las
cuentas con
acciones u
autoridad
obras de
suficiente para
alguien
ello.
DEFINICIÓN DE CONTROL GUBERNAMENTAL (LEY N° 27785)

CONTROL GUBERNAMENTAL

· Supervisar · Los Actos y resultados de la

· Vigilar, y Qué?
Gestión Pública
· Verificar · Uso y destino de los recursos
públicos

· Oportunidad del CRITERIOS

Control
· Formas de control · Eficiencia
· Eficacia Uso y destino de los
· Transparencia, y recursos públicos
· Economía

· Normas Legales
· Lineamientos de
· Cumplimiento
Política
· Planes de Acción

Cómo
· Sistemas de
Evaluando administración
· Sistemas de gerencia
· Sistema de Control
COMPONENTES DE CONTROL INTERNO (LEY N° 28716 VS COSO)

La Ley Nº 28716 COSO y La Guía INTOSAI

El ambiente de control. Ambiente de control

La evaluación de riesgos Evaluación de riesgos

Las actividades de Actividades de control

control gerencial gerencial
Sistema de información Información y
y comunicación comunicación
Las actividades de
Supervisión
prevención y monitoreo
El seguimiento de
resultados
Los compromisos de
mejoramiento
CONTROL INTERNO – COMPONENTES

Las Normas de Control OBJETIVOS

Interno identifican cinco
componentes del control
interno que requieren estar
establecidos e integrados
para asegurar el
cumplimiento de cada uno
de los objetivos.

Los componentes son

interrelacionados y sirven
como criterio para
determinar si el sistema de
control es efectivo. COMPONENTES
CONTROL INTERNO – COMPONENTES Y NORMAS BÁSICAS

CONTROL DE
EVALUACION

6
9
10
4
8

37 normas básicas
 GESTIÓN POR PROCESOS

SISTEMA INTEGRADO DE GESTIÓN

Sistema de Gestión de Calidad
Sistema de Gestión Ambiental
Sistema de Gestión de Seguridad y Salud del Trabajo
Sistema de Gestión de Seguridad de la Información
Sistema de Control Interno

• Secuencia de • Producto con

actividades calidad
Insumos y • Recursos Salida exigida
Entrada Proceso (humanos,
(Input) Proveedores (output) • Clientes,
equipos, usuarios o
software y ciudadanos
hardware)
GESTIÓN POR PROCESOS
 GESTIÓN POR PROCESOS
Proceso: Secuencia de actividades mutuamente relacionadas o que interactúan, las
cuales transforman elementos de entrada en resultados (UNE-EN ISO 9000:2005).

La gestión de procesos o gestión basada en procesos es uno de los 8 principios de la

gestión de la calidad. Su importancia radica en que los resultados se alcanzan con más
eficiencia cuando las actividades y los recursos relacionados se gestionan como un
proceso. La gestión basada en procesos fue uno de los grandes aportes de la gestión de
la calidad cuando nació como evolución del aseguramiento de la calidad.

En general, cualquier organización tiene establecida una gestión funcional, esto es, se
trabaja en departamentos con una definición clara de la jerarquía y se concentra la
atención en el resultado de las actividades de cada persona o cada departamento. Al
adoptar un enfoque de gestión por procesos, no se elimina la estructura de
departamentos de la organización pero se concentra la atención en el resultado de cada
proceso y en la manera en que éstos aportan valor al cliente.
 PRINCIPIOS DE LA CALIDAD
Principio 1: Enfoque al Cliente
Principio 2: Liderazgo
Principio 3: Participación del personal
Principio 4: Enfoque basado en procesos
Principio 5: Enfoque de sistema para la gestión
Principio 6: Mejora continua
“La mejora continua del desempeño global de una organización debería ser un objetivo
permanente de ésta”.
Esa mejora continua de los procesos se consigue siguiendo el ciclo PCDA del Dr. E.
Deming: Planificar – Desarrollar – Controlar – Actuar, para mejorar.
Principio 7: Enfoque basado en hechos para la toma de decisión
“Las decisiones se basan en el análisis de los datos y la información”.
Lo que no se puede medir no se puede controlar, y lo que no se puede controlar es un
caos. Esto no se puede olvidar.
Principio 8: Relaciones mutuamente beneficiosas con el proveedor
“Una organización y sus proveedores son interdependientes, y una relación mutuamente
beneficiosa aumenta la capacidad de ambos para crear valor”.
Es necesario desarrollar alianzas estratégicas con los proveedores para ser más
competitivos y mejorar la productividad y la rentabilidad. En las alianzas, gana tanto la
organización como los proveedores.
 Beneficios
BENEFICIOS de la implementación
DE LA IMPLEMENTACION DEL SCI del SCI

SCI = SISTEMA INMUNOLÓGICO DE LA ENTIDAD

PRINCIPIOS APLICABLES AL SCI

• TODO FUNCIONARIO Y SERVIDOR

DEL ESTADO DEBE:
• Controlar su trabajo.
Autocontrol • Detectar deficiencias o desviaciones.
• Efectuar correctivos para el
mejoramiento.

• TODA INSTITUCIÓN DEBE:

• Desarrollar disposiciones, métodos y
Autorregulación procedimientos para asegurar la
eficacia, eficiencia, transparencia y
legalidad en los resultados.

• TODA INSTITUCIÓN DEBE:

• Conducir, planificar, ejecutar, coordinar
Autogestión y evaluar las funciones a su cargo con
sujeción a la normativa aplicable y
objetivos previstos.

LA TRIPLE A (AAA)
¿QUÉ ES CONTROL INTERNO?

 Un proceso integral, continuo y dinámico:

TITULARES
REALIZADO GERENCIA
POR:
PERSONAL

 Proporciona seguridad razonable respecto del

logro de los objetivos
 OBJETIVOS DEL CONTROL
INTERNO

 Controlar que todas las actividades se realizan

cumpliendo los procedimientos y normas fijados y de las
normas legales.

 Asesorar sobre el conocimiento de las normas.

 Colaborar y apoyar el trabajo de la Auditoría de sistemas.

 Definir implantar y ejecutar mecanismos y controles para

comprobar el logro de los grados adecuados del servicio
de informática.
 DEFINICIÓN DE CONTROLES

Para los sistemas (centrales, departamentales, redes locales,

PC’s, etc.) y entornos informáticos (producción, desarrollo o
pruebas) se debe definir controles para:

 El cumplimiento de procedimientos, normas, políticas.

 Controles sobre la producción diaria
 Sobre la calidad y eficiencia del desarrollo y
mantenimiento del software y del servicio informático
 Controles en las redes de comunicaciones
 La seguridad informática
 Licencias y relaciones contractuales con terceros
 Asesorar y transmitir cultura sobre el riesgo informático
 CONTROL INTERNO Y
AUDITORIA DE SISTEMAS
CONTROL INTERNO AUDITORIA DE SISTEMAS
INFORMÁTICO
• Personal interno
• Conocimientos especializados en TIC’s
SIMULITUDES
• Verificación de cumplimiento de controles internos, normas y
procedimientos establecidos por la Dirección
• Análisis de controles en el día a • Análisis en un momento
día determinado
• Informa a la Dirección de • Informa a la Dirección General
Sistemas • Personal interno y/o externo
DIFERENCIAS
• Sólo personal interno • Su cobertura es sobre todos los
• El alcance de sus funciones es componentes de sistemas de
únicamente sobre el área de información de la Org.
sistemas
 La ISO 19011 Directrices para la auditoría de Sistemas de
Gestión
Esta Norma Internacional no establece requisitos, sino que provee una guía
sobre el manejo de un programa de auditoría, sobre la planeación y
realización de una auditoría a un sistema de gestión, así como sobre la
competencia y evaluación de un auditor que pertenezca al equipo auditor.

Alcance
Esta Norma Internacional proporciona directrices sobre la auditoría a sistemas
de gestión, incluyendo los principios de auditoría, el manejo de un programa
de auditoría y la realización de las auditorías a sistemas de gestión, así como
directrices sobre la evaluación de competencia de los individuos involucrados
en el proceso de auditoría, incluyendo el personal que maneja el programa de
auditoría, los auditores y los equipos de auditoría.

Esta es aplicable a todas las organizaciones que requieren llevar a cabo

auditorias internas o externas a sistemas de gestión o manejar un programa
de auditoría.
La ISO 19011 Directrices para la auditoría de Sistemas de
Gestión
La ISO 19011 Directrices para la auditoría de Sistemas de
Gestión
 Las Reglas de Juego
Parcial 25%
Final 25%
Trabajos Académicos 10% (Exposición de Tema dado al inicio del Ciclo)
Practica 20% (Practicas Tomadas en Clase Dos (2))
Primera : Auditoria
Segunda: Análisis de Riesgos
Laboratorios 20%
Primero:
Segundo:
 TRABAJOS 2019-I
Seguridad de la Auditoria 2018-II Plan de Clases
1 Implementación de CSIRT en la UNTELS Clase Fecha
1 29/03/2019 Clase I
2 ISO 20000 Gestión de Calidad TIC 2 05/04/2019 Clase II
3 12/04/2019 Clase III LAB 01
3 Transición de IPV4 a IPV6 4 19/04/2019 Clase IV
5 26/04/2019 Clase V Exp-1
4 Auditoria a un sistema en la Nube" (ISO 27017) 6 03/05/2019 Clase VI Exp-2
5 Auditoria con Kali Linux 7 10/05/2019 Clase VII P1 Exp-3

6 Calidad de Software con Owasp 8 17/05/2019 E.P

9 24/05/2019 Clase VIII
10 31/05/2019 Clase IX LAB 2 Exp-4
7 Auditoría de Base Datos 11 07/06/2019 Clase X Exp-5
8 12 13/06/2019 Clase XI P2 Exp-6
13 20/06/2019 Clase XII Exp-7
14 27/06/2019 Clase XIII
15 05/07/2019 Clase XIV
16 12/07/2019 Final
Use ayuda de Videos 17 19/07/2019 Sustitutorio

Forma de Presentar: Parametros de Exposición

Ficha del Proyecto Presentación de PPT 5
25% Plan de Proyecto (Inicio, Planificar, desarrollo,control, cierre) Presentación personal (Dominio de Exposición) 5
25% Kick Off Contenido del PPT 5
25% Cumplimiento Ayudas adicionales Folletos 2
25% Exposición Video Ajeno 1
En un CD Video propio 2
Formato APA (SOTERO Y LATEX)

Libro: El Arte de la Guerra de Sun Tzu Se tomaran orales a partir de la tercera clase.
 Seguridad de Información (SI)
La información es un activo que, como otros activos importantes del
negocio, tiene valor para la organización y requiere en consecuencia
una protección adecuada.
La SI protege a ésta de un amplio rango de amenazas para asegurar
la continuidad del negocio, minimizar los daños a la organización y
maximizar el retorno de las inversiones y las oportunidades de
negocios.

La SI se consigue implantando un conjunto adecuado de controles, que

pueden ser políticas, prácticas, procedimientos, estructuras organizativas
y funciones de software y hardware.
Estos controles necesitan ser establecidos, implementados, monitoreados,
revisados y mejorados donde sea necesario, para asegurar que se
cumplan los objetivos específicos de seguridad y negocios de la
organización.
 Seguridad de Información
¿Qué es seguridad de la Información?
De acuerdo a la ISO 27000 “Es la preservación de la confidencialidad, integridad y
disponibilidad de la información; además, otras propiedades como autenticidad,
responsabilidad, no repudio y fiabilidad pueden ser también consideradas”.
ISO 27000

Se entiende por seguridad de la información a todas aquellas medidas preventivas y

reactivas de FONCODES que permitan resguardar y proteger la información buscando
mantener la confidencialidad, la disponibilidad e integridad de la misma.

La información es un activo que, como otros activos importantes del negocio, tiene
valor para la organización y requiere en consecuencia una protección adecuada. Esto es
muy importante en el creciente ambiente interconectado de negocios. Como resultado
de esta creciente interconectividad, la información esta expuesta a un mayor rango de
amenazas y vulnerabilidades.
Relaciones de la Seguridad
 QUE ES LA NTP ISO 27001:2014
ISO 27001 es una norma internacional emitida por la Organización
Internacional de Normalización (ISO) y describe cómo gestionar la seguridad
de la información en una empresa.

La revisión más reciente de esta norma fue publicada en 2014 y ahora su

nombre completo es ISO/IEC 27001:2014.

ISO 27001 puede ser implementada en cualquier tipo de organización, con o

sin fines de lucro, privada o pública, pequeña o grande. Está redactada por los
mejores especialistas del mundo en el tema y proporciona una metodología
para implementar la gestión de la seguridad de la información en una
organización.
También permite que una empresa sea certificada; esto significa que una
entidad de certificación independiente confirma que la seguridad de la
información ha sido implementada en esa organización en cumplimiento con la
norma ISO 27001.

La NTP ISO 27001:2014 (Norma Técnica Peruana) es una traducción de la

NTP 27001, para el Perú realizada en el año 2014. Es la norma validada por
INDECOPI.
ESTRUCTURA DE LA ISO 27001:2014

4. Contexto de
la organización
Estructura la Seguridad Norma NTP ISO
27001:2014
 LA ISO 27001:2014
Su trabajo se centra en función a 8 principios básicos de gestión:

1. Orientación al cliente.

2. Liderazgo.

3. Participación del personal.

4. Enfoque de procesos.

5. Enfoque de sistemas de gestión.

6. Mejora continua.

7. Enfoque de mejora continúa.

8. Relación mutuamente beneficiosa con el proveedor

 Documentos Necesarios en la implementación de la ISO 27001
Documentos Capítulo de ISO 27001:2014
Alcance del SGSI 4.3
Políticas y objetivos de seguridad de la información 5.2, 6.2
Metodología de evaluación y tratamiento de riesgos 6.1.2
Declaración de aplicabilidad 6.1.3 d)
Plan de tratamiento del riesgo 6.1.3 e), 6.2
Informe de evaluación de riesgos 8.2
Definición de funciones y responsabilidades de seguridad A.7.1.2, A.13.2.4
Inventario de activos A.8.1.1
Uso aceptable de los activos A.8.1.3
Política de control de acceso A.9.1.1
Procedimientos operativos para gestión de TI A.12.1.1
Principios de ingeniería para sistema seguro A.14.2.5
Política de seguridad para proveedores A.15.1.1
Procedimiento para gestión de incidentes A.16.1.5
Procedimientos de la continuidad del negocio A.17.1.2
Requisitos legales, normativos y contractuales A.18.1.1
 Registros Necesarios

Capítulo de ISO
Registros 27001:2014
Registros de capacitación, habilidades, experiencia y
calificaciones 7.2
Resultados de supervisión y medición 9.1
Programa de auditoría interna 9.2
Resultados de las auditorías internas 9.2
Resultados de la revisión por parte de la dirección 9.3
Resultados de acciones correctivas 10.1

Registros sobre actividades de los usuarios, excepciones y

eventos de seguridad A.12.4.1, A.12.4.3
 ROL DEL AUDITOR
Decidida actitud de mejorar la organización, sin confundirla con una búsqueda de
culpables.
Tener en cuenta que los imperativos del día a día impiden muchas veces la reflexión que
el auditor sí tiene tiempo de hacer.
No a los juicios precipitados. El auditor expresa su opinión en el informe final a la
dirección, no en charlas durante las entrevistas ni en comentarios informales. Hasta el
mismo instante de la redacción, la actitud del auditor debe ser de escucha y recogida de
información.
Los auditores deben ser altamente cualificados para manejar información y técnicas de
análisis que permitan estudiar las ingentes cantidades de información que encierran los
SI. Los auditores tendrán que:
•Evaluar los controles internos.
•Evaluar el rendimiento y asegurar que los tiempos y fiabilidad de la información
producida satisfacen los requisitos de gestión.
 LA ISO 27001:2014
¿Cuáles son los beneficios de la norma ISO/IEC 27001 de Gestión de la
Seguridad de la Información?

• Identificar los riesgos y establecer controles para gestionarlos o

eliminarlos.

• Confidencialidad, asegurando que sólo quienes estén autorizados

puedan acceder a la información.

• Flexibilidad para adaptar los controles a todas las áreas de su

empresa o solo a algunas seleccionadas.

• Conseguir que las partes interesadas y los clientes confíen en la

protección de los datos.
•
• Demostrar conformidad y conseguir el estatus de proveedor
preferente.

• Alcanzar las expectativas demostrando conformidad.

 BENEFICIOS DE LA ISO 27001:2014
En el ámbito de la organización, ya que se genera un importante compromiso
con la seguridad de la información. La existencia de registros y medidas de
control permiten que la seguridad de la información esté garantizada en la
organización y que estos esfuerzos puedan demostrarse.

En el cumplimiento legal de las exigencias, manifestándose la conformidad de

la empresa en el cumplimiento de los requisitos legales que le sean de
aplicación para la región en la que la organización tenga su domicilio y para la
actividad que realice.

Ámbito funcional, ya que se desarrolla una adecuada gestión de los riesgos. La

empresa conoce de forma exhaustiva su organización y los sistemas de
información que aplican, los problemas que se producen y los medios de
protección que se aplican, para así terminar garantizando la mejor
disponibilidad de los materiales y datos, y asegurando su continuidad sin
alteraciones perniciosas no controladas.
 BENEFICIOS DE LA ISO 27001:2014
Aspecto de imagen institucional, se genera credibilidad y confianza en la
sociedad.

Tenemos que tener presente que estamos en una sociedad en la que la falta
de confianza de nuestros clientes (beneficiarios), afecta a nuestra imagen
institucional, de la misma manera que la calidad y funcionalidad de nuestros
servicios, y por lo tanto, se debe cuidar tanto un aspecto como el otro.
 Recomendación del auditor de sistemas
• Siempre se explicitará la palabra "Recomendación", y ninguna otra.
• Deberá entenderse por sí sola, por su simple lectura.
• Deberá estar suficientemente soportada en el propio texto.
 Deberá ser concreta y exacta en el tiempo, para que pueda ser seguida y verificada
su implementación.
 La recomendación se redactará de forma que vaya dirigida expresamente a la
persona o personas que puedan implementarla.
 Deberán evitarse las recomendaciones demasiado generales.
 No deberán redactarse expresiones como "... se den las órdenes oportunas para
que... ".
 Se deberá decir: "... se elabore un programa para que en
60 días...".
 El Éxito depende de:
Estudiar hechos y no opiniones (no se toman en cuenta los rumores ni la información
sin fundamento.-Evidencias-).

•· Investigar las causas, no los efectos.

•· Atender razones, no excusas.

•· No confiar en la memoria, preguntar constantemente.

•· Criticar objetivamente y a fondo todos los informes y los datos recabados.

Gestión Seguridad Información
ISO-27001:2014

4 1
Actuar Planificar

3 2
Revisar Hacer
 Vocabulario del Consultor
Agregar valor.-Se denomina Valor Agregado o Valor Añadido cuando a un producto se
le agregan características extras a las que tiene con el fin de darle mayor valor
comercial y lograr cierta diferenciación para el que lo aplica.

Skill.- Habilidad-Destreza

Relevante.-Significativo-Excelente.

Análisis GAP.-Análisis de brechas (Gap analysis). El análisis de brechas se basa en

contrastar el “estado de la situación actual” y el “estado esperado o ideal”.

TQM(Total Quality Management).-La Gestión de la Calidad Total

Asertivo.-Es la capacidad de expresar tus sentimientos, ideas y opiniones, de manera

libre, clara y sencilla, comunicándolos en el momento justo y a la persona indicada.

Eficacia.-Es la capacidad de alcanzar el efecto que espera o se desea tras la realización

de una acción.
 Vocabulario del Consultor
Eficiencia.- la relación entre los recursos utilizados en un proyecto y los logros
conseguidos con el mismo. Se entiende que la eficiencia se da cuando se utilizan menos
recursos para lograr un mismo objetivo. O al contrario, cuando se logran más objetivos
con los mismos o menos recursos.

Consultor.-Un consultor (del latín consultus que significa "asesoramiento") es un

profesional que provee de consejo experto en un dominio particular o área de
experiencia.

Gobierno corporativo.- Se refiere al conjunto de principios y normas que regulan el

diseño, integración y funcionamiento de los órganos de gobierno de la empresa, como
son los tres poderes dentro de una sociedad: los Accionistas, Directorio y Alta
Administración.

Gobierno corporativo de TI (ISO 38500).- El Gobierno de TI y la norma ISO/IEC

38500 proporcionan un marco de principios para que la dirección de las organizaciones
los utilice al evaluar, dirigir y monitorizar el uso de las tecnologías de la información y
comunicaciones (TIC).
 Controlando lo Aprendido

¿Que es Auditoria de Sistemas?

¿Para que sirve la auditoria?

¿Qué objetivos tiene la auditoria?

¿Qué tipos de auditoria conoce?

¿Qué es Seguridad de Información?

¿Qué es Control Interno (CI)?

¿Cuales son los componentes de CI?

¿Cuáles son los principios de CI?

 Controlando lo Aprendido
¿Cuáles son los objetivos de CI?
¿Qué es Gestión de Procesos?
¿Qué beneficios otorga implementar ISO 27001?
¿Cuales son los principios básicos de la ISO 27001?
¿Cuáles son los dominios de la ISO 27001?
¿Documentos necesarios para implementar la ISO 27001?
¿Registros necesarios para implementar la ISO 27001?
¿Qué es un registro?
¿Qué es No Repudio?
¿Por qué debe implementarse la ISO 27001?
¿Por qué debe implementarse la ISO 22301?
Referencias Bibliográficas:

ISO 27001 TECNOLOGIA DE LA INFORMACION: Técnicas de seguridad.

Sistemas de gestion de la información. Requisitos.
ISO 19011 Directrices para auditoria de gestión.
ISO 31001 Gestión del Riesgo. Principios y Directrices.
ISO 22301 Seguridad de la sociedad – Sistemas de gestión de la continuidad del
negocio – Requisitos.

Video de Consultor

https://www.youtube.com/watch?v=WFwsho6Ae5Y
Muchas Gracias