LEGISLACION E

IMPORTANCIA
AUDITORIA DE SISTEMAS
Planificacin.
Supervisin.
Control Interno.
Evidencia.
Comunicacin
de Resultados.

AUDITORIAS INTERNAS
EN SISTEMAS DE
CALIDAD.
SISTEMA DE GESTIN
DE LA CALIDAD
EVIDENCIA DE LA AUDITORA
PROGRAMA DE AUDITORIA
HALLAZGO DE LA AUDITORIA
DEFINICIONES

- COMPETENCIA
-CRITERIO DE AUDITORIA
-NO CONFORMIDAD
-ACCION CORRECTIVA
-CORRECCION
-ACCION PREVENTIVA
-PROCESO


IMPORTANCIA DE LAS
AUDITORAS DE CALIDAD
LA AUDITORIA INTERNA COMO
HERRAMIENTA DE LA ALTA DIRECCION
OBJETIVOS DE UNA AUDITORIA.
AUDITORIA DE SISTEMAS
Proceso sistemtico,
independiente y documentado.
Dirigir y controlar.
Registros, declaraciones de hechos
o cualquier otra informacin.
Conjunto de una o ms auditoras
Planeadas para un periodo.
Resultado de la evaluacin
Auditado: Organizacin que es auditada
Auditor Persona que lleva a cabo la auditora
Equipo auditor Uno o mas auditores
Conclusiones de la auditora: Resultado de una
auditora

-Habilidad demostrada
-Poltica, procedimiento o requisito
-Incumplimiento de un requisito.

-Accin tomada para eliminar una causa detectada
-Accin tomada para eliminar una no conformidad
-Accin para eliminar las causas potenciales de no
conformidades
-Conjunto de actividades mutuamente relacionadas
Principios de los auditores:
a. Conducta tica b. Presentacin imparcial
Principios de la auditora:
a. Independencia b. Enfoque basado en las
evidencias

TIPOS DE AUDITORIA:
- Auditorias
- Auditorias De Calidad
- Auditoria De Sistemas De Calidad
-sistema: todas las reas del sistema
-Proceso: una sola parte del sistema
-Producto: realizan a la materia prima
-Servicio: servicios que recibimos.
CICLO DE CONTROL
RESPONSABILIDADES Y FUNCIONES DE LOS
PERSONAJES CLAVES DE UNA AUDITORIA
OBJETIVO
ETAPAS DE UNA AUDITORIA
ADMINISTRACION DE LAS AUDITORIAS
PROCEDIMIENTO DEL PROGRAMA DE
AUDITORAS
PLANEACION DE UNA AUDITORIA
Inicio, Revisin Documental, Preparacin, Auditoria In-Situ,
Informe, Fin

PREPARACION
-Ayuda a controlar, mantener y manejar el sistema.
-Asigna recursos y mejora el comportamiento de la organizacin.
-Desarrolla la confianza del personal.
-Es una base para la mejora continua.

- Determinar la efectividad del sistema de gestin de la calidad.
- Mejorar el sistema de gestin de la calidad.
- Cumplir con requisitos reglamentarios.
- Obtener el registro del sistema de gestin de la calidad.
ES CLIENTE: es la persona u organizacin que solicita la auditora
EL AUDITADO: es el organismo a ser auditado.
EL AUDITOR LIDER: persona calificada para dirigir una auditoria
de calidad y es responsable de todas las fases de la auditora.
LOS AUDITORES: personas calificadas para realizar auditorias de
calidad
- Determinar las normas aplicables para auditar.
- Contar con auditores calificados
- Contar con planes y programas de auditora.
- Contar con un cdigo de tica.
- Definir a un responsable de la administracin del plan.
a. la planificacin y calendario de las auditoras
b. asegurar la competencia de los auditores
c. realizacin de las auditoras
d. seguimiento de la auditoria, si es aplicable
e. mantenimiento de los registros
f. seguimiento del programa y medicin de su eficacia
g. informar a la alta direccin de los logros
-Determinacin del objetivo de la auditora.
-Alcance de la auditora.
-Seleccin del equipo auditor.
-Identificacin, obtencin y anlisis de la documentacin del
Sistema de Calidad.
-Elaboracin de la documentacin para llevar a cabo la auditora.
-Elaboracin del plan y programa de la auditora.
-Notificacin.


-Evaluar si el Sistema de Calidad est implantado y listo para
recibir una auditora de certificacin de acuerdo a ISO 9000:2000.
-Evaluar la satisfaccin de los clientes respecto al servicio
prestado por la empresa.


Recabar la documentacin relacionada con la auditora La
norma en la que se basa la auditora Las secciones del manual
que correspondan Leer la documentacin Prepara el material
de auditora Listas de verificacin Los formatos de no
conformidad Cuaderno de notas Plumas, lpices, borrador, etc.
Logstica.




















COBIT

INTROCUCCION

PRINCIPALES AREAS DE LA
AUDITORA DE SISTEMAS
RECURSOS NECESARIOS
C Control
OB OBjectives
I for Information
T and Related Technology
La Auditora de Sistemas (AS)
Enfoque Tcnico
Enfoque de Negocio
La AS en las Entidades Financieras
Auditora Interna
Auditora Externa
Super Intendencia
Consultoras especializadas

La auditora de la direccin
La auditora de la explotacin
La auditora del desarrollo
La auditora del mantenimiento
La auditora de bases de datos
La auditora de la calidad
La auditora de redes
La auditora de aplicaciones
La auditora jurdica de entornos

ALCANCE Y OBJETIVOS
NORMAS Y REGULACIONES
COBIT - MARCO REFERENCIAL
COBIT SEGN EL NIVEL Y FUNCIN
PRINCIPIOS DEL MARCO REFERENCIAL
CRITERIOS DE INFORMACIN
DOMINIOS Y PROCESOS TI
OBJETIVOS DE CONTROL
REGLA DE ORO DE COBIT
PROCESOS DE TI
PLANEAMIENTO Y ORGANIZACIN
ADQUISICIN E IMPLANTACIN
ENTREGA Y SOPORTE
MONITOREO
* Aplicables a TI a Nivel Institucional
* Orientacin Gerencial
* En lnea con Normas y Regulaciones De Jure and De Facto
* Normas Tcnicas de ISO.
* Normas de Conducta del Consejo Europeo, OECD, ISACA, etc.
Criterios de Calificacin para sistemas y procesos en TI:ISO 9000,

Gerencia: Para Ayudarle a Medir el Riesgo y Controlar la Inversin
Usuarios: Para tener tranquilidad respecto a la Seguridad
Auditores: Para Sustentar sus Opiniones y/o Asesorar
Director Ejecutivo Gerente de Sistemas Jefe de rea de TI
Evaluador de Proyectos Analista y Desarrollador Operadores
Usuarios Encargados de la Seguridad de la Informacin
Auditores





Eficacia - que la informacin sea relevante y pertinente.
Eficiencia - la informacin sea producida mediante el uso ptimo
confidencialidad - proteccin de la informacin sensible
Integridad - exactitud y totalidad de la informacin
Disponibilidad - disponibilidad de la informacin
Cumplimiento - se refiere al cumplimiento de las leyes
Confiabilidad de la informacin - brinden informacin apropiada
Datos Objetos de datos en su sentido ms amplio
Sistemas de Aplicacin Entendidos como la suma de los
procedimientos manuales y programados.
Tecnologa Comprende el hardware, los sistemas operativos, etc.
Instalaciones Recursos para albergar y soportar los sistemas
Gente Habilidades personales, conciencia y productividad


DOMINIOS.-Agrupacin natural de procesos.
PROCESOS.- Serie de actividades unidas, con quiebres naturales.
ACTIVIDADES.-Acciones necesarias para lograr un resultado
medible.


* Planeamiento y Organizacin
* Adquisicin e Implantacin
* Entrega y Soporte
* Monitoreo

Es necesario que los recursos de TI sean manejados como
un conjunto de procesos agrupados de manera natural.
Metodologas y Estndares
COBIT
ISO 17799, ISO 15408
CAATTs Herramientas
Analizadores de BD
Analizador de Rendimiento,
Capacidad
Tutoriales, automatizador de PT
Seguridad

PO 1 Definir un Plan Estratgico de TI
PO 2 Definir la Arquitectura de Informacin
PO 3 Establecer la Orientacin Tecnolgica
PO 4 Definir la Organizacin y las Relaciones de TI
PO 5 Administrar la Inversin en TI
PO 6 Comunicar los Objetivos y la Orientacin de la Gerencia
PO 7 Administrar los Recursos Humanos
PO 8 Asegurar el Cumplimiento de los Requerimientos Externos
PO 9 Evaluar los Riesgos
PO 10 Administrar Proyectos
PO 11 Administrar la Calidad


AI 1 Identificar Soluciones
AI 2 Adquirir y Mantener el Software Aplicativo
AI 3 Adquirir y Mantener la Arquitectura Tecnolgica
AI 4 Desarrollar y Mantener los Procedimientos en TI
AI 5 Instalar y Acreditar los Sistemas
AI 6 Manejar los Cambios

DS 1 Definir Niveles de Servicio
DS 2 Administrar los Servicios de Terceros
DS 3 Administrar la Performance y la Capacidad
DS 4 Asegurar la Continuidad del Servicio
DS 5 Asegurar la Seguridad de los Sistemas
DS 6 Identificar y Asignar los Costos
DS 7 Educar y Entrenar a los Usuarios
DS 8 Ayudar y Asesorar a los Clientes de TI
DS 9 Administrar la Configuracin
DS 10 Administrar los Problemas e Incidentes
DS 11 Administrar los Datos
DS 12 Administrar las Instalaciones
DS 13 Administrar las Operaciones
M 1 Monitorear los Procesos
M 2 Evaluar la Suficiencia del Control Interno
M 3 Obtener Aseguramiento Independiente
M 4 Considerar una Auditora Independiente







POR QUE EL FUTURO?











AUDITORIA DE LA SEGURIDAD DE LA
INFORMACION
ISO 17799
Es un conjunto de prcticas recomendadas
a nivel mundial para garantizar la Seguridad
de la Informacin a nivel institucional.
HISTORIA
Su antecesor BS7799 fue publicado en feb.
De 1995. No tuvo aceptacin:
No muy flexible Y2K Euro
En mayo 99 se hizo una revisin general
Se lanzaron programas de certificacin
En diciembre 2000 se publico como ISO

-Se convertir en un elemento de diferencia
competitiva.
Ser un requisito para ofrecer servicios
soportados por sistemas informticos


10 ELEMENTOS DE EVALUACION
1. PLAN DE CONTINUIDAD DEL NEGOCIO
2. CONTROL DE ACCESO DEL SISTEMA
3. DESARROLLO Y MANTENIMIENTO DEL SISTEMA
4. SEGURIDAD FSICA Y AMBIENTAL
5. CONFORMIDAD Y/O CUMPLIMIENTO
6. SEGURIDAD DEL PERSONAL
7. ORGANIZACIN DE LA SEGURIDAD
8. ADMINISTRACIN DE LOS PROCESOS
INFORMTICOS DE LA RED
9. CLASIFICACIN Y CONTROL DEL
ACTIVO
10. POLTICA DE LA SEGURIDAD
Evitar interrupciones a las actividades econmicas
y a los procesos crticos del negocio, evaluando los
efectos de incidentes o de desastres importantes.

-Controlar el acceso a la informacin
-Prevenir el acceso desautorizado a los sistemas de
informacin
-Asegurar la proteccin de servicios de red
-Prevenir el acceso desautorizado a los computadores.
-Detectar actividades no autorizadas.

-Asegurar la construccin de sistemas operacionales.
-Prevenir la prdida, modificacin o el uso errneo de los datos
-Proteger el secreto, la autenticidad y la integridad de la
informacin
-Mantener la seguridad del software del sistema

-Prevenir el acceso a personas no autorizadas a la informacin
-Prevenir la prdida o dao en los activos.
-Prevenir el hurto recursos con informacin y un mal
tratamiento de ellos.


-Evitar la ambigedad de cualquier obligacin criminal o civil
-Asegurar la conformidad entre sistemas de seguridad y polticas
-Maximizar la eficacia y reducir al mnimo la interferencia externa
a los procesos o sistemas.


-Reducir riesgos de error, hurto, fraude
-Asegurarse de que los operadores estn enterados de amenazas
-Reducir al mnimo el dao de incidentes y de mal funcionamiento


-Manejar la seguridad de la informacin dentro de la compaa
-Mantener la seguridad de los recursos de la organizacin
-Mantener la seguridad de la informacin

-Asegurar la operacin correcta y segura
-Reducir al mnimo el riesgo de fallas
-Proteger la integridad lgica del software
-Mantener la integridad, disponibilidad

-Mantener la proteccin apropiada de
activos corporativos
-Designacin y capacitacin de Propietarios
de la Informacin

Proporcionar a la direccin o gerencia la
ayuda para la seguridad de la informacin a
travs de la elaboracin de la Poltica
Empresarial de Seguridad de la Informacin.

GUIA DE AUDITORA BASADA EN ISO 17799
FORMA DE EVALUACIN
Evaluacin por No cumplimiento
Los resultados sirven para la planificacin estratgica.
Es recomendable definir metas por % de No cumplimiento

ELEMENTOS A SER CONSIDERADOS EN EL
PROGRAMA DE TRABAJO
P1.ASEGURAMIENTO DEL HARDWARE,
PERIFRICOS Y OTROS EQUIPOS
P1.1. Compra e instalacin de Hardware
P1.2. Cableados, UPS, Impresoras y Mdems
P1.3.1. Consumibles
P1.3.2. Medios removibles
P1.4.1 Contratos de procesos tercerizados
P1.4.2 Uso de Computadores porttiles
P1.4.4 Teletrabajo
P1.4.5 Movimiento de hardware
P1.4.6 Telfonos mviles
P1.4.7 Centro de Negocios (Hoteles)
P1.5.1 Uso de armarios con cerradura
P1.5.3. Armarios contra incendios
P1.5.4. Uso de bvedas o caja fuerte
P1.6.1. Documentos de hardware
P1.6.1. Mantenimiento de inventario de hardware
P1.7.1. Disposicin de equipamiento obsoleto
P1.7.2. Registro de fallas de hardware.
P1.7.3. Pliza de Seguros para hardware
P1.7.4 Plizas para portables durante viajes
P1.7.5 Pantallas de descanso / Proteccin
P1.7.6. Login / Logout
P1.7.7 Buzn y contestador automtico
P1.7.8 Dispositivos llevados fuera de ambientes
P1.7.9. Mantenimiento de hardware
P1.7.10. Memorias de discado rpido
P1.7.11 Limpieza de teclados y pantallas
P1.7.12 Dao de equipos


P2. CONTROL DE ACCESOS A LA
INFORMACIN Y A LOS SISTEMAS
P2.1.1. Administracin de Estndares.
P2.1.2. Administracin de accesos usuarios
P2.1.3 Aseguramiento de PC no asignadas
P2.1.4 Administracin de accesos a la red
P2.1.5 Accesos al software de Sistema Operativo
P2.1.6 Administracin de Passwords
P2.1.7 Seguridad contra accesos no autorizados
P2.1.8 Restriccin de accesos
P2.1.9 Monitoreo y uso del sistema de accesos
P2.1.10 Accesos a archivos y documentos
P2.1.11 Sistemas de alto riesgo
P2.1.12 Accesos de usuarios remotos

P3.PROCESAMIENTO DE INFORMACIN Y
DOCUMENTOS
P 3.1.1 Configuracin de redes
P 3.1.2 Administracin de red
P 3.1.3 Acceso remoto a la red
P 3.2.1 Designacin de Administradores
P 3.2.2. Administracin de sistemas
P3.2.3 Control de distribucin de datos
P 3.2.4 Acceso autorizado de terceros
P 3.2.5 Administracin de llaves electrnicas
P3.2.6 Administracin de operaciones
P3.2.7 Admin de Documentacin del sistema
P 3.2.8 Monitoreo de Log de errores
P 3.2.9 Planificacin de operaciones
P 3.2.10 Planificacin de los cambios a las rutinas
P 3.2.11 Monitoreo de pistas de auditora
P 3.2.12 Sincronizacin de relojs de sistema
P. 3.2.13 Respuesta a fallas del sistema
P 3.2.14 Uso de reportes de transaccin y procesos
P 3.2.15 Administracin o procesamiento de TI tercerizada
P3.Procesamiento de Informacin y Documentos
P 3.3 E-mail yWorld Wide Web
P 3.3.1 Obtencin de archivos e informacin
P 3.3.2 Uso y envo de firma digital
P 3.3.3 Envio de e-mail
P 3.3.4 Recepcin de e-mail
P 3.3.5 Retencin o borrado de emails
P 3.3.6 Configuracin de acceso a intranet
P 3.3.7 Configuracin de acceso a internet
P 3.3.8 Desarrollo de un Sitio WEB
P 3.3.10 Recepcin de mail mal direccionados
P 3.3.11 Remitir mails
P 3.3.12 Uso de Internet por trabajo
P 3.3.13 Informacin para compras por internet
P 3.3.14 Uso de Navegadores
P 3.3.15 Uso de motores de bsqueda
P 3.3.16 Mantenimiento del web site
P 3.3.17 Filtrado de material inapropiado
P 3.3.18 Aseguramiento de fuentes dudosas
P 3.4 Telfonos y Fax
P 3.4.1 Conferencias telefnicas
P 3.4.2 Facilidades de video conferencia
P 3.4.3 Grabado de conversaciones telefnicas
P 3.4.4 Recepcin de faxes maldireccionados
P 3.4.5 Compras por telfono
P 3.4.6 Transmisin de informacin
P 3.4.7 Personas solicitantes de informacin
P 3.4.8 Recepcin de faxes no solicitados
P 3.5 Administracin de Datos
P 3.5.1. Transfiriendo e intercambiando datos
P 3.5.2 Administrando medios de almacenamiento
P 3.5.3 Administracin de BD
P 3.5.4 Correcciones de BD en emergencia
P 3.5.5 Recepcin de informacin en discos
P 3.5.6 Estableciendo carpetas y directorios
P 3.5.7 Correcciones a la estructura de directorios
P 3.5.8 Archivando documentos
P 3.5.9 Politica de retencin
P 3.5.10 Configurando nuevas hojas de clculo
P 3.5.11 Configurando nuevas BD
P 3.5.12 Vnculos de informacin entre documentos y archivos
P 3.5.13 Actualizacin en reportes de proyectos
P 3.5.15 Uso de software para control de versin
P 3.5.16 Datos compartidos en sistemas de control de proyectos
P 3.5.17 Actualizacin de informacin de clientes
P 3.5.18 Nombres significativos para los archivos




P3.PROCESAMIENTO DE INFORMACIN Y
DOCUMENTOS
P 3.5.19 Uso de encabezados y pie de pgina
P 3.5.20 Uso y borrado de archivos temporales
P 3.5.21 Usando archivos de terceras partes
P 3.5.22 Informacin en manos usuarias
P 3.6 Respaldo, Restauracin y Almacenamiento
P 3.6.1 Reinicio o restauracin del sistema
P 3.6.2 Respaldo de datos desde portables
P 3.6.3 Administracin de procedimientos
P 3.6.4 Almacenamiento
P 3.6.6 Recuperacin
P 3.7 Manejo de documentos
P 3.7.1 Copias impresas
P 3.7.2 Fotocopias de informacin confidencial
P 3.7.3 Archivo de informacin sensible
P 3.7.4 Firma de documentos
P 3.7.5 Validacin de documentos
P 3.7.6 Aprobacin de documentos
P 3.7.7 Verificacin de firmas
P 3.7.8 Recepcin de mail no solicitado
P 3.7.9 Estilo y presentacin de reportes
P 3.7.10 Transporte de informacin sensible
P 3.7.11 Destruccin de copias no deseadas
P 3.7.12 Administracin recomendada
P 3.8 Aseguramiento de Datos
P 3.8.1 Uso de tcnicas de encriptacin
P 3.8.2 Compartir informacin
P 3.8.3 Envo de informacin a terceras partes
P 3.8.4 Confidencialidad de la informacin del cliente.
P 3.8.5 Manejo de datos de TC de clientes
P 3.8.6 Riesgo de Fuego
P 3.8.8 Trato de informacin financiera sensible
P 3.8.9 Borrado de datos. Propiedad
P 3.8.10 Proteccin con passwords
P 3.8.11 Impresin de informacin clasificada
P 3.9 Otros aspectos relacionados
P 3.9.1 Uso de Control dual de ingreso
P 3.9.2 Cargado de protectores personales de pantalla.
P 3.9.4 Uso personal de las fotocopiadoras
P 3.9.5 Entrevistas con los medios
P 3.9.6 Entrevistas con clientes
P 3.9.7 Control dual y segregacin de funciones
P 3.9.8 Poltica de escritorios limpios (fotos).
P 3.9.9 Envo equivocado de informacin a terceras partes
P 3.9.11 Viajes de Negocio
P 3.9.12 Verificacin de lmites de crdito

P4.COMPRA Y MANTENIMIENTO DE
SOFTWARE COMERCIAL
P 4.1 Compra e instalacin de software
P 4.1.1 Especificaciones usuarias.
P 4.1.2 Seleccin de software de negocio
P 4.1.3 Seleccin de software de ofimatica
P 4.1.4 Uso de software con licencia
P 4.1.5 Implementacin o upgrade de software
P 4.2 Mantenimiento y actualizacin de software
P 4.2.1 Aplicacin de parches
P 4.2.2 Actualizacin de software
P 4.2.3 Respuesta a los upgrades
P 4.2.4 Interfases de aplicaciones
P 4.2.5 Soporte de aplicaciones
P 4.2.6 Upgrade del software de sistema operativo
P 4.2.7 Soporte del SO
P 4.2.8 Registro y reporte de fallas de software

P5.DESARROLLO Y MANTENIMIENTO DE
SOFTWARE PROPIO
P 5.1 Control de cdigo fuente
P 5.1.1 Administracin de libreras operativas
P 5.1.2 Administracin de libreras de fuentes
P 5.1.3 Control de fuentes durante el desarrollo
P 5.1.4 Control del listado del programa
P 5.1.6 Control de versiones anteriores
P 5.2 Desarrollo de software
P 5.2.1. Desarrollo de software
P 5.2.2 Cambios de emergencia
P 5.2.3 Establecer propietarios para los cambios
P 5.2.4 Justificacin de nuevos desarrollos
P 5.2.5 Administracin de cambios
P 5.2.6 Ambientes de desarrollo y operaciones
P 5.3 Pruebas y entrenamiento
P 5.3.1 Ambientes de control
P 5.3.2 Uso de datos reales para la prueba
P 5.3.3 Testeo de usuario, calidad y seguridad
P 5.3.4 Planeamiento de capacidad
P 5.3.5 Pruebas en paralelo
P 5.3.6 Entrenamiento usuario
P 5.4 Documentacin
P 5.4.1 Documentacin de sistemas nuevos y modificados.

P5.DESARROLLO Y MANTENIMIENTO DE
SOFTWARE PROPIO
P 6.1 Contra el CiberCrimen
P 6.1.1 Defensa contra ataques premeditados
P 6.1.2 Minimizando el impacto
P 6.1.3 Recoleccin de evidencia para persecucin
P 6.1.4 Defensa contra ataques internos
P 6.1.5 Defensa contra ataques oportunistas
P 6.1.6 Salvaguarda contra negacin de servicio
P 6.1.7 Defensa contra hackers, vandalismo
P 6.1.8 Defensa contra virus
P 6.1.8 Defensa contra falsos virus

P7.CUMPLIMIENTO LEGAL Y DE POLTICAS
P 7.1 Cumplimiento de obligaciones legales
P 7.1.1 Conciencia sobre las obligaciones
P 7.1.2 Ley de Proteccin de datos - Habeas Data
P 7.1.3 Legislacin sobre propiedad intelectual
P 7.1.4 Ley sobre propiedad de BD
P 7.1.5 Licenciamiento de software
P 7.1.6 Aspectos legales sobre el mal uso de computadores.
P 7.2 Cumplimiento de Polticas
P 7.2.1 Administracin de medios. Periodos de retencin
P 7.2.2 Polticas de seguridad de la informacin
P 7.2.3 Polticas Internas
P 7.3 Prevencin de litigios
P 7.3.1 Prevencin de Difamacin y Calumnia
P 7.3.2 Descarga de material propietario desde internet.
P 7.3.3 Envo electrnico de material propietario
P 7.3.4 Uso de textos desde reportes, libros o documentos
P 7.4 Varios
P 7.4.1 Registro de evidencias en incidentes de seguridad
P 7.4.2 Renovacin de Registro de Dominio
P 7.4.3 Riesgos con plizas de seguros
P 7.4.4 Registro de llamadas telefnicas


P8.CONTINUIDAD DEL NEGOCIO
P 8.1 Administracin de la Continuidad Comercial
P 8.1.1 Iniciacin del proyecto BCP
P 8.1.2 Evaluacin de Riesgos del BCP
P 8.1.3 Desarrollo del BCP
P 8.1.4 Prueba del BCP
P 8.1.5 Entrenamiento y concientizacin
P 8.1.6 Mantenimiento y actualizacin

P9 PROBLEMAS DE PERSONAL
RELACIONADOS A SEGURIDAD
P9.1 Documentos contractuales
P 9.1.1 Preparacin de trminos y condiciones
P 9.1.2 Contratacin de personal nuevo
P 9.1.3 Empresas de contratacin
P 9.1.4 Acuerdos de confidencialidad
P 9.1.5 Uso abusivo de la papeleria en la empresa
P 9.1.6 Compartir o prestar llaves
P 9.1.8 Cumplimiento de la Poltica de seguridad
P 9.1.9 Establecimiento de propiedad intelectual
P 9.1.10 Responsabilidad por la Confidencialidad
P9.2 Confidencialidad de datos personales
P 9.2.1 Respetando la privacidad en el trabajo
P 9.2.2 Manejando la informacin confidencialidad de los
empleados
P 9.2.3 Dando referencias sobre el staff
P 9.2.4 Verificando antecedentes del staff
P 9.2.5 Compartir datos de unos empleados a otros empleados.
Salarios (Caso del sindicato)
P9.3 Responsabilidades del personal respecto a la seguridad
P 9.3.1 Uso moderado y correcto del internet
P 9.3.2 Resguardo de claves y PIN
P 9.3.3 No compartir informacin institucional confidencial con
otros empleados
P 9.3.4 Uso del correo para uso particular
P 9.3.5 Uso del telfono para uso particular
P 9.3.6 Uso de mviles para uso particular

P 9.3.7 Uso de TC Corporativas
P 9.3.8 Firmando por objetos entregados
P 9.3.9 Firmando por trabajos realizados
P 9.3.10 Ordenando objetos y servicios
P 9.3.11 Verificacin de facturas y demandas
financieras antes de su pago
P 9.3.12 Aprobacin y autorizacin de gastos
P 9.3.13 Respondiendo por telfono
P 9.3.14 Compartiendo informacin sensible
con familiares
P 9.3.15 Informacin confidencial entre
chismes y copas
P 9.3.17 Juegos de computadora en la oficina
P 9.3.18 Uso de Pc para uso personal
P9.4 Administracin de RRHH
P 9.4.1 Tratando con persona descontento
P 9.4.2 Registro oficial en reuniones del
personal
P9.5 Separacin de empleados
P 9.5.1 Administracin de renuncias del
personal
P 9.5.2 Separacin por oferta de la
competencia
P 9.5.3 Recomendacin profesional de
consultores


P 11. ENTRENAMIENTO Y
CAPACITACIN DEL PERSONAL
P 11.1 Capacitacin
P 11.1.1 Capacitacin del personal
permanente
P 11.1.2 Capacitacin de Terceros
P 11.1.3 Capacitacin de empleados
temporales
P 11.1.4 Comunicacin y participacin
gerencial
P 11.1.5 Comunicados relacionados
constantes
P 11.2 Entrenamiento
P 11.2.1 Entrenamiento de Seguridad en
nuevos sistemas.
P 11.2.2 Entrenamiento peridico del Oficial
de Seguridad de la Informacin (flujos)
P 11.2.3 Entrenamiento de los usuarios en
seguridad de la informacin (fotos).
P 11.2.4 Entrenamiento del personal tcnico
en seguridad de la informacin.
P 11.2.5 Entrenamiento de los nuevos
usuarios en seguridad de la informacin.

P 12. ASPECTOS RELACIONADOS CON
AMBIENTES
P 13 DETECCIN Y ACCIONES ANTE
INCIDENTES
P 14 CLASIFICACIN DE LA
INFORMACIN Y LOS DATOS