SEGURIDAD DE AUDITORIA DE SISTEMAS

Clase 01 Conceptos Bsicos de Auditoria

El nico sistema verdaderamente protegido es

aqul que est apagado, encerrado en un bloque
de hormign y sellado en una habitacin forrada
de plomo con guardias armados - y an as tengo
mis dudas .

Gene Spafford profesor y experto en seguridad informtica

(1989).

Objetivo: Dotar al estudiante Un ejrcito victorioso gana

de las competencias necesarias primero y entabla la batalla
para entender, hacer frente y despus; un ejrcito derrotado
lucha primero e intenta obtener
gestionar un proceso de auditoria la victoria despus.
(Como: Empresario o Gerente,
Sun Tzu
como auditor o como auditado).
MA. Juan Carlos Retegui Morales
reateguimoralesjuancarlos@gmail.com
Seguridad de Auditora de Sistemas 1
 INTRODUCCIN
Hoy en da los sistemas computacionales forma parte de la gestin
de la empresa.

Los sistemas no gestiona propiamente a la empresa, sino que

ayuda a la toma de decisiones.

Debido a la importancia en el funcionamiento de una empresa es

que existe la Auditora de Sistemas.

Seguridad de Auditora de Sistemas 2

Seguridad de Auditora de Sistemas 3
 AUDITORA
Qu es auditora?

Proviene del latn auditorius y esta proviene de la palabra auditor

que significa todo aquel que tiene la virtud de oir
Auditora: es un examen crtico que se realiza con fin de evaluar la
eficacia y eficiencia de una actividad.

Auditor: es el responsable de realizar la actividad de evaluar la

eficiencia y eficacia.

Seguridad de Auditora de Sistemas 4

 QUE ES AUDITORA?
Es la revisin independiente que realiza un auditor profesional,
aplicando tcnicas, mtodos y procedimientos especializados, a fin de
evaluar el cumplimiento de las funciones, actividades, tareas y
procedimientos de una entidad administrativa, as como dictaminar
sobre el resultado de dicha evaluacin

Muoz Razo, Carlos Auditora de sistemas computacionales

Seguridad de Auditora de Sistemas 5

 TIPOS DE AUDITORIA

Por su lugar de aplicacin:

Externa -Realizada por auditores
Interna totalmente ajenos a la empresa.
- El auditor tiene total libertad
Por su rea de aplicacin: de criterio y ninguna influencia
Financiera - La emisin de los resultados
Administrativa es absolutamente
Operacional independiente
Integral
Gubernamental
Sistemas
De Sistemas de Gestin (ISO)
Seguridad de Auditora de Sistemas 6
 TIPOS DE AUDITORIA

Por su lugar de aplicacin:

Externa -Realizada por auditores que
Interna laboran en la empresa.
- El auditor tiene algn tipo de
Por su rea de aplicacin: dependencia con los jefes.
Financiera -El dictamen final es interno y
Administrativa permite diagnosticar la actuacin
Operacional de los empleados de las reas que
Integral se auditan.
Gubernamental
Sistemas
De Sistemas de Gestin
Seguridad de Auditora de Sistemas 7
 OBJETIVOS
Realizar una revisin independiente de las actividades, reas o
funciones especiales de una institucin, a fin de emitir un dictamen
profesional sobre la razonabilidad de sus operaciones y resultados.

Hacer una revisin especializada, desde un punto de vista

profesional y autnomo, del aspecto contable, financiero y
operacional de una empresa.

Evaluar el cumplimiento de los planes, programas, polticas,

normas y lineamientos que regulan la actuacin de los empleados
y funcionarios de una institucin.

Determinar de manera profesional e independiente sobre los

resultados obtenidos por unadeempresa
Seguridad y sus reas.
Auditora de Sistemas 8
 AUDITORIA DE SISTEMAS
Es la revisin tcnica, especializada y exhaustiva que se realiza a los
sistemas computacionales, software e informacin utilizados en una
empresa, sean individuales, compartidos y/o de redes, as como a sus
instalaciones, telecomunicaciones, mobiliario, equipos perifricos y
dems componentes.

Dicha revisin se realiza de igual manera a la gestin informtica, al

aprovechamiento de sus recursos, las medidas de seguridad y los
bienes necesarios para el funcionamiento del centro de cmputo.

Muoz Razo, Carlos Auditora de sistemas computacionales

Seguridad de Auditora de Sistemas 9

 REAS DE LA AUDITORIA
DE SISTEMAS
Auditora fsica
Auditora de la ofimtica
Auditora de la direccin
Auditora de la explotacin
Auditora del desarrollo
Auditora del mantenimiento
Auditora de bases de datos
Auditoria de tcnica de sistemas
Auditoria de la calidad
Auditoria de la seguridad de informacin
Auditoria de redes
Auditoria de aplicaciones
Seguridad de Auditora de Sistemas 10
 OBJETIVOS AUDITORIA DE
SISTEMAS
Salvaguardar los activos. Proteccin del hardware, software y
recursos humanos.

Integridad de los datos. Los datos deben mantener consistencia y no

duplicarse.

Eficacia de los sistemas. Los objetivos deben cumplir con los

objetivos de la organizacin.

Eficiencia de sistemas. Que se cumplan los objetivos con los

menores recursos.

Seguridad y confidencialidad.
Seguridad de Auditora de Sistemas 11
 IMPORTANCIA DE LA
AUDITORIA DE SISTEMAS
La importancia de realizar una auditora de sistemas se debe a:

Las computadoras se convierten en blancos apetecibles para el

espionaje, la delincuencia y el terrorismo (Auditora de la
seguridad).

Los sistemas creados para procesar y difundir informacin

elaborada pueden producir informacin errnea si dichos datos
son errneos (auditora de bases de datos, aplicaciones).

Un sistema informtico mal diseado se convierte en una

herramienta peligrosa para la empresa, puesto que las mquinas
obedecen ciegamente las rdenes que reciben.
Seguridad de Auditora de Sistemas 12
 SISTEMA DE CONTROL INTERNO

Conjunto de acciones, actividades, planes, polticas,

normas, registros, organizacin, procedimientos y
mtodos incluyendo la actitud de las autoridades y el
personal, organizados e instituidos en cada entidad
del Estado o empresa privada.

13
13
 CONTROL INTERNO

Controla diariamente que todas las actividades de

sistemas de informacin sean realizadas cumpliendo
los procedimientos, estndares y normas fijadas por la
Direccin de la organizacin o la Direccin
informtica.

Propsito es asegurarse de que las medidas que se

obtienen de los mecanismos implantados por cada
responsable sean correctas y vlidas
COSO Committee of Sponsoring Organizations of the Treadway Commission (COSO):
iniciativa de 5 organismos para la mejora de control interno dentro de las
Seguridad de Auditora de Sistemas 15
organizaciones.
DEFINICIN DE CONTROL

Comprobar:
Verificar,
confirmar la
veracidad o la
exactitud de
algo.
Supervisin:
Es ejercer la
Inspeccionar:
inspeccin
Examinar,
superior en
reconocer
trabajos
atentamente
realizados por
otros CONTROL

Intervenir:
Fiscalizar:
Examinar y
Criticar y traer
censurar las
a juicio las
cuentas con
acciones u
autoridad
obras de
suficiente para
alguien
ello.
16
DEFINICIN DE CONTROL GUBERNAMENTAL (LEY N 27785)
CONTROL GUBERNAMENTAL

Supervisar Los Actos y resultados de la

Vigilar, y Qu?
Gestin Pblica
Verificar Uso y destino de los recursos
pblicos

Oportunidad del CRITERIOS

Control
Formas de control Eficiencia
Eficacia Uso y destino de los
Transparencia, y recursos pblicos
Economa

Normas Legales
Lineamientos de
Cumplimiento
Poltica
Planes de Accin

Cmo
Sistemas de
Evaluando administracin
Sistemas de gerencia
Sistema de Control
COMPONENTES DE CONTROL INTERNO (LEY N 28716 VS COSO)

La Ley N 28716 COSO y La Gua INTOSAI

El ambiente de control. Ambiente de control

La evaluacin de riesgos Evaluacin de riesgos

Las actividades de Actividades de control

control gerencial gerencial
Sistema de informacin Informacin y
y comunicacin comunicacin
Las actividades de
Supervisin
prevencin y monitoreo
El seguimiento de
resultados
Los compromisos de
mejoramiento
18
CONTROL INTERNO COMPONENTES

Las Normas de Control OBJETIVOS

Interno identifican cinco
componentes del control
interno que requieren estar
establecidos e integrados
para asegurar el
cumplimiento de cada uno
de los objetivos.

Los componentes son

interrelacionados y sirven
como criterio para
determinar si el sistema de
control es efectivo. COMPONENTES

19
CONTROL INTERNO COMPONENTES Y NORMAS BSICAS

CONTROL DE
EVALUACION

6
9
10
4
8

37 normas bsicas 20
 GESTIN POR PROCESOS

SISTEMA INTEGRADO DE GESTIN

Sistema de Gestin de Calidad
Sistema de Gestin Ambiental
Sistema de Gestin de Seguridad y Salud del Trabajo
Sistema de Gestin de Seguridad de la Informacin
Sistema de Control Interno

Secuencia de Producto con

actividades calidad
Insumos y Recursos Salida exigida
Entrada Proceso (humanos,
(Input) Proveedores (output) Clientes,
equipos, usuarios o
software y ciudadanos
hardware)

21
GESTIN POR PROCESOS
 GESTIN POR PROCESOS
Proceso: Secuencia de actividades mutuamente relacionadas o que interactan, las
cuales transforman elementos de entrada en resultados (UNE-EN ISO 9000:2005).

La gestin de procesos o gestin basada en procesos es uno de los 8 principios de la

gestin de la calidad. Su importancia radica en que los resultados se alcanzan con ms
eficiencia cuando las actividades y los recursos relacionados se gestionan como un
proceso. La gestin basada en procesos fue uno de los grandes aportes de la gestin de
la calidad cuando naci como evolucin del aseguramiento de la calidad.

En general, cualquier organizacin tiene establecida una gestin funcional, esto es, se
trabaja en departamentos con una definicin clara de la jerarqua y se concentra la
atencin en el resultado de las actividades de cada persona o cada departamento. Al
adoptar un enfoque de gestin por procesos, no se elimina la estructura de
departamentos de la organizacin pero se concentra la atencin en el resultado de cada
proceso y en la manera en que stos aportan valor al cliente.

23
 PRINCIPIOS DE LA CALIDAD
Principio 1: Enfoque al Cliente
Principio 2: Liderazgo
Principio 3: Participacin del personal
Principio 4: Enfoque basado en procesos
Principio 5: Enfoque de sistema para la gestin
Principio 6: Mejora continua
La mejora continua del desempeo global de una organizacin debera ser un objetivo
permanente de sta.
Esa mejora continua de los procesos se consigue siguiendo el ciclo PCDA del Dr. E.
Deming: Planificar Desarrollar Controlar Actuar, para mejorar.
Principio 7: Enfoque basado en hechos para la toma de decisin
Las decisiones se basan en el anlisis de los datos y la informacin.
Lo que no se puede medir no se puede controlar, y lo que no se puede controlar es un
caos. Esto no se puede olvidar.
Principio 8: Relaciones mutuamente beneficiosas con el proveedor
Una organizacin y sus proveedores son interdependientes, y una relacin mutuamente
beneficiosa aumenta la capacidad de ambos para crear valor.
Es necesario desarrollar alianzas estratgicas con los proveedores para ser ms
competitivos y mejorar la productividad y la rentabilidad. En las alianzas, gana 24
tanto la
organizacin como los proveedores.
 Beneficios
BENEFICIOS de la implementacin
DE LA IMPLEMENTACION DEL SCI del SCI

SCI = SISTEMA INMUNOLGICO DE LA ENTIDAD

PRINCIPIOS APLICABLES AL SCI

TODO FUNCIONARIO Y SERVIDOR

DEL ESTADO DEBE:
Controlar su trabajo.
Autocontrol Detectar deficiencias o desviaciones.
Efectuar correctivos para el
mejoramiento.

TODA INSTITUCIN DEBE:

Desarrollar disposiciones, mtodos y
Autorregulacin procedimientos para asegurar la
eficacia, eficiencia, transparencia y
legalidad en los resultados.

TODA INSTITUCIN DEBE:

Conducir, planificar, ejecutar, coordinar
Autogestin y evaluar las funciones a su cargo con
sujecin a la normativa aplicable y
objetivos previstos.

LA TRIPLE A (AAA) 26
QU ES CONTROL INTERNO?

Un proceso integral, continuo y dinmico:

TITULARES
REALIZADO GERENCIA
POR:
PERSONAL

Proporciona seguridad razonable respecto del

logro de los objetivos

27
 OBJETIVOS DEL CONTROL
INTERNO

Controlar que todas las actividades se realizan

cumpliendo los procedimientos y normas fijados y de las
normas legales.

Asesorar sobre el conocimiento de las normas.

Colaborar y apoyar el trabajo de la Auditora de sistemas.

Definir implantar y ejecutar mecanismos y controles para

comprobar el logro de los grados adecuados del servicio
de informtica.
 DEFINICIN DE CONTROLES

Para los sistemas (centrales, departamentales, redes locales,

PCs, etc.) y entornos informticos (produccin, desarrollo o
pruebas) se debe definir controles para:

El cumplimiento de procedimientos, normas, polticas.

Controles sobre la produccin diaria
Sobre la calidad y eficiencia del desarrollo y
mantenimiento del software y del servicio informtico
Controles en las redes de comunicaciones
La seguridad informtica
Licencias y relaciones contractuales con terceros
Asesorar y transmitir cultura sobre el riesgo informtico
 CONTROL INTERNO Y
AUDITORIA DE SISTEMAS
CONTROL INTERNO AUDITORIA DE SISTEMAS
INFORMTICO
Personal interno
Conocimientos especializados en TICs
SIMULITUDES
Verificacin de cumplimiento de controles internos, normas y
procedimientos establecidos por la Direccin
Anlisis de controles en el da a Anlisis en un momento
da determinado
Informa a la Direccin de Informa a la Direccin General
Sistemas Personal interno y/o externo
DIFERENCIAS
Slo personal interno Su cobertura es sobre todos los
El alcance de sus funciones es componentes de sistemas de
nicamente sobre el rea de informacin de la Org.
sistemas
 La ISO 19011 Directrices para la auditora de Sistemas de
Gestin
Esta Norma Internacional no establece requisitos, sino que provee una gua
sobre el manejo de un programa de auditora, sobre la planeacin y
realizacin de una auditora a un sistema de gestin, as como sobre la
competencia y evaluacin de un auditor que pertenezca al equipo auditor.

Alcance
Esta Norma Internacional proporciona directrices sobre la auditora a sistemas
de gestin, incluyendo los principios de auditora, el manejo de un programa
de auditora y la realizacin de las auditoras a sistemas de gestin, as como
directrices sobre la evaluacin de competencia de los individuos involucrados
en el proceso de auditora, incluyendo el personal que maneja el programa de
auditora, los auditores y los equipos de auditora.

Esta es aplicable a todas las organizaciones que requieren llevar a cabo

auditorias internas o externas a sistemas de gestin o manejar un programa
de auditora.

Seguridad de Auditora de Sistemas 31

La ISO 19011 Directrices para la auditora de Sistemas de
Gestin

Seguridad de Auditora de Sistemas 32

La ISO 19011 Directrices para la auditora de Sistemas de
Gestin

Seguridad de Auditora de Sistemas 33

 Las Reglas de Juego
Parcial 25%
Final 25%
Trabajos Acadmicos 10% (Exposicin de Tema dado al inicio del Ciclo)
Practica 20% (Practicas Tomadas en Clase Dos (2)
Primera : Auditoria
Segunda: Anlisis de Riesgos
Laboratorios 20%
Primero:
Segundo:

Seguridad de Auditora de Sistemas 34

 TRABAJOS 2017-II
Plan de Clase
Tentativa
1 Metodologa de Auditoria de Base de Datos (Para Sql Server 2016) Clase Fecha
1 07/09/2017 Clase I
2 Proyecto de Implementacin de ITIL Clase II
2 14/09/2017
3 Auditoria de paginas web 3 21/09/2017 Clase III LAB 01
4 Metodologa de Auditoria de Redes 4 28/09/2017 Clase IV
5 05/10/2017 Clase V Exp-1
5 Metodologa de Auditoria de Aplicaciones Informticas
6 12/10/2017 Clase VI Exp-2
Proyecto para la Implementacin de la ISO 45001 Sistema de Seguridad y Salud en 7 19/10/2017 Clase VII P1 Exp-3
6 el Trabajo
8 26/10/2017 E.P
7 Ethical Hacking (Uso de KALI) 9 02/112017 Clase VIII
8 Seguridad de aplicaciones (USO DE OWASP ) 10 09/11/2017 Clase IX LAB 2 Exp-4
11 16/11/2017 Clase X Exp-5-6

12 23/11/2017 Clase XI P2 Exp-7-8

13 30/11/2017 Clase XII
14 07/12/2017 Clase XIII
Use ayuda de Videos 15 14/12/2017 Clase XIV
16 21/12/2017 Final
17 28/12/2017 Sustitutorio

Forma de Presentar: Parametros de Exposicin

Ficha del Proyecto Presentacin de PPT 5
25% Plan de Proyecto (Inicio, Planificar, desarrollo,control, cierre) Presentacin personal (Dominio de Exposicin) 5
25% Kick Off Contenido del PPT 5
25% Cumplimiento Ayudas adicionales Folletos 2
25% Exposicin Video Ajeno 1
En un CD Video propio 2
Formato APA (SOTERO Y LATEX)
Seguridad de Auditora de Sistemas 35
 Seguridad de Informacin (SI)
La informacin es un activo que, como otros activos importantes del
negocio, tiene valor para la organizacin y requiere en consecuencia
una proteccin adecuada.
La SI protege a sta de un amplio rango de amenazas para asegurar
la continuidad del negocio, minimizar los daos a la organizacin y
maximizar el retorno de las inversiones y las oportunidades de
negocios.
La SI se consigue implantando un conjunto adecuado de controles, que
pueden ser polticas, prcticas, procedimientos, estructuras organizativas
y funciones de software y hardware.
Estos controles necesitan ser establecidos, implementados, monitoreados,
revisados y mejorados donde sea necesario, para asegurar que se
cumplan los objetivos especficos de seguridad y negocios de la
organizacin. Seguridad de Auditora de Sistemas 36
 Seguridad de Informacin
Qu es seguridad de la Informacin?
De acuerdo a la ISO 27000 Es la preservacin de la confidencialidad, integridad y
disponibilidad de la informacin; adems, otras propiedades como autenticidad,
responsabilidad, no repudio y fiabilidad pueden ser tambin consideradas.
ISO 27000

Se entiende por seguridad de la informacin a todas aquellas medidas preventivas y

reactivas de FONCODES que permitan resguardar y proteger la informacin buscando
mantener la confidencialidad, la disponibilidad e integridad de la misma.

La informacin es un activo que, como otros activos importantes del negocio, tiene
valor para la organizacin y requiere en consecuencia una proteccin adecuada. Esto es
muy importante en el creciente ambiente interconectado de negocios. Como resultado
de esta creciente interconectividad, la informacin esta expuesta a un mayor rango de
amenazas y vulnerabilidades.

Seguridad de Auditora de Sistemas 37

Relaciones de la Seguridad

38
 QUE ES LA NTP ISO 27001:2014
ISO 27001 es una norma internacional emitida por la Organizacin
Internacional de Normalizacin (ISO) y describe cmo gestionar la
seguridad de la informacin en una empresa. La revisin ms reciente de
esta norma fue publicada en 2014 y ahora su nombre completo es ISO/IEC
27001:2014.

ISO 27001 puede ser implementada en cualquier tipo de organizacin, con

o sin fines de lucro, privada o pblica, pequea o grande. Est redactada
por los mejores especialistas del mundo en el tema y proporciona una
metodologa para implementar la gestin de la seguridad de la
informacin en una organizacin. Tambin permite que una empresa sea
certificada; esto significa que una entidad de certificacin independiente
confirma que la seguridad de la informacin ha sido implementada en esa
organizacin en cumplimiento con la norma ISO 27001.

La NTP ISO 27001:2014 (Norma Tcnica Peruana) es una traduccin de la

NTP 27001, para el Per realizada en el ao 2014. Es la norma validada
por INDECOPI.
39
ESTRUCTURA DE LA ISO 27001:2014

4. Contexto de
la organizacin

40
Estructura la Seguridad Norma NTP ISO
27001:2014

41
 LA ISO 27001:2014
Su trabajo se centra en funcin a 8 principios bsicos de gestin:

1. Orientacin al cliente.

2. Liderazgo.

3. Participacin del personal.

4. Enfoque de procesos.

5. Enfoque de sistemas de gestin.

6. Mejora continua.

7. Enfoque de mejora contina.

42
8. Relacin mutuamente beneficiosa con el proveedor
 Documentos Necesarios en la implementacin de la ISO 27001
Documentos Captulo de ISO 27001:2014
Alcance del SGSI 4.3
Polticas y objetivos de seguridad de la informacin 5.2, 6.2
Metodologa de evaluacin y tratamiento de riesgos 6.1.2
Declaracin de aplicabilidad 6.1.3 d)
Plan de tratamiento del riesgo 6.1.3 e), 6.2
Informe de evaluacin de riesgos 8.2
Definicin de funciones y responsabilidades de seguridad A.7.1.2, A.13.2.4
Inventario de activos A.8.1.1
Uso aceptable de los activos A.8.1.3
Poltica de control de acceso A.9.1.1
Procedimientos operativos para gestin de TI A.12.1.1
Principios de ingeniera para sistema seguro A.14.2.5
Poltica de seguridad para proveedores A.15.1.1
Procedimiento para gestin de incidentes A.16.1.5
Procedimientos de la continuidad del negocio A.17.1.2
Seguridad de Auditora de Sistemas 43
Requisitos legales, normativos y contractuales A.18.1.1
 Registros Necesarios

Captulo de ISO
Registros 27001:2014
Registros de capacitacin, habilidades, experiencia y
calificaciones 7.2
Resultados de supervisin y medicin 9.1
Programa de auditora interna 9.2
Resultados de las auditoras internas 9.2
Resultados de la revisin por parte de la direccin 9.3
Resultados de acciones correctivas 10.1

Registros sobre actividades de los usuarios, excepciones y

eventos de seguridad A.12.4.1, A.12.4.3

Seguridad de Auditora de Sistemas 44

 ROL DEL AUDITOR
Decidida actitud de mejorar la organizacin, sin confundirla con una bsqueda de
culpables.
Tener en cuenta que los imperativos del da a da impiden muchas veces la reflexin que
el auditor s tiene tiempo de hacer.
No a los juicios precipitados. El auditor expresa su opinin en el informe final a la
direccin, no en charlas durante las entrevistas ni en comentarios informales. Hasta el
mismo instante de la redaccin, la actitud del auditor debe ser de escucha y recogida de
informacin.
Los auditores deben ser altamente cualificados para manejar informacin y tcnicas de
anlisis que permitan estudiar las ingentes cantidades de informacin que encierran los
SI. Los auditores tendrn que:
Evaluar los controles internos.
Evaluar el rendimiento y asegurar que los tiempos y fiabilidad de la informacin
producida satisfacen los requisitos de gestin.

Seguridad de Auditora de Sistemas 45

 LA ISO 27001:2014
Cules son los beneficios de la norma ISO/IEC 27001 de Gestin de la
Seguridad de la Informacin?

Identificar los riesgos y establecer controles para gestionarlos o

eliminarlos.

Confidencialidad, asegurando que slo quienes estn autorizados

puedan acceder a la informacin.

Flexibilidad para adaptar los controles a todas las reas de su

empresa o solo a algunas seleccionadas.

Conseguir que las partes interesadas y los clientes confen en la

proteccin de los datos.

Demostrar conformidad y conseguir el estatus de proveedor

preferente.

Alcanzar las expectativas demostrando conformidad. 46

 BENEFICIOS DE LA ISO 27001:2014
En el mbito de la organizacin, ya que se genera un importante compromiso
con la seguridad de la informacin. La existencia de registros y medidas de
control permiten que la seguridad de la informacin est garantizada en la
organizacin y que estos esfuerzos puedan demostrarse.

En el cumplimiento legal de las exigencias, manifestndose la conformidad de

la empresa en el cumplimiento de los requisitos legales que le sean de
aplicacin para la regin en la que la organizacin tenga su domicilio y para la
actividad que realice.

mbito funcional, ya que se desarrolla una adecuada gestin de los riesgos. La

empresa conoce de forma exhaustiva su organizacin y los sistemas de
informacin que aplican, los problemas que se producen y los medios de
proteccin que se aplican, para as terminar garantizando la mejor
disponibilidad de los materiales y datos, y asegurando su continuidad sin
alteraciones perniciosas no controladas.

47
 BENEFICIOS DE LA ISO 27001:2014
Aspecto de imagen institucional, se genera credibilidad y confianza en la
sociedad.

Tenemos que tener presente que estamos en una sociedad en la que la falta
de confianza de nuestros clientes (beneficiarios), afecta a nuestra imagen
institucional, de la misma manera que la calidad y funcionalidad de nuestros
servicios, y por lo tanto, se debe cuidar tanto un aspecto como el otro.

48
 Recomendacin del auditor de sistemas
Siempre se explicitar la palabra "Recomendacin", y ninguna otra.
Deber entenderse por s sola, por su simple lectura.
Deber estar suficientemente soportada en el propio texto.
Deber ser concreta y exacta en el tiempo, para que pueda ser seguida y verificada
su implementacin.
La recomendacin se redactar de forma que vaya dirigida expresamente a la
persona o personas que puedan implementarla.
Debern evitarse las recomendaciones demasiado generales.
No debern redactarse expresiones como "... se den las rdenes oportunas para
que... ".
Se deber decir: "... se elabore un programa para que en
60 das...".

Seguridad de Auditora de Sistemas 49

 El xito depende de:

Estudiar hechos y no opiniones (no se toman en cuenta los rumores ni la informacin

sin fundamento.-Evidencias-).

Investigar las causas, no los efectos.

Atender razones, no excusas.

No confiar en la memoria, preguntar constantemente.

Criticar objetivamente y a fondo todos los informes y los datos recabados.

Seguridad de Auditora de Sistemas 50

Factor Humano es el eslabon de
la cadena ms dbil de la
seguridad.
Seguridad de Auditora de Sistemas 51
Gestin Seguridad Informacin
ISO-27001:2014

4 1
Actuar Planificar

3 2
Revisar Hacer

Seguridad de Auditora de Sistemas 52

 Competencias claves para el xito en la vida y el buen
funcionamiento de la sociedad
ACTUAR DE MANERA AUTONOMA
Pensamiento
Capacidad para defender y afirmar sus derechos, sus intereses, sus responsabilidades.
crtico y

enfoque Capacidad de concebir y de realizar proyectos de vida y proyectos personales.

Capacidad para actuar en el conjunto de la situacin (el gran contexto).
holstico e

Integrado UTILIZAR HERRAMIENTAS DE MANERA INTERACTIVA

Capacidad de uso del lenguaje, los smbolos y los textos de modo interactivo.

Capacidad de utilizar el saber y la informacin de manera interactiva.

Capacidad de uso de las nuevas tecnologas de manera interactiva.

FUNCIONAR (INTERVENIR) EN GRUPOS SOCIALMENTE HOMOGENOS

Capacidad de mantener buenas relaciones con los dems.

Capacidad de cooperacin.
Capacidad de gestionar y resolver conflictos
Competencias claves para el xito en la vida y el buen funcionamiento de la sociedad. Fuente: Proyecto DeSeCo. (www.deseco.admin.ch)

Seguridad de Auditora de Sistemas 53

 Vocabulario del Consultor
Agregar valor.-Se denomina Valor Agregado o Valor Aadido cuando a un producto se
le agregan caractersticas extras a las que tiene con el fin de darle mayor valor
comercial y lograr cierta diferenciacin para el que lo aplica.

Skill.- Habilidad-Destreza

Relevante.-Significativo-Excelente.

Anlisis GAP.-Anlisis de brechas (Gap analysis). El anlisis de brechas se basa en

contrastar el estado de la situacin actual y el estado esperado o ideal.

TQM(Total Quality Management).-La Gestin de la Calidad Total

Asertivo.-Es la capacidad de expresar tus sentimientos, ideas y opiniones, de manera

libre, clara y sencilla, comunicndolos en el momento justo y a la persona indicada.

Eficacia.-Es la capacidad de alcanzar el efecto que espera o se desea tras la realizacin

de una accin.

Seguridad de Auditora de Sistemas 54

 Vocabulario del Consultor
Eficiencia.- la relacin entre los recursos utilizados en un proyecto y los logros
conseguidos con el mismo. Se entiende que la eficiencia se da cuando se utilizan menos
recursos para lograr un mismo objetivo. O al contrario, cuando se logran ms objetivos
con los mismos o menos recursos.

Consultor.-Un consultor (del latn consultus que significa "asesoramiento") es un

profesional que provee de consejo experto en un dominio particular o rea de
experiencia.

Gobierno corporativo.- Se refiere al conjunto de principios y normas

que regulan el diseo, integracin y funcionamiento de los rganos
de gobierno de la empresa, como son los tres poderes dentro de una
sociedad: los Accionistas, Directorio y Alta Administracin.

Gobierno corporativo de TI (ISO 38500).- El Gobierno de TI y la

norma ISO/IEC 38500 proporcionan un marco de principios para que la
direccin de las organizaciones los utilice al evaluar, dirigir y
monitorizar el uso deSeguridad
las de Auditora
tecnologas
de Sistemas de la informacin
55 y
comunicaciones (TIC).
 Controlando lo Aprendido

Que es Auditoria de Sistemas?

Para que sirve la auditoria?

Qu objetivos tiene la auditoria?

Qu tipos de auditoria conoce?

Qu es Seguridad de Informacin?

Qu es Control Interno (CI)?

Cuales son los componentes de CI?

Cules son los principios de CI?

Seguridad de Auditora de Sistemas 56
 Controlando lo Aprendido
Cules son los objetivos de CI?
Qu es Gestin de Procesos?
Qu beneficios otorga implementar ISO 27001?
Cuales son los principios bsicos de la ISO 27001?
Cules son los dominios de la ISO 27001?
Documentos necesarios para implementar la ISO 27001?
Registros necesarios para implementar la ISO 27001?
Qu es un registro?
Qu es No Repudio?
Por qu debe implementarse la ISO 27001?

Seguridad de Auditora de Sistemas 57

Referencias Bibliogrficas:

ISO 27001 TECNOLOGIA DE LA INFORMACION: Tcnicas de seguridad.

Sistemas de gestion de la informacin. Requisitos.
ISO 19011 Directrices para auditoria de gestin.
ISO 31001 Gestin del Riesgo. Principios y Directrices.

Seguridad de Auditora de Sistemas 58

 Video de Consultor

https://www.youtube.com/watch?v=WFwsho6Ae5Y

Seguridad de Auditora de Sistemas 59

Muchas Gracias

Seguridad de Auditora de Sistemas 60