UNIDAD I Conceptos de Auditoria y de Seguridad de Informacin

BIBLIOGRAFIA ISACA ISO 17999 Seguridad de Informacin ISO 19011 Auditorias Internas de Sistemas de Gestin de la Calidad

Marjorie Chaln Troya

Actividad Previo a la Clase

1. Qu conocen acerca de la seguridad de informacin? 2. Cmo pueden proteger la informacin?

Agenda
1.1 Qu es Auditoria? 1.2 Qu es la Auditoria de SI? 1.3 Definicin de: criterios de auditora (poltica y procedimientos), evidencia, hallazgo de auditora. 1.4 Objetivos de Auditoria 1.5 Concepto de seguridad de la informacin.

Introduccin
Hoy en da la informacin representa un activo importante dentro de las organizaciones, puede existir de distintas maneras y ser almacenada o distribuida mediante sistemas de informacin. La seguridad de la proteccin de la informacin de una variedad de amenazas de manera que se asegure la continuidad del negocio, se minimice el riesgo de negocio, y se maximice el retorno de las inversiones y las oportunidades de negocio. De acuerdo al estndar internacional ISO/IEC 17799:2005

1.1 Qu es la Auditoria
Inspeccin formal y verificacin para evaluar el seguimiento de un estndar o conjunto de directrices, exactitud de documentacin, o si se identifican practicas de eficiencia y efectividad.

1.2 Qu es la Auditoria de SI
Auditoria de Sistemas.- Es el proceso de reunir y evaluar la evidencia para determinar si los sistemas de informacin y los recursos relacionados protegen adecuadamente los activos, mantienen la integridad y disponibilidad de los datos y del sistema, proveen informacin relevante y confiable, logran de forma efectiva las metas de la organizacin, usan eficientemente los recursos y tienen en efecto controles internos que proveen una certeza razonable que los objetivos de negocio, operacionales y de control sern alcanzados y que los eventos no deseados sern prevenidos o detectados y corregidos de forma oportuna. Concepto de acuerdo a la Asociacin de Auditoria y Control de Sistemas de informacin, ISACA

1.3 Definiciones
Poltica.- Planificacin escrita de alcanzar objetivos de la organizacin bajo un procedimiento mediante directrices generales y debe ser conocida por todas las reas de una organizacin.

Procedimiento.- Es la accin, modo de proceder o el mtodo de ejecutar ciertas cosas o tareas. Una serie de pasos definidos, que permiten realizar un trabajo de forma correcta.

Ejemplos de Polticas
Poltica Administrativa Poltica Ambiental Poltica de la Calidad Poltica de Seguridad de la Informacin.- Es un documento de alto nivel que denota el compromiso de la gerencia con la seguridad de la informacin. Establecen un canal formal de actuacin del personal, en relacin con los recursos y servicios informticos de la organizacin

Notas: Cada poltica se deber basar en un objetivo.

1.3 Definiciones
Criterios de Auditoria.- Conjunto de polticas, procedimientos o requisitos. Evidencia.- registros, declaraciones de hechos o cualquier otra informacin que son pertinentes para los criterios de auditora y que son verificables. Hallazgo de Auditoria.- resultados de la evaluacin de la evidencia de la auditora recopilada frente a los criterios de auditora.

1.4 Objetivos de Auditoria

Son las metas especificas a cumplirse por parte de la auditoria. Una auditoria, puede tener varios objetivos de auditoria. Un objetivo de auditoria debe incluir asegurar el cumplimiento de los requisitos legales y regulatorios, integridad, confiabilidad y disponibilidad de los recursos de informacin y de TI. Objetivo bsico en auditoria de sistemas: identificar lo objetivos de control y sus controles relacionados.

1.5 Concepto: Seguridad de la Informacin

Confiabilidad.- acceso a la informacin solo a aquellas personas autorizadas. Integridad.- salvaguardar la exactitud y totalidad de la informacin y mtodos de procesamiento. Disponibilidad.- garantiza que los usuarios autorizados tengan acceso a la informacin cuando la requieran.