Estndares generales para la Auditoria de Sistemas de Informacin 1.

Ttulo de auditoria Responsabilidad, autoridad y rendimiento de cuentas La responsabilidad, la autoridad y el rendimiento de cuentas abarcados por la funcin de auditora de los sistemas de informacin se documentarn de la manera apropiada en un ttulo de auditora o carta de contratacin. 2. Independencia Independencia Profesional En todas las cuestiones relacionadas con la auditora, el auditor de sistemas de informacin deber ser independiente de la organizacin auditada tanto en actitud como en apariencia. Relacin organizativa La funcin de auditora de los sistemas de infromacin deber ser lo suficientemente independiente del rea que se est auditando para permitir completar de manera objetiva la auditora. 3. tica y normas profesionales Cdigo de tica Profesional El auditor de sistemas de informacin deber acatar el Cdigo de tica Profesional de la Asociacin de Auditora y Control de Sistemas de Informacin. Atencin profesional correspondiente En todos los aspectos del trabajo del auditor se sistemas de informacin, se deber ejercer la atencin profesional correspondiente y el cumplimiento de las normas aplicables de auditora profesional. 4. Idoneidad Habilidades y conocimientos El auditor de sistemas de informacin debe ser tcnicamente idneo, y tener las habilidades y los conocimientos necesarios para realizar el trabajo como auditor.

Educacin Profesional Continua El auditor de sistemas de informacin deber mantener la idoneidad tcnica por medio de la educacin profesional continua correspondiente. 5. Planificacin Planificacin de la auditoria El auditor de sistemas de informacin deber planificar el trabajo de auditora de los sistemas de informacin para satisfacer los objetivos de la auditora y para cumplir con las normas aplicables de auditora profesional. 6. Ejecucin del trabajo de auditoria Supervisin El personal de auditora de los sistemas de informacin debe recibir la supervisin apropiada para proporcionar la garanta de que se cumpla con los objetivos de la auditora y que se satisfagan las normas aplicables de auditora profesional. Evidencia Durante el transcurso de una auditora, el auditor de sistemas de informacin deber obtener evidencia suficiente, confiable, relevante y til para lograr de manera eficaz los objetivos de la auditora. Los hallazgos y conclusiones de la auditora se debern apoyar por medio de un anlisis e interpretacin apropiados de dicha evidencia. 7. Informes Contenido y formato de los informes En el momento de completar el trabajo de auditora, el auditor de sistemas de informacin deber proporcionar un informe, de formato apropiado, a los destinatarios en cuestin. El informe de auditora deber enunciar el alcance, los objetivos, el perodo de cobertura y la naturaleza y amplitud del trabajo de auditora realizado. El informe deber identificar la organizacin, los destinatarios en cuestin y cualquier restriccin con respecto a su circulacin. El informe deber enunciar los hallazgos, las conclusiones y las recomendaciones, y cualquier reserva o consideracin que tuviera el auditor con respecto a la auditora. 8. Actividades de seguimiento Seguimiento El auditor de sistemas de informacin deber solicitar y evaluar la informacin apropiada con respecto a hallazgos, conclusiones y recomendaciones relevantes anteriores para determinar si se han implementado las acciones apropiadas de manera oportuna.

Norma ISO 27001 Gestin de la seguridad de la informacin La norma ISO 27001 define cmo organizar la seguridad de la informacin en cualquier tipo de organizacin, con o sin fines de lucro, privada o pblica, pequea o grande. Es posible afirmar que esta norma constituye la base para la gestin de la seguridad de la informacin. La ISO 27001 es para la seguridad de la informacin lo mismo que la ISO 9001 es para la calidad: es una norma redactada por los mejores especialistas del mundo en el campo de seguridad de la informacin y su objetivo es proporcionar una metodologa para la implementacin de la seguridad de la informacin en una organizacin. Tambin permite que una organizacin sea certificada, lo cual significa que una entidad de certificacin independiente ha confirmado que la seguridad de la informacin se ha implementado en esa organizacin de la mejor forma posible. A raz de la importancia de la norma ISO 27001, muchas legislaturas han tomado esta norma como base para confeccionar las diferentes normativas en el campo de la proteccin de datos personales, proteccin de informacin confidencial, proteccin de sistemas de informacin, gestin de riesgos operativos en instituciones financieras, etc.

Cuatro fases del sistema de gestin de seguridad de la informacin La norma ISO 27001 determina cmo gestionar la seguridad de la informacin a travs de un sistema de gestin de seguridad de la informacin. Un sistema de gestin de este tipo, igual que las normas ISO 9001 o ISO 14001, est formado por cuatro fases que se deben implementar en forma constante para reducir al mnimo los riesgos sobre confidencialidad, integridad y disponibilidad de la informacin. Las fases son las siguientes: 1. La Fase de planificacin: esta fase sirve para planificar la organizacin bsica y establecer los objetivos de la seguridad de la informacin y para escoger los controles adecuados de seguridad (la norma contiene un catlogo de 133 posibles controles). 2. La Fase de implementacin: esta fase implica la realizacin de todo lo planificado en la fase anterior. 3. La Fase de revisin: el objetivo de esta fase es monitorear el funcionamiento del SGSI mediante diversos canales y verificar si los resultados cumplen los objetivos establecidos. 4. La Fase de mantenimiento y mejora: el objetivo de esta fase es mejorar todos los incumplimientos detectados en la fase anterior.

ISO 27002 Es una gua de buenas prcticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la informacin. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. El Estndar Internacional ISO/IEC 27002 va orientado a la seguridad de la informacin en las empresas u organizaciones, de modo que las probabilidades de ser afectados por robo, dao o prdida de informacin se minimicen al mximo. El Estndar Internacional ISO/IEC 27002 contiene un nmero de categoras de seguridad principales, entre las cuales se tienen once clusulas: Poltica de seguridad. Aspectos organizativos de la seguridad de la informacin. Gestin de activos. Ligada a los recursos humanos. Seguridad fsica y ambiental. Gestin de comunicaciones y operaciones. Control de acceso. Adquisicin, desarrollo y mantenimiento de los sistemas de informacin. Gestin de incidentes en la seguridad de la informacin. Gestin de la continuidad del negocio. Cumplimiento.

Ley de Proteccin de Datos A consecuencia de la Ley Orgnica 15/99 de Proteccin de Datos (LOPD) de carcter personal, las empresas estn obligadas a declarar los ficheros que contienen datos de carcter personal a la Agencia de Proteccin de Datos, as como a implantar las medidas de seguridad establecidas en el Real Decreto 994/1999 en dichos ficheros. La Ley Orgnica 15/1999 tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades pblicas y los derechos fundamentales de las personas fsicas, y especialmente de su honor e intimidad personal y familiar. Dicha Ley se aplica tanto a los ficheros pblicos como privados, en soporte informtico y papel que contengan datos de carcter personal. El Real Decreto 1720/2007, de 21 de diciembre, se aprueba el reglamento de desarrollo de la LO 15/99 y se establecen las medidas de seguridad. En funcin de los datos que contienen los ficheros se establecen distintos niveles de seguridad: Nivel Bsico: datos de carcter personal como pueden ser nombre y apellidos, correos electrnicos, direcciones etc.

Nivel Medio: datos relativos a la comisin de infracciones administrativas o penales, Hacienda Pblica, servicios financieros, de solvencia patrimonial y de crdito. Se incluyen datos personales que permitan obtener una evaluacin de personalidad. Nivel Alto: datos sobre ideologa, religin, creencias, origen racial, salud o vida sexual.

http://www.ecured.cu/index.php/ISO/IEC_27002

http://www.grupoacms.com/lopd.php