Está en la página 1de 28

UNIVERSIDAD MARIANO GALVEZ DE GUATEMALA

CONTADURIA PBLICA Y AUDITORIA

AUDITORIA DE SISTEMAS DE INFORMACION

LIC. MARVIN CIFUENTES VELASQUEZ

NORMAS ISO APLICADAS A AUDITORIA DE SISTEMAS

ALEXANDER ORLANDO ESTUPE


3132-10-07510
ANA GABRIELA HERNANDEZ MONTERROSO
3132-07-18649
ANA GABRIELA TENAS CONTRERAS
3132-10-06262
GUILLERMO ENRIQUE MONTERROSO GRAMAJO 3132-
11-16095
JENYFER MARIELA RAMOS RUSTRIAN
3132-11-13256
KENDY EUNICE PEA HERNANDEZ 3132-
12-01699
HECTOR ROLANDO PU GONZALEZ
3132-12-06228

Normas ISO aplicadas a Auditoria de Sistemas


NERI ODILIO RAMOS SARCEO
3132-11-03377
EDWIN ARMANDO PEREZ DEL CID
3132-11-07250

GUATEMALA, 28 DE MAYO DEL 2016

CONTENIDO

LA ORGANIZACIN INTERNACIONAL PARA LA ESTANDARIZACION (ISO)


4

AMBITOS DE
APLIACION
.4

NORMAS ISO APLICADAS A AUDITORIA DE


SISTEMAS...5

Qu es ISO
15408?........................................................................................................
..........................19

Qu viene a solucionar ISO


15408?..............................................................................................19

ESTNDARES DE GESTIN DE LA SEGURIDAD DE LA


INFORMACIN...20

EVOLUCIN
...20

BENEFICIOS
..20

CERTIFICACIN
.21

Normas ISO aplicadas a Auditoria de Sistemas


Anexo. Ejemplo de
implementacin..22

CONCLUSIN
...25

BIBLIOGRAFIA
26

INTRODUCCION

Las ISO son normas o estndares de seguridad establecidas por la Organizacin


Internacional para la Estandarizacin (ISO) y la Comisin Electrotcnica
Internacional (IEC) que se encargan de establecer estndares y guas
relacionados con sistemas de gestin y aplicables a cualquier tipo de organizacin
internacionales y mundiales, con el propsito de facilitar el comercio, facilitar el
intercambio de informacin y contribuir a la transferencia de tecnologas.

En concreto la familia de normas ISO/IEC 27000 son un conjunto de estndares


de seguridad (desarrollados o en fase de desarrollo) que proporciona un marco
para la gestin de la seguridad.

Normas ISO aplicadas a Auditoria de Sistemas


Contiene las mejores prcticas recomendadas en Seguridad de la informacin
para desarrollar, implementar y mantener especificaciones para los Sistemas de
Gestin de la Seguridad de la Informacin (SGSI) utilizable por cualquier tipo de
organizacin, pblica o privada, grande o pequea.

La seguridad de la informacin, segn la ISO 27001, se basa en la preservacin


de su confidencialidad, integridad y disponibilidad, as como la de los sistemas
aplicados para su tratamiento.

Confidencialidad: la informacin no se pone a disposicin ni se revela a


individuos, entidades o procesos no autorizados.

Integridad: mantenimiento de la exactitud y completitud de la informacin y


sus mtodos de proceso.

Disponibilidad: acceso y utilizacin de la informacin y los sistemas de


tratamiento de la misma por parte de los individuos o procesos autorizados
cuando lo requieran.

"la norma ISO/IEC 27001 especifica los requisitos para establecer, implantar,
poner en funcionamiento, controlar, revisar, mantener y mejorar un SGSI
documentado dentro del contexto global de los riesgos de negocio de la
organizacin. Especifica los requisitos para la implantacin de los controles de
seguridad hechos a medida de las necesidades de organizaciones individuales o
partes de las mismas".

Certificacin que deben obtener las organizaciones. Norma que especifica los
requisitos para la implantacin del SGSI. Es la norma ms importante de la familia.
Adopta un enfoque de gestin de riesgos y promueve la mejora continua de los
procesos. Fue publicada como estndar internacional en octubre de 2005.

LA ORGANIZACIN INTERNACIONAL PARA LA ESTANDARIZACION (ISO)

Se deriva del griego ISOS, que significa IGUAL. La Organizacin Internacional


para la Estandarizacin (ISO) es una organizacin no gubernamental establecida
en 1947. La ISO ha elaborado ms de 19000 normas internacionales de una
variedad de temas y ms de 1000 nuevas normas de la ISO se publican cada ao.

Normas ISO aplicadas a Auditoria de Sistemas


MISION: Es promover el desarrollo de la estandarizacin y las actividades con ella
relacionada en el mundo con la mira en facilitar el intercambio de servicios y
bienes.

Todos los trabajos realizados por la ISO resultan en acuerdos internacionales los
cuales son publicados como Estndares Internacionales.

AMBITOS DE APLIACION

La ISO cuenta con ms de 19 normas internacionales y otros tipos de documentos


normativos en su cartera actual.

Agricultura
Construccin
Ingeniera
Mecnica
Fabricacin
Distribucin
Transporte
Ambiente
Dispositivo mdicos
Tecnologa de informacin y comunicacin
Gestin y de Servicios

Normas ISO aplicadas a Auditoria de Sistemas


NORMAS ISO APLICADAS A AUDITORIA DE SISTEMAS

ISO 27001: La norma es un estndar de Seguridad de la Informacin, que


establece todos los requisitos necesarios para el Sistema de Gestin de Seguridad
de la Informacin de una empresa. Se trata de un estndar internacional y una
gestin efectiva de los riesgos para la seguridad de la informacin confidencial de
una organizacin. Adems, promueve la gestin eficaz de la
informacin corporativa sensible y destaca todas las vulnerabilidades para
asegurarse de que se encuentra bien protegido contra las amenazas potenciales e
incluye a las personas, procesos y sistemas de TI.

Por qu contar con una acreditacin ISO 27001?

Una empresa que cuenta con la acreditacin en ISO 27001 es porque quieren
proteger la informacin sensible de la que disponen. Al contar con dicha
acreditacin, se muestra a los clientes actuales y futuros de que cuenta con la
seguridad de que su informacin no ser revelada.

Dicha organizacin debe ser evaluada externa e independientemente


para asegurar que cumple con la norma ISO 27001 y los requisitos que esta
ofrece.

La norma ISO 27001 es una norma internacional, no todo el mundo tiene que estar
acreditado. La mayora de las organizaciones optan por aplicar la norma ISO
27001 con el fin de beneficiarse de las mejores prcticas.

Cmo me beneficia?

Existen numerosos beneficios de encontrarse certificado y mucho ms de trabajar


con una empresa que se encuentra certificada, si eres el cliente. Estos son:

Trabajar con un proveedor fiable que mantiene la integridad de todos los


datos.
El personal de la organizacin se encuentra capacitado para seguir las
reglas estrictas para cuidar de sus datos de negocio.
La minimizacin de los riesgos: existen controles realizados y seguidos por
el personal para reducir los riesgos de amenazas de seguridad y evitar
cualquier debilidad.

Normas ISO aplicadas a Auditoria de Sistemas


Como parte de la implantacin de un Sistema de Gestin de Seguridad de la
Informacin basado en la norma ISO 27001, se requiere que se produzcan una
serie de documentos. De no hacerlo, podra dar lugar a una serie de no
conformidades.

La norma ISO 27001 establece que ciertos documentos son obligatorios, stos
son:

Alcance
Poltica de seguridad de la informacin
Proceso de evaluacin de riesgos para la seguridad de la informacin
Proceso de tratamiento de riesgos de seguridad de la informacin
Declaracin de aplicabilidad
Los objetivos de seguridad de la informacin
Evidencia de la competencia
Los resultados de las evaluaciones de riesgos realizadas
Los resultados el tratamiento de la informacin de riesgos de seguridad
La evidencia de la de la monitorizacin de la informacin de desempeo de
seguridad y los resultados de medicin
Programa de auditora interna y los resultados de la auditora
Procedimiento de auditora interna
La evidencia de todos los resultados de las revisiones por la direccin
La evidencia de la naturaleza de las no conformidades y de cualquier
accin tomada posteriormente, y los resultados de cualquier accin
correctiva

Ahora bien, para entender cmo se conforma la Norma ISO 27001 y cmo puede
una estrategia de seguridad de la informacin apoyar los objetivos de negocio y
alinearse a ellos, podemos mencionar que se integra por un modelo robusto con
un enfoque de gobierno (tanto corporativo como de TI) que considera el rol de la
legislacin aplicable (marco regulatorio) y de la administracin de riesgos, dando
como resultado un Sistema de gestin de seguridad de la informacin, cuyo
enfoque principal es establecer, implementar, operar, monitorear, revisar, mantener
y mejorar los procesos que se hayan considerado, asegurando que hayan sido
seleccionados los controles de seguridad adecuados para proteger los activos de
informacin involucrados en esos procesos.

Normas ISO aplicadas a Auditoria de Sistemas


Por ltimo, es de suma relevancia considerar los recursos humanos, econmicos y
operativos con los que se cuenta; no es lo mismo implementar un estndar con el
cual todos estn de acuerdo y han sido concientizados al respecto, que manifestar
el inters de una certificacin que la mayora no conoce y solo traduce en ms
trabajo por el tiempo que habr que invertir en l; por lo tanto, asignar dueos y
responsables que compartan la visin y asuman la importancia de cumplir con el
objetivo en tiempo y forma es de suma relevancia para lograr que este esfuerzo
organizacional no solo culmine con un proceso de certificacin exitoso, sino con
un cambio en cultura informtica de la organizacin y, por lo tanto, en una
evolucin y robustecimiento en los procesos de gestin de la informacin.

ISO 27000: Contienen los trminos y definiciones que se utilizarn durante toda la
seria 27000. Para aplicar cualquier estndar necesita conocer un vocabulario
claramente definido, por lo que as evitaremos cualquier mala interpretacin de
conceptos tcnicos y gestin. Esta norma es gratuita, a diferencia de las dems de
la serie de normas, que s que suponen un coste.

Su objetivo es definir requisitos para un sistema de gestin de la seguridad de la


informacin (SGSI), con el fin de garantizar la seleccin de controles de seguridad
adecuados y proporcionales, protegiendo as la informacin es recomendable para
cualquier empresa grande o pequea.

Normas ISO aplicadas a Auditoria de Sistemas


ISO 27002: Es un estndar para la seguridad de la informacin publicado por
la Organizacin Internacional de Normalizacin y la Comisin Electrotcnica
Internacional. La versin ms reciente es la ISO/IEC 27002:2013. Es una gua de
buenas prcticas que describe los objetivos de control y controles recomendables
en cuanto a seguridad de la informacin. Contiene 39 objetivos de control y 133
controles.

Tiene como objetivo:

Servir de punto de informacin de la serie de normas ISO 27000 y de la


gestin de seguridad de la informacin mediante la aplicacin de controles
ptimos a las necesidades de las organizaciones en cada momento.
Establece las directrices y principios generales para el comienzo, la
implementacin, el mantenimiento y la mejora de la gestin de la seguridad
de la informacin en una organizacin.

ISO 27003- Gua para la implementacin de un Sistema de Gestin de


Seguridad de la Informacin: Es un estndar internacional que constituye una
gua para la implantacin de un SGSI.

Se trata de una norma adaptada tanto para los que quieren lanzarse a implantar
un SGSI como para los consultores en su trabajo diario, debido a que resuelve
ciertas cuestiones que venan careciendo de un criterio normalizado.

ISO-27003 focaliza su atencin en los aspectos requeridos para un diseo exitoso


y una buena implementacin del Sistema de Gestin de Seguridad de la
Informacin SGSI segn el estndar ISO 27001.

Contiene una descripcin del proceso de delimitacin del SGSI, y adems el


diseo y ejecucin de distintos planes de implementacin.

Especifica el proceso de conseguir una aprobacin para la implementacin de un


SGSI, define el proyecto para dicho acometido, el cual es llamado en la norma ISO
27003 proyecto de SGSI, y da instrucciones sobre cmo abordar la planificacin
de la gestin para implementar el SGSI.

Normas ISO aplicadas a Auditoria de Sistemas


La norma tiene el siguiente contenido:

Alcance.

Referencias Normativas.

Trminos y Definiciones.

Estructura de esta Norma.

Obtencin de la aprobacin de la alta direccin para iniciar un SGSI.

Definicin del alcance del SGSI, lmites y polticas.

Evaluacin de requerimientos de seguridad de la informacin.

Evaluacin de Riesgos y Plan de tratamiento de riesgos.

Diseo del SGSI.

ISO 27004-Medicion de la seguridad de la informacin: Facilita una serie de


mejoras prcticas para poder medir el resultado de un SGSI (sistema de gestin
de seguridad de la informacin) basado en ISO 27001. El estndar concreta cmo
configurar el programa de medicin, qu parmetros medir y cmo medirlos, y
ayuda a las empresas a crear objetivos de rendimiento y criterios de xito. La
medicin de la seguridad aporta proteccin a los sistemas de la organizacin y da
respuesta a las amenazas de la misma.

Expone que el tipo de medidas requeridas depender del tamao y complejidad de


la organizacin, de la relacin coste beneficio y del nivel de integracin de la
seguridad de la informacin en los procesos de la propia organizacin.

La norma ISO27004 establece cmo se deben constituir estas medidas y cmo se


deben documentar e integrar los datos obtenidos en el SGSI.

Las etapas propuestas por ISO 27004 con el objetivo de medir la eficacia de la
seguridad de la informacin son:

Seleccin procesos y objetos de medicin.


Las empresas deben definir lo que hay que medir y el alcance de la medida.
Slo se consideran en la medicin los procesos bien documentados que

Normas ISO aplicadas a Auditoria de Sistemas


son consistentes y repetibles. Objetos de medicin puede ser el rendimiento
de los controles o de procedimientos, el comportamiento del personal
Definicin de las lneas base.
Los valores base que muestran el punto de referencia deben definirse para
cada objeto que se est midiendo.
Recopilacin de datos.
Los datos deben ser dimensionales precisos y oportunos. Se pueden
emplear tcnicas automatizadas de recogida de datos para lograr una
recoleccin estandarizada y presentar informes.
Desarrollo de un mtodo de medicin.

Segn ISO 27004, la secuencia lgica de operaciones se aplica en diversos


atributos del objeto seleccionado para la medicin. Se usan indicadores como
fuentes de datos para mejorar el rendimiento de los programas de seguridad de la
informacin.

Interpretacin de los valores medidos.

Mediante procesos y la tecnologa para el anlisis y la interpretacin de los valores


se deben identificar las brechas entre el valor inicial y el valor de medicin real.

Comunicacin de los valores de medicin.

Los resultados de medicin del SGSI se comunicarn a las partes interesadas. Se


puede hacer en forma de grficos, cuadros de mando operacionales, informes o
boletines de noticias

ISO 27005-Gestion de riesgos de la seguridad de la informacin: Es el


estndar internacional que se ocupa de la gestin de riesgos de seguridad de
informacin. La norma suministra las directrices para la gestin de riesgos de
seguridad de la informacin en una empresa, apoyando particularmente los
requisitos del sistema de gestin de seguridad de la informacin definidos en ISO
27001.

Es aplicable a todo tipo de organizaciones que tengan la intencin de gestionar los


riesgos que puedan complicar la seguridad de la informacin de su organizacin.

Los usuarios elijen el mtodo que mejor se adapte para, por ejemplo, una
evaluacin de riesgos de alto nivel seguido de un anlisis de riesgos en
profundidad sobre las zonas de alto riesgo.

Normas ISO aplicadas a Auditoria de Sistemas


La norma incorpora algunos elementos iterativos, por ejemplo si los resultados de
la evaluacin no son satisfactorios.

ISO 27005 sustituy a la Gestin de la Informacin y Comunicaciones Tecnologa


de Seguridad, la norma ISO / IEC TR 13335-3:1998 y la norma ISO / IEC TR
13335-4:2000.

Las secciones de contenido son:

Prefacio.

Introduccin.

Referencias normativas.

Trminos y definiciones.

Estructura.

Fondo.

Descripcin del proceso de ISRM.

Establecimiento Contexto.

Informacin sobre la evaluacin de riesgos de seguridad (ISRA).

Tratamiento de Riesgos Seguridad de la Informacin.

Admisin de Riesgos Seguridad de la informacin.

Comunicacin de riesgos de seguridad de informacin.

Informacin de seguridad Seguimiento de Riesgos y Revisin.

Anexo A: Definicin del alcance del proceso.

Anexo B: Valoracin de activos y evaluacin de impacto.

Anexo C: Ejemplos de amenazas tpicas.

Anexo D: Las vulnerabilidades y mtodos de evaluacin de la vulnerabilidad.

Enfoques ISRA: Anexo E.

Se trata de un estndar que cuenta con una parte principal concentrada en 24


pginas, tambin cuenta con anexos en los que se incluye ejemplos y ms
informacin de inters para los usuarios.

Normas ISO aplicadas a Auditoria de Sistemas


En estos anexos podemos encontrar tabulados amenazas, vulnerabilidades e
impactos, lo que puede resultar til para abordar los riesgos relacionados con los
activos de la informacin en evaluacin.

ISO 27006-Guia para la certificacin del SGSI: Tiene como ttulo oficial
Tecnologa de la informacin -. Tcnicas de seguridad Requisitos para los
organismos que realizan la auditora y certificacin de sistemas de informacin de
gestin de la seguridad, se compone de 10 captulos y 4 anexos.

El estndar ISO 27006 responde a una gua para los organismos de certificacin
en los procesos formales que hay que seguir al auditar SGSI. Los procedimientos
descritos en dicha norma dan la garanta de que el certificado emitido de acuerdo
a ISO 27001 es vlido.

Est pensada para apoyar la acreditacin de organismos de certificacin que


ofrecen la certificacin del Sistema de Gestin de Seguridad de la Informacin. Se
encarga de especificar los requisitos y suministrar una gua para la auditora y la
certificacin del sistema.

Cualquier organizacin certificada en ISO27001 debe cumplir tambin con los


requisitos de la norma ISO27006.

El proceso de certificacin consiste en auditar el SGSI para el cumplimiento de


ISO 27001. Los auditores de certificacin solo tienen inters pasajero en los
controles reales de seguridad de informacin que estn siendo administrados por
el sistema de gestin. Se supone que cualquier empresa con una queja del SGSI
es, ha de gestionar sus riesgos de seguridad de informacin con diligencia.

Esta norma se public en 2007 y se revis en 2011.

La prxima versin es probable que sea diferente debido a los cambios relevantes
en las normas en las que se basa.

Los requisitos generales a los que hace referencia son:

Orientacin especfica del SGSI en relacin con la imparcialidad.

Normas ISO aplicadas a Auditoria de Sistemas


Listado del trabajo que pudiera estar en conflicto.

Inclusin de una lista de todas las actividades que se pueden realizar fuera.

ISO 27007-Guia para auditar: Forma parte de la familia de normas del Sistema
de Gestin de Seguridad de la Informacin SGSI .

La norma suministra una gua para las entidades acreditadas de certificacin para
auditar SGSI.

Refleja en gran parte a la norma ISO 19001 (estndar de auditora para sistemas
de gestin de la calidad y medioambiental). Se encarga de aportar orientacin
adicional al SGSI.

Por otro lado tambin se basa en ISO 17021, Evaluacin de la conformidad.

El estndar acoge:

La gestin del programa de auditora del SGSI: establecer qu, cundo y


cmo se debe auditar, asignar auditores apropiados, gestionar los riesgos
de auditora, mantenimiento de los registros de la misma, mejora continua
del proceso
Ejecucin de la auditora relativa al SGSI, sta incluye el proceso de
auditora, la planificacin, la realizacin de actividades clave, trabajo de
campo, anlisis, presentacin de informes y seguimiento.
Gestin de los auditores del SGSI: competencias, atributos, habilidades,
evaluacin
Esta gua tiene los siguientes fines:
Confirmar que los controles de seguridad de la informacin mitigan de
forma correcta los riesgos de la organizacin.
Verificar que los controles de seguridad en relacin con la contabilidad
general o de los sistemas y procesos de contratacin son correctas para
que los auditores corroboren los datos.
Ratificar que las obligaciones contractuales de los proveedores son
satisfactorias en relacin a la seguridad de la informacin.

Normas ISO aplicadas a Auditoria de Sistemas


Revisar por la direccin, sin olvidar las operaciones rutinarias que forman
parte del SGSI de una organizacin, para asegurarnos que todo est en
orden.
Auditar tras incidentes de seguridad de la informacin como parte del
anlisis y generar acciones correctivas.

ISO 27031-Continuidad del negocio: Explica los principios y conceptos de la


tecnologa de informacin y comunicacin (TIC), la preparacin para que contine
el negocio, y la descripcin de los procesos y mtodos necesarios para sealar e
identificar todos los aspectos que sirvan para mejorar la preparacin de las TIC de
una empresa con la finalidad de garantizar la continuidad del negocio.

Se puede llevar a cabo en cualquier organizacin independientemente de su


tamao y del sector al que pertenezca, incluso que sea privada, gubernamental o
no gubernamental.

El mbito de aplicacin de dicha norma incluye cada uno de los eventos o


incidentes, tambin los que estn asociados con la seguridad, que pueden tener
un impacto en los sistemas de TIC y en las infraestructuras. Adems, se ampla a
las prcticas de informacin de seguridad de manejo de gestin, de incidentes,
servicios de planificacin y preparacin para las TIC.

La ISO27031 hace posible que una organizacin pueda medir los parmetros de
rendimiento de forma consistente.

Por un lado, realizar la planificacin para las TIC es muy importante a efectos de
continuidad del negocio ya que:

Las TIC son muy habituales y numerosas empresas dependen de estas.


Las TIC refuerzan la continuidad del negocio, la respuesta de emergencia y
los procesos de gestin asociados.
La planificacin de la continuidad se considerar incompleta si no se tienen
en cuenta que hay que proteger la disponibilidad y la continuidad de las
TIC.
Por otro lado, la preparacin para las TIC abarca:
Preparacin de las empresas, es decir, hablamos de la infraestructura de
TI, las aplicaciones y el funcionamiento. Adems, de preparar los procesos
y las personas relacionadas, en contra de sucesos imprevisibles que
pueden producir un cambio en el entorno del riesgo y en la continuidad del
negocio.
Racionalizar todos los recursos para la continuidad del negocio.

Normas ISO aplicadas a Auditoria de Sistemas


La preparacin para las TIC debera de tener una consecuencia muy positiva la
cual es la reduccin del impacto, es decir, estamos hablando del alcance, de la
duracin, de las consecuencias de los incidentes de seguridad de la informacin
en la empresa.

ISO 27033-Seguridad en la red: es una norma derivada de la norma de


seguridad ISO/IEC 18028 de la red de cinco partes existentes.

Esta norma da una visin general de seguridad de la red y de los conceptos


asociados. Explica las definiciones relacionadas y aporta orientacin de la gestin
de la seguridad de la red.

Se destina a la gestin de la seguridad, aplicaciones de servicios y/o redes,


seguridad de los dispositivos de red y a la seguridad de informacin que se pasa
mediante enlaces de comunicaciones.

El alcance de la norma puede modificarse a medida que el estndar sigue


desarrollando de forma paralela la evolucin de la seguridad de la red.

Es vital para las personas que estn involucradas en poseer, emplear y utilizar una
red. Estas personas involucradas van desde altos directivos, administradores no
tcnicos, administradores y gerentes que poseen responsabilidades orientadas a
la seguridad de la red y/o informacin, el funcionamiento de la red hasta los

responsables de los programas de seguridad general de la empresa y el desarrollo


de las polticas de seguridad. Adems, es muy importante para cualquier persona
que est implicada en el diseo, adopcin y planificacin de los aspectos de tipo
arquitectnico de la seguridad en la red.

La norma ISO 27033:

Da el camino que hay que seguir sobre la forma de identificar y estudiar los
riesgos de seguridad de red y el concepto de los requisitos de la seguridad
de la red en relacin a ese anlisis.
Proporciona una visin total de los controles que la red tcnica de
arquitecturas, seguridad, controles tcnicos asociados, controles no
tcnicos admiten.
Proporciona las pautas de conseguir una buena calidad de red
arquitecturas tcnicas de seguridad y riesgos, control de los aspectos
relacionados con los escenarios de la red, el diseo y los escenarios
usuales de la red de las zonas de tecnologa.

Normas ISO aplicadas a Auditoria de Sistemas


Explica de forma muy general los asuntos asociados con los controles de
seguridad de la red de operaciones, con la aplicacin, y con el seguimiento
y evaluacin de su aplicacin.

ISO 27034-seguridad de aplicaciones: Proporciona una gua de seguridad de la


informacin dirigida a los agentes de negocio y de TI, auditores y desarrolladores y
los usuarios finales de las TIC, es decir, sirve para aquellas personas que llevan a
cabo el diseo, programacin, adquisicin y uso de los sistemas de aplicacin.

La finalidad de dicha norma es asegurar que las aplicaciones informticas


conceden el nivel necesario o deseado de la seguridad en apoyo del Sistema de
Gestin de Seguridad de la Informacin de las empresas.

La ISO-27034 proporciona orientacin sobre el diseo, seleccin, especificacin y


aplicacin de los controles de seguridad de la informacin mediante un conjunto
de procesos que estn integrados a travs del Desarrollo de Sistemas de Ciclo de
una organizacin (SDLC).

Son un conjunto de aplicaciones de software que se han realizado internamente, a


travs de la adquisicin externa de enfoques hbridos

Adems, dicha norma trata todos los aspectos de la determinacin de los


requisitos de seguridad de la informacin, as como de la prevencin del uso o
accidentes de una aplicacin que no es autorizada.

La norma ISO27034 va a dar una visin muy general de seguridad de la


aplicacin. Adems, de dar las definiciones y/o conceptos y procesos que
intervienen en dicha seguridad.

Esta norma se puede aplicar a las aplicaciones desarrolladas internamente, a las


adquiridas a tercer y donde el funcionamiento de la aplicacin se subcontrata.

La ISO 27034 se basa en los principios fundamentales siguientes:

La seguridad se observa como un requisito.


Seguridad de aplicaciones depende del contexto.
Inversin correcta para la seguridad de las aplicaciones.
Seguridad de las aplicaciones tiene que ser demostrada.

Normas ISO aplicadas a Auditoria de Sistemas


ISO 27799-para la industria sanitaria: Proporciona las directrices que sirven de
apoyo a la aplicacin y a la interpretacin de la informtica en salud de la norma
ISO/IEC 27002, ya que es un complemento de dicha norma.

La norma ISO 27999 determina un conjunto de controles especficos para la


gestin de seguridad de la informacin aplicada a la industria sanitaria
proporcionando directrices sobre las mejores prcticas.

A travs de la adopcin de esta norma internacional, las empresas del sector


sanitario podrn asegurar un nivel mnimo de seguridad adecuado a las
circunstancias de su organizacin. Adems, va a permitir la integridad,
disponibilidad y confidencialidad de la informacin de los pacientes.

ISO-27799 se utiliza en la informacin relativa a la salud en cada uno de sus


aspectos, cualquiera que sea su forma de informacin (grabaciones sonoras,
dibujos, nmeros y palabras), cualquiera que sea el medio a utilizar para
guardarla (escritura en papel, almacenamiento electrnico) debido a que la
informacin tiene que estar protegida siempre adecuadamente.

La norma se preocupa por las necesidades de gestin de la seguridad de la


informacin especficamente del sector sanitario y de sus entornos ms
competitivos.

Aunque la seguridad y proteccin de la informacin personal es fundamental para


todas las organizaciones, instituciones, personas y gobiernos, en el sector
sanitario existen unas exigencias especiales que tienen que cumplirse para

garantizar la integridad, confidencialidad, adaptabilidad y disponibilidad de la


informacin de la salud personal.

Esta clase de informacin es considerada como una de las informaciones ms


confidenciales, por tanto su proteccin es muy importante.

Un aspecto vital es que el ciclo de vida de la informacin tiene que ser totalmente
auditable. Adems, su disponibilidad es muy significativa para que la asistencia
sanitaria sea eficaz.

ISO/IEC 20000-Gestion de servicios de TI: Es una norma para la gestin de


servicios de TI basada en un enfoque de procesos integrados para la prestacin
de servicios que responden a los requisitos de empresas y de clientes.

Normas ISO aplicadas a Auditoria de Sistemas


La norma ISO/IEC 20000 y la estructura ITIL se complementan. ITIL proporciona la
estructura y certifica a particulares; la ISO/IEC 20000 certifica que las prcticas y
los procesos organizativos cumplen los requisitos del cdigo de prcticas de la
gestin de servicios de TI. ITIL V3 es un modo sistemtico de plantear la
prestacin de servicios de TI y constituye la estructura utilizada por la mayora de
las organizaciones que se identifican con la prctica de la gestin de servicios.
Como su nombre sugiere, ITIL es una biblioteca de cinco libros de consulta
basada en las mejores prcticas de organizaciones de xito actuales. ITIL describe
el modo de dirigir TI como un negocio: desde la creacin de una

Estrategia de servicios hasta el diseo de los servicios de negocio; la planificacin,


creacin, comprobacin, validacin y evaluacin de cambios en las operaciones y
la mejora continua de los servicios de forma constante. Proporciona las
herramientas que TI necesita para convertirse en una ventaja competitiva para
cualquier organizacin. Al adaptar TI a los objetivos de negocio, controlar los
costos de TI, mejorar la calidad del servicio y equilibrar los recursos disponibles,
ITIL consigue que TI se convierta en un activo estratgico para la consecucin de
los objetivos de negocio de cualquier organizacin

Hoy en da contamos con un conjunto de estndares (ISO, International


Organization for Standardization), regulaciones locales y marcos de referencia
(COBIT, Control Objectives for Information and Related Technology) para su
salvaguarda, siendo el campo de la seguridad de la informacin lo que hoy ocupa
un lugar importante en las organizaciones, las cuales continan enfrentando el
reto de adaptarse y defenderse ante los cambios sustanciales en la tecnologa.

La informacin es y ser susceptible de riesgo, es decir, siempre existirn mayores


factores de amenaza y vulnerabilidades que atenten contra su integridad,
confidencialidad y/o disponibilidad, ya que representan el activo ms importante de
cualquier organizacin. Sin embargo, para tomar medidas al respecto es necesario
no considerarla como un activo aislado, sino inherente, que est relacionada con
un componente de tecnologas de informacin, ya que son aquellas las que nos
procuran y facilitan su uso, manejo y administracin.

Para enfrentar este reto, tenemos varios marcos de referencia internacionales, los
cuales van desde los temas generales hasta los particulares; por ejemplo, la
privacidad de datos en transacciones con tarjetas de crdito (PCI,
PaymentCardIndustry y DSS, Data Security Standards); sin embargo y como
punto de partida, podemos considerar a la Norma ISO como un conjunto de
estndares diseados para cubrir todo tipo de organizaciones con el objeto de

Normas ISO aplicadas a Auditoria de Sistemas


especificar los requerimientos de control en la implementacin de seguridad a las
necesidades individuales.

En el caso particular de seguridad de la informacin, se encuentra el ISO


27001:2005 que es el Estndar Internacional de Sistemas de Gestin de
Seguridad de la Informacin, publicado desde hace ms de siete aos, cuyo
fundamento es la Norma Britnica BS7799 que data de 1995. Ah se establece un
marco de control y gestin de la seguridad de la informacin adaptable al nivel de
madurez en el control interno de la organizacin y que puede ser utilizado por
cualquier tipo de empresa, gracias a que se fundamenta en el modelo propuesto
por W. Edwards Deming con el ciclo que lleva el mismo nombre, tambin conocido
como PDCA (Plan-Do-Check-Act), y el cual nos provee de una serie de fases por
medio de los cuales se logra la integracin de las actividades y los objetivos que
se deben considerar para lograr una correcta y exitosa implementacin y mejora
continua de los procesos.

Que es ISO 15408? La norma ISO/IEC 15408 define un criterio estndar a usar
como base para la evaluacin de las propiedades y caractersticas de seguridad
de determinado producto o sistema IT. Ello permite la equiparacin entre los
resultados de diferentes e independientes evaluaciones, al proporcionar un marco
comn con el que determinar los niveles de seguridad y confianza que implementa
un determinado producto en base al conjunto de requisitos de seguridad y garanta
que satisface respecto a esta norma obteniendo de esa forma una certificacin
oficial de nivel de seguridad que satisface, por tanto la norma ISO/IEC 15408
proporciona una gua muy til a diferentes perfiles relacionados con las
tecnologas de la seguridad.

Qu viene a solucionar ISO 15408?

Muchos sistemas y productos de Tecnologas de la Informacin (en adelante,


productos y sistemas IT) estn diseados para satisfacer y realizar tareas
especficas y puede ocurrir, normalmente por razones econmicas, que
determinados aspectos de seguridad se encuentren delegados en funciones de
seguridad de otros productos o sistemas de propsito general sobre los cuales
ellos trabajan como pueden ser sistemas operativos, componentes software de
propsito especfico o plataformas hardware. Por tanto, las medidas de
salvaguarda dependen del correcto diseo y funcionamiento de los servicios de
seguridad que implementan otros sistemas o productos IT ms genricos. Sera

Normas ISO aplicadas a Auditoria de Sistemas


deseable por tanto, que stos estuvieran sometidos a evaluacin para conocer en
qu medida nos ofrecen garantas y podemos depositar confianza en ellos.
Tambin muchos clientes y consumidores de sistemas y productos IT carecen de
los conocimientos necesarios o recursos suficientes para juzgar por ellos mismos
si la confianza que depositan en estos sistemas o productos IT es adecuada y
desearan no obtener esa certeza solamente en base a la norma.

Establece los conceptos y principios de la seguridad de TI evaluacin general y


especifica el modelo general de Evaluacin dada por varias partes de la norma
ISO / IEC 15408, que en su totalidad est destinado a ser utilizado como base
para la evaluacin de la seguridad propiedades de los productos de TI.

Proporciona una visin general de todas las partes de la norma ISO / IEC 15408.
En l se describen las diversas partes de la norma ISO / IEC 15408; Define los
trminos y abreviaturas que se utilizan en todas partes la norma ISO / IEC
15408; establece el concepto bsico de un Objeto de Evaluacin (TOE); el
contexto de evaluacin; y describe los destinatarios a los que se abordan los
criterios de evaluacin. Se da una introduccin a los conceptos bsicos de
seguridad necesaria para la evaluacin de productos de TI.

Define las diversas operaciones por las que los componentes funcionales y de
garanta de dados en la norma ISO / IEC 15408-2 e ISO / IEC 15408-3 se puede
adaptar mediante el uso de operaciones permitidas.

Se describen los conceptos clave de perfiles de proteccin (PP), paquetes de


requisitos de seguridad y el tema de la conformidad se especifican y las
consecuencias de la evaluacin y la evaluacin.

ESTNDARES DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN

Ventajas de implantar un SGSI:

Normas ISO aplicadas a Auditoria de Sistemas


Analizar posibles riesgos
Establecer medidas de seguridad
Controles para evaluar medidas
Anticipar problemas
Manejar contingencias
EVOLUCIN

En el ao 2004 se public la UNE 71502 titulada Especificaciones para los


Sistemas de Gestin de la Seguridad de la Informacin (SGSI) y que fue
elaborada por el comit tcnico AEN/CTN 71. Es una adaptacin nacional de la
norma britnica British Standard BS 7799-2:2002 con la publicacin de UNE-
ISO/IEC 71502 y las empresas nacionales certificadas en esta ltima estn
pasando progresivamente sus certificaciones a UNE-ISO/IEC 27001

BENEFICIOS

El hecho de certificar un SGSI segn la norma ISO/IEC 27001 puede aportar las
siguientes ventajas a la organizacin:

Demuestra la garanta independiente de los controles internos y cumple los


requisitos de gestin corporativa y de continuidad de la actividad comercial.
Demuestra independientemente que se respetan las leyes y normativas que
sean de aplicacin. Proporciona una ventaja competitiva al cumplir los
requisitos contractuales y demostrar a los clientes que la seguridad de su
informacin es primordial.
Verifica independientemente que los riesgos de la organizacin estn
correctamente identificados, evaluados y gestionados al tiempo que
formaliza unos procesos, procedimientos y documentacin de proteccin de
la informacin.
Demuestra el compromiso de la cpula directiva de su organizacin con la
seguridad de la informacin.
El proceso de evaluaciones peridicas ayuda a supervisar continuamente el
rendimiento y la mejora. Nota: las organizaciones que simplemente
cumplen la norma ISO/IEC 27001 o las recomendaciones de la norma del
cdigo profesional, ISO/IEC 17799 no logran estas ventajas.

La implantacin de ISO/IEC 27001: En una organizacin es un proyecto que


suele tener una duracin entre 6 y 12 meses, dependiendo del grado de madurez
en seguridad de la informacin y el alcance, entendiendo por alcance el mbito de
la organizacin que va a estar sometido al Sistema de Gestin de la Seguridad de

Normas ISO aplicadas a Auditoria de Sistemas


la Informacin (en adelante SGSI) elegido. En general, es recomendable la ayuda
de consultores externos.

Aquellas organizaciones que hayan adecuado previamente de forma rigurosa sus


sistemas de informacin y sus procesos de trabajo a las exigencias de las
normativas legales de proteccin de datos (p.ej., en Espaa la conocida LOPD y
sus normas de desarrollo, siendo el ms importante el Real Decreto 1720/2007, de
21 de diciembre de desarrollo de la Ley Orgnica de Proteccin de Datos) o que
hayan realizado un acercamiento progresivo a la seguridad de la informacin
mediante la aplicacin de las buenas prcticas de ISO/IEC 27002, partirn de una
posicin ms ventajosa a la hora de implantar ISO/IEC 27001.

El equipo de proyecto de implantacin debe estar formado por representantes de


todas las reas de la organizacin que se vean afectadas por el SGSI, liderado por
la direccin y asesorado por consultores externos especializados en seguridad
informtica generalmente Ingenieros o Ingenieros Tcnicos en Informtica,
derecho de las nuevas tecnologas, proteccin de datos y sistemas de gestin de
seguridad de la informacin (que hayan realizado un curso de implantador de
SGSI).

CERTIFICACIN

La certificacin de un SGSI es un proceso mediante el cual una entidad de


certificacin externa, independiente y acreditada audita el sistema, determinando
su conformidad con ISO/IEC 27001, su grado de implantacin real y su eficacia y,
en caso positivo emite el correspondiente certificado.

Antes de la publicacin del estndar ISO 27001, las organizaciones interesadas


eran certificadas segn el estndar britnico BS 7799-2.
Desde finales de 2005, las organizaciones ya pueden obtener la certificacin
ISO/IEC 27001 en su primera certificacin con xito o mediante su re certificacin
trienal, puesto que la certificacin BS 7799-2 ha quedado reemplazada.
El Anexo C de la norma muestra las correspondencias del Sistema de Gestin de
la Seguridad de la Informacin (SGSI) con el Sistema de Gestin de la Calidad
segn ISO 9001:2000 y con el Sistema de Gestin Medio Ambiental segn ISO
14001:2004 (ver ISO 14000), hasta el punto de poder llegar a certificar una
organizacin en varias normas y con base en un sistema de gestin comn.

Anexo. Ejemplo de implementacin:


ISO 27001

Estructura

Normas ISO aplicadas a Auditoria de Sistemas


La informacin es un activo esencial y es decisiva para la viabilidad de una
organizacin. Adopta diferentes formas, impresa, escrita en papel, digital,
transmitida por correo, mostrada en videos o hablada en conversaciones.

Debido a que est disponible en ambientes cada vez ms interconectados, est


expuesta a amenazas y vulnerabilidades.

La seguridad de la informacin es la proteccin de la informacin contra una


amplia gama de amenazas; para minimizar los daos, ampliar las oportunidades
del negocio, maximizar el retorno de las inversiones y asegurar la continuidad del
negocio.

Se va logrando mediante la implementacin de un conjunto adecuado de polticas,


procesos, procedimientos, organizacin, controles, hardware y software y, lo ms
importante, mediante comportamientos ticos de las personas

La intencin y el control

El aumento del control sobre las actividades de las personas.


Es posible controlar las intenciones de las personas?
Por lo tanto, se requiere ir ms lejos

Sistema de Gestin

Para ISO (International Organization for Standardization) un sistema de gestin


queda definido por un proceso de 4 etapas, creado por Walter Andrew Shewhart
(1891 1967) y popularizado por William Edwards Deming (1900 1993),

Planificar (Plan),
Implementar (Do)
Medir (Check)
Mejorar (Act).

Normas ISO aplicadas a Auditoria de Sistemas


Conceptos generales de un SGSI

ISO 27001 es un Sistema de Gestin de la Seguridad de la Informacin (SGSI).

La seguridad de la informacin queda definida por tres atributos:

a) Confidencialidad
b) Integridad
c) Disponibilidad.

La seguridad de la informacin (SI) es la proteccin de la informacin contra una


amplia gama de amenazas respecto a:

1. Minimizar daos

2. Oportunidades del negocio

3. Retorno de la inversin

4. Continuidad del negocio

5. Cultura tica.

El SGSI garantiza la SI mediante una estructura de buenas prcticas, definidas


por:

a) Gestin de riesgos
b) Polticas
c) Procesos
d) Procedimientos
e) Controles

Normas ISO aplicadas a Auditoria de Sistemas


f) Revisiones
g) Mejoras.

Alcance

El alcance del SGSI queda cubierto por los procesos de las siguientes reas:

Facility Espacio fsico; energa elctrica; aire acondicionado; proteccin


contra incendios; accesos

Administracin Monitoreo; accesos lgicos; bases de datos;


aplicativos

Explotacin/Respaldo Mallas de procesos; almacenamiento de


informacin

Comunicaciones Redes de datos; seguridad lgica; monitoreo equipos


de comunicaciones; enlaces

SAP Administracin de sistemas SAP.

Roadmap

Normas ISO aplicadas a Auditoria de Sistemas


CONCLUSIN

La ISO 27001 ayuda a la organizacin no solo a obtener una certificacin en


materia de seguridad de la informacin para los procesos de negocio que
conforman la organizacin, sino que debido a su fundamento en el ciclo Deming,
propicia que sea un proceso iterativo, de fcil y eficiente monitoreo con respecto
de donde estamos y a dnde queremos llegar en un tiempo especfico, as es
posible adoptar un enfoque proactivo y flexible del cumplimiento regulatorio de
corto al largo plazo

Normas ISO aplicadas a Auditoria de Sistemas


BIBLIOGRAFIA

http://www.pmg-ssi.com/?s=ISO+27006&submit=Search

Normas ISO aplicadas a Auditoria de Sistemas