Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1088282693
PEREIRA
2014
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
1088282693
Director de proyecto:
ANA MARÍA LÓPEZ ECHEVERRY
Ingeniera Electricista
Especialista en telecomunicaciones.
Magister en Ingeniería
Docente programa de ingeniería de sistemas y computación
PEREIRA
2014
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
Nota de aceptación:
___________________________________
___________________________________
___________________________________
___________________________________
___________________________________
______________________________
Firma Jurado
FECHA
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
Agradecimientos
El presente trabajo ha sido el resultado del esfuerzo y las competencias
adquiridas en todo mi proceso de formación profesional, sin embargo no todo
ha sido gracias a mi esfuerzo individual sino también al acompañamiento de
todas la personas que de una manera u otra estuvieron inmersos en el camino
que comencé ya hace algunos años y que son la motivación y la gasolina para
que este motor su servidor, se mueva. Este trabajo se lo dedico a ellos porque
mis logros son suyos y porque como siempre ha dicho mi hermanito mayor, “Si
yo estoy bien, ustedes están bien”.
Todo en la vida tiene un origen, y yo no soy la excepción, así que los primeros
en recibir mis agradecimientos son mis padres, pareja humilde, sencilla, con
grandes valores que me enseñaron a ser siempre trabajador y dar lo mejor de
mí, y recordando ahora a mi padre que decía “Su trabajo refleja lo que es
usted” así que cada hoja de este documento tiene un esfuerzo invaluable para
honrar sus palabras y esa herencia de mis padres para hacer siempre bien las
cosas.
Le agradezco a mi padre por los regaños ya que de allí pude obtener buenos
consejos, a mi mamá por todas las velas que le prendió a la virgen, por sus
levantadas y trasnochadas, con las que hoy puedo decir que no solo es
ingeniera de la vida sino también ingeniera de sistemas ya que ella se graduó
conmigo.
A mi novia Lola que ahora hace parte de mi camino y que ha sido soporte para
cada paso que he dado desde que está a mi lado y con quien deseo seguir en
cada paso que dé de ahora en adelante.
A todos mis amigos y compañeros de carrera con los que compartí y con los
que tengo gratos recuerdos.
Contenido
INTRODUCCIÓN .................................................................................................................... 14
1. TITULO................................................................................................................................. 16
2. FORMULACIÓN DEL PROBLEMA. ................................................................................. 17
3. JUSTIFICACIÓN. ................................................................................................................ 19
4. OBJETIVOS GENERAL Y ESPECÍFICOS. .................................................................... 22
4.1 Objetivo general ............................................................................................................ 22
4.1.1 Objetivos específicos ............................................................................................ 22
5. MARCO REFERENCIAL ................................................................................................... 23
5.1 Marco de antecedentes ............................................................................................... 23
5.2 Marco teórico ................................................................................................................. 25
5.3 Marco conceptual.......................................................................................................... 26
6. ESTRUCTURA DE LA UNIDAD DE ANÁLISIS, CRITERIOS DE VALIDEZ Y
CONFIABILIDAD ..................................................................................................................... 28
6.1 Unidad de análisis ........................................................................................................ 28
6.2 Criterios de validez ....................................................................................................... 28
6.3 Criterios de confiabilidad.............................................................................................. 28
7. DISEÑO METODOLÓGICO PRELIMINAR ..................................................................... 29
7.1 Hipótesis: ....................................................................................................................... 29
7.1 Población: ...................................................................................................................... 29
7.3 Muestra: ......................................................................................................................... 29
7.4 Variables: ....................................................................................................................... 29
7.5 Instrumentos de medición: .......................................................................................... 30
7.6 Tipo de investigación:................................................................................................... 30
7.7 Método de validación: .................................................................................................. 30
7.8 Metodología: .................................................................................................................. 31
7.8.1 Desarrollo de objetivos: ........................................................................................ 31
8. ASPECTOS GENERALES DE LA AUDITORÍA ............................................................. 33
8.1 Auditoría y tipos de auditoria ....................................................................................... 34
8.2 Auditoria interna ............................................................................................................ 35
8.3 Metodología para definición de procesos .................................................................. 37
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
Índice de Figuras
2.1 Módulos del proyecto sistema de gestión de seguridad soportado en TIC's para
realizar un aporte a la competitividad de las empresas de la región ........................ 17
8.1 Ciclo de mejora continua Planear – Hacer – Verificar y Actuar (PHVA) .............. 34
8.2 Diagrama del flujo del proceso para la gestión de un programa de auditoría .... 35
12.3 “Gestión de la prestación del servicio por terceras partes” .............................. 129
Índice de Tablas
7.1 Descripción de variables para validar la hipótesis. ............................................... 28
9.5 “Revisión de la Gestión de la prestación del servicio por terceras partes” .......... 72
INTRODUCCIÓN
Las compañías hoy en día están en una etapa de cambio en cuanto al manejo
de su información, primero porque cada vez más se ve un creciente número de
personas que usan el internet y con ello viene asociada la entrada de una gran
cantidad de datos nuevos que serán generados o proporcionados por estos
nuevos usuarios que nutren las bases de información, y entre más información
más poder, y corrobora una frase popular recitada por Sir Francis Bacon a fines
del siglo XVI que dice así: "el conocimiento es poder", y otra similar
mencionada por Alvin Toffler: “quien tiene el conocimiento tiene el poder”.
1
http://ieeexplore.ieee.org.ezproxy.utp.edu.co/stamp/stamp.jsp?tp=&arnumber=5544065&tag=1
2
La documentación en el sistema de calidad
http://www.calidad.com.mx/docs/art_40_27.pdf p.2
14
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
gira alrededor del 80% en los países encuestados, salvo en Oriente Medio,
África y Pakistán en donde la cifra es de alrededor del 50%.3
El reto ahora, es poder darle la confiabilidad al usuario para que realice las
compras en internet con la misma seguridad con que lo hace cuando va a la
tienda directamente, esto se debe a que en internet existen herramientas para
hacerle seguimiento a las personas en la red, “Uno de los métodos más
conocidos, actualmente, consiste en la utilización de las denominadas
“cookies”. El trabajo de estas cookies consiste en dejar una pista en el disco
duro (“cookie”) del usuario”4 de cada sitio que visita, pero así como se puede
dejar un rastro local, también se va dejando uno por la web y es allí cuando se
genera la incertidumbre de saber si cuando se hace algún tipo de movimiento o
transacción en internet, que garantía se da frente a los datos que se están
suministrando, cual es el grado de confidencialidad que estos lugares
proporcionan.
3
http://www.nielsen.com/content/dam/corporate/us/en/reports-downloads/Q1%202010%20GOS-
Online%20Shopping%20Trends-FINAL%20CLIENT%20REPORT-June%202010.pdf
4
Privacidad y protección de datos: un análisis de legislación comparada
http://www.scielo.sa.cr/scielo.php?script=sci_arttext&pid=S1409-469X2010000100004
5
http://www.corteconstitucional.gov.co/relatoria/2010/C-640-10.htm
15
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
1. TITULO.
16
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
17
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
A. Los procesos de auditoría interna forman parte del módulo “Modelar los
procesos de seguimiento y revisión del sistema de gestión de seguridad de la
información en las empresas”9.
Figura [2.1]: Módulos del proyecto sistema de gestión de seguridad soportado en TIC's
para realizar un aporte a la competitividad de las empresas de la región
9
Universidad Tecnológica de Pereira, Tomado de la tesis DEFINICIÓN DE PROCESOS DE AUDITORÍA
INTERNA DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN SOPORTADO EN TIC'S p.23
10
Universidad Tecnológica de Pereira, Tomado de la tesis DEFINICIÓN DE PROCESOS DE AUDITORÍA
INTERNA DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN SOPORTADO EN TIC'S p.24
18
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
3. JUSTIFICACIÓN.
Así pues, una vez que esta información haya sido organizada, se evitarán los
cuellos de botella de todos esos documentos acumulados que impiden el
desarrollo y aplicación de sistemas de información efectivos. Para reducir, y
con el tiempo remover estos cuellos de botella, se hace necesario el uso de
herramientas para manejar, obtener información y modelar esos datos 14 y
procesos de la norma ISO 27001:2005, que nos brindará ventajas como:
Eficacia, Dinamismo, Organización, Ahorro, Accesibilidad, Agilidad,
Centralización de la información.
11
http://www.bcr-bestrong.com/2010/05/la-importancia-de-la-trazabilidad.html
12
http://ieeexplore.ieee.org.ezproxy.utp.edu.co/stamp/stamp.jsp?tp=&arnumber=5284035&tag=1
13
http://www.mastermagazine.info/termino/4530.php
14
http://ieeexplore.ieee.org.ezproxy.utp.edu.co/stamp/stamp.jsp?tp=&arnumber=273022
19
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
Esta norma puede ser implantada en una empresa con el objetivo de obtener la
certificación o simplemente con el objetivo de emplear las mejores prácticas y
así perfeccionar algunos aspectos de seguridad en la empresa15.
Algo adicional que se debe tener en cuenta, es que el mundo está sufriendo
cambios constantes, y hay que ser rápidos para adaptarse a estas nuevas
tendencias para no rezagarse, y Colombia está siendo consciente de eso, cada
vez hay un mayor número de usuarios de internet, que paso a ser de 878,000
en el año 2.000 a 26.936.343 para el 2.01216.
Técnica
15
Revistas UTP, Revista Scientia et Technica, Tomado del artículo FUNDAMENTOS DE ISO 27001 Y SU
APLICACIÓN EN LAS EMPRESAS
16
http://www.exitoexportador.com/stats2.htm (diciembre 7 de 2.012)
17
http://www.enticconfio.gov.co/index.php/actualidad/item/254-tendencia-y-uso-de-las-tic-en-
colombia.html (diciembre 7 de 2012)
18
http://www.acis.org.co/fileadmin/Conferencias/InnovacioncomolocomotoradeldesarrolloyFortalecimi
entodelasTIC.pdf p.9 (Noviembre 16 de 2.012)
19
Universidad Tecnológica de Pereira, Tomado de la tesis ESTUDIO DE LOS PROCESOS DE SEGURIDAD DE
LA INFORMACIÓN DIGITAL EN LAS EMPRESAS DEL DEPARTAMENTO DE RISARALDAp.24
20
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
Social
21
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
22
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
5. MARCO REFERENCIAL
20
Revistas UTP, Revista Scientia et Technica, Tomado del artículo FUNDAMENTOS DE ISO 27001 Y SU
APLICACIÓN EN LAS EMPRESAS
21
http://www.acis.org.co/fileadmin/Base_de_Conocimiento/XII_JornadaSeguridad/PresentacionJeimyCa
no-IVELSI.pdf p.8
22
http://www.fedesoft.org/noticiastic/pymes-mas-preocupadas-por-su-seguridad (Noviembre 30 de
2012)
23
http://www.acis.org.co/fileadmin/Base_de_Conocimiento/XII_JornadaSeguridad/IVInforme_ELSI2012.
pdf p.8
23
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
Entre los sectores que invierten más de 130.001 dólares al año, se encuentra el
sector financiero y banca los que más destinan recursos para este trabajo, con
una participación del 36.11%25, ya que estos estos han sido fuertemente
motivados mediante regulaciones gubernamentales, al cumplimiento de
normativas.26
24
http://acis.org.co/revistasistemas/images/stories/seguridad_informtica_en_colombia_tendencias_201
1_2012.pdf p.3
25
http://www.acis.org.co/fileadmin/Base_de_Conocimiento/XII_JornadaSeguridad/PresentacionJeimyCa
no-IVELSI.pdf p.9
26
http://www.acis.org.co/fileadmin/Base_de_Conocimiento/XII_JornadaSeguridad/PresentacionJeimyCa
no-IVELSI.pdf p.5
27
http://www.acis.org.co/fileadmin/Base_de_Conocimiento/XII_JornadaSeguridad/IVInforme_ELSI2012.
pdf p.10
28
http://www.acis.org.co/fileadmin/Base_de_Conocimiento/XII_JornadaSeguridad/IVInforme_ELSI2012.
pdf p.19
29
Universidad Tecnológica de Pereira, Tomado de la tesis DESARROLLO DE UNA PROPUESTA
METODOLÓGICA PARA DETERMINAR LA SEGURIDAD EN UNA APLICACIÓN WEB p.48
30
IV Encuesta Latinoamericana de Seguridad de la Información
http://www.acis.org.co/fileadmin/Base_de_Conocimiento/XII_JornadaSeguridad/PresentacionJeimyCan
o-IVELSI.pdf
24
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
31
IV Encuesta Latinoamericana de Seguridad de la Información
http://www.acis.org.co/fileadmin/Base_de_Conocimiento/XII_JornadaSeguridad/IVInforme_ELSI2012.p
df p.17
32
http://www.iso27000.es/iso27000.html#section3b - ISO/IEC 27000
33
http://www.iso27000.es/iso27000.html#section3b - ISO/IEC 27001
34
http://www.iso27000.es/iso27000.html#section3b - ISO/IEC 27002
25
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
35
Universidad Tecnológica de Pereira, Tomado de la tesis GUÍA DE BUENAS PRÁCTICAS DE SEGURIDAD
DE LA INFORMACIÓN EN CONTEXTOS DE MICRO, PEQUEÑAS Y MEDIANAS EMPRESAS DE LA REGIÓN
p.23
36
http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=50675
37
http://www.bizagi.com/index.php?option=com_content&view=article&id=95&Itemid=107&lang=es
38
http://www.iso.org/iso/home.html
39
http://www.iso27000.es/sgsi.html#section2a
26
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
Activos: Los activos son los recursos que pertenecen al sistema de información
o que están relacionados con éste: Datos, Software, Hardware, Redes, Soporte
(DVD, Tarjetas de memoria, Discos duros externos), Personal 40.
40
Universidad Tecnológica de Pereira, Tomado de la tesis DESARROLLO DE UNA PROPUESTA
METODOLÓGICA PARA DETERMINAR LA SEGURIDAD EN UNA APLICACIÓN WEB p.7
41
www.editex.es/RecuperarFichero.aspx?Id=19810
42
Universidad Tecnológica de Pereira, Tomado de la tesis DESARROLLO DE UNA PROPUESTA
METODOLÓGICA PARA DETERMINAR LA SEGURIDAD EN UNA APLICACIÓN WEB p.7
43
Revistas UTP, Revista Scientia et Technica, Tomado del artículo FUNDAMENTOS DE ISO 27001 Y SU
APLICACIÓN EN LAS EMPRESAS
44
Norma técnica Colombiana NTC-ISO 19011 p.11
27
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
45
Respuesta Derecho de petición presentado a la SIC el día 9 de Noviembre de 2.012
28
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
7.1 Hipótesis:
¿Será posible definir una guía de procesos de auditoría interna para los
aspectos de “Gestión de comunicaciones y operaciones” y “Cumplimiento”
definidos en la norma ISO 27001:2005, los cuales puedan ser utilizados en
cualquier organización?
7.1 Población:
Expertos en el área de seguridad de la información y en la norma ISO 27001 en
Colombia.
7.3 Muestra:
Expertos en el área de seguridad de la información y en la norma ISO 27001 en
Pereira.
7.4 Variables:
Tabla [7.1]: Descripción de variables para validar la hipótesis.
Indicador número
Procesos principales Indicador número de de procesos
procesos definido ejecutados
Gestión de comunicaciones y operaciones 10 10
Cumplimiento 3 3
Fuente: Autor
29
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
46
Universidad Tecnológica de Pereira, Tomado de la tesis DEFINICIÓN DE PROCESOS DE AUDITORÍA
INTERNA DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN SOPORTADO EN TIC'S p.106
30
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
7.8 Metodología:
A través del uso de la herramienta BIZAGI, se realizará el desarrollo del
modelos de los procesos determinados, a los cuales se les hará un estudio de
cada uno de sus componentes descritos en la norma ISO 27001:2005,
específicamente en los procesos “Gestión de comunicaciones y operaciones” y
“Cumplimiento” indicados en el anexo A.
31
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
32
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
47
Tomado del libro AUDITORIA DEL CONTROL INTERNO p.4
48
http://informandodecalidad.wordpress.com/2008/04/09/definicion-de-auditoria-de-calidad/
49
Tomado del libro AUDITORÍA DE SISTEMAS UNA VISIÓN PRÁCTICA p.9
33
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
A partir de este último concepto partimos del hecho que hay varios tipos de
auditoría, así como existen las auditorías internas, también las hay externas.
50
http://www.gerencie.com/auditoria-externa.html
51
Tomado de la norma ISO 19011 DIRECTRICES PARA LA AUDITORÍA DE LOS SISTEMAS DE GESTIÓN p.5 y
8
52
Tomado del libro GESTION DE LA CALIDAD p.12
53
http://www.acis.org.co/revistasistemas/index.php/component/k2/item/132-seguridad-
inform%C3%A1tica-en-colombia-tendencias-2012-2013
54
http://www.iso27000.es/iso27000.html
34
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
Figura [8.1]: Ciclo de mejora continua Planear – Hacer – Verificar y Actuar (PHVA)
55
Fuente: norma ISO 27000
De los cuales se hablará más adelante, pero antes se hará una descripción de
una auditoría interna de los SGSI.
55
http://www.iso27000.es
35
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
Figura [8.2]: Diagrama del flujo del proceso para la gestión de un programa de
auditoría
Fuente: norma ISO 19011 DIRECTRICES PARA LA AUDITORÍA DE LOS SISTEMAS DE GESTIÓN 56
56
Tomado de la norma ISO 19011 DIRECTRICES PARA LA AUDITORÍA DE LOS SISTEMAS DE GESTIÓN p.15
36
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
Es por esto que en el modelamiento de procesos del que trata este proyecto,
se consideran los campos en las formas necesarios para que el auditor ingrese
estos parámetros y los tenga disponibles para realizar el informe de auditoría
de forma más precisa.
El proceso:
37
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
57
Universidad Tecnológica de Pereira, Tomado de la tesis DEFINICIÓN DE PROCESOS DE AUDITORÍA
INTERNA DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN SOPORTADO EN TIC'S p.38
38
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
Para cada uno de los procesos de este proyecto se tiene un modelo de datos,
los cuales se presentan en la tabla [8.5], los atributos del modelo de datos
representan la información que se requiere almacenar para cada proceso y
están relacionados con las actividades, en él se consideran las formas de
evaluar cada aspecto, Todo está correcto, Observaciones, No conformidad
mayor, No conformidad menor, así como el control, que permiten al auditor
continuar con la auditoría y algunas variables propias para definir el flujo del
proceso.
Existen dos tipos de actividades que pueden ser encontradas en los procesos
descritos, las actividades de verificación y/o revisión y las de declaración de no
conformidades, para cada una de estas, se definió una forma a través de la
cual el auditor puede agregar información del proceso para posteriormente
realizar el informe de auditoría final. 59
58
Universidad Tecnológica de Pereira, Tomado de la tesis DEFINICIÓN DE PROCESOS DE AUDITORÍA
INTERNA DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN SOPORTADO EN TIC'S p.39
59
Universidad Tecnológica de Pereira, Tomado de la tesis DEFINICIÓN DE PROCESOS DE AUDITORÍA
INTERNA DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN SOPORTADO EN TIC'S p.34-39
39
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
MODELO DE DATOS
40
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
FORMA DE RESUMEN
41
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
Se debe tener en cuenta que no todas las actividades tienen ambos momentos
de la auditoría, existen algunas actividades que solo pueden ser comprobadas
en sitio, o que se pueden realizar de manera previa, por ejemplo, no es
necesario estar en sitio para pedir manuales y analizarlos, pero si es necesario
estar en sitio para corroborar que los tiempos de restauración de backups si
cumplen con el tiempo especificado.
42
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
43
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
RESPALDO
¿Se Implantan procedimientos de backup y recuperación
que satisfagan no sólo requisitos contractuales sino
también requisitos de negocio "internos" de la
organización? Básese en la evaluación de riesgos
realizada para determinar cuáles son los activos de
información más importantes y use esta información para
crear su estrategia de backup y recuperación. Hay que
decidir y establecer el tipo de almacenamiento, soporte a
utilizar, aplicación de backup, frecuencia de copia y
prueba de soportes.
INTERCAMBIO DE LA INFORMACIÓN
¿Se estudian canales de comunicaciones alternativos y
"pre-autorizados", en especial direcciones de e-mail
secundarias por si fallan las primarias o el servidor de
correo, y comunicaciones offline por si caen las redes? El
verificar canales de comunicación alternativos reducirá el
estrés en caso de un incidente real.
44
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
MONITOREO
¿Se analiza la criticidad e importancia de los datos que
va a monitorizar y cómo esto afecta a los objetivos
globales de negocio de la organización en relación a la
seguridad de la información?
PROCEDIMIENTOS OPERACIONALES Y
RESPONSABILIDADES
Asegurar la operación correcta y segura de los servicios
de procesamiento de información.
45
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
46
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
47
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
48
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
aceptación.
RESPALDO
Mantener la integridad y disponibilidad de la información
y de los servicios de procesamiento de información.
49
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
50
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
inadecuado.
INTERCAMBIO DE LA INFORMACIÓN
Mantener la seguridad de la información y del software
que se intercambian dentro de la organización y con
cualquier entidad externa.
51
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
52
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
MONITOREO
Detectar actividades de procesamiento de la información
no autorizadas.
53
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
PROCEDIMIENTOS OPERACIONALES Y
RESPONSABILIDADES
¿Existe una política de seguridad que haya identificado
los procedimientos de operación, tales como copia de
seguridad, mantenimiento de equipos, etc?
Check list
¿Estos procedimientos están documentados y son
Sans Institute
usados?
54
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
55
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
56
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
RESPALDO
¿Existen copias de respaldo de la información de los
negocios esenciales, tales como servidores de
producción, componentes críticos de la red, configuración
del backup etc? Son tomadas regularmente. Por ejemplo:
De lunes a jueves hacer copias de respaldo
incrementales y el viernes: Backup completo.
57
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
INTERCAMBIO DE LA INFORMACIÓN
¿Existe algún acuerdo formal o informal entre las
organizaciones para el intercambio de información y
software?
58
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
59
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
60
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
61
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
62
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
63
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
64
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
65
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
Revisar si la organización
establece, desarrolla e
implementa políticas y
procedimientos para proteger
la información asociada con la
66
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
67
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
disponible al público.
MONITOREO
Revisar si se mantiene durante Verificar si la organización
un periodo acordado las analiza la criticidad e
grabaciones de los registros de importancia de los datos que
auditoría de las actividades de va a monitorizar y cómo esto
los usuarios, las excepciones y afecta a los objetivos globales
los eventos de seguridad de la de negocio de la organización
información con el fin de en relación a la seguridad de la
facilitar las investigaciones información.
futuras y el monitoreo del
control de acceso. Verificar que los resultados
producto del uso de los
Revisar si existe un documento procedimientos de monitoreo
donde se establezcan los son revisados regularmente.
procedimientos para el
monitoreo del uso de los Revisar si el nivel de monitoreo
servicios de procesamiento de necesario para servicios
información. individuales se determina
mediante una evaluación de
Revisar si está establecido el riesgos.
uso de procedimientos de
monitoreo para garantizar que Verificar que los servicios y la
los usuarios únicamente información de la actividad de
ejecutan actividades registro son protegidos contra
autorizadas explícitamente. el acceso o la manipulación no
autorizados para que los datos
Revisar que las actividades no se puedan modificar,
tanto del operador como del eliminar o poder crear un
administrador del sistema son sentido falso de seguridad.
registradas.
Revisar si existe una función
Revisar que las fallas que se en el sistema para llevar un
presentan son registradas y registro de errores.
analizadas junto con el
procedimiento realizado. Verificar si esta función está
habilitada.
Revisar si existe un registro de
las fallas reportadas por los Verificar que los relojes de
usuarios o por los programas todos los sistemas de
del sistema relacionadas con procesamiento de información
problemas de procesamiento pertinentes dentro de la
de la información o con los organización o del dominio de
sistemas de comunicación. seguridad deberían estar
sincronizados con una fuente
68
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
TIPO DE PROCESO:
Proceso principal
El objetivo principal de este proceso es verificar que se cumplan los lineamientos del
aspecto Gestión de comunicaciones y operaciones.
69
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
RESPONSABLE (S)
Auditor Interno
PARTICIPANTES:
Documento de no conformidades
Informe parcial de auditoría
OBSERVACIONES
Fuente: Autor
70
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
TIPO DE PROCESO:
Proceso de soporte
Documento con los procedimientos de operación para las actividades del sistema
asociadas con los servicios de comunicaciones y de procesamiento de información.
Documento de roles y responsabilidades identificadas en el manual de política de
seguridad de la organización.
Documento con los registros de auditoria que contenga todos los cambios realizados a
los servicios y los sistemas de procesamiento de información.
En este proceso se realizan las siguientes actividades para verificar que el documento
de las políticas cumple con lo estipulado en la norma ISO 27001:2005.
Las actividades están separadas en dos momentos, Actividades Previas a la Auditoría
y Actividades Auditoría en Sitio, las cuales se listan a continuación:
71
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
RESPONSABLE (S)
Auditor Interno
72
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
PARTICIPANTES:
Ninguno
Documento de no conformidades
Informe parcial de auditoría
OBSERVACIONES
Fuente: Autor
Tabla [9.5]: “Revisión de la Gestión de la prestación del servicio por terceras partes””
TIPO DE PROCESO:
Proceso de soporte
Documento de riesgos
Documento de acuerdo de la prestación de servicios entre las partes
73
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
prestación del servicio conforme a los acuerdos de prestación de servicio por terceros.
En este proceso se realizan las siguientes actividades para verificar que el documento
de las políticas cumple con lo estipulado en la norma ISO 27001:2005.
Las actividades están separadas en dos momentos, Actividades Previas a la Auditoría
y Actividades Auditoría en Sitio, las cuales se listan a continuación:
Verificar que existe una persona o equipo de gestión del servicio que monitoree
el cumplimiento de los términos y condiciones de seguridad de la información,
de los acuerdos y que los incidentes y problemas de la seguridad de la
74
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
RESPONSABLE (S)
Auditor Interno
PARTICIPANTES:
Ninguno
Documento de no conformidades
Informe parcial de auditoría
OBSERVACIONES
Fuente: Autor
75
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
TIPO DE PROCESO:
Proceso de soporte
En este proceso se realizan las siguientes actividades para verificar que el documento
de las políticas cumple con lo estipulado en la norma ISO 27001:2005.
Las actividades están separadas en dos momentos, Actividades Previas a la Auditoría
y Actividades Auditoría en Sitio, las cuales se listan a continuación:
76
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
formal.
RESPONSABLE (S)
Auditor Interno
PARTICIPANTES:
Director de sistemas
Ninguno
Documento de no conformidades
Informe parcial de auditoría
OBSERVACIONES
Fuente: Autor
El otro proceso de soporte identificado en el proceso principal “Protección
contra códigos maliciosos y móviles” se define en el siguiente apartado.
77
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
TIPO DE PROCESO:
Proceso de soporte
En este proceso se realizan las siguientes actividades para verificar que el documento
de las políticas cumple con lo estipulado en la norma ISO 27001:2005.
Revisar si existe algún procedimiento para verificar que todos los boletines de
alarma sean precisos e informativos con respecto al uso del software malicioso.
78
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
RESPONSABLE (S)
Auditor Interno
PARTICIPANTES:
Ninguno
Documento de no conformidades
Informe parcial de auditoría
OBSERVACIONES
Fuente: Autor
79
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
RESPALDO
TIPO DE PROCESO:
Proceso de soporte
En este proceso se realizan las siguientes actividades para verificar que el documento
de las políticas cumple con lo estipulado en la norma ISO 27001:2005.
Las actividades están separadas en dos momentos, Actividades Previas a la Auditoría
y Actividades Auditoría en Sitio, las cuales se listan a continuación:
Verificar que los medios que almacenan el backup y los procedimientos para
restaurarlo son almacenados de manera segura y lejos del sitio actual.
Verificar que los medios que almacenan la copia de respaldo son probados
regularmente para asegurarse que éstos pueden ser restaurados dentro del
marco de tiempo asignado por el procedimiento operacional para recuperación.
80
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
RESPONSABLE (S)
Auditor Interno
PARTICIPANTES:
Ninguno
Documento de no conformidades
Informe parcial de auditoría
OBSERVACIONES
Fuente: Autor
81
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
TIPO DE PROCESO:
Proceso de soporte
En este proceso se realizan las siguientes actividades para verificar que el documento
de las políticas cumple con lo estipulado en la norma ISO 27001:2005.
Las actividades están separadas en dos momentos, Actividades Previas a la Auditoría
y Actividades Auditoría en Sitio, las cuales se listan a continuación:
82
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
RESPONSABLE (S)
Auditor Interno
PARTICIPANTES:
Ninguno
Documento de no conformidades
Informe parcial de auditoría
OBSERVACIONES
83
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
Fuente: Autor
TIPO DE PROCESO:
Proceso de soporte
En este proceso se realizan las siguientes actividades para verificar que el documento
de las políticas cumple con lo estipulado en la norma ISO 27001:2005.
Las actividades están separadas en dos momentos, Actividades Previas a la Auditoría
y Actividades Auditoría en Sitio, las cuales se listan a continuación:
84
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
Revisar si todos los datos sensibles o valiosos son encriptados antes de ser
transportados para poder tener control de la información en tránsito física y
electrónica (a través de las redes).
RESPONSABLE (S)
Auditor Interno
PARTICIPANTES:
Ninguno
85
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
Documento de no conformidades
Informe parcial de auditoría
OBSERVACIONES
Fuente: Autor
INTERCAMBIO DE LA INFORMACIÓN
TIPO DE PROCESO:
Proceso de soporte
En este proceso se realizan las siguientes actividades para verificar que el documento
86
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
Revisar si existe algún acuerdo formal o informal entre las organizaciones para
el intercambio de información y software.
87
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
RESPONSABLE (S)
Auditor Interno
PARTICIPANTES:
Ninguno
Documento de no conformidades
Informe parcial de auditoría
OBSERVACIONES
Fuente: Autor
88
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
TIPO DE PROCESO:
Proceso de soporte
En este proceso se realizan las siguientes actividades para verificar que el documento
de las políticas cumple con lo estipulado en la norma ISO 27001:2005.
Las actividades están separadas en dos momentos, Actividades Previas a la Auditoría
y Actividades Auditoría en Sitio, las cuales se listan a continuación:
Revisar si existe una política establecida para el uso adecuado del correo
electrónico o si la política de seguridad aborda los problemas con respecto al
uso del correo electrónico.
89
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
Comprobar que todas las entradas suministradas desde el exterior del sistema
son verificadas y aprobadas.
RESPONSABLE (S)
Auditor Interno
PARTICIPANTES:
Ninguno
90
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
Documento de no conformidades
Informe parcial de auditoría
OBSERVACIONES
Fuente: Autor
MONITOREO
TIPO DE PROCESO:
Proceso de soporte
Documento con los procedimientos para el monitoreo del uso de los servicios de
procesamiento de información
En este proceso se realizan las siguientes actividades para verificar que el documento
de las políticas cumple con lo estipulado en la norma ISO 27001:2005.
Las actividades están separadas en dos momentos, Actividades Previas a la Auditoría
y Actividades Auditoría en Sitio, las cuales se listan a continuación:
91
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
Revisar que las actividades tanto del operador como del administrador del
sistema son registradas.
Revisar que las fallas que se presentan son registradas y analizadas junto con
el procedimiento realizado.
Revisar si existe un registro de las fallas reportadas por los usuarios o por los
programas del sistema relacionadas con problemas de procesamiento de la
información o con los sistemas de comunicación.
92
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
RESPONSABLE (S)
Auditor Interno
PARTICIPANTES:
Ninguno
Documento de no conformidades
Informe parcial de auditoría
OBSERVACIONES
93
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
Fuente: Autor
60
http://www.audea.com/iso-27001-%C2%BFhacia-un-cumplimiento-obligatorio/
94
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
CUMPLIMIENTO
CUMPLIMIENTO DE LOS REQUISITOS LEGALES
Obtenga asesoramiento legal competente,
especialmente si la organización opera o tiene clientes
en múltiples jurisdicciones.
95
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
96
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
97
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
98
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
99
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
100
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
101
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
102
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
103
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
la implementación de los
estándares de seguridad.
CONSIDERACIONES DE LA AUDITORÍA DE LOS SISTEMAS DE
INFORMACIÓN
Revisar si existen controles Verificar que los requisitos de
para salvaguardar los sistemas auditoría y las actividades que
operativos y las herramientas implican controles de los
de auditoría durante las sistemas operativos son
auditorías de los sistemas de cuidadosamente planificados y
información para evitar el uso acordados para minimizar el
inadecuado. riesgo de interrupciones en el
proceso de negocio.
CUMPLIMIENTO
TIPO DE PROCESO:
Proceso principal
104
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
El objetivo principal de este proceso es verificar que se cumplan los lineamientos del
aspecto Cumplimiento
RESPONSABLE (S)
Auditor Interno
PARTICIPANTES:
Documento de no conformidades
Informe parcial de auditoría
OBSERVACIONES
Fuente: Autor
105
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
TIPO DE PROCESO:
Proceso de soporte
En este proceso se realizan las siguientes actividades para verificar que el documento
de las políticas cumple con lo estipulado en la norma ISO 27001:2005.
Las actividades están separadas en dos momentos, Actividades Previas a la Auditoría
y Actividades Auditoría en Sitio, las cuales se listan a continuación:
Revisar si se tiene en cuenta que los requisitos legales varían de un país a otro
y pueden variar para la información creada en un país y que se transmite a otro
(es decir, el flujo de datos trans-fronterizo).
106
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
Revisar si los registros están clasificados en tipos de registro cada uno con
detalles de los periodos de retención y los tipos de medio de almacenamiento
como papel, microfichas, medios magnéticos, ópticos, etc.
Verificar que se tiene asesoría legal para garantizar el cumplimiento con las
leyes y los reglamentos nacionales.
Verificar que los controles criptográficos cumplen todos los acuerdos, las leyes
y los reglamentos pertinentes.
Verificar que se tiene asesoría legal para garantizar el cumplimiento con las
107
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
Verificar que los controles criptográficos cumplen todos los acuerdos, las leyes
y los reglamentos pertinentes.
RESPONSABLE (S)
Auditor Interno
PARTICIPANTES:
Ninguno
Documento de no conformidades
Informe parcial de auditoría
OBSERVACIONES
108
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
Fuente: Autor
Tabla [9.18]: “Revisión del Cumplimiento de las políticas y las normas de seguridad y
cumplimiento técnico”
TIPO DE PROCESO:
Proceso de soporte
Documento con las revisiones y acciones correctivas del cumplimiento de las políticas,
cumplimiento técnico y normas de seguridad
Asegurar que los sistemas cumplen con las normas y políticas de seguridad de la
organización.
En este proceso se realizan las siguientes actividades para verificar que el documento
de las políticas cumple con lo estipulado en la norma ISO 27001:2005.
Las actividades están separadas en dos momentos, Actividades Previas a la Auditoría
y Actividades Auditoría en Sitio, las cuales se listan a continuación:
109
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
RESPONSABLE (S)
Auditor Interno
PARTICIPANTES:
Ninguno
Documento de no conformidades
Informe parcial de auditoría
OBSERVACIONES
110
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
Fuente: Autor
TIPO DE PROCESO:
Proceso de soporte
Documento con los controles para salvaguardar los sistemas operativos y las
herramientas de auditoría
En este proceso se realizan las siguientes actividades para verificar que el documento
de las políticas cumple con lo estipulado en la norma ISO 27001:2005.
Las actividades están separadas en dos momentos, Actividades Previas a la Auditoría
y Actividades Auditoría en Sitio, las cuales se listan a continuación:
Verificar que los requisitos de auditoría y las actividades que implican controles
de los sistemas operativos son cuidadosamente planificados y acordados para
minimizar el riesgo de interrupciones en el proceso de negocio.
111
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
Verificar que el acceso a las herramientas de auditoría del sistema, como los
archivos de software o los datos están protegidos para evitar cualquier posible
mal uso o compromiso.
RESPONSABLE (S)
Auditor Interno
PARTICIPANTES:
Ninguno
Documento de no conformidades
Informe parcial de auditoría
OBSERVACIONES
112
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
Fuente: Autor
113
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
Esta empresa trabaja con el Modelo Estándar de Control Interno (MECI) como
se muestra en la Figura [10.1].
114
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
cuál presenta una serie de pasos que fueron tomados como punto de partida
para validar este proyecto.
Criterios de auditoría:
Todo correcto.
Observaciones.
No conformidad mayor
No conformidad menor
Declaración de aplicabilidad.
Política de seguridad de la información.
Manuales de procedimientos.
Documento de roles y responsabilidades.
Registros de auditoría y
todo lo relacionado con la parte de cumplimiento para los controles
involucrados.
115
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
116
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
¿Será posible definir una guía de procesos de auditoría interna para los
aspectos de Gestión de comunicaciones y operaciones y Cumplimiento
definidos en la norma ISO 27001:2005, los cuales puedan ser utilizados en
cualquier organización?
Los procesos se diseñaron con base en la norma ISO 27001 :2005 y la ISO
27002, la Guía de auditoría ISO 27k ISMS implementers fórum y el Check list
SANS Institute que posteriormente se modelaron y automatizaron en la
herramienta Bizagi, estos modelos fueron probados por el autor del proyecto
para corroborar que la información almacenada se mantuviera y no se
presentara algún tipo de alteración durante el desarrollo del proceso, para
finalmente ser validado en el entorno real de una organización.
117
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
terceras partes.
Planificación y aceptación del sistema.
Protección contra códigos maliciosos y
móviles.
Respaldo.
Gestión de la seguridad de las redes.
Manejo de los medios.
Intercambio de la información.
Servicios de comercio electrónico.
Monitoreo.
Cumplimiento. Cumplimiento de los requisitos legales.
Cumplimiento de las políticas y las normas de
seguridad.
Consideraciones de la auditoría de los
sistemas de información
Fuente: Autor
Fuente: Autor
118
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
R//: 3 horas
119
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
¿Considera que los resultados obtenidos con la auditoría son útiles para
mejorar sus procedimientos y acercarse más a lo contemplado en la
norma ISO 27001:2005 e ISO 27002?
120
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
11. CONCLUSIONES
121
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
122
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
123
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
12. RECOMENDACIONES
124
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
APÉNDICE
125
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
13. DIAGRAMAS
Fuente: Autor
126
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
Fuente: Autor
127
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
Fuente: Autor
128
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
Fuente: Autor
129
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
Fuente: Autor
130
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
Fuente: Autor
131
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
Fuente: Autor
132
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
Fuente: Autor
133
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
Fuente: Autor
134
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
Fuente: Autor
135
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
Fuente: Autor
136
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
Fuente: Autor
137
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
Fuente: Autor
138
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
Fuente: Autor
139
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
Fuente: Autor
140
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
Fuente: Autor
141
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
Fuente: Autor
142
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
Fuente: Autor
143
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
Fuente: Autor
144
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
Fuente: Autor
145
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
Fuente: Autor
146
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
Fuente: Autor
147
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
Fuente: Autor
148
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
Fuente: Autor
149
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
Fuente: Autor
150
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
Fuente: Autor
151
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
Fuente: Autor
152
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
Fuente: Autor
153
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
Fuente: Autor
154
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
Fuente: Autor
155
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
Fuente: Autor
156
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
Fuente: Autor
157
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
Fuente: Autor
158
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
Fuente: Autor
159
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
Fuente: Autor
160
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
Fuente: Autor
161
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
Fuente: Autor
162
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
INFORMES DE AUDITORÍA
163
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
164
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
165
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
166
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
167
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
168
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
169
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
170
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
171
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
172
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
173
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
174
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
BIBLIOGRAFÍA.
GUÍAS DE TRABAJO
PROYECTOS DE GRADO
http://recursosbiblioteca.utp.edu.co/tesisd/index.html
http://ieeexplore.ieee.org.ezproxy.utp.edu.co/Xplore/dynhome.jsp?tag=1&tag=1
(visitado el 4 de Octubre de 2.012)
175
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
http://www.iadb.org/es/banco-interamericano-de-desarrollo,2837.html (visitado
el 27 de Noviembre de 2.012)
LIBROS DE INTERNET
MANTILLA B., Samuel Alberto, CANTE S., Sandra Yolima. Auditoría del control
interno, Libro (Visitado el 24 de Julio de 2013)
http://books.google.com.co/books?id=V8esyo3bk_YC&printsec=frontcover&dq=
AUDITORIA&hl=es&sa=X&ei=7wDwUf7dBcXh4APvxoCgCA&ved=0CD0Q6wE
wAw#v=onepage&q=AUDITORIA&f=false
176
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
http://books.google.com.co/books?id=HdtpS3UBCuMC&pg=PA67&dq=auditoria
+informatica&hl=es&sa=X&ei=BQHwUYTyLq3K4APl2ICgAQ&ved=0CDYQ6AE
wAg#v=onepage&q=auditoria%20informatica&f=false
OTROS
Introducción a la auditoría
http://habeasdatacol.blogspot.com/2011/02/en-los-ultimos-6-meses-la.html
(visitado el 11 de Octubre de 2.012)
http://www.bizagi.com/index.php?option=com_content&view=article&id=95&Ite
mid=107&lang=es (visitado el 27 de Noviembre de 2.012)
http://www.audea.com/iso-27001-%C2%BFhacia-un-cumplimiento-obligatorio/
(Visitado el 25 de Julio de 2013)
http://informandodecalidad.wordpress.com/2008/04/09/definicion-de-auditoria-
de-calidad/ (Visitado el 24 de Julio de 2013)
177