Está en la página 1de 12

Sistema de gestión de seguridad informática -SGSI

Jonny Julián Sánchez Gómez

Universidad Nacional Abierta y a Distancia.


Especialización en Seguridad Informática
Sistema de gestión de seguridad informática – SGSI
Bogotá DC. – Mayo 2020
TABLA DE CONTENIDO

Introducción................................................................................................................................3

Punto 1........................................................................................................................................4

Punto 2........................................................................................................................................7

Conclusiones.............................................................................................................................10

Bibliografía...............................................................................................................................11
Introducción

Hay muchas razones por las cuales las organizaciones deben implementar estandarización en

sus procesos, la más relevante es ahorrar tiempo de trabajo y recursos financieros, además de

ventajas competitivas, mejorar la eficiencia, la eficiencia y prevenir el error humano. Las

normas, estándares o buenas prácticas es la ejecución de llevar a cabo un conjunto de estrategias,

metodologías, procedimientos, técnicas, actividades o facilitar la planificación en la gestión la

cual permitan realizar de manera óptima en el marco de la implementación de controles, políticas

y administración adecuadas de cualquier sistema de gestión de información con el fin de

minimizar el riesgo y tener las pautas para la poner en funcionamientos planes de respuesta y

mitigar acciones detección de intrusiones, ataques de denegación de servicio, etc.) y garantizar la

seguridad del sistema de información.


Punto 1

Cuadro con la explicación de auditoria informática, su proceso y sus diferentes tipos, diferencias
entre controles internos de los sistemas de información con la auditoría técnica de seguridad.

Explicación Auditoria Informática


La auditoría informática es un proceso sistemático y lógico que
sigue una estrategia basada en el riesgo para determinar si el
sistema de información de una empresa, incluidos sus
procesos, controles y actividades detallados de tecnología de la
información, logrará sus objetivos de TI y, de ese modo,
permitirá que la organización logre sus objetivos.
Proceso 1. Determinar el objetivo y el alcance de la auditoría de TI
2. Desarrollar un plan de auditoría para lograr los objetivos de la
auditoría.
3. Recopilar información sobre sistemas de TI, operaciones y
controles relacionados relevantes
4. Realizar pruebas de auditoría en controles clave de TI,
utilizando técnicas de auditoría asistidas por computadora
(CAAT), cuando corresponda
5. Informe sobre los resultados de la auditoría.
Tipos La Auditorías internas tienen lugar dentro de su negocio. Como
propietario del negocio, usted inicia la auditoría mientras otra
persona en su negocio la realiza.
La Auditoría externa es realizada por un tercero, como un
contador, el IRS o una agencia tributaria. El auditor externo no
tiene conexión con su negocio (por ejemplo, no es un empleado).
Y, los auditores externos deben seguir los estándares de auditoría
generalmente aceptados (GAAS).
La Auditorías fiscales del IRS se utilizan para evaluar la
precisión de las declaraciones de impuestos presentadas por su
empresa. Los auditores buscan discrepancias en las obligaciones
tributarias de su empresa para asegurarse de que su empresa no
pagó en exceso o pagó los impuestos de manera insuficiente. Y,
los auditores fiscales revisan los posibles errores en la declaración
de impuestos de su pequeña empresa.
La Auditoría financiera es uno de los tipos más comunes de
auditoría. La mayoría de los tipos de auditorías financieras son
externas.
La Auditorías operativas son similares a las auditorías internas.
Una auditoría operativa analiza los objetivos, procesos de
planificación, procedimientos y resultados operativos de su
empresa.
La Auditoría de cumplimiento examina las políticas y
procedimientos de su empresa para ver si cumplen con los
estándares internos o externos.
La Auditoría de sistemas de información afectan principalmente a
empresas de software y TI. Los dueños de negocios utilizan
auditorías de sistemas de información para detectar problemas
relacionados con el desarrollo de software, el procesamiento de
datos y los sistemas informáticos.
La Auditoría de nómina examina los procesos de nómina de su
empresa para garantizar que sean precisos. Al realizar auditorías
de nómina, observe diferentes factores de nómina, como tasas de
pago, salarios, retenciones de impuestos e información de los
empleados.
La Auditoría de pago le permiten identificar discrepancias de
pago entre sus empleados
Diferencias
Controles Internos de Sistemas de Información Auditoría Técnica de Seguridad
controlar que todas las actividades se realizan protección de los activos e integridad de
cumpliendo los procedimientos y normas datos
fijados, controles sobre la producción diaria,
asimismo en el cumplimiento de
procedimientos, normas y controles dictados
definir, implantar y ejecutar mecanismos y Revisar y juzgar los controles
controles para comprobar el logro de los grados implantados en los sistemas de
del servicio y recursos los directamente informáticos para verificar su adecuación
involucrados en los proceso, licencias y a las ordenes e instrucciones de la
relaciones contractuales con terceros dirección, requisitos legales, protección
de confidencialidad y cobertura antes
errores y fraudes
colaborar y apoyar el trabajo de auditorías Participar en las revisiones durante y
informáticas, así de las auditorías externas a la después del diseño, realización
empresa implementación y explotación de
aplicaciones informáticas, así como las
fases análogos de realización de cambio
importantes
la seguridad informática Revisar y juzgar el nivel de eficacia,
utilidad, fiabilidad y seguridad de los
equipos informáticos
Análisis de los controles en el día a día gestión que abarca la protección de
activos, eficacia y eficiencia.
El alcance de sus funciones es únicamente sobre El alcance de sus funciones sobre
el departamento de informática diferentes áreas.
control sobre la calidad y eficiencia del Resultados obtenidos en los diferentes
desarrollo y mantenimiento del software de base test que se han realizado
Solo personal Interno Personal Interno y Externo
Punto 2

Diseño y estructura del informe ejecutivo y técnico que son utilizadas para las auditorias de
seguridad informática.

 Informe ejecutivo:

OBJETIVO

ALCANCE

CRITERIOS

AUDITOR LÍDER / DEPENDENCIA

EQUIPO AUDITOR

HALLAZGOS

# Tipo Hallazgo: Descripción:

DESARROLLO

OBSERVACIONES

RECOMENDACIONES

CONCLUSIONES

ANEXOS
FORMATO
FI-AI-003-02 Registro de hallazgos de Auditoria Seguridad
Proceso: Sistemas de Gestión
Versión: 02 Eslogan Logo
Creación: Mayo 2020
Revisión: N/A

Proceso:
Persona Auditada:
Fecha Auditoría:
Auditores:
Resumen:
En el cuadro inferior se detallan los hallazgos encontrados por el equipo durante la auditoría realizada a su proceso.
Usted deberá presentar un plan de acción que incluya las actividades, responsables y fechas de cierre de cada una de las no conformidades registradas (Llenar las columnas marcadas en azul),
en un plazo no mayor a 5 días a partir de la fecha de recepción de este informe; si tiene alguna duda con respecto a los hallazgos por favor comuníquese con cualquiera de los auditores.
TIPO AUDITORIA PROCESO, DEPENDENCIA O TEMA A AUDITAR RESPONSABLE

OBJETIVO

ALCANCE

CRITERIOS

AUDITOR LÍDER / DEPENDENCIA

EQUIPO AUDITOR

HALLAZGOS
# Tipo  Hallazgo: Descripción:

DESARROLLO

OBSERVACIONES
RECOMENDACIONES

CONCLUSIONES

ANEXOS
Conclusiones

Este trabajo genera un enriquecimiento individual porque, gracias a los puntos descritos en la

Guía de actividades y en la rúbrica de evaluación - Fase 3. ha generado conocimiento como un

futuro especialista en seguridad informática, asimismo, brinda un análisis los mecanismos de

auditoría, con el fin de implementar de controles, políticas y administración adecuadas de los

sistema de gestión de información.


Bibliografía

1. What is ISO 27001 Compliance? Essential Tips and Insights | Varonis. (2020). Retrieved 9
February 2020, from https://www.varonis.com/blog/iso-27001-compliance/

2. ISO/IEC 27001 Information security management. (2020). Retrieved 9 February 2020, from
https://www.iso.org/isoiec-27001-information-security.html

3. ISO/IEC 27001 certification standard. (2020). Retrieved 9 February 2020, from


https://www.iso27001security.com/html/27001.html

4. ISO 27001 - Software ISO 27001 de Sistemas de Gestión. (2020). Retrieved 9 February 2020,
from https://www.isotools.org/normas/riesgos-y-seguridad/iso-27001/

5. http://eds.a.ebscohost.com.bibliotecavirtual.unad.edu.co/eds/detail/detail?

vid=0&sid=0cee03dc-a943-4b01-a2b9-15802256e451%40sdc-v-

sessmgr02&bdata=Jmxhbmc9ZXMmc2l0ZT1lZHMtbGl2ZSZzY29wZT1zaXRl#AN=

edssci.S0185.19182018000100247&db=edssci

señor alexander GOMEZ, , solo aplica las normas legislativas de la nación,

asimismo, todo el tipo de sanciones y multas que acarrea para los diversos

acciones delictivas que cometió.