FORMATO DE INVESTIGACION

METODO CIENTIFICO

Plantilla del Estado del Arte

Author (s): Ángel Félix Dávalos Suñagua

Títle of paper: Auditoria de Seguridad de Información
Journal:
Volume (issue):
pag – pag (year): 30

Estado del arte que hace el autor (OBSERVACION)

Los auditores diagnostica todo tipo de empresa para obtener conocimiento e
informaciones de las áreas de cada organización entre ellas sistema de
información y seguridad, procesamientos de datos, tecnología información y
comunicación, etc….
Seguridad de información es muy importante para las empresas públicas como
también para las privadas ya que ellos contienen informaciones muy importantes.
Ya que su información de las organizaciones son vulnerables que pueden
ingresar cualquier persona y manipular la información.
Las auditorías de seguridad de SI permiten conocer en el momento de su
realización cuál es la situación exacta de sus activos de información en cuanto a
protección, control y medidas de seguridad.
La seguridad información empresarial ayuda a reguardar la información de la
empresa según el diseño de la arquitectura de seguridad de información según la
normativa OSI ya que esta norma contiene 7 capas encapsuladas y el modelo de
seguridad de información sus capas son independiente.
Cada capa contiene sus propias funciones para proteger las informaciones de las
organizaciones.
Realizar auditorías con cierta frecuencia asegura la integridad de los controles de
seguridad aplicados a los sistemas de información. Acciones como el constante
cambio en las configuraciones, la instalación de parches, actualización de los
softwares y la adquisición de nuevo hardware hacen necesario que los sistemas
estén continuamente verificados mediante auditoría
El gobierno de tecnología de información conocido como el gobierno de TI
consiste liderar a las organizaciones y estructurar su información para cumplir
todo el objetivo planeado.
Motivación del autor (DESCRIPCION DEL PROBLEMA)

Las organizaciones no cuentan con una seguridad de información ya que son

vulnerables y puedan manipular cualquier persona.
Los auditores propusieron la seguridad de información para mantener una
información segura y se basan a las normativas OSI. La auditoría de seguridad
analiza la situación de cada organización. En la actualidad las organizaciones
cuenta con una seguridad de información y ellos deben cumplir con las leyes,
estándares y otra que le permite evaluar su sistema de seguridad de información.
Descripción del aporte del autor (HIPOTESIS)
El aporte que da el autor es sobre la seguridad de información para cada
organización para tener una información segura. La auditoría se basa en fases y
estándares para obtener una buena seguridad de información.
Se requieren varios pasos para realizar una auditoría. El auditor de sistemas debe
evaluar los riesgos globales y luego desarrollar un programa de auditoria que
consta de objetivos de control y procedimientos de auditoria que deben satisfacer
esos objetivos El proceso de auditoria exige que el auditor de sistemas reúna
evidencia, evalúe fortalezas y debilidades de los controles existentes basado en la
evidencia recopilada, y que prepare un informe de auditoría que presente esos
temas en forma objetiva a la administración. Asimismo, la gerencia de auditoria
debe garantizar una disponibilidad y asignación adecuada de recursos para
realizar el trabajo de auditoria además de las revisiones de seguimiento sobre las
acciones correctivas emprendidas por la gerencia.
El auditor de sistemas debe evaluar esos riesgos y determinar cuáles de esas
áreas de alto riesgo debe ser auditada y aplicar los modelos de seguridad que son
los siguientes:
Liderazgo de seguridad: permite a la organización tomar cuentas y estratégicas
de segura.
Programa de seguridad: Consiste brindar una estructura de seguridad y recursos
de programa de seguridad.
Proceso para obtener el aporte que considera el autor
(EXPERIMENTACION)
Las metodologías que aplican los auditores son el ISO 17799 e ITIL y COBIT para
tener una buena seguridad de información.
Una auditoría se realiza con base a un patrón o conjunto de directrices o buenas
prácticas sugeridas. Existen estándares orientados a servir como base para
auditorías de informática. Uno de ellos es COBIT (Objetivos de Control de la
Tecnologías de la Información), está relacionada en el enfoque de negocio,
Orientación y los recursos de la TI del proceso dentro de los objetivos definidos
como parámetro, se encuentra el "Garantizar la Seguridad de los Sistemas".
El objetivo de la ISO 17799, es proporcionar una base común para desarrollar
normas de seguridad dentro de las organizaciones y ser una práctica eficaz de la
gestión de la seguridad.
Adicional a este estándar podemos encontrar el estándar ISO 27002, el cual se
conforma como un código internacional de buenas prácticas de seguridad de la
información, este puede constituirse como una directriz de auditoría apoyándose
de otros estándares de seguridad de la información que definen los requisitos de
auditoría y sistemas de gestión de seguridad, como lo es el estándar ISO 27001.
ITIL es Information Technology Infrastructure Librery (Biblioteca de la
Infraestructura de las Tecnologías de la Información), como su nombre lo expresa
es un grupo de libros, los cuales publican un conjunto de mejores prácticas para
la Gestión de Servicios de Tecnología para la organización.
Proceso para resolver el problema considerado por el autor
(EXPERIMENTACION)
El autor da una solución a la problemática mediante la metodología ISO Y COBIT
ya que estos estándares que ayuda a tener una calidad de seguridad. Los
auditores evalúan por medio de Auditorias de Seguridad de la Información de
acuerdo con estándares reconocidos y buenas prácticas de seguridad para luego
ser certificados, permitiendo que la empresa garantice la seguridad de su
información y su relación con la práctica empresarial y de negocios en el ámbito
de lo razonable y seguro para los interesados.
El profesional que se dedique a realizar Auditoria de Seguridad de la Información
en las diferentes organizaciones tanto públicas como privadas, deberá contar con
conocimientos tanto del área administrativa como de la tecnología y conocer los
diferentes estándares con los cuales puede afrontar el trabajo encomendado y
realizar el mismo con la profundidad necesaria de tal manera que beneficie a la
empresa de acuerdo a las necesidades y a toman decisiones.
Métricas que el autor usa y resultado que obtiene. Comentar (los resultados
son mejores respecto a otros) (ANALISIS DE RESULTADOS)
Las herramientas que utilizo el autor para obtener un resultado son los siguientes:
 ISO 17799 – Códigos De Buenas Prácticas De Seguridad De La Información
 ISO SERIE 27000
 ITIL
 COBIT
Son las que apoyaran el desarrollo del trabajo para que luego para capacitar los
interesados y las mismas sirvan a la toma de decisiones.
Observaciones y/o críticas suyas al artículo
Hoy en día la seguridad de información es importante para proteger la información
de las empresas de los intrusos que son los virus, destrucción de los equipos,
etc... Se ha elevado el perfil de riesgo de información y surge la necesidad de
administrar la seguridad de información para obtener una ventaja competitiva y
satisfacer las necesidades de la organización.
Una organización con una política y procedimiento de seguridad proviene de
pérdidas de información y mejora la seguridad de la empresa.