Consulta Auditoria de Sistemas

- Riesgo Informático: Es un proceso que comprende la identificación de activos

informáticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos así

como su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar

los controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del

riesgo.

- Norma ISO 27001: Sistemas de Gestión de la Seguridad de la Información, la ISO

27001, es una norma internacional que permite el aseguramiento, la

confidencialidad e integridad de los datos y de la información, así como de los

sistemas que lo procesan.

El estándar ISO 27001:2013 para los Sistemas Gestión de la Seguridad de la

Información permite a las organizaciones la evaluación del riesgo y la aplicación de los

controles necesarios para mitigarlos o eliminarlos. La aplicación de ISO-27001 significa

una diferenciación respecto al resto, que mejora la competitividad y la imagen de una

organización. La Gestión de la Seguridad de la Información se complementa con las

buenas prácticas o controles establecidos en la norma ISO 27002.

Activos en Seguridad de la Información: Los activos de información son los recursos

que utiliza un Sistema de Gestión de Seguridad de la Información para que las

organizaciones funcionen y consigan los objetivos que se han propuesto por la alta

dirección. Los activos se encuentran asociados, de forma directa o indirectamente, con las

demás entidades.

Un proyecto de seguridad tiene el objetivo de controlar la seguridad de los activos de

información que generan el dominio en el estudio de proyectos. El límite del conjunto de

activos del dominio no imposibilita la consideración de las relaciones en materia de

seguridad de dichos activos de información con el entorno.

Uno de los primeros pasos que debe seguir la entidad para adaptarse a la norma ISO

27001 es llevar a cabo un inventario de activos de información. Tendrán los activos de

información que representan algún valor para la empresa y que quedan dentro del

alcance del SGSI.

En principio puede parecer un poco abrumador para un principiante, por la gran

cantidad de activos que se van ocurriendo. Por este motivo se decide comenzar por

clasificarlos de alguna forma. Entre las muchas formas que se encuentran podemos elegir

la definida por los expertos. Parece la manera más completa. Muestra ejemplo de cada tipo

y es válido para entidades de muy diferente naturaleza.

Debido a que los activos de información son cambiantes, mañana puede ser que

la situación sea diferente y mucho más distinta en unas semanas, meses o años. Así que

es recomendable mantener vivo el inventario de activos que hagamos. Se debe incluir la

revisión del Sistema de Gestión de Seguridad de la Información. Es necesario actualizar

los procesos como parte de la mejora continua.

 Control Interno Informático: El control interno informático controla diariamente que

todas las actividades de sistemas de información sean realizadas cumpliendo los

procedimientos; estándares y normas fijados por la Dirección de la Organización y/o

Dirección de Informática, así como los requerimientos legales. La misión del control

interno informático es asegurarse de que las medidas que se obtienen de los mecanismos

implantados por cada responsable sean correctas y válidas.

El Control Interno Informático suele ser un órgano de staff de la Dirección del

Departamento de Informática y está dotado de las personas y medios materiales

proporcionados a los cometidos que se le encomienden.