1

1Investigación temas:
• ISO 20000
• MAGERIT
• ISO 19011

Corporación universitaria del Meta.

Ingeniería en sistemas.
Auditoria informática

Anibal mauricio Echavarria lozano

2021.
 2

Tabla de Contenidos

MAGERIT.......................................................................................................................................3
Razón de ser de MAGERIT:........................................................................................................3
ISO/IEC 20000................................................................................................................................3
ISO 19011:2002...............................................................................................................................4
Objeto y campo de aplicación:....................................................................................................4
 3

MAGERIT

MAGERIT es una metodología de análisis y gestión de riesgos de los sistemas de

información, es una metodología elaborada y promovida por el consejo superior de
Administración Electrónica (CSAE).

Esta metodología es una respuesta a la percepción de que la sociedad depende de forma

creciente de las Tecnologías de la Información (TI) para la consecución de sus objetivos
de servicio

Razón de ser de MAGERIT:

la generalización del uso de los medios electrónicos, informáticos y telemáticos (MEIT)

supone beneficios para los ciudadanos. Pero también da lugar a ciertos riesgos que deben
minimizarse con medidas de seguridad que generen confianza en el uso de los MEIT.

ISO/IEC 20000

En el entorno actual, en el que las tecnologías de la información (TI) juegan un papel

decisivo en la productividad de las empresas, una buena gestión de estas se hace
fundamental. De hecho, los sistemas de información para la gestión han sido, y son
actualmente, un factor clave en el desarrollo empresarial. Por este motivo, una buena
gestión de los mismos se hace esencial para el buen funcionamiento de las empresas, que
cada vez dependen más de las TI.
En ese entorno, surge la disciplina de la Gestión de Servicios de TI, o más conocida
como ITSM, del inglés (Information Technology Service Managemet), como una
disciplina de gestión que pretende gestionar los “servicios de TI” de las organizaciones
con el objetivo fundamental de obtener el cumplimiento de los Requisitos del Negocio.
Este enfoque trata de “alinear las TI y el Negocio”, de forma que las primeras se
focalicen en obtener los resultados empresariales buscados en las organizaciones a las
que pertenecen o a las que prestan sus servicios.
En ese marco de trabajo, surge la norma ISO/IEC 20000, una norma internacional que
pretende establecer los requerimientos necesarios para realizar una entrega de servicios
de TI alineados con las necesidades y objetivos del negocio, con calidad y valor añadido
para los clientes, bien sean estos internos o externos. Por tanto, es de suponer que la
implantación de esta norma, la ISO/IEC 20000, generará una serie de beneficios en la
gestión de los servicios de TI, que a su vez traerá beneficios empresariales a las empresas
que la implanten. Ello se corrobora, por ejemplo y para el caso español, mediante el
estudio del impacto que tiene la implantación de la ISO 20000, “Impacto de ISO 20000,
un estudio empírico” En dicho estudio se realiza una prospección de los resultados
obtenidos por las empresas certificadas en la norma ISO/IEC 20000 en el ámbito nacional
y proporciona resultados y conclusiones relevantes en la cuanto a la gestión de servicios.
Las conclusiones que se obtienen del mismo indican la implantación y certificación de la
 4

norma trae beneficios a las empresas, como son un mayor control interno de factores
como los riesgos, los activos, la gestión de la documentación o la definición de roles y
responsabilidades del personal. Por tanto, la certificación trae consigo beneficios claros a
la organización. Por ello, se considera muy interesante tener conocimiento de la norma y
de su estructura, al menos a un nivel básico, ya que, desde el punto de vista de la
organización de empresas, su implantación puede ser un factor que consiga mejoras y
ventajas competitivas.

ISO 19011:2002

Esta Norma Internacional proporciona orientación sobre la gestión de los programas de

auditoría, la realización de auditorías internas o externas de sistemas de gestión de la
calidad y/o ambiental, así como sobre la competencia y la evaluación de los auditores.
Está prevista para aplicarla a una amplia gama de usuarios potenciales incluyendo
auditores, organizaciones que estén implementando sistemas de gestión de la calidad y/o
ambiental, organizaciones que necesitan realizar auditorías de sistemas de gestión de la
calidad y/o ambiental por razones contractuales, y organizaciones involucradas en la
certificación o formación de auditores, certificación/registro de sistemas de gestión,
acreditación o normalización en el área de la evaluación de la conformidad.
La orientación provista en esta Norma Internacional pretende ser flexible. Como se indica
en varios puntos del texto, el uso de estas directrices puede diferir de acuerdo con el
tamaño, la naturaleza y la complejidad de las organizaciones que se van a auditar, así
como con los objetivos y alcances de las auditorías que se vayan a realizar. A lo largo de
esta Norma Internacional se proporciona orientación adicional o ejemplos para casos
específicos en forma de ayuda práctica en textos contenidos en recuadros. En algunos
casos esto está destinado a facilitar el uso de esta Norma Internacional en organizaciones
pequeñas.

Objeto y campo de aplicación:

Esta Norma Internacional proporciona orientación sobre los principios de auditoría, la

gestión de programas de auditoría, la realización de auditorías de sistemas de gestión de
la calidad y auditorías de sistemas de gestión ambiental, así como sobre la competencia
de los auditores de sistemas de gestión de la calidad y ambiental. Esta norma es aplicable
a todas las organizaciones que tienen que realizar auditorías internas o externas de
sistemas de gestión de la calidad y/o ambiental o que gestionar un programa de auditoría.
La aplicación de esta Norma Internacional a otros tipos de auditorías es posible en
principio, siempre que se preste especial atención a la identificación de la competencia
necesaria de los miembros del equipo auditor.