Ean Asi Ui C1

Auditoría y Seguridad Informática
Unidad 1 – Marco Conceptual y Generalidades

Clase 1
INTRODUCCIÓN CONCEPTOS CLAVE CONCLUSIONES RECOMENDACIONES FINALES
UNIDAD 1: MARCO CONCEPTUAL Y GENERALIDADES
Agenda
Programa de la asignatura.
Presentación / Objetivos
Definición de Información, procesos y sistemas de

información.
Concepto del marco normativo y del control interno.

Imagen, gráfico, esquema…
Aspectos normativos y marco referencial: ISO/IEC 27001-2 y
familia, Protección de Datos Personales, Delitos
Informáticos, Firma Digital, Comunicación BCRA A-4609,
COBIT, PCI y SOX., ITIL, ITAM, ITMS.
Actividad práctica clase 1

Introducción a la asignatura
Esta asignatura tiene los siguientes Objetivos
Formar habilidades necesarias para la operación de un

Sistema de Gestión de Seguridad de la Información.
Aplicar metodologías que posibiliten resolver situaciones

concretas en el campo de la Seguridad de la Información y
Auditoría Informática, evaluando sus resultados e impacto. Imagen, gráfico, esquema…
Concientizar sobre aspectos fundamentales de la seguridad

y la importancia de la continuidad de los procesos en las
organizaciones, gestionando sus riesgos y estableciendo
planes de contingencia ante situaciones que atenten contra
el normal funcionamiento del negocio.
Unidades temáticas
Unidad 1: Marco Conceptual y Generalidades
Unidad 2: Seguridad de la Información. Gestión de Riesgos y Continuidad del Negocio.
Unidad 3: Ciberseguridad.
Unidad 4: Auditoría Informática.
Evaluación
Parciales (2)
Trabajo Práctico PAI
Final
Unidad I
Definición de información, procesos y sistemas de

información. Confidencialidad, disponibilidad, integridad y
legalidad . Concepto del marco normativo y del control
interno. Propósito y objetivos de los Sistemas de Gestión de
Seguridad de la Información (SGSI). Organismos y
Imagen, gráfico, esquema… certificaciones internacionales relacionadas. Aspectos
normativos y marco referencial: ISO/IEC 27001-2 y familia,
Protección de Datos Personales, Delitos Informáticos, Firma
Digital, Concepto del marco normativo y del control interno.
Sociedad de la Información y del Conocimiento
“Las generaciones sociales que se han concebido con el ir y venir de

la tecnología, son identificables por rasgos que las hacen socialmente
únicas, por su vinculación a las innovaciones tecnológicas y en
consecuencia por su manera de ver y hacer las cosas”.
Carlos Duarte Camacho, experto en Tecnologías de Información

Información & Activos
Datos Significativos
Cualquier bien que tiene valor para la Organización
Hay muchos tipos de bienes, entre los que se incluyen:
Información,
Equipos: servidores, PCs, notebooks,

smartphones, etc.,
Software: sistemas operativos, bases de datos,
aplicativos, etc.,
Procesos
Servicios
Personas: con sus calificaciones, competencias y

experiencia,
Activos intangibles: reputación, imagen, entre

otros.
Esquema general de Procesos

Información es el Activo de mayor valor en una Organización
O Necesita I
R N R
G F E
• Eficacia  Personas
A • Eficiencia O C
 Procesos
N • Confidencialidad R  Tecnología U
• Integridad
I • Disponibilidad M  Datos R
Z • Cumplimiento A  Aplicaciones
S
• Confiabilidad  Instalaciones
A C O
C I S
I O
O Obtiene N
N
Recursos
Requisitos de la Información
Pilares de la Información
es la propiedad de prevenir la divulgación de información

a personas o sistemas no autorizados.
es la propiedad que busca mantener a los datos libres de También

modificaciones no autorizadas de cualquier índole.
reconocida como
la triada CID.
es la característica, cualidad o condición de la información

de encontrarse a disposición de quienes deben acceder a
ella.
No se lo
es el cumplimiento de las regulaciones legales vigentes. reconoce como
pilar sino un
requisito de la
información.
Otros principios de la Información
es la característica de cumplir con todos los niveles

de autorización correspondientes para su uso y/o
divulgación.
es la propiedad de encontrarse libre de errores y/o

irregularidades.
es la característica de procesamiento a través de

una óptima utilización de los recursos humanos y
materiales.
es la propiedad de brindar información correcta

para ser utilizada en la operatoria de cada uno de
los procesos establecidos.
es la característica de pertinencia, actualización,

certeza e información no excesiva.
es la propiedad de conservación de la información

a través de medidas de protección físicas y/o
lógicas.
Protección de la Información
El resguardo de la información es el objetivo principal, independientemente del lugar en donde

se encuentre registrada, ya sea en algún medio electrónico o físico.
Abarca todo tipo de información:
Escrita a mano,
Impresa,
Grabada con asistencia técnica,
Transmitida por correo electrónico,
Incluida en una página web,
Mencionada durante las conversaciones,
Mostradas en videos corporativos,
Etc.
Procesos
Propietario Objetivo del

del Proceso Proceso
Control
del Parámetros de calidad
Conjunto de eventos (coordinados u organizados). Proceso e indicadores de
desempeño (KPI)
Se realizan, suceden, alternativa o simultáneamente,
con un fin determinado.
Actividades enlazadas entre sí que, partiendo de uno

o más entradas los transforma generando un
Entradas
Proceso Salidas
resultado.
Actividades y
Subprocesos
Componentes típicos de procesos.
Posibilitadores
Roles Recursos
del Proceso
Jerarquía de Procesos
Desde este punto de vista, una organización cualquiera puede

ser considerada como un sistema de procesos, más o menos
relacionados entre sí, en los que buena parte de los inputs serán
generados por proveedores internos, y cuyos resultados irán
frecuentemente dirigidos hacia clientes también internos. Esta
situación hará que el ámbito y alcance de los procesos no sea
homogéneo, debiendo ser definido en cada caso cuando se
aborda desde una de las distintas estrategias propias de la
gestión de procesos.
Flujo de los Procesos

Flujo de Procesos
Procesamiento
Ingreso Egreso
Sistema de Información
Un sistema de información (SI) es un conjunto de

elementos orientados al tratamiento y administración de
datos e información, organizados y listos para su uso
posterior, generados para cubrir una necesidad u objetivo
definido.
Sistemas
Flujo de los
deProcesos
Información
Sistemas de Información

Controles en Procesos
Los controles se utilizan para garantizar que el comportamiento de los procesos de negocios se realice
de forma segura en términos de intercambio de información.
La aplicación del enfoque de procesos variará de

una organización a otra en función de su tamaño,
complejidad y actividades que realiza.
Identificación
de Controles
Identificación de Controles
El control se define como un proceso en si mismo, diseñado para proporcionar una

seguridad razonable en cuanto al logro de los objetivos definidos.
Procesamiento
Ingreso Egreso
Sistema de Información
Componentes
del Control Interno
Componentes de Control Interno
Un control interno efectivo básicamente está conformado por 5 (cinco)

componentes generales:
1. El ambiente de control que establece el modo operativo de la

organización, incluyendo valores éticos, de integridad y competencia
del personal, asignación de autoridad y responsabilidades,
organización y desarrollo de tareas, entre otros.
2. La evaluación del riesgo, tanto externos como internos.
3. Actividades de control, como ser políticas, normas y procedimientos

que ayudan a asegurar que las directivas sean llevadas a cabo.
4. La información y comunicación, identificadas, registradas y

establecidas en tiempo y forma, de manera que permita cumplir al
personal con las responsabilidades definidas.
5. El monitoreo a través de un proceso que evalúe la calidad del

desempeño en el tiempo.

Gestión del Control Interno Informático
Distribuidas las responsabilidades entre diferentes

áreas/sectores de la organización, su misión es la de establecer
y/o asegurar razonablemente que las medidas de seguridad y
control implementadas en cada plataforma tecnológica sean las
adecuadas.
Habitualmente dichas responsabilidades estarán cubiertas por

áreas tales como Seguridad Informática y/o Auditoría
Informática y/o Control Interno Informático, y en algunas
organizaciones podrían ser incluidas en otras como
Cumplimiento, Legales y hasta mismo áreas de Sistemas,
Tecnología y/o Procesamiento.
Incumbencia
del Control Interno
Incumbencia del Control Interno
El control interno incumbe a todos los que forman parte de la

organización y, por lo tanto deberán ser una parte explícita o
implícita de la descripción del trabajo de todos.
Virtualmente, todos los empleados producen información

utilizada en el sistema de control interno o toman otras
acciones necesarias para efectuar el control.
Además, todo el personal deberá ser responsable de

comunicar en forma ascendente problemas en las
operaciones diarias, el incumplimiento del código de conducta, la
realización de acciones ilícitas u otras violaciones a las políticas
vigentes.
Enfoque
Flujo de los
porProcesos
Capas de Controles
Enfoque por Capas de Controles
La fuerza de un entorno de control se

asegura por la separación de las
tareas entre los distintos actores y las
múltiples capas de controles sucesivos.
Dominios
Flujo de los
deProcesos
Control
Dominios de Control
Seguridad de la Información
Conceptos
Flujo de losdel
Procesos
Marco Normativo
Conceptos del Marco Normativo
Políticas: lineamientos o principios básicos para alcanzar los objetivos de la

organización y sobre los cuales deben asentarse las normas y procedimientos.
Normas: reglas concretas que definen cursos de acción precisos para las
distintas tareas que se desarrollan dentro de la organización.
Procedimientos: detalle de tareas tendientes a ejecutar y controlar algunas de

las funciones administrativas u operativas de la organización.
Estándares de seguridad: descripción de las actividades necesarias de

implementación de las políticas, normas y/o procedimientos definidos dentro del
contexto de la tecnología o aplicación utilizada.
Criterios: conjuntos de parámetros lógicos o físicos determinados de forma de

garantizar, un marco de seguridad adecuado a las normas y procedimientos
establecidos.
Actualización: proceso específico de una modificación sustancial, agregado y/o

eliminación.
Implantación
de Controles Internos
Implantación de Controles Internos

Implantación
de Controles Internos
Implantación de Controles Internos

Clasificación
General de Controles
Clasificación General de Controles
Los controles generalmente se clasifican en tres grandes

categorías:
Controles preventivos: consiste en la intervención

previa antes de entrar en ejecución mediante el
análisis de antecedentes pertinentes y observaciones
cuando contraríen o violen disposiciones legales o
reglamentarias, con la intención de evitar la producción
de errores o hechos fraudulentos.
Controles de detección: trata de descubrir al momento

de producirse un error o fraude que no hubiera podido
ser evitado con controles preventivos.
Controles correctivos: intenta asegurar que se

subsanen todos los errores que fueran detectados.
Clasificación
Según el modo de funcionamiento, el control interno se

materializa como:
Controles manuales: aquellos que son ejecutados por

el personal del área usuaria o de informática sin la
utilización de herramientas computacionales.
Controles automáticos: son generalmente los

incorporados en el software, denominados de
operación, de comunicación, de gestión de base de
datos, de programas de aplicación, etc.
Controles mixtos: se corresponde a controles que

incluyen tanto manuales como automáticos dentro del
mismo proceso.
Clasificación
Desalentar o
Buscar, detectar
prevenir la
e identificar Manuales
aparición de
De problemas
problemas
Preventivo • Menos costosos de implementar.
Detección
• Más caros de operar.
• Suelen generar más errores.
Automáticos
Resolver • Más costosos de implementar.
Correctivo
problemas • Menos costosos de operar.
encontrados y • Suelen generar menos errores.
prevenir los
recurrentes
Mixtos
• Dependiendo del proceso y las
condiciones exógenas se logra el
equilibrio adecuado en eficacia y
eficiencia.
Ejercicio:
Clasificación
Flujo de los
Clasificación
Procesos
General de deControles
Controles
Ejercicio: Clasificación de Controles
Identificar al menos 3 (tres) ejemplos de

clasificación de controles de un Sistema
Administrativo Contable (ERP, Enterprise Resource
Planning):
 Control de prevención.
 Control de detección.
 Control de corrección.
o Control manual.
o Control automático.
o Control mixto.
SOXCertificación
PCI
Reportes
COBIT
Segregación
Estructura
BCRA
Certificadores
Certificado
Firma
Definiciones
Delitos
Inspección
Responsables
Medidas
Alcance
Principios
Tipos
Datos
Protección
Re
Proceso
Organismos
Familia
Cláusulas
Relación
ISO/IEC
Aplicación
Modelo
Estándares
DSS
Section
Controles
de
Comunicación
Digital
protegidos
Informáticos
ISO/IEC
27001
de
usuarios
ISO/IEC
de
Formales
ISO/IEC
del
del
de
de
yla
Madurez
Digital
Certificación
seguridad
de
404
de
control
Regulaciones
Mejores
Ley
tratamiento
la
en
Datos
Modelo
yInternos
Certificación
27000
Funciones
Autoridad
A-4609
27001
las
por
25.326
27002
deRequeridos
Organizaciones
Personales
A-4609
datos
Ley
Prácticas
de
y 27002
Madurez
de Registro
Actividad Práctica
Cuestionario para actividad de la Clase y de presentismo
¿De qué se trata el control interno?
¿De qué se trata un Sistema de Control Interno?
¿Cómo se beneficia una Organización por tener un sistema de Control

Interno?
Recursos didácticos extra
Lteam Training. (31/01/2017). Auditoría Principios y Generalidades.

Recuperado de: https://www.youtube.com/watch?v=i6pwCBrmN8Q
Rodríguez, Hugo (8/5/2019). Tipos y Clases de Auditorías. Recuperado

de: https://www.youtube.com/watch?v=ilNalB5k_pY.
Escuela Nacional de Control (2017). Control interno. Recuperado

de: https://www.youtube.com/watch?v=WAY97iC38E0
UNIDAD 1: ARQUITECTURAS TECNOLÓGICAS
Conclusiones
La información en la actualidad ya no cumple únicamente la función de soporte para la toma de

decisiones, sino que la información en si misma es el principal activo de las organizaciones.
A lo largo del tiempo hemos protegido los activos físicos de diferentes formas, hoy tenemos el
desafío de proteger la información que reside y se transfiere por diversos medios.
Los principales pilares para proteger la información son resguardar su Confidencialidad, Integridad y
Disponibilidad.
Ante el desafío de proteger la información debemos basarnos en un enfoque de procesos.
Debemos pensar en un marco de control interno que considere el ambiente, evalúe el riesgo, defina
actividades de control, las informe y comunique al personal y las mismas sean monitoreadas para
evaluar su desempeño.
Tenemos que pensar en un marco normativo que nos permita implantar las actividades de control.
En base a la evaluación acerca del costo/beneficio seleccionaremos los tipos de controles a utilizar.
Referencia
Flujo de losaProcesos
bibliografía utilizada
Bibliografía
BCRA COMUNICACIÓN “A” 4609. 27/12/2006. Banco Central de laRepública Argentina. Recuperado de:
http://www.bcra.gov.ar/pdfs/comytexord/A4609.pdf
ISACA. (2012). COBIT 5. Control Objectives for Information and related Technology. v.5. Recuperado de:
https://www.isaca.org/bookstore/cobit-5/wcb5is
ISO/IEC 27001 (2013). Information Technology. Security Techniques. Information Security Management.
Chapters 0: Introduction, 1: Scope, 2: Normative references & 3: Terms and definitions.
ISO/IEC 27002 (2013). Code of Practice for Information Security Management. Recuperado de:
https://www.iso.org/obp/ui/#iso:std:iso-iec:27002:ed-2:v1:en
Ley N° 25326 (2000). PROTECCIÓN DE DATOS PERSONALES. Honorable Congreso de la Nación

Argentina. 4 de octubre de 2000. Buenos Aires. Argentina.
Ley N° 25506 (2001). FIRMA DIGITAL. Honorable Congreso de la Nación Argentina. 14 de noviembre
2001. Buenos Aires. Argentina.
Ley N° 26388 (2008). DELITOS INFORMÁTICOS. Honorable Congreso de la Nación Argentina. 4 de

junio 2008. Buenos Aires. Argentina.
Referencia
Flujo de losaProcesos
bibliografía utilizada
Bibliografía
PCI SECURITY STANDARDS COUNCIL. "Payment Card Industry (PCI) Data Security Standard
Requirements and Security Assessment Procedures Version 3.2.1 May 2018" (PDF). PCI Security
Standards Council, LLC. Recuperado de:
https://www.pcisecuritystandards.org/document_library?category=pcidss&document=pci_dss
PEREYRA, GABRIEL EDUARDO. (2009). Auditoría de sistemas y tecnologías de

información (Seminario). Mendoza, Universidad del Aconcagua. Facultad de Ciencias Económicas y
Jurídicas. Recuperado de: http://bibliotecadigital.uda.edu.ar/66. Fecha de consulta del artículo: 16/07/20.
SARBANES-OXLEY ACT (2002), Pub. L. No. 107-204, 116 Stat. 745. USA, 30 de Julio de 2002.
VELTHIUS PIATTINI (2008). Capítulo 1 : Control Interno y Auditoría de Sistemas de Información.

Capítulo 2: Auditoría de SI vs. Normas de Buenas Prácticas. Capítulo 6 : Entorno Jurídico de la Auditoría
de los Sistemas de Información. Auditoria de Tecnologías y Sistemas de Información. Ra-Ma Editorial.
Madrid. España.
VIEITES, ALVARO (2011). Capítulo 1 : Principios de la Seguridad Informática. Enciclopedia de la

Seguridad Informática. 2da.Ed. Ra-Ma Editorial. Madrid. España.
Preguntas
Recomendaciones Finales
Recuerda siempre:
Para cualquier duda o cuestión tu profesor está disponible en el Foro de Dudas.
Participa en las Clases Presenciales Síncronas, es una excelente oportunidad para

resolver dudas y cuestiones en tiempo real.
Crea conocimiento con tus compañeros y tu profesor en el Foro de Debate debatiendo

los casos prácticos que te proponemos.

Ean Asi Ui C1

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Ean Asi Ui C1

Cargado por

Copyright:

Formatos disponibles

Auditoría y Seguridad Informática

Unidad 1 – Marco Conceptual y Generalidades

UNIDAD 1: MARCO CONCEPTUAL Y GENERALIDADES

Definición de Información, procesos y sistemas de

Concepto del marco normativo y del control interno.

Actividad práctica clase 1

UNIDAD 1: MARCO CONCEPTUAL Y GENERALIDADES

Esta asignatura tiene los siguientes Objetivos

Formar habilidades necesarias para la operación de un

Aplicar metodologías que posibiliten resolver situaciones

Concientizar sobre aspectos fundamentales de la seguridad

UNIDAD 1: MARCO CONCEPTUAL Y GENERALIDADES

Unidad 1: Marco Conceptual y Generalidades

Unidad 2: Seguridad de la Información. Gestión de Riesgos y Continuidad del Negocio.

Unidad 4: Auditoría Informática.

Trabajo Práctico PAI

UNIDAD 1: MARCO CONCEPTUAL Y GENERALIDADES

Definición de información, procesos y sistemas de

UNIDAD 1: MARCO CONCEPTUAL Y GENERALIDADES

Sociedad de la Información y del Conocimiento

Imagen, gráfico, esquema…

“Las generaciones sociales que se han concebido con el ir y venir de

Carlos Duarte Camacho, experto en Tecnologías de Información

UNIDAD 1: MARCO CONCEPTUAL Y GENERALIDADES

Información & Activos

Cualquier bien que tiene valor para la Organización

Hay muchos tipos de bienes, entre los que se incluyen:

Equipos: servidores, PCs, notebooks,

Personas: con sus calificaciones, competencias y

Activos intangibles: reputación, imagen, entre

UNIDAD 1: MARCO CONCEPTUAL Y GENERALIDADES

Esquema general de Procesos

UNIDAD 1: MARCO CONCEPTUAL Y GENERALIDADES

UNIDAD 1: MARCO CONCEPTUAL Y GENERALIDADES

UNIDAD 1: MARCO CONCEPTUAL Y GENERALIDADES

es la propiedad de prevenir la divulgación de información

es la propiedad que busca mantener a los datos libres de También

es la característica, cualidad o condición de la información

UNIDAD 1: MARCO CONCEPTUAL Y GENERALIDADES

Otros principios de la Información

es la característica de cumplir con todos los niveles

es la propiedad de encontrarse libre de errores y/o

es la característica de procesamiento a través de

es la propiedad de brindar información correcta

es la característica de pertinencia, actualización,

es la propiedad de conservación de la información

El resguardo de la información es el objetivo principal, independientemente del lugar en donde

UNIDAD 1: MARCO CONCEPTUAL Y GENERALIDADES

Abarca todo tipo de información:

Grabada con asistencia técnica,

Transmitida por correo electrónico,

Incluida en una página web,

Mencionada durante las conversaciones,

Mostradas en videos corporativos,

UNIDAD 1: MARCO CONCEPTUAL Y GENERALIDADES

Propietario Objetivo del

Actividades enlazadas entre sí que, partiendo de uno

UNIDAD 1: MARCO CONCEPTUAL Y GENERALIDADES

Desde este punto de vista, una organización cualquiera puede

Flujo de los Procesos

Un sistema de información (SI) es un conjunto de

Flujo de los Procesos

La aplicación del enfoque de procesos variará de