Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Grupo:
2
Participantes:
Asignatura:
13D3 – Auditoría Informática
Docente:
Ing. Olman Joel Méndez Méndez
Fecha:
12/03/2022
Índice
Introducción ................................................................................................................ 1
Objetivos ..................................................................................................................... 2
General:................................................................................................................... 2
Específicos: ............................................................................................................. 2
Enfoque. .................................................................................................................. 4
Alcance ................................................................................................................... 5
Procedimientos........................................................................................................ 7
Conclusiones ............................................................................................................. 13
Anexos ...................................................................................................................... 14
Bibliografía ............................................................................................................... 18
Introducción
Las normas ISO 27000 son aquellas que nos guían una mejor práctica con lo que
respecta a la implementación, mantenimiento y gestión del sistema de seguridad de la
información de las empresas y organizaciones. La organización internacional de
estandarización ISO contiene un extenso número de normas dentro de la familia de ISO
27000 esas normas reservan un número dentro de su serie estás normas han sido creadas con
el propósito de facilitar a las empresas los niveles de homogeneidad en relación con la
gestión, prestar servicio y desarrollo de productos en la industria. Cuando utilizamos estas
normas ISO obtenemos beneficios como detectar con eficacia los problemas, ayuda a
satisfacer al cliente de una mejor manera se comprenden las necesidades del cliente, a su vez
una mejor visualización de la empresa.
Una de las ventajas importantes que logran las organizaciones con la implantación de
las normas ISO, es aportar un valor diferencial frente a la competencia al tratarse de
estándares certificados y reconocidos a nivel internacional, que son revisados y auditados de
forma periódica con el fin de garantizar el cumplimiento de estos. Esto mejora la percepción
de las empresas tanto para clientes como para accionistas, inversores o partners que puedan
mostrar interés en ellas.
1
Objetivos
General:
Específicos:
• Definir los procedimientos que se deben llevar a cabo para la implementación de las
normas ISO 27000.
• Aprender sobre el rol que tienen los auditores informáticos, directores de seguridad
y demás personal técnico, y su participación en el análisis - gestión de riesgos.
2
Marco teórico
ISO 27003: es una guía de ayuda en la implementación de un SGSI. Sirve como apoyo
a la norma 27001, indicando las directivas generales necesarias para la correcta
implementación de un SGSI. Incluye instrucciones sobre cómo lograr la implementación de
un SGSI con éxito.
ISO 27004: describe una serie de recomendaciones sobre cómo realizar mediciones
para la gestión de la Seguridad de la Información. Especifica cómo configurar métricas, qué
medir, con qué frecuencia, cómo medirlo y la forma de conseguir objetivos.
ISO 27005: es una guía de recomendaciones sobre cómo abordar la gestión de riesgos
de seguridad de la información que puedan comprometer a las organizaciones. No especifica
ninguna metodología de análisis y gestión de riesgos concreta, pero incluye ejemplos de
posibles amenazas, vulnerabilidades e impactos.
3
ISO 27006: es un conjunto de requisitos de acreditación para las organizaciones
certificadoras.
ISO 27007: es una guía para auditar SGSIs. Establece qué auditar y cuándo, cómo
asignar los auditores adecuados, la planificación y ejecución de la auditoría, las actividades
claves, etc.
Hoy en día, los activos de información son vitales dentro de una organización para la
consecución de sus objetivos por lo que se deben abordar los riesgos para la seguridad de la
información que afecten a estos activos.
Enfoque.
4
La aplicación de un sistema de procesos dentro de una organización, junto con la
identificación e interacciones de estos procesos, y su gestión, se puede denominar como un
"enfoque de proceso".
Alcance
Hay aplicaciones que comparten registros, son registros comunes. Si una aplicación
no tiene integrado un registro común, cuando lo necesite utilizar no lo va encontrar y, por lo
tanto la aplicación no funcionaría como debería.
Se corrobora que el sistema que se aplica para detectar y corregir errores sea eficiente.
El alcance en normas ISO no es más que la descripción detallada de todo lo que tiene
que ver con la organización empresarial de nuestro negocio, independientemente de cuál sea
nuestro sector de actividad, número de trabajadores o tamaño.
5
El alcance es una parte de gran importancia, define la forma en que el Sistema de
Gestión de la Calidad se extiende y relaciona con todas las operaciones de la compañía,
además, detalla y justifica los requisitos de las normas ISO que se van a implantar.
El alcance describe la extensión y los límites del SGSI, por lo que puede estar definido
en términos de los activos de información, la ubicación física, las unidades organizacionales,
actividades o procesos de mayor importancia para la organización, es decir, se trata de la
selección de los elementos críticos a proteger.
El alcance del SGSI aclara los límites del SGSI en función del contexto y/o
importancia y ubicación de los activos críticos de información de la organización (por
ejemplo, unidades, ubicaciones o departamentos) y los riesgos propios o externos asociados
(p.ej. leyes y reglamentos, obligaciones contractuales, estrategias y políticas impuestas por
organismos centrales).
Se debe tener en cuenta los flujos de información que cruza los límites del alcance.
Una estrategia de alto nivel impulsada por la organización o una declaración de visión
(ya sea hecha o al menos formalmente respaldada por la alta gerencia) es una forma de
cristalizar tanto el alcance como el propósito de aplicación del SGSI, y puede ser útil para
fines de concientización, así como de promoción.
6
Procedimientos.
Es más fácil gestionar un solo documento, aunque este sea de una extensión amplia,
que varios de una sola página. Los beneficios de contar con un único documento se aprecian
con mayor claridad cuando consideramos que el número de lectores objetivos va a ser el
mismo. También es importante alinear el documento con la información ya existente. Si uno
o varios de los temas tratados en las políticas y procedimientos para ISO 27001 ya fueron
examinados en otros documentos, lo mejor es hacer referencia a esa información y no
consumir tiempo y espacio en tratarlo nuevamente.
5. Redactar el documento
7
tamaño y a la complejidad de la organización. No está de más involucrar a algunos empleados
clave en el sistema en este punto. Esto permitirá socializar el documento y facilitar su
aceptación, antes de que sea aprobado.
Aunque es un paso apenas obvio, no por ello deja de ser importante. Después de todo,
si el documento no ha sido redactado por un miembro de la Alta Dirección, (lo cual no suele
ocurrir por ejemplo si hay un Director de Seguridad de la Información), sin aprobación será
muy difícil que se cumpla lo que se ha plasmado en él.
Este es un paso muy importante, que suele ser dejado de lado. A los empleados no les
gustan los cambios, y mucho menos cuando no los entienden. Por lo tanto, es preciso
identificar las necesidades de formación, especialmente en lo relacionado directamente con
la norma ISO 27001. Si los empleados conocen la norma y la comprenden, si se les explican
los motivos y las ventajas de la política y los procedimientos establecidos, resultará mucho
más fácil que acepten la implementación de nuevas actividades.
Implementación y seguimiento.
- Medir la eficacia de los controles: para verificar que se cumple con los requisitos de
seguridad.
8
- Revisar regularmente la evaluación de riesgos: los cambios en la organización,
tecnología, procesos y objetivos de negocio, amenazas, eficacia de los controles o el entorno
tienen una influencia sobre los riesgos evaluados, el riesgo residual y el nivel de riesgo
aceptado.
Profesionales involucrados.
Análisis de riesgos
Llevar a cabo un buen análisis nos permite centrar nuestro foco en los riesgos que se
encuentra asociados a los sistemas, procesos y elementos dentro del alcance del plan director
de seguridad. Es posible mitigar la posibilidad de tener algún tipo de incidente de
ciberseguridad. Por otro lado, también se podrán obtener beneficios si llevamos a cabo
un análisis de riesgos de manera aislada en lugar de realizarlo dentro de un contexto mayor,
como puede ser, el desarrollo de un plan director de seguridad.
9
Fase 1. Definir el alcance
Cuando ya tenemos definido el alcance, tenemos que identificar los activos más
importantes que guardan relación con el departamento, proceso o sistema objeto del estudio.
Para mantener un inventario de activos sencillo puede ser suficiente con hacer uso de una
hoja de cálculo o tabla.
En esta fase se pretende estudiar todas las características de los activos para identificar
los puntos débiles o vulnerabilidades. Una posible vulnerabilidad puede ser identificar un
conjunto de servidores cuyos sistemas antivirus no se encuentran actualizados. A la hora de
evaluar el riesgo aplicaremos penalizaciones para reflejar las vulnerabilidades identificadas.
10
para abastecer de electricidad a los equipos. Ambas medidas de seguridad contribuyen a
minimizar el riesgo de las amenazas relacionadas con el corte de suministro eléctrico.
• Inventario de activos.
• Conjunto de amenazas a las que está expuesta cada activo.
• Conjunto de vulnerabilidades asociadas a cada activo (si corresponde).
• Conjunto de medidas de seguridad implantadas
Cuando se calcula el riesgo, tenemos que tratar los riesgos que superen un límite que
nosotros mismos hayamos establecido. Por ejemplo, solo se tratarán los riesgos cuyo valor
supere a 4. A la hora de tratar el riesgo, existen cuatro estrategias principales:
Evidencias y documentación.
11
puede estar en cualquier formato (audio, video, ficheros de texto etc.) así como en cualquier
tipo de soporte o medio independientemente de la fuente de dicha información.
Junto con estos procesos que hemos visto, además hemos de considerar que para
llevarlos a cabo hemos tenido que basarnos en una estructura de gestión y de un proceso de
toma decisiones, de definición de responsabilidades y de comunicación para aprobar y validar
las tareas que hemos realizado.
El fin de que finalmente todo quede documentado es necesario por dos motivos
fundamentales
12
Conclusiones
Tomamos en cuenta que las normas en cualquier área son de vital importancia ya que
dado a estas obtenemos las herramientas que necesitamos para alcanzar los objetivos de
nuestra empresa siendo el ISO 27000 la que realice a las organizaciones presentar y certificar
niveles de calidad a usuarios, catalogando a las medianas empresas como parte considerara
en sí, realizando una labor de guía a buenas prácticas que sean de utilidad a la organización.
13
Anexos
Enlace del ejercicio práctico:
https://drive.google.com/file/d/1P-GSmGTiCHjnTFfxnLCeCItO7G9l2PzO/view
CONTROL DE ACCESO
“medios para garantizar que el acceso a los activos esté autorizado y restringido según
los requisitos comerciales y de seguridad”
ATAQUE
AUDITORÍA
14
Proceso sistemático, independiente y documentado para obtener evidencia de auditoría y
evaluarla objetivamente para determinar hasta qué punto se cumplen los criterios de
auditoría.
En cuanto a las auditorías Internas pueden ser realizadas por la misma organización o por
una parte externa en su nombre.
AUTENTICACIÓN
DISPONIBILIDAD
CONFIDENCIALIDAD
CONSECUENCIA
CONTROL
CORRECCIÓN
EVENTO
15
Un evento puede ser repetitivo y puede tener varias causas.
CONTEXTO EXTERNO
los valores de actores externos y como es percibida la organización (sus relaciones con
el entorno externo)
ÓRGANO RECTOR
NECESIDAD DE INFORMACIÓN
SEGURIDAD DE INFORMACIÓN
16
Preservación de la confidencialidad, integridad y disponibilidad de la información
17
Bibliografía
18