UNIVERSIDAD MARIANO GALVEZ

MAESTRIA EN ESTANDARES INTERNACIONALES DE CONTABILIDAD Y AUDITORIA

ESPECIALIDAD AUDITORIA INTERNA

AUDITORÍA BASADA EN RIESGOS CON ENFOQUE COBIT

ING. CARLOS GIOVANNI GUZMAN DE LEON

CARLOS MANUEL XAR SIMÓN CARNÉ 1937-01-11118

SEDE: CENTRAL.

GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN ISO/IEC

27001

INTRODUCCION

La información es un activo valioso que puede hacer crecer o destruir a su organización.

Cuando se gestiona apropiadamente, le permite operar con confianza. La gestión de seguridad
de la información le da la libertad de crecer, innovar y ampliar su base de clientes con el
conocimiento que toda su información confidencial permanecerá de esa manera.
UNIVERSIDAD MARIANO GALVEZ
MAESTRIA EN ESTANDARES INTERNACIONALES DE CONTABILIDAD Y AUDITORIA
ESPECIALIDAD AUDITORIA INTERNA

AUDITORÍA BASADA EN RIESGOS CON ENFOQUE COBIT

ING. CARLOS GIOVANNI GUZMAN DE LEON

CARLOS MANUEL XAR SIMÓN CARNÉ 1937-01-11118

SEDE: CENTRAL.

DESARROLLO

La Organización Internacional de Estandarización (ISO, por sus siglas en inglés) estableció la

norma ISO 27001, que se emplea para la certificación de los sistemas de gestión de seguridad
de la información en las organizaciones empresariales. Brinda una norma internacional para
sistemas de gestión de seguridad de la información.

Con la certificación del uso de la norma ISO 27001:2013, la empresa puede demostrar a sus
clientes actuales y potenciales, así como a sus proveedores y accionistas, la integridad en el
manejo de la seguridad de la información. También le posibilita reforzar la seguridad de la
información y disminuir los riesgos de fraude, pérdida o filtración de información.

Basada en el estándar BS 7799, el cual fue sustituido por esta norma, se la ha reorganizado
para alinearse con otras normas internacionales. Fueron incorporados nuevos controles,
poniendo énfasis en las métricas para la seguridad de la información y la gestión de incidentes.

ISO 27001 es una norma internacional que permite el aseguramiento, la confidencialidad e

integridad de los datos y de la información, así como de los sistemas que la procesan.

El estándar ISO 27001:2013 para los Sistemas Gestión de la Seguridad de la Información

permite a las organizaciones la evaluación del riesgo y la aplicación de los controles
necesarios para mitigarlos o eliminarlos.

La aplicación de ISO-27001 significa una diferenciación respecto al resto, que mejora la

competitividad y la imagen de una organización.

La Gestión de la Seguridad de la Información se complementa con las buenas prácticas o

controles establecidos en la norma ISO 27002.

Estructura de la norma ISO 27001Objeto y campo de aplicación: La norma comienza

aportando unas orientaciones sobre el uso, finalidad y modo de aplicación de este
estándar.Referencias Normativas: Recomienda la consulta de ciertos documentos
indispensables para la aplicación de ISO27001.Términos y Definiciones: Describe la
terminología aplicable a este estándar.Contexto de la Organización: Este es el primer requisito
de la norma, el cual recoge indicaciones sobre el conocimiento de la organización y su
contexto, la comprensión de las necesidades y expectativas de las partes interesadas y la
determinación del alcance del SGSI.Liderazgo: Este apartado destaca la necesidad de que
UNIVERSIDAD MARIANO GALVEZ
MAESTRIA EN ESTANDARES INTERNACIONALES DE CONTABILIDAD Y AUDITORIA
ESPECIALIDAD AUDITORIA INTERNA

AUDITORÍA BASADA EN RIESGOS CON ENFOQUE COBIT

ING. CARLOS GIOVANNI GUZMAN DE LEON

CARLOS MANUEL XAR SIMÓN CARNÉ 1937-01-11118

SEDE: CENTRAL.

todos los empleados de la organización han de contribuir al establecimiento de la norma. Para

ello la alta dirección ha de demostrar su liderazgo y compromiso, ha de elaborar una política
de seguridad que conozca toda la organización y ha de asignar roles, responsabilidades y
autoridades dentro de la misma.Planificación: Esta es una sección que pone de manifiesto la
importancia de la determinación de riesgos y oportunidades a la hora de planificar un Sistema
de Gestión de Seguridad de la Información, así como de establecer objetivos de Seguridad de
la Información y el modo de lograrlos.Soporte: En esta cláusula la norma señala que para el
buen funcionamiento del SGSI la organización debe contar con los recursos, competencias,
conciencia, comunicación e información documentada pertinente en cada caso.Operación:
Para cumplir con los requisitos de Seguridad de la Información, esta parte de la norma indica
que se debe planificar, implementar y controlar los procesos de la organización, hacer una
valoración de los riesgos de la Seguridad de la Información y un tratamiento de
ellos.Evaluación del Desempeño: En este punto se establece la necesidad y forma de llevar a
cabo el seguimiento, la medición, el análisis, la evaluación, la auditoría interna y la revisión
por la dirección del Sistema de Gestión de Seguridad de la Información, para asegurar que
funciona según lo planificado.Mejora: Por último, en la sección décima vamos a encontrar las
obligaciones que tendrá una organización cuando encuentre una no conformidad y la
importancia de mejorar continuamente la conveniencia, adecuación y eficacia del SGSI.

APLICACIÓN.

Llevar a cabo un Sistema de Gestión de Seguridad de la Información (SGSI) que se ajuste a la

norma ISO 27001 será muy útil para tu organización. Para ello, en IT Governance disponemos
de herramientas de aplicación, formación y recursos para conseguirlo. Prueba de ello, es que
nuestros expertos han ayudado ya a más de 400 clientes a obtener la certificación ISO 27001.

Aplicar un SGSI basado en ISO 27001 implicará el trabajo de toda la organización. Un SGSI
es único para cada empresa ya que no hay dos proyectos ISO 27001 iguales. Todo el proyecto,
desde la evaluación del alcance a la certificación, puede durar de tres meses a un año
dependiendo de la complejidad y del tamaño del negocio.

ISO/IEC 27001 es un estándar para la seguridad de la información (Information technology -

Security techniques - Information security management systems - Requirements) aprobado y
UNIVERSIDAD MARIANO GALVEZ
MAESTRIA EN ESTANDARES INTERNACIONALES DE CONTABILIDAD Y AUDITORIA
ESPECIALIDAD AUDITORIA INTERNA

AUDITORÍA BASADA EN RIESGOS CON ENFOQUE COBIT

ING. CARLOS GIOVANNI GUZMAN DE LEON

CARLOS MANUEL XAR SIMÓN CARNÉ 1937-01-11118

SEDE: CENTRAL.

publicado como estándar internacional en octubre de 2005 por la International Organization

for Standardization y por la International Electrotechnical Commission

Un análisis de deficiencias determina las imperfecciones entre los procesos de seguridad de la

información actuales y los requisitos de la norma. Además, identifica los recursos y las
capacidades que se necesitan para reducir las diferencias.

Para definir el alcance es necesario tomar una decisión acerca de qué recursos informativos se
van a delimitar y proteger, algo que puede llegar a ser complejo en las grandes organizaciones.
De hecho, si el alcance no está definido correctamente, el proyecto puede dejar a la
organización vulnerable a los riesgos que no se han tenido en cuenta.

Para determinar el contexto de la empresa es necesario revisar aspectos tales como la cultura y
la tolerancia al riesgo de la misma. De este modo, se garantiza que el SGSI está diseñado
adaptándose siempre a las necesidades de la compañía.

La política debe reflejar el punto de vista de la seguridad de la información de la organización

y debe estar de acuerdo la junta.

La evaluación de riesgos se encuentra en el núcleo de cualquier SGSI. Un asesor especializado

en la materia identificará los riesgos a los que se enfrenta la compañía y realizará una
estimación y evaluación de los mismos. A menudo, esto se centra en la evaluación de riesgos
de los recursos, la cual ayudará a identificar si los controles son necesarios y asequibles para la
organización.

Los controles deben aplicarse para gestionar o reducir los riesgos reales una vez que finalizada
la evaluación de riesgos. La norma ISO 27001 requiere que se comparen los controles contra
su propia lista de controles de buenas prácticas enumerados en el Anexo A.

CONCLUSION.

ISO/IEC 27001 es un reconocido marco internacional de las mejores prácticas para un sistema
de gestión de seguridad de la información. Le ayuda a identificar los riesgos para su
información importante y pone en su lugar los controles apropiados para ayudarle a reducir el
riesgo.
UNIVERSIDAD MARIANO GALVEZ
MAESTRIA EN ESTANDARES INTERNACIONALES DE CONTABILIDAD Y AUDITORIA
ESPECIALIDAD AUDITORIA INTERNA

AUDITORÍA BASADA EN RIESGOS CON ENFOQUE COBIT

ING. CARLOS GIOVANNI GUZMAN DE LEON

CARLOS MANUEL XAR SIMÓN CARNÉ 1937-01-11118

SEDE: CENTRAL.

RECOMENDACIÓN

Las empresas que gestionan la seguridad de su información tienen menos posibilidades de

sufrir ataques a través de diferentes orígenes por ejemplo los ciberataques, la implementación
de un sistema de evaluación de riesgo a través de personal de asesoría hace a la empresa
diferente a las demás. Es necesaria la implementación de la gestión de los riesgos.