Material de Estudio - 1 Parcial

AUDITORIA DE SEGURIDADES
DE REDES
UNIDAD # 1 INTRODUCCIÓN DE AUDITORIA DE REDES
➢ Conceptos de Auditoria.
➢ Importancia del Control y Auditoria.
➢ Metodología.
➢ Normas , Estándares y Procedimientos de Auditoria.
➢ Seguridad de la Información.
➢ Estándar Internacional (ISO/IEC 27002)
AUDITORIA
AUDITORIA
Proceso sistemático, independiente y

documentado para obtener evidencias de
auditoria y evaluarlas de manera objetiva con
el fin de determinar la extensión en que se
cumplen los criterios de auditoria.
OBJETIVOS
 Dar a conocer los fundamentos de la Seguridad de la
Información y su implementación a través de un
Sistema de Gestión de Seguridad de Información : SGSI
 Explicar el propósito de un SGSI.
 Explicar el rol de un auditor para planificar , informar ,
guiar y realizar el seguimiento de una auditoria SGSI.
 Asumir el rol de un auditor en auditorias internas y
externas.
Seguridad de la Información
 La seguridad de la información protege la

información de las amenazas para asegurar
la continuidad del negocio, minimizar el
perjuicio para el negocio y maximizar el
retorno de inversión.
La gestión de la seguridad de la información

debe realizarse mediante un proceso:
 Sistemático.
 Documentado.
Propósito
Propósito : Garantizar que los riesgos de seguridad de la información sean:
 Conocidos
 Asumidos
 Gestionados
 Y minimizados por la organización
Todo esto de una forma:
 Documentada
 Sistemática
 Estructura
 Repetible
 Eficiente y adaptada a los cambios que se produzcan
Principios de Seguridad:
 Confidencialidad
 Integridad
 Disponibilidad
Principios de Seguridad
 Confidencialidad : Garantiza acceso

 Integridad : Asegurar que la información no haya sido
modificada.
 Disponibilidad : Asegura el acceso a la información.
La Importancia de Proteger la Información
 Tecnología Equipos
 Procesos
 Personas
Razones:
El Sistema de Gestión de la Seguridad de la Información (SGSI)
ayuda a establecer políticas y procedimientos en relación a los
objetivos de negocio de la organización , con objeto de mantener
un nivel de exposición siempre menor al nivel de riesgos que la
propia organización ha decidido asumir.
SGSI : La organización conoce los riesgos a los que está sometida

su información y los asume , minimiza , transfiere o controla
mediante una forma sistemática definida, documentada y
conocida por todos, que se revisa y mejora constantemente.
INFORMACIÓN
 La información es un activo que , como otros activos

importantes del negocio , tiene valor para una organización y
por lo tanto , necesita ser protegido adecuadamente.
 Cualquier forma que tome la información , o los medios

mediante los cuales es compartida o almacenada, debe ser
siempre protegida de una forma apropiada.
Ciclo de la Información
 La información puede ser :

✓ Creada
✓ Almacenada
✓ Procesada
✓ Transmitida
✓ Utilizada
: Para propósitos correctos e
incorrectos
AMENAZAS
 Virus , Gusanos , Troyanos , Malware = Robo de Información
 Mails “ anónimos con información
crítica o con agresiones , infectada = Captura del PC desde el
exterior
 Robo de contraseñas = Ingreso a la red de las empresas desde
el internet con fines no éticos.
 Hackers = Fraudes informáticos
 Acceso indebido a documentos confidenciales = Intercepción de
comunicaciones.
 Ingeniería Social.
TIPOS DE AUDITORIA
 AUDITORIA INTERNA
 AUDITORIA EXTERNA
METODOLOGIA :
PLANIFICAR – HACER- VERIFICAR-

ACTUAR
(Planificar, hacer , controlar y actuar)
• Diseñar- Establecer objetivos

necesarios para obtener resultados de
PLAN las necesidades del cliente y las
políticas de la organización.
• Implementación de los
DO procesos
• Monitorear y revisar, procesos

y el producto en relación a
CHECK políticas, objetivos y
necesidades.
• Mantener
ACT y mejorar
SGSI – PLANIFICAR
 Preparación
 Asegurar el compromiso de la Dirección
 Seleccionar y preparar a los miembros del diseño e
implementación
 Recopilar información de seguridad.
Determinar las Necesidades de Protección

 Análisis de Riesgos
 Evaluación de bienes informáticos
 Idenficar y evaluar de amenazas y vulnerabilidades
 Estimación e importancia de los riesgos
SGSI – PLANIFICAR
Procesos de análisis de riesgos se pueden diferenciar en dos
aspectos:
 Evaluación de Riesgos: Proceso de comparación del riesgo estimado con
los criterios de riesgo.
 Gestión de Riesgos : Implicar la identificación , selección , aprobación y

manejo de los controles a establecer para eliminar o reducir riesgos
evaluados a niveles aceptables.
Reducir la probabilidad de amenaza
Limitar el impacto de una amenaza
Reducir o eliminar una vulnerabilidad existente.
Permitir la recuperación del impacto.
SGSI – PLANIFICAR
Caracterizar el Sistema Informático:
Hardware
Software
Datos
Personas
Documentación
Identificar bienes críticos
SGSI – PLANIFICAR
Caracterizar el Sistema Informático:
Hardware : Redes, servidores y estaciones de

trabajos, computadoras , switches, fw, etc.
Software : Programas fuentes, ejecutables, sistemas
operativos, programas de comunicaciones etc.
Datos : Almacenamiento, respaldo ,base de datos.
Personas : Usuarios, operadores, programadores, Dba,
oficial de seguridad , administrador de la red.
Documentación : Procedimientos de la administración
etc.
Identificar bienes críticos
SGSI – PLANIFICAR
Identificación de las amenazas
Establecer su importancia , con el objetivo de
proteger la confidencialidad, integridad y
disponibilidad.
Pérdida de información
Modificación
Divulgación de información
Interrupción de servicios.
SGSI – PLANIFICAR
➢ Realizar el inventario de activos de la información y su
clasificación
➢ Identificar los riesgos de seguridad considerando
amenazas, vulnerabilidades que pueden afectar a los
activos de la información.
➢ Evaluar los riesgos identificados , considerado impacto y
probabilidad.
➢ Determinar el tratamiento de los riesgos
➢ Diseñar, seleccionar los controles.
SGSI – PLANIFICAR
Selección de Controles de Seguridad

Informática
Aplicar controles
Aceptar los riesgos
Evitar riesgos
Transferir los riesgos
SGSI – PLANIFICAR
Procedimientos:
Prevención
Detección
Recuperación
RIESGO
Riesgo = Probabilidad(condición) * Impacto (consecuencia)

SGSI – PLANIFICAR
Que Procedimiento importantes debe contar :
➢Administración de cuentas de usuario
➢Cancelación o acceso de permisos a los servicios
de tecnología.
➢Gestión de Incidentes
➢Gestión de Contraseñas
➢Realización de auditorias
➢Acceso a las áreas.
Evaluación de Riesgo(Anual)
CRITERIO DE EVALUACIÓN PROBABILIDAD IMPACTO RIESGO
Reputación y confianza del cliente 5 Alto (3) 15
Financiera 4 Medio (2) 8
Tecnológico 3 Bajo (1) 3
Seguridad y Salud 2 Bajo (1) 2
Multas para la empresa 1 Alto (3) 3
Puntaje total 31
Valoración del Riesgo
Identificación Análisis Prioridad Mitigación
Descripción
Tipo de Descripción del Impactos Probabilidad. Coste del Pérdida
riesgo Riesgo probables Impacto De producirse Impacto esperada Actividad Costo Tiempo
-Formación
Interna.
--
Adquisición
1. Código Malicioso
Sistema de de
2. Integridad del
Financiero en el antivirus. -
Financiero personal Alta 2 30,000 60,000 40,000 1 año
servidor de -
3. Operación no
producción Verificació
autorizada
n de los
controles
del
Firewall.
SGSI – HACER
➢ Definir plan de tratamiento de riesgos
➢ Implantar plan de tratamiento de riesgos
➢ Implementar los controles
➢ Formación y concienciación
➢ Operar el SGSI
TIPOS DE CONTROLES Y SUS EFECTOS
ATAQUE
CONTROL CORRECTIVO
AMENAZA • Decrece el Impacto
• Crea el Ataque
CONTROL PREVENTIVO
• Reduce el Impacto
• Protege la Vulnerabilidad
CONTROL DETECTIVO
• Disparadores del Control Preventivo
CONTROL DISUASIVO
• Reduce la probabilidad
SGSI- HACER
Garantizar una adecuada implementación de los
controles seleccionados y la correcta aplicación.
Criterios para analizar controles:
 Ubicación
 Efectividad
 Eficiencia
 Política
 Implementación
SGSI –VERIFICAR
Ejecutar procedimientos de monitoreo y revisión para:
 Detectar a tiempo los errores en los resultados.
 Identificar las brechas de incidentes de seguridad.
 Ayudar a la Dirección o Gerencia si las actividades desarrolladas
por las personas y dispositivos , garantizan la seguridad de la
información.
 Detectar y prevenir eventos e incidentes de seguridad mediante
uso de indicadores.
 Determinar si las acciones realizadas para resolver brecha de
seguridad fueron efectivas.
SGSI -VERIFICAR
 Revisar las políticas y objetivos del SGSI.
 Medir la efectividad de los controles, para verificar que se

cumple con los requisitos de seguridad.
 Revisar regularmente en intervalos planificados las

evaluaciones de riesgos, los residuales y sus niveles
aceptables, teniendo en cuenta los posibles cambios que
hayan podido producirse en la organización.
SGSI -VERIFICAR
 Realizar periódicamente auditorias internas planificadas.
 Actualizar los planes de seguridad en función a nuevos

hallazgos durante las actividades de monitoreo y revisión.
 Registrar acciones y eventos referente a la efectividad y

rendimiento del SGSI.
SGSI – ACT - Mantener y mejorar
La organización deberá regularmente :
 Implantar mejoras identificadas.
 Realizar las acciones preventivas y correctivas .
 Comunicar las acciones y mejoras.
 Asegurarseque las mejoras alcanzaran los
objetivos previstos.
SGSI – Documentos Mínimos
 Manual de Seguridad.
 Procedimientos.
 Instrucciones , check list , formularios.
 Registros.
 Plan de tratamiento de Riesgos: Identifica las
acciones de la Dirección, los recursos,
responsabilidades y prioridades para gestionar los
riesgos.
 Declaración de Aplicabilidad : Documento que
contiene objetivos de control y los controles
contemplados en el SGSI, basado en los resultados de
los procesos evaluaciones y tratamiento de riesgos.
 Política y Objetivos de Seguridad: Documento de
contenido genérico que establece el compromiso de la
dirección y el enfoque de la organización.
 Procedimientos y mecanismos de control que soportan
al SGSI: Aquellos procedimientos que regulan el propio
funcionamiento del SGSI.
 Procedimientos Documentados: Los necesarios para
asegurar la planificación, operación y control de los
procesos de seguridad de la información.
 Registros: Documentos que proporcionan evidencias de la
conformidad con los requisitos.
SGSI – CONTROL DE LA DOCUMENTACIÓN
 Aprobar documentos antes de su emisión
 Revisar y actualizar documentos para renovar su
validez
 Identificar los cambios y estado actual de revisión.
 Garantizar documentos vigentes.
 Prevenir el uso de documentos obsoletos.
 Identificar documentos externos.
 Identificar documentos que son retenidos con algún
propósito.
NORMAS , TÉCNICAS , ESTÁNDARES Y
PROCEDIMIENTOS DE AUDITORIA
 El auditor desempeña sus labores mediante la aplicación
de una serie de conocimientos especializados.
 El auditor adquiere responsabilidades, no solamente con

la persona que directamente contratan sus servicios, sino
con un número de personas desconocidas para él que van
a utilizar el resultado de su trabajo como base para
tomar decisiones.
NORMAS DE AUDITORIA
Las normas de auditoría se clasifican en:
a.Normas personales.
b.Normas de ejecución del trabajo.
c.Normas de información.
NORMAS DE AUDITORIA
Normas personales
Son cualidades que el auditor debe tener para ejercer una
auditoría, basados en un sus conocimientos profesionales así
como en un entrenamiento técnico, que le permita ser
imparcial a la hora de dar sus sugerencias.
Normas de ejecución del trabajo

Planificación de los métodos y procedimientos.
Normas de información
Informe que el auditor debe entregar
ACTIVIDADES DE AUDITORIA
 Inicio de la auditoria
 Revisión de la documentación
 Preparación de las actividades de la auditoria in situ
 Realización de las actividades de auditoria in situ
 Preparación, aprobación y distribución del informe de la
auditoria
 Finalización de la auditoria
 Realización de las actividades de seguimiento de una
auditoria.
Como Conducir una Auditoria Eficaz
Reunión de
planificación
previa a la
auditoria
Revisión de
Reunión con el
Revisión de los registros de
representante de
procesos procesos
la Dirección
importantes
Acuerdo sobre el Entender la Entender el

alcance de la secuencia de funcionamiento
auditoria actividades de los procesos
Como Conducir una Auditoria Eficaz
 Revisión documentos Plan de auditoria

 Elaboración de Checklist
 Realización de la auditoria , identificación de mejoras.
 Documentar y emitir el informe de auditoria.
 Reunión de Cierre presentación de hallazgos.
 Auditoria de Seguimiento y cierre de hallazgos.
Inicio de la Auditoria
 Designación del líder de equipo auditor

 Definición de los objetivos, el alcance y los criterios de
auditoria
 Determinación de la viabilidad de la auditoria
 Selección del equipo auditor
 Establecimiento del contacto inicial con el auditado
Revisión de la Documentación
Documentos :
▪ Documentos y registros relevantes del SGSI( Sistema
Gestión Seguridad de Información)
▪ Reportes de auditoria anteriores.
Propósitos:
▪ Informar a los auditores de los procesos a ser auditados.
▪ Diseñar un plan de auditoria
▪ Desarrollar una lista de verificación o checklist
Preparación de las actividades de
auditoria in situ
Preparación del Plan de Auditoria
Para :
Proporcionar información al equipo auditor, al auditado
y al cliente.
Permitir la programación y coordinación de las
actividades de auditoria.
Asignación de las tareas al equipo
auditor
Papel y responsabilidad de :
 Lider del equipo
 Miembros del equipo
AUDITOR LIDER
Posee experiencia en auditorias
Responsable de :
➢ Todas las fases de la auditoria

➢ La selección de los miembros del equipo
➢ La preparación del plan de auditoria
➢ Representar al equipo auditor ante la gerencia
➢ La preparación y entrega del informe de auditoria
➢ La dirección de las actividades de seguimiento
AUDITOR
Posee experiencia en auditorias
Responsable de :
➢ Apoya al equipo auditor durante la auditoria
➢ Realizar toda la planificación asignada
➢ Documenta el 100% de la evidencia revisada
➢ En caso de existir no conformidades, estás deben estar
sustentadas en evidencias y criterios de auditoria.
➢ Entrega informe de auditoria al auditor líder
➢ Realiza actividades de seguimiento.
EXPERTO TÉCNICO
Es necesario que en las auditorias , se cuente con

técnicos experto técnicos que actúan bajo la
dirección de un auditor.
Son complemento para la realización de la

auditoria.
Preparación de Documentos de Trabajo
 Listas de verificación y planes de muestreo de auditoria
 Formulario para registrar información, tal como

evidencias de apoyo, hallazgos de auditoria y registros de
las reuniones.
Propósito de la Lista de Verificación
 Asegurar la continuidad de la investigación.

 Ayuda a mantener la marcha de la auditoria con una
rápida referencia de las áreas auditadas.
 Ayuda al auditor líder a hacer reasignaciones rápidas
cuando se necesiten.
 Provee registro de ejecución de la auditoria.
Lista de Verificación
▪ Preparadas para cada actividad / proceso.
▪ Registrar el cumplimiento y incumplimiento.
▪ Oportunidad de resumir y sintetizar las observaciones.
VENTAJAS:
▪ Despersonaliza la auditoria
▪ Administración de tiempo
▪ Uniformidad al proceso de auditoria
Auditoria in Situ
 Reunión de apertura
 Comunicación durante la auditoria
 Papel y responsabilidades de los guías y observadores
 Recopilación y verificación de la información
 Generación de hallazgos
 Conclusiones de auditoria
 Reunión de Cierre
Reunión de apertura
Requiere la asistencia de :
➢ Equipo auditor
➢ Miembros del área auditada
➢ Representante de la gerencia
➢ Conducida por el auditor líder
Presentación del equipo
Revisión del itinerario
Método de auditoria
Alcance y canales de comunicación
Oportunidad para realizar preguntas
Recopilación y verificación de la
Información
 Recopilación mediante a un muestreo apropiado y
verificar la información pertinente para los
objetivos , el alcance y los criterios de auditoria .
Solo la información que puede ser verificable
puede constituir en evidencia.
 Registrar las evidencias de auditoria.
El Proceso de Auditoria
Reunir y seleccionar información : Fuentes de
información.
Verificación : Evidencia
Comparar con el criterio de la auditoria : Hallazgos. (Es
decir bajo que norma esta basado el criterio del auditor)
Revisión : Conclusiones de la auditoria.
Métodos para recopilar información
 Entrevistas
 Observación de actividades
 Revisión de documentos
Técnicas de Auditoria.
▪ Entrevista
▪ Muestreo
▪ Rastreo
▪ Comprobación
▪ Listas de verificación
Técnicas de Auditoria.
 Es la manera de que el auditor obtenga la evidencia necesaria que

fundamente sus opiniones y conclusiones.
 El auditor deberá conocer los datos de la empresa u organización a
ser auditada.
 Las acciones pueden ser oculares, verbales, por escrito, por revisión
del contenido de documentos y por examen físico.
 Análisis,Inspección,Confirmación,Investigación,Declaración,
Certificación y Observación.
Generación de Hallazgos
 Hallazgos pueden indicar una conformidad o
inconformidad.
 Identifica oportunidad de mejora
 El auditor debe reunirse cuando sea necesario
para evaluar los hallazgos encontrados durante la
etapa de la auditoria.
Consejos para ejecutar la Auditoria
 Contacto cara a cara
 Mostrarse interesado
 Tomar notas en corto tiempo
 Inclinar la cabeza (aceptar), ocasionalmente.
 Observar el lenguaje corporal
 Hablar claramente
 Preguntas abiertas
 Verificar con evidencia
 Dar las gracias
Actitudes a tomar para controlar la
auditoria
 Permanecer seguro
 Administrar el tiempo adecuadamente
 No dejarse conducir o engañar
 Ser detallista y eficiente
 Evitar apartarse del tema
Tácticas del Auditado
 Pérdida de tiempo
 Querer manejar al auditor
 Probar la fortaleza del auditor
 Respuestas limitadas
 Situaciones inesperadas
El auditor debe evitar
 Ser controvertido
 Ser negativo, indisciplinado
 Ser critico
 Caer en disputas
 Discutir personalidades
 Comparar al auditado
 Ser sarcástico
 Utilizar palabras ofensivas
Preparación de las conclusiones de
auditoria
 Revisar los hallazgos
 En caso de no existir inconformidad documentar
 Preparar recomendaciones especificando en los
objetivos, seguimiento.
 Oportunidad de mejora.
Declaración de Hallazgo
Incluye :
1.Visión General del hallazgo
2.Descripción de la no conformidad
3.Ejemplo de evidencia objetiva
4.Resumen del requisito.
Ejemplo:
1
Se evidencia que la organización ha definido política de control de visitantes
mediante credenciales con número de identificación
2
Sin embargo se evidencia que tal política no se cumple cuando la visita olvida
devolver la credencial y regresa al día siguiente a continuar trabajando con la
misma credencial sin ser registrados en recepción.
3
Se evidencia que las credenciales corresponden la secuencia del día de ayer
(5/11/2017) con el número (5110) siendo que ingreso con la misma credencial el
(6/11/2017) , el cual debió ser (6110 hasta 6120).
4
Incumpliendo con el requisito de control de acceso , controladas por tarjetas , el
cual deben protegerse las áreas que contienen la información sensible de la
empresa
Reunión de Cierre de Auditoria
Objetivo y alcance.
Muestreo
Presentación de hallazgos
Detallar hallazgos con soporte de evidencia
Informe de auditoria y seguimiento
Agradecer las atenciones
Informe de Auditoria
▪ Alcance y Objetivo
▪ Itinerario de la auditoria
▪ Identificar la documentación en referencia
▪ Integrantes del equipo auditor
▪ Resumen de hallazgos
▪ Identificar las no conformidades
▪ Solicitud de acciones correctivas
▪ Detalle del cumplimiento
▪ Detalle de las acciones de seguimiento
▪ Conclusiones y Recomendaciones
No debe incluir en el informe
 Opiniones subjetivas
 Información Confidencial
 Critica hacia individuos
 Declaración ambiguas
 Detalles triviales
 Hallazgos que no haya mencionado en la reunión
de cierre
Finalización y Seguimiento
 La auditoria finaliza cuando todas las actividades
descritas en el plan de auditoria se hayan
realizado y el informe de auditoria aprobado se
haya distribuido.
 Actividades de seguimiento son según las
conclusiones ( acciones correctivas, preventivas o
de mejora).
 Verificación de implementación de acciones y su
eficacia.
Atributos personales que debe tener un auditor
 Ético : Imparcial , honesto y discreto
 Mentalidad abierta: Dispuesto a considerar ideas o puntos
de vista alternativos.
 Diplomático: Con tacto en las relaciones con las personas.
 Observador : Activamente consciente y capaz de entender
las situaciones.
 Versátil : Se adapta fácilmente a diferentes situaciones
 Tenaz : Alcanza conclusiones oportunas basadas en el
análisis y razonamiento lógicos.
 Seguro de si mismo : Actúa y funciona de forma
independiente a la vez que se relaciona eficazmente con
otros.
Conocimientos y habilidades
 Aplicar principios y técnicas de auditoria
 Planificar y organizar el trabajo eficazmente
 Llevar
a cabo la auditoria dentro del horario
acordado.
 Establecerprioridades y centrarse en los
asuntos de importancia.
PROCEDIMIENTOS
 Obtener conocimientos del control interno.
 Analizar las características del control interno.
 Verificar los resultados de control interno.
 Fundamentar conclusiones de la auditoría.
SISTEMA DE GESTIÓN SEGURIDAD DE LA
INFORMACIÓN
GENERALIDADES:
▪ Esta norma internacional es aplicable a todo tipo de

organización.
▪ Especifica los requisitos para establecer , implementar,
operar, hacer seguimiento, revisar, mantener y mejorar
el SGSI documentado dentro del contexto de riesgos
globales del la organización.
INFORMACIÓN
▪ Especifica los requisitos para la implementación de

controles de seguridad adaptados a las necesidades de
las organizaciones.
▪ SGSI esta diseñado para seleccionar controles
suficientes y proporcionarlas que protejan los activos
de información y brinden confianza a las partes
interesadas.
INFORMACIÓN
APLICACIÓN
Los requisitos establecidos en esta norma son

genéricos y están previstos para ser aplicables a
todas las organizaciones independientemente de su
tipo , tamaño y naturales .
INFORMACIÓN
APLICACIÓN
No es aceptable la exclusión de cualquier requisitos

especificados en los numerales 4,5,6,7 y 8 cuando
una organización declara conformidad con la
presente norma. Cualquier exclusión de controles,
considerada necesaria para satisfacer los criterios
de aceptación de riesgos, necesita justificarse y
debe suministrarse evidencia de que los riesgos han
sido aceptados por las personas responsables.
INFORMACIÓN
2. NORMAS REFERENCIALES DEL SISTEMA DE GESTIÓN
SEGURIDAD DE LA INFORMACIÓN
ISO 27002
Tecnologías de información. Técnicas de seguridad. Códigos
de buenas prácticas para la gestión de la seguridad de la
información.
INFORMACIÓN
3. TERMINOS Y DEFINICIONES
➢ Aceptación del Riesgo: Decisión de asumir el riesgo
➢ Activo : Cualquier cosa que tiene valor para la
organización
➢ Análisis de riesgo: Uso sistemático de la información para
identificar las fuentes y estimar el riesgo.
➢ Confidencialidad : Propiedad que determina la condición
de que la información no esté disponible ni sea revelada a
individuos o procesos no autorizados.
➢ Declaración de Aplicabilidad : Describe los objetivos
de control y los controles pertinentes aplicables para
el SGSI.
➢ Disponibilidad : Propiedad de la información sea
accesible y utilizable por solicitud de la entidad
autorizada.
➢ Evaluación del Riesgo: Proceso de comparar el riesgo
estimado contra el criterio de riesgo dado, para
determinar la importancia del riesgo.
➢ Evento de Seguridad de la Información: Identificación
de una condición de un sistema , servicio o red, de una
posible violación de la política de seguridad de la
información o falla
➢ Gestión del Riesgo: Actividades coordinadas para
dirigir y controlar una organización en relación con el
riesgo.
➢ Incidente Seguridad de la Información: Serie de
eventos no deseados e inesperados, que tiene una
probabilidad significativa de comprometer las
operaciones del negocio y amenazar la seguridad de la
información.
➢ Integridad : Proteger la exactitud y estado completo
de los activos.
➢ Riesgo Residual : Nivel restante de riesgo , después
del tratamiento de riesgo.
➢ Seguridad de la Información: Preservación de la
confidencialidad, integridad y disponibilidad de la
información.
➢ Sistema de Gestión de Seguridad de la Información
(SGSI): Basada en enfoque hacia los riesgos globales de
un negocio, cuyo fin es estableces, implementar,
operar, hacer seguimiento, revisar, mantener y
mejorar .
➢ Tratamiento de Riesgo: Proceso de selección e
implementación de medidas para modificar el riesgo.
➢ Valoración de Riesgo: Proceso global de análisis y
evaluación del riesgo.
4. SISTEMA DE GESTIÓN DE SEGURIDAD DE
INFORMACIÓN.
4.1 REQUERIMIENTOS GENERALES
La Organización debe establecer , implementar,
operar, monitorear, revisar, mantener y mejorar un
SGSI , donde estén las actividades globales de la
organización y de los riesgos que enfrenta.
Para los propósitos de esta norma , el proceso usado
se basa en el modelo PHVA (Planificar, Hacer,
Verificar, Actuar).
4.2 ESTABLECIMIENTO Y GESTION DEL
SGSI
4.2.1 ESTABLECER EL SGSI
La organización debe:
a) Definir el alcance y límites del SGSI en términos

de características del negocio, su ubicación, sus
activos y tecnología e incluir los detalles y
justificación.
b) Definir una política del SGSI en términos de las
características del negocio, organización, ubicación
, activos y tecnología que :
1. Incluya marco de referencia para fijar sus objetivos
y establezca sentido general de dirección y
principios para la acción con relación a la
seguridad de la información.
2. Requisitos de negocio, legales, reglamentarios y
obligaciones de seguridad contractuales.
3. Alineada con el contexto organizacional estratégico

de gestión del riesgo en el cual tendrá lugar el
establecimiento y mantenimiento del SGSI.
4. Establece los criterios contra los cuales evaluara los

riesgos (Ver 4.2.1 literal c)
5.Aprobación de la Dirección.
C) Definir el enfoque organizacional hacia la valoración
del riesgo.
1) Identificar una metodología de valoración del riesgo
que sea adecuada al SGSI y a los requisitos de
reglamentarios, legales y de seguridad de
información del negocio, identificados.
2) Desarrollar criterios para la aceptación de riesgos e
identificar niveles aceptables. (Ver 5.1.1).
D) Identificar los Riesgos
1) Identificar los activos dentro del alcance del SGSI y los
propietarios de estos activos.
2) Identificar las amenazas de estos activos.
3) Identificar las vulnerabilidades que podrían ser
aprovechadas por las amenazas.
4) Identificar los impactos que la perdida de
confidencialidad, integridad y disponibilidad pueden
tener sobre los activos.
E) Análisis y Evaluación de los riesgos
1) Valorar el impacto de negocios que podría causar una
falta en la seguridad, sobre la organización, teniendo en
cuenta las consecuencias de la pérdida de
confidencialidad, integridad o disponibilidad de los
activos.
2) Valorar la posibilidad realista de que ocurra una falla en
la seguridad, considerando las amenazas,
vulnerabilidades ,impactos asociados con estos activos y
controles implementados adecuadamente.
3) Establecer los niveles de riesgos.
4) Determinar la aceptación del riesgo o la necesidad de su
tratamiento a partir de los criterios establecidos en el
numeral (4.2.1 c).
F) Identificar y evaluar las opciones para el tratamiento
de riesgos.
Las posibles acciones incluye:
1) Aplicar los controles apropiados.
2) Aceptar los riesgos con conocimiento y objetividad,
siempre y cuando satisfagan claramente la política y
los criterios de la organización para la aceptación de
riesgos (Ver 4.2.1 c).
3) Evitar riesgos.
4) Transferir a otras partes los riesgos asociados con el
negocio, por ejemplo : aseguradoras, proveedores
etc.
G) Seleccionar los objetivos de control y los controles
para el tratamiento de los riesgos.
 Los objetivos de control y los controles para el
tratamiento de los riesgos.
 Los requisitos identificados en el proceso de valoración
y tratamiento de riesgos. Esta selección debe tener en
cuenta los criterios para la aceptación de riesgos (Ver
4.2.1 c), al igual que los requisitos legales ,
reglamentarios y contractuales.
H) Obtener la aprobación de la dirección sobre
los riesgos residuales propuestos.
I) Obtener la aprobación de la dirección para

implementar y operar el SGSI.
J) Elaborar una declaración de aplicabilidad.
Debe incluir :
 Los objetivos de los controles seleccionados en el
numeral (4.2.1 g).
 Los objetivos de los controles implementados ( ver
4.2.1 e).
➢ La exclusión de cualquier objetivo de control y la
justificación para su exclusión.
La declaración aplicabilidad proporciona un

resumen de las decisiones concernientes al
tratamiento de los riesgos, y la justificación de las
exclusiones permite validar que ningún control se
omita involuntariamente.
4.2.2 IMPLEMENTACIÓN Y OPERACIÓN DEL
SGSI
La Organización debe:
a) Formular plan para tratamiento de riesgos que
identifique la acción de gestión apropiada, los
recursos , responsabilidades y prioridades para
manejar los riesgos de seguridad de la
información. ( Ver 5).
b) Implementar el plan de tratamiento de riesgos
para lograr los objetivos de control
identificados, que incluye considerar la
financiación y la asignaciones de funciones y
responsabilidades.
SGSI
c) Implementar los controles seleccionados en el
numeral (4.2.1 g) para cumplir los objetivos de
control.
d) Definir cómo medir la eficacia de los controles
seleccionados y especificar cómo se van a usar estas
mediciones con el fin de valorar la eficacia de los
controles ( Ver 4.2.3 c).
Esto permite a los gerentes y al personal determinar

la medida en que se cumple los objetivos de control
planificados.
SGSI
e) Implementar programas de formación y de toma
de conciencia ( ver 5.2.2).
f) Gestionar la operación del SGSI.
g) Gestionar recursos del SGSI (Ver 5.2).
h) Implementar procedimientos y otros controles
para detectar y dar respuesta oportuna a los
incidentes de seguridad (ver 4.2.3).
4.2.3 SEGUIMIENTO Y REVISIÓN DEL SGSI
a) Ejecutar procedimientos de seguimiento y revisión y
otros controles para :
1) Detectar rápidamente errores en los resultados del
procesamiento.
2) Identificar con prontitud los incidentes e intentos de
violación de la seguridad, tanto los que tuvieron éxito
como los que fracasaron.
3) Posibilitar que la dirección determine si las actividades
de seguridad delegadas a las personas o implementadas
mediante tecnología de la información se están
ejecutando en la forma esperada.
4) Ayudar a detectar eventos de seguridad, y de esta

manera impedir incidentes de seguridad mediante el
uso de indicadores.
5) Determinar si las acciones tomadas para
solucionar un problema de violación a la seguridad
fueron eficaces.
b) Emprender revisiones regulares de la eficacia del

SGSI ( que incluyen el cumplimiento de la política y
objetivos del SGSI y la revisión de controles de
seguridad) teniendo en cuenta los resultados de las
auditorias de seguridad, incidentes, medición de la
eficacia sugerencias y retroalimentación de todas las
partes interesadas.
c) Medir la eficacia de los controles para verificar que se han

cumplido los requisitos de seguridad.
d) Revisar la valoraciones de los riesgos a intervalos
planificados, y revisar el nivel de riesgo residual y riesgo
aceptable identificado , teniendo en cuenta los cambios en :
▪ Organización
▪ Tecnología
▪ Los objetivos y proceso del negocio.
Las amenazas identificadas.
Eficacia de los controles implementados.
Eventos externos.
e) Realizar auditorias internas del SGSI a intervalos

planificados (Ver 6).
f) Emprender una revisión del SGSI, realizada por la

dirección , en forma regular para asegurar que el
alcance siga siendo suficiente y que se identifiquen
mejoras al proceso de SGSI ( ver 7.1)
g) Actualizar los planes de seguridad para tener en

cuenta las conclusiones de las actividades de
seguimiento y revisión.
h) Registrar acciones y eventos que podrán tener

impacto en la eficacia o el desempeño del SGSI. (ver
4.3.3).
4.2.4 MANTENER Y MEJORAR EL SGSI
La organización regularmente:
a) Implementar las mejoras identificadas en el SGSI.
b) Emprender las acciones correctivas y preventivas
adecuadas de acuerdo con los numerales (ver 8.2 y
8.3).
c) Comunicar acciones y mejoras , con nivel de detalle
apropiado a las circunstancias , y en donde sea
pertinente, llegar a acuerdos sobre cómo proceder.
d) Asegurar que las mejoras logren los objetivos
previstos.
4.3 REQUISITOS DE DOCUMENTACIÓN
4.3.1 GENERALIDADES
La documentación del SGSI debe incluir registros de
las decisiones de la dirección, y que los resultados
sean registrados.
Es importante estar en capacidad de demostrar la
relación entre los controles seleccionados y los
resultados del proceso de valoración y tratamiento
de los riesgos, con la política y objetivos del SGSI.
4.3.1 GENERALIDADES
La documentación debe incluir:
a) Declaraciones documentadas de la política y los
objetivos del SGSI (ver 4.2.1 b).
b) Alcance del SGSI (ver 4.2.1 a).
c) Procedimiento y controles.
d) Descripción , metodología de valoración de
riesgos ( ver 4.2.1 c).
e) Informe de valoración de riesgos.
f) Plan de tratamiento de riesgos
4.3.1 GENERALIDADES
La documentación debe incluir:
g) Procedimientos documentados. (ver 4.2.3 c)

h) Registros exigidos ( ver 4.3.3)
i) Declaración de la aplicabilidad.
4.3.2 CONTROL DE DOCUMENTOS
Los documentos exigidos por el SGSI se deben proteger y
controlar, establecer un procedimiento documentado
para definir las acciones de gestión necesarias:
a)Aprobar los documentos antes de su publicación.

b)Revisar y actualizar los documentos.
c)Asegurar los cambios y estado de actualización
estén identificados.
d)Asegurar las versiones más recientes de los
documentos.
e)Asegurar que los documentos estén legibles y
fácilmente identificados.
4.3.1 GENERALIDADES
Procedimiento documentado, significa que el
procedimiento está establecido, documentado,
implementado y mantenido.
El alcance puede ser diferente de una organización o
otra debido:
❑ Tamaño, tipo de actividades, complejidad de
requisitos y que sistema están gestionando.
❑ Los documentos y registros pueden tener
cualquier forma.
4.3.2 CONTROL DE DOCUMENTOS
f) Asegurar que los documentos estén disponibles
cuando se necesiten y se apliquen procedimientos,
de acuerdo a su clasificación para su transferencia,
almacenamiento y disposición final.
g) Asegurar que los documentos de origen externo
estén identificados : Leyes , contratos.
h) Asegurar la distribución del documente este
controlada.
i) Impedir el uso previsto de los documentos
obsoletos.
j) Aplicar la identificación adecuada a los
documentos obsoletos , si se retienten para
cualquier propósito.
4.3.3 CONTROL DE REGISTROS
❑ Sedeben y mantener registro para brindar la evidencia
de la conformidad con los requisitos y la operación eficaz
del SGSI.
❑ Losregistros deben estar protegidos y controlados. El SGSI
debe tener en cuenta cualquier requisito legal o
reglamentos y las obligaciones contractuales pertinentes.
❑ Los registros deben permanecer legibles, fácilmente
identificables y recuperables.
❑ Los controles necesarios para la identificación de
almacenamiento , protección , recuperación, tiempo de
retención y disposición de registros se deben documentar
e implementar.
❑ Sedeben llevar registros del desempeño del proceso,
como establece en el (4.2)
5 . RESPONSABILIDAD DE LA DIRECCIÓN
5.1 COMPROMISO DE LA DIRECCIÓN:
La Dirección debe brindar evidencia de su

compromiso con el establecimiento ,
implementación , operación , seguimiento, revisión,
mantenimiento y mejora de SGSI
a)Mediante el establecimiento de una política del
SGSI
b)Asegurando que se establezcan los objetivos y
planes del SGSI.
c)Estableciendo funciones y responsabilidades de
d)Comunicando a la organización la importancia de
cumplir los objetivos de seguridad de la
información y de la conformidad de la política de
seguridad de la información, sus
responsabilidades bajo la ley y la necesidad de la
mejora continua.
e) Brindar recursos suficiente para establecer,
implementar, operar, hacer seguimiento, revisar ,
mantener y mejorar un SGSI (ver 5.2.1).
f) Decidiendo los criterios para la aceptación de

los riesgos , y los niveles de riesgo aceptables.
g) Asegurar que se realicen auditorias internas
(Ver 6).
h) Efectuar revisiones por la dirección , del SGSI

(ver 7).
5.2 GESTIÓN DE RECURSOS
5.2.1 Provisión de Recursos
La organización debe determinar y suministrar los
recursos necesarios para :
a) Establecer, implementar, operar, hacer
seguimiento, revisar, mantener y mejorar un
SGSI.
b) Asegurar los procedimientos , brindar apoyo a los
requisitos del negocio.
c) Identificar y atender los requisitos legales y
reglamentarios.
5.2.1 Provisión de Recursos
d) Mantener la seguridad suficiente mediante la

aplicación correcta de todos los controles
implementados.
e) Llevar a cabo revisiones cuando sea necesario.
f) Mejorar el SGSI.
5.2.2 Formación , toma de conciencia y
competencia.
La organización debe asegurar que todo el personal

al que se asigne responsabilidades definidas en el
SGSI sea competente para realizar las tareas
exigidas.
5.2.2 Formación , toma de conciencia y competencia.
a) La determinación de las competencias necesarias
para el personal que ejecute el trabajo que afecta
el SGSI.
b) Formación o realización de otras acciones (
ejemplo : la contratación de personal competente)
para satisfacer las necesidades.
c) Evaluación de la eficacia de las acciones
emprendidas.
d) Mantenimiento de registro de educación ,
formación , habilidades, experiencia y
calificaciones (ver 4.3.3 (control de registro)).
5.2.2 Formación , toma de conciencia y
competencia.
La organización debe asegurar que todo el

personal apropiado tiene conciencias de la
pertinencia e importancia de sus actividades
de seguridad de la información y cómo ellas
contribuyen al logro de los objetivos del SGSI.
6. AUDITORIAS INTERNAS AL SGSI
La organización debe realizar auditorias

internas SGSI a intervalos planificados, para
determinar si los objetivos de control,
controles, procesos y procedimientos de SGSI.
a) Cumplen los requisitos de esta norma,
legislación o reglamentaciones.
b) Cumplen los requisitos identificados de
c) Están implementados y se mantienen
eficazmente.
d) Tienen un desempeño acorde a lo
esperado.
Se debe planificar auditoria, considerando el
estado e importancia de los procesos y áreas
que se van auditar, así como los resultados.
Se deben definir los criterios, alcance ,

frecuencia, y métodos de auditoria.
La selección de los auditores y la realización de

las auditorias deben asegurar la objetividad e
imparcialidad del proceso de auditoria.
Se deben definir en un procedimiento documentado
las responsabilidades y requisitos para la
planificación y realización de las auditorias, para
informar los resultados y para mantener los
registros (ver 4.3.3).
El responsable de la dirección del área auditada

debe asegurarse de que las acciones para eliminar
las no conformidades detectadas y sus causas, se
emprendan sin demora injustificada.
Las actividades de seguimiento deben incluir la

verificación de las acciones tomadas y el reporte de
los resultados de la verificación.
7. REVISIÓN DEL SGSI POR LA DIRECCIÓN
7. GENERALIDADES
La dirección debe revisar el SGSI de la organización a
intervalos planificados ( por lo menos una vez al año), para
asegurar su conveniencia, suficiencia y eficacia continua.
Esta revisión debe incluir la evaluación de oportunidades

para mejorar y la necesidad de cambios en el SGSI, incluidos
la política de seguridad y los objetivos de seguridad.
Los resultados de la revisión se deben documentar
claramente y se deben llevar registros (Ver 4.3.3).
7.2 INFORMACIÓN PARA LA REVISIÓN
Para la revisión debe incluir :
a) Resultados de auditorias y revisiones del SGSI

b) Retroalimentación de las partes interesadas
c) Técnicas, productos o procedimientos que se puedan
usar en la organización para mejorar el desempeño y
eficacia del SGSI.
d) Estado de las acciones correctivas y preventivas.
7.2 INFORMACIÓN PARA LA REVISIÓN
e) Vulnerabilidades o amenazas no tratadas
adecuadamente en la valoración previa de los
riesgos.
f) Resultados de las mediciones de eficacia.
g) Acciones de seguimiento resultantes de revisiones
anteriores por la dirección.
h) Cualquier cambio que pueda afectar el SGSI
i) Recomendaciones para mejorar.
7.3 RESULTADOS DE LA REVISIÓN
Decisión y acción relacionada con :
a) Mejoramiento de la eficacia SGSI

b) Actualización de la evaluación de riesgo y plan de
tratamiento de riesgos.
c) Modificación de los procedimientos y controles que
afecten la seguridad de la información, según sea
necesario, para responder a eventos internos o
externos que pueden tener impacto en el SGSI.
Incluidos a cambios :
1) Requisitos del negocio
2) Requisitos de seguridad
3) Procesos del negocio que afectan los requisitos del
negocio existentes.
4) Requisitos reglamentarios o legales.
5) Obligaciones contractuales
6) Niveles de riesgos o niveles de aceptación de
riesgos.
d) Los recursos necesarios.

e) La mejora a la manera en que se mide la eficacia de
los controles.
8. MEJORA DEL SGSI
8.1 MEJORA CONTINUA
La organización debe mejorar continuamente la

eficacia del SGSI mediante el uso de la política de
seguridad de la información, los objetivos de la
Los resultados de la auditoria , el análisis de los
eventos a los que se les ha hecho seguimiento, las
acciones correctivas, preventivas y la revisión por la
dirección.
8. MEJORA DEL SGSI
8.2 ACCIÓN CORRECTIVA
La organización debe emprender acciones para

eliminar la causa de no conformidades asociadas
con los requisitos del SGSI, con el fin de prevenir
que ocurran nuevamente.
8. MEJORA DEL SGSI
8.2 ACCIÓN CORRECTIVA
El procedimiento documentado para la acción correctiva
debe definir requisitos para:
a) Identificar no conformidades
b) Determinar las causas de las no conformidades
c) Evaluar la necesidad de acciones que aseguren que
las no conformidades no vuelven a ocurrir.
d) Determinar e implementar las acciones correctivas
necesarias.
e) Registrar los resultados de la acción tomada (ver
4.3.3)
f) Revisar la acción correctiva tomada.
8.3 ACCIÓN PREVENTIVA
La organización debe determinar acciones para

eliminar la causa de no conformidades potenciales
con los requisitos de SGSI y evitar que ocurran.
Las acciones preventivas tomadas deben ser

apropiadas al impacto de los problemas potenciales.
Define los siguientes requisitos:
a) Identificar no conformidades potenciales y sus causas.

b) Evaluar la necesidad de acciones para impedir que las
no conformidades ocurran.
c) Determinar e implementar la acción preventivas
necesaria.
d) Registrar los resultados de la acción tomada (Ver
4.3.3)
e) Revisar la acción preventiva tomada.
La organización debe identificar los cambios en

los riesgos los requisitos en cuanto acciones
preventivas, concentrando la atención en los
riesgos que han cambiado significativamente.
La prioridad de las acciones preventivas se debe

determinar con base en los resultados de la
valoración de los riesgos.

Material de Estudio - 1 Parcial

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Material de Estudio - 1 Parcial

Cargado por

Copyright:

Formatos disponibles

AUDITORIA DE SEGURIDADES

Proceso sistemático, independiente y

 La seguridad de la información protege la

La gestión de la seguridad de la información

 Confidencialidad : Garantiza acceso

La Importancia de Proteger la Información

SGSI : La organización conoce los riesgos a los que está sometida

 La información es un activo que , como otros activos

 Cualquier forma que tome la información , o los medios

 La información puede ser :

PLANIFICAR – HACER- VERIFICAR-

• Diseñar- Establecer objetivos

• Monitorear y revisar, procesos

Determinar las Necesidades de Protección

 Gestión de Riesgos : Implicar la identificación , selección , aprobación y

Hardware : Redes, servidores y estaciones de

Selección de Controles de Seguridad

Riesgo = Probabilidad(condición) * Impacto (consecuencia)

Reputación y confianza del cliente 5 Alto (3) 15

Financiera 4 Medio (2) 8

Tecnológico 3 Bajo (1) 3

Seguridad y Salud 2 Bajo (1) 2

Multas para la empresa 1 Alto (3) 3

 Revisar las políticas y objetivos del SGSI.

 Medir la efectividad de los controles, para verificar que se

 Revisar regularmente en intervalos planificados las

 Realizar periódicamente auditorias internas planificadas.

 Actualizar los planes de seguridad en función a nuevos

 Registrar acciones y eventos referente a la efectividad y

 El auditor adquiere responsabilidades, no solamente con

Las normas de auditoría se clasifican en:

Normas de ejecución del trabajo

Acuerdo sobre el Entender la Entender el

 Revisión documentos Plan de auditoria

 Designación del líder de equipo auditor

➢ Todas las fases de la auditoria

Es necesario que en las auditorias , se cuente con

Son complemento para la realización de la

 Formulario para registrar información, tal como

 Asegurar la continuidad de la investigación.

 Es la manera de que el auditor obtenga la evidencia necesaria que

▪ Esta norma internacional es aplicable a todo tipo de

▪ Especifica los requisitos para la implementación de

Los requisitos establecidos en esta norma son

No es aceptable la exclusión de cualquier requisitos

a) Definir el alcance y límites del SGSI en términos

3. Alineada con el contexto organizacional estratégico

4. Establece los criterios contra los cuales evaluara los

I) Obtener la aprobación de la dirección para

La declaración aplicabilidad proporciona un

Esto permite a los gerentes y al personal determinar

4) Ayudar a detectar eventos de seguridad, y de esta

b) Emprender revisiones regulares de la eficacia del

c) Medir la eficacia de los controles para verificar que se han

e) Realizar auditorias internas del SGSI a intervalos

f) Emprender una revisión del SGSI, realizada por la

g) Actualizar los planes de seguridad para tener en

h) Registrar acciones y eventos que podrán tener

g) Procedimientos documentados. (ver 4.2.3 c)

a)Aprobar los documentos antes de su publicación.

La Dirección debe brindar evidencia de su

f) Decidiendo los criterios para la aceptación de

h) Efectuar revisiones por la dirección , del SGSI