UNIVERSIDAD NACIONAL AUTÓNOMA DE HONDURAS VALLE DE SULA

UNAH-VS

Auditoría de sistemas de información II

Sección 1300

Jenny Roxanna García Pineda 20062004906

Catedrática: Ing. Guillermo Brand

San Pedro Sula, Cortés. 22 de octubre de 2022

Unidad 2
 1. ¿Cuáles son los niveles de documentación que debe de constar en un
sistema?

R/El sistema constara de una documentacion en varios niveles: Politicas,

Procedimientos, Registros.

2. Describa cada uno de los nivele de documentación de un sistema

R/• Politicas, que proporcionan las guias generales de actuacion en cada caso.
• Procedimientos, que dan las instrucciones para ejecutar cada una de las
tareas previstas.
• Registros, que son las evidencias de que se han llevado a cabo las
actuaciones establecidas

3. ¿Cuáles son los requisitos que establece la norma SGSI de sistemas de

información para pymes?

R/ los requisitos d la norma SGSI: ISO 27001, Leyes, Negocio, Reglamentos,

Recursos, Contratos

4. ¿Qué pasa con los activos que queden dentro del alcance definido?

R/El SGSI va a proteger los activos que queden dentro del alcance definido,
por eso es vital listarlos todos, lo cual no significa que haya que detallar cada
componente de los sistemas de informacion y cada documento que se maneje
en la empresa, pero si es indispensable identificar que activos son los que
soportan los procesos de la organizacion.

5. ¿Por qué es crucial la definición del enfoque del análisis de riesgos, para
el correcto diseño del SGSI?

R/Hay que decidir como se enfocara el analisis de riesgos. El analisis de

riesgos determinara las amenazas y vulnerabilidades de los activos de
informacion previamente inventariados. Esta tarea es crucial para el correcto
diseno del SGSI, puesto que de su resultado depende que se escojan unos
controles u otros, que son los que conformaran nuestro sistema.
 6. En particular, ¿Qué fase es necesario documentar para escoger la
metodología de análisis de riesgos?

R/Puesto que la norma unicamente establece que los resultados han de ser
comparables y repetibles, debe escogerse aquella metodologia que mejor se
adapte a los modos de trabajo de la organizacion, asi el ejercicio se integrara
sin problemas en el trabajo cotidiano. Ademas, ayuda a que los resultados
sean mas aceptables por la organizacion y a que se pueda mantener en el
tiempo. Si la metodologia escogida es excesivamente complicada y requiere
mucho esfuerzo para llevar a cabo el analisis, la carga de trabajo anadida
complicara el proyecto, y los resultados pueden parecer poco fiables por los no
implicados directamente en su obtencion, puesto que será dificil explicarlos.

7. ¿Qué es mitigar el riesgo en el tratamiento de los riesgos?

R/Mitigar el riesgo. Es decir, reducirlo, mediante la implementacion de controles

que disminuyan el riesgo hasta un nivel aceptable.

8. ¿Qué es asumir el riesgo en el tratamiento de los riesgos?

R/Asumir el riesgo. La direccion tolera el riesgo, ya que esta por debajo de un

valor de riesgo asumible o bien porque no se puede hacer frente
razonablemente a ese riesgo, por costoso o por dificil. La direccion debe firmar
que los activos con un valor de riesgo inferior no estaran sometidos a controles
que mitiguen el riesgo.

9. Brinde un ejemplo de transferir el riesgo en el tratamiento de los riesgos

R/Por ejemplo, asegurando el activo que tiene el riesgo o subcontratando el

servicio. Aun asi, evidenciar que la responsabilidad sobre el activo permanece
siempre en manos de la organizacion y tener en cuenta que hay danos, como
los causados a la reputacion de la organizacion, que dificilmente son cubiertos
por ningun seguro.

10.¿Por qué la selección de controles es un punto crítico del SGSI?

R/ La seleccion de controles es un punto critico del SGSI. A la hora de escoger
o rechazar un control se debe considerar hasta que punto ese control va a
ayudara reducir el riesgo que hay y cual va a ser el coste de su implementacion
y mantenimiento. Cabe la posibilidad de que un control que se estime oportuno
implementar, sea demasiado costoso o dificil de implementar para la
organizacion, por resistencia al cambio o por falta de formacion, y que haya
que excluirlo de la selección por esos motivos.

11. ¿Qué debe de incluir la preparación de una declaración de

aplicabilidad?

R/ -Los objetivos de control y los controles seleccionados, con las razones de

esta selección.
- Los objetivos de control y los controles actualmente implementados, con una
justificación.
-La exclusión de cualquier control objetivo del control y de cualquier control en
el anexo A y la justificación para dicha exclusión. Esta declaración de
aplicabilidad sirve para comprobar que realmente se han considerado todas las
opciones de controles disponibles y que no se ha omitido ninguno.

12.¿Qué es la mejora continua?

R/ La mejora continua es una actividad recurrente para incrementar la

capacidad a la hora de cumplir los requisitos. El proceso mediante el cual se
establecen objetivos y se identifican oportunidades de mejora es continuo.
Es un punto fundamental en cualquier sistema de gestión según las normas
ISO.

13. ¿Cuáles son las principales herramientas para la mejora continua?

R/ Las principales herramientas para la mejora continua son las revisiones, las
auditorias, las acciones correctivas, preventivas y de mejora, los objetivos y el
analisis de los incidentes de seguridad.
 14.¿Cómo se define la acción correctiva?

R/ La accion correctiva se define como la tarea que se emprende para corregir

una no conformidad significativa con cualquiera de los requisitos del sistema de
gestion de seguridad de la informacion.

15.¿Para qué se aplica la acción preventiva?

R/ Las acciones preventivas se aplican para evitar la aparicion de futuras no

conformidades.Son acciones encaminadas a eliminar la causa de una posible
no conformidad.

Unidad 3

1. ¿Cuántos controles propone la norma en la valoración y tratamiento del

riesgo?

R/La norma propone 133 controles, pero no para tener que cumplirlos todos,
sino para elegir de entre ellos los que sean mas apropiados. Esto es
precisamente lo que nos ayudara a decidir la valoracion del riesgo.

2. Enumere 4 metodologías que existen en la valoración y tratamiento del

riesgo

R/ Existen diversas metodologias, como

 CRAMM,
 Ebios,
 Magerit,
 ISO 13335-2, etc., y muchas herramientas en el mercado, como Callio,
Cramm, Pilar, casi siempre basadas en alguna de las metodologias mas
aceptadas.

3. Explique los 2 controles que nos presenta el capítulo 3, en las políticas

de seguridad.
R/ Este capitulo consta de dos controles:

• Documento de politica de seguridad. El documento de politica de seguridad

de la informacion deberia establecer el compromiso de la direccion y el enfoque
de la organizacion para gestionar la seguridad de la informacion.
Este documento deberia ser aprobado por la direccion y publicado y
comunicado a todos los empleados y terceras partes.

• Revision de la politica de seguridad. La politica de seguridad debe ser un

documento vivo, que se revise y actualice periodicamente para que siga siendo
adecuado tras los inevitables cambios que sufre toda organizacion.

4. ¿Cuál es el compromiso de la dirección con la seguridad de la

información?

R/Compromiso de la direccion con la seguridad de la informacion. La dirección

debe respaldar la seguridad de la informacion y tomar decisiones al respecto,
tales como poner objetivos y aprobar el riesgo aceptable,
proporcionandorecursos y avalando acciones.

5. ¿Por qué es importante la asignación de responsabilidades relativas a la

seguridad de la información?

R/ Asignacion de responsabilidades relativas a la seguridad de la informacion.

Hay que definir claramente quien se va a encargar de cada actividad de
seguridad de la informacion, evitando malentendidos y errores.

6. ¿Cuáles son los controles para conseguir y mantener una protección

adecuada sobre los activos de la organización?

R/ Los controles de este capitulo estan dirigidos a lograrlo.

• Responsabilidad sobre los activos. Para conseguir y mantener una protección
adecuada sobre los activos de la organizacion deben existir responsabilidades
claras.
• Clasificacion de la informacion, para asegurar que la informacion recibe un
nivel adecuado de proteccion en funcion de su criticidad.

7. ¿Qué es fundamental para poder gestionar los inventarios de activos?

R/Para poder gestionarlos, es fundamental identificar dichos activos,

preparando con esa informacion un inventario de todos los activos importantes,
que habra de ser mantenido y actualizado. Se necesita un inventario de los
recursos de informacion de la organizacion para, basandose en este
conocimiento, asegurar que se brinda un nivel adecuado de protección.
 8. ¿Cuáles son los 2 controles, que existen para asegurar que la
información recibe un nivel adecuado de protección en función de su
criticidad?

R/ Existen dos controles:

– Directrices de clasificacion. Debe clasificarse la informacion de acuerdo a su
sensibilidad y criticidad, su valor para la organizacion y el dano que ocasionaria
su fuga o filtracion, para asi poder adoptar las medidas de seguridad
adecuadas a cada nivel de proteccion.
– Etiquetado y manipulado de la informacion. La informacion debe ser marcada
y tratada de acuerdo con el esquema de clasificacion adoptado por la
organizacion. El etiquetado de la informacion puede realizarse de diferentes
formas, pero deberia hacerse de modo que se distinga fácilmente el tipo de
informacion que contiene el documento.

9. ¿Cuáles son los 2 objetivos que existen en la seguridad física y del

entorno?

R/ Existen dos objetivos:

• Areas seguras. Deben establecerse unas medidas de seguridad para prevenir
los accesos fisicos no autorizados, los danos y las intromisiones en las
instalaciones y en la informacion de la organizacion.
• Seguridad de los equipos, para que las actividades de la organizacion no se
interrumpan debido a danos en los equipos, robo de activos o perdidas de los
mismos.

10.Enumere los controles que debemos de utilizar para las áreas seguras

R/ – Perimetro de seguridad fisica. Barreras, muros, puertas de entrada con

restricciones (recepcion, cerraduras, control a traves de tarjeta, etc.), cualquier
medio que sirva para proteger las zonas en las que se encuentra la información
y los sistemas de informacion formaran parte de este primer control.
– Controles fisicos de entrada. Las areas en las que solo el personal autorizado
puede entrar deben poseer controles de entrada apropiados que restrinjan el
acceso.
– Seguridad de oficinas, despachos e instalaciones. Tambien estos recintos
deben contar con medidas razonables que permitan mantener la información y
los sistemas bajo control.
– Proteccion contra las amenazas externas y de origen ambiental. Tanto por la
magnitud de los danos que pueden ocasionar estas amenazas, como por la
legislacion que controla este punto, se deben aplicar las medida apropiadas
contra el dano causado por fuego, inundacion, terremoto y otros desastres,
tanto naturales como provocados por el hombre.
– Trabajo en areas seguras. Por su especial sensibilidad, las areas seguras
contaran, ademas de con medidas de proteccion fisica, con directrices para
trabajar en ellas.
– Areas de acceso publico y de carga y descarga. Puesto que estos puntos son
vulnerables a accesos no autorizados, deberan controlarse con cuidado y, en la
medida de lo posible, mantenerlos alejados y aislados de aquellas zonas en las
que residan los sistemas de informacion.

11.Cuando hablamos de Protección contra código malicioso y descargable.

¿Qué debemos evitar?

R/ Evitar virus, troyanos y el resto de los tipos de codigo malicioso sirve para
proteger la integridad del software y de la informacion.

12.¿Cuáles son las dos vertientes que tienen los códigos maliciosos?

R/ La proteccion contra este riesgo tiene dos vertientes, la tecnica y la humana.

13.¿A qué nos ayuda, cuando creamos copias de seguridad?

R/ Realizar copias de la informacion ayuda a mantener la integridad y

disponibilidad de la misma y de los recursos de tratamiento de la informacion,
ya que en caso de incidente se podria recuperar rapidamente.

14.¿Cómo se puede monitorear para prevenir la fuga de información?

R/ Al desarrollar software se deben prever situaciones que permitan fugas de

informacion, para ello se supervisara al personal, las actividades del sistema, el
uso de los recursos, se escanearan las comunicacionespara detectar
informacion oculta, etc.

15.¿Qué contendrá un plan de continuidad en la gestión de la continuidad

del negocio?

R/ Un plan de continuidad contendra procedimientos para actuar en cada etapa

de la crisis, hasta que se consigan recuperar las actividades hasta un nivel
aceptable.

Unidad 4

1. Enumero las fases del proyecto de implementación de un SGSI

R/ Las actividades principales para crear un SGSI son:

 Definicion del alcance, los objetivos y la politica de seguridad

 Desarrollar el inventario de activos
 Realizar el analisis de riesgos
 Seleccionar las medidas de seguridad a implementar
 Evaluar los riesgos residuales.
 Documentar los procedimientos necesarios para implementar las
medidas seleccionadas.
 Implementacion de los controles y los procedimientos
 Formar y concienciar al personal
 Realizar la auditoria interna y la revision del SGSI por la direccion

2. ¿Cuál es la documentación mínima del SGSI?

R/ el SGSI consistira en un conjunto de documentos que, como

minimo, seran los siguientes:
• Politica de seguridad.
• Inventario de activos.
• Analisis de riesgos.
• Gestion de riesgos.
• Documento de aplicabilidad

• Procedimientos para implementar los controles.

• Procedimientos para la gestion del SGSI.

3. ¿Qué es el alcance del sistema?

R/ El alcance del sistema, es decir, que partes de la organizacion van a estar

protegidas por el SGSI. Puede ser la organizacion entera o una parte relevante
de la misma: departamento, servicio o proceso. La recomendacion a la hora de
decidir el alcance es escoger uno que sea realmente abordable por la empresa.

4. ¿Qué es un inventario de activos?

R/ El inventario de activos es la recopilacion de todos aquellos elementos

indispensables para que la administracion electronica pueda prestarse con
todas las garantias, de manera que los ciudadanos tengan confianza en ella.

5. ¿Qué información debe recoger los inventarios de activos?

R/ El inventario de activos debe recoger la siguiente informacion:

• El nombre del activo, por ejemplo: equipo de usuario, router 014, proyecto,
expediente, etc.
• La descripcion del activo.
• Categoria a la que pertenece, por ejemplo: equipo, aplicacion, servicio, etc.
• Ubicacion: el lugar fisico en el que se encuentra dentro de la organizacion.
• Propietario: entendiendo por tal al responsable del activo.
• Identificados los activos de informacion:

6. ¿Existe algún número de controles a implementar?

R/ No hay un numero establecido o recomendado de controles a implementar.

Se deben implementar todos aquellos que beneficien a la seguridad de la
informacion, pero no pretender abarcar demasiados, puesto que lastrarian el
desarrollo del SGSI y no le permitirian una implementacion adecuada
 7. ¿Cuál es el objetivo de un procedimiento?

R/ El objetivo de un procedimiento es describir la manera en la que se va a

realizar una tarea.

8. ¿Quién elabora el informe de revisión?

R/ El informe de revision por la direccion habitualmente es elaborado por el

responsable de seguridad, que siguiendo los parametros establecidos por la
norma, realiza un resumen de lo que se ha hecho y de como se ha desarrollado
la implementación o en su caso la operativa del SGSI, con las incidencias, los
problemas, las soluciones y los beneficios recabados.
9. ¿Por qué la auditoría interna, es una herramienta potente?

R/ La auditoria es una potente herramienta que permite detectar errores y

puntos
debiles en el SGSI. Consiste en evaluar hasta que punto el SGSI se ajusta
a la norma y el grado de cumplimiento de la organizacion de sus propias
normas.

10.Enumere los principales registros

R/ Algunos de los principales registros son:

• Actas del comite de seguridad.
• Informe de la revision por la direccion.
• Informes de auditorias.
• Registros de formacion.
• Perfiles profesionales.
• Acciones correctivas y preventivas.
• Registros de copias de seguridad.
• Registros de mantenimientos.
• Registros de usuarios.