UNIVERSIDAD NACIONAL DEL

ALTIPLANO
FACULTAD DE INGENIERIA MECANICA ELECTRICA, ELECTRONICA Y
SISTEMAS
ESCUELA PROFESIONAL DE INGENIERIA DE SISTEMAS

Curso:
AUDITORIA DE SISTEMAS

Docente:
TICONA YANQUI FIDEL ERNESTO

Alumna:
GOMEZ COAPAZA YESICA

Semestre:
VIII

Código:
190541

2023
 NORMA TECNICA PERUANA
----------------------------------------------------
NTP-ISO/IEC 17799

1. ¿Qué es la norma ISO 17799?

La norma NTP-ISO/IEC 17799 es una norma técnica peruana que ayuda a

implementar también medidas de seguridad en las organizaciones, mejorando el
rendimiento de la organización y aumenta su valor añadido ante las demás
organizaciones del mismo sector.

El objetivo de la norma NTP-ISO/IEC 17799 es dirigir y dar soporte a la gestión de

la seguridad de la información en concordancia con los requisitos de la
organización, la legislación y las regulaciones.

La gerencia tiene que establecer de forma clara las líneas que va a seguir la política
de seguridad y manifestar el apoyo y compromiso a la Seguridad de la
Información, publicando y manteniendo una política de seguridad en toda la
empresa.

2. Documento de política de Seguridad de la Información

La gerencia de la organización tiene que aprobar, publicar y comunicar a todos

los trabajadores de forma adecuada, el documento de política de Seguridad de
la Información que se establecido.

Se tiene que establecer un compromiso por parte de la gerencia y el enfoque de

la empresa para gestionar la Seguridad de la Información. El documento tiene
que ofrecer como mínimo la siguiente información:

 Definición de Seguridad de la Información y sus objetivos globales, el alcance de

la seguridad y su importancia como mecanismo que facilita que se comparta la
información.

 Establecer los objetivos de la gerencia como soporte de los objetivos y los

principios de la Seguridad de la Información.

 Generar un marco en el que poder colocar todos los objetivos de control y

mandos, en los que se debe incluir la estructura de evaluación de riesgo
y gestión del riesgo.

 Una pequeña explicación de las políticas, principios, normas y requisitos de

conformidad más importantes para la empresa, como puede ser; conformidad
con los requisitos legales, requisitos de formación en seguridad, gestión de la
 continuidad de negocio y consecuencias del incumplimiento de las políticas de
seguridad.

 Una definición de la responsabilidad general y específica en materia de gestión

de la Seguridad de la Información, incluyéndose la comunicación de las
incidencias en seguridad.

 Referencias a documentos que puedan sustentar la política de seguridad y los

procedimientos mucho más detallados para Sistema de Información específicos.

La política debe distribuirse por toda la organización, llegando hasta todos los
destinatarios de una manera apropiada, entendible y accesible.

Además la política de seguridad tiene que ser parte de un documento general de

la política empresarial. Se debe tener cuidado a la hora de distribuir dicha
política de seguridad fuera de la organización con el fin de no compartir la
información confidencial.

3. Revisión y evaluación

La política de seguridad tiene que ser revisada en intervalos planificados, y si se

generan cambios significativos se generan de una forma continua, adecuada y
efectiva.

La política debe tener un propietario que se haga responsable del desarrollo,

revisión y evaluación de la política de seguridad. La revisión debe incluir todas las
oportunidades de evaluación con las que mejorar la política de seguridad de la
información de la empresa y un acercamiento a la gestión de la seguridad de la
información generando una respuesta a los cambios del ambiente
organizacional, circunstancias del negocio, las condiciones legales o cambios en
el ambiente técnico.

La revisión de la política de Seguridad de la Información tiene que tener en

cuenta todos los resultados de las revisiones de la gestión. Tiene que existir
procedimientos diferentes de la gestión durante la revisión, incluyendo un
calendario o periodo de revisión.

Durante la revisión de la gestión se tiene que incluir información acerca de:

 Retroalimentación gracias a la información de terceros interesados.

 Obtener resultados de revisiones independientes.

 Estado sobre acciones preventivas y correctivas.

 Resultados de revisiones de gestión anteriores.

  Desarrollo del proceso y cumplimiento de la política de Seguridad de la
Información.

 Cambios que pueden afectar al alcance de la organización para gestionar

la seguridad de la información, en el que se incluyen los cambios en el ambiente
organizaciones, las circunstancias del negocio, disponibilidad de recursos,
condiciones contractuales y legales.

 Tendencias relacionadas con las diferentes amenazas y vulnerabilidades.

 Incidentes indicados según la Seguridad de la Información.

 Recomendaciones dadas por autoridades relevantes.

Las mejoras que se realizan de forma colateral son:

 Mejoras en el alcance de la empresa para gestionar la Seguridad de la

Información y sus procesos.

 Mejoras en los objetivos de control y los controles.

 Mejoras en la asignación de recursos y responsabilidades.

Objetivo de la norma ISO 17799

El objetivo de la norma ISO 17799 es proporcionar una base común para
desarrollar normas de seguridad dentro de las organizaciones, un método de gestión
eficaz de la seguridad y para establecer transacciones y relaciones de confianza entre las
empresas
Ventajas
 Aumento de la seguridad efectiva de los sistemas de información.
 Correcta planificación y gestión de la seguridad.
 Garantías de continuidad del negocio.
 Mejora continua a través del proceso de auditoría interna.
 Incremento de los niveles de confianza de los clientes y socios de negocios.
  Aumento del valor comercial y mejora de la imagen de la organización.
Conclusión
 ISO 17799 es una norma internacional que ofrece recomendaciones para realizar
la gestión de la seguridad de la información.
 La norma se estructura en once dominios de control que cubren por completo
todos los aspectos relativos a la seguridad de la información.
 Implantar ISO 17799 puede requerir de un trabajo de consultoría que adapte los
requerimientos de la norma a las necesidades de cada organización.
 La adopción de ISO 17799 presenta múltiples ventajas para la organización, entre
ellas el primer paso para una certificación ISO 27001, pero ni la adopción de ISO
17799, ni la certificación garantizan la inmunidad de la organización frente a
problemas de seguridad.
Auditoria Informática
La auditoría informática es un proceso llevado a cabo por profesionales especialmente
capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para
determinar si un sistema de información salvaguarda el activo empresarial, mantiene
la integridad de los datos, lleva a cabo eficazmente los fines de la organización, utiliza
eficientemente los recursos, y cumple con las leyes y regulaciones establecidas.
Permiten detectar de forma sistemática el uso de los recursos y los flujos de información
dentro de una organización y determinar qué información es crítica para el
cumplimiento de su misión y objetivos, identificando necesidades, duplicidades, costes,
valor y barreras, que obstaculizan flujos de información eficientes.

Los objetivos de la auditoría Informática son:

 El control de la función informática

 El análisis de la eficiencia de los Sistemas Informáticos
 La verificación del cumplimiento de la Normativa en este ámbito
 La revisión de la eficaz gestión de los recursos informáticos.

La auditoría informática sirve para mejorar ciertas características en la empresa como:

Desempeño Fiabilidad Eficacia Rentabilidad Seguridad Privacidad

Generalmente se puede desarrollar en alguna o combinación de las siguientes áreas

 Gobierno corporativo.
 Administración del Ciclo de vida de los sistemas. Servicios de Entrega y Soporte.
 Protección y Seguridad.
 Planes de continuidad y Recuperación de desastres.
 La necesidad de contar con lineamientos y herramientas estándar para el
ejercicio de la auditoría informática ha promovido la creación y desarrollo de
mejores prácticas como COBIT, COSO e ITIL.

Auditoría de los datos: Clasificación de los datos, estudio de las aplicaciones y análisis
de los flujogramas.
Auditoría de las bases de datos: Controles de acceso, de actualización, de integridad y
calidad de los datos.
Auditoría de la seguridad: Referidos a datos e información verificando disponibilidad,
integridad, confidencialidad, autenticación y no repudio.
Auditoría de la seguridad física: Referido a la ubicación de la organización, evitando
ubicaciones de riesgo, y en algunos casos no revelando la situación física de esta.
También está referida a las protecciones externas (arcos de seguridad, CCTV, vigilantes,
etc.) y protecciones del entorno.

Auditoría de la seguridad lógica: Comprende los métodos de autenticación de los

sistemas de información.
Auditoría de las comunicaciones. Se refiere a la auditoria de los procesos de
autenticación en los sistemas de comunicación.
Auditoría de la seguridad en producción: Frente a errores, accidentes y fraudes.