8-7-2021

Auditoria Resumen Parcial

Sección 1011
ELVIN RAMON
 Tabla de contenido

Auditoria ............................................................. 2
Capitulo 1 y 2 ..................................................... 4
Auditoria Ágil ...................................................... 6
COBIT 2019 ......................................................... 9
ISO 27002 ......................................................... 12

1
 Auditoria
¿Qué es Auditoria?

Auditoría es la revisión de cuentas de una empresa o entidad con el objetivo de

investigar se están de acuerdo con las disposiciones establecidas previamente y,
de esta manera reparar si fueron implementadas con eficacia. El término auditoria
es de origen latín del verbo “audire” que significa “oír”, esto se debe a la función de
los primeros auditores consistía en escuchar y juzgar la verdad o falsedad de los
hechos que le era sometido.

Las clasificaciones de la auditoria:

Por la Procedencia del Auditor, la cual engloba los siguientes tipos:

Auditoría Interna: Se refiere a que un colaborador, trabajador realiza la auditoria

a la entidad, esta función es para controlar y prevenir.

Auditoría externa: Como objetivo fundamental es examinar y evaluar una

realidad de una entidad, del cual es examinado por personal que no tiene ningún
vínculo laboral con la entidad a examinar.

. Por su Área de Aplicación, la cual abarca los siguientes tipos:

• Auditoría Financiera.

• Auditoría Administrativa

• Auditoría Operacional.

• Auditoría Integral.

Auditoría Gubernamental.

• Auditoría Médica.

• Auditoría Fiscal.

• Auditoría Laboral.

• Auditoría Ambiental.

• Auditoria a la Gestión Informática.

• Auditoria de sistemas de Redes.

• Auditoría sobre Seguridad de los Sistemas de cómputo.

• Entre muchas otras más.

2
¿Qué es una auditoría informática? la auditoría se encarga de recoger, agrupar
y evaluar evidencias para determinar si un sistema informático salvaguarda
activos, mantiene la integridad de los datos, a través del uso eficaz de los fines de
la organización y eficiencia de los recursos. Por lo tanto, el objetivo principal de la
auditoría informática es proteger los activos y la integridad de datos.

Auditoría ambiental: La auditoría ambiental consiste en evaluar normas de una

empresa, el nivel de interacción con el medio ambiente y, la posición
medioambiental de una empresa. La auditoría ambiental evalúa los procesos de
una empresa en cuanto a contaminación y riesgo ambiental.

¿Qué es una auditoría de cumplimiento? La Auditoría de Cumplimiento es la

confirmación o escrutinio de las operaciones financieras, administrativas,
económicas y de otra índole de una empresa, para establecer que se han realizado
conforme a las normas legales, reglamentarias, estatutarias y de procedimientos
aplicables.

¿Qué es una auditoría de seguridad? La auditoría de seguridad informática es la

herramienta principal para poder conocer el estado de seguridad en que se
encuentra una empresa en relación con sus sistemas informáticos, de
comunicación y acceso a internet. Estas auditorías permiten mejorar los sistemas e
incrementar la ciberseguridad, siendo fundamentales para poder garantizar el
funcionamiento del negocio y proteger la integridad de la información que
manejan.

¿Qué es una auditoría de calidad? El propósito de una auditoría de calidad es

evaluar o examinar uno o más productos y servicios, el proceso utilizado para
producirlos o el sistema de apoyo al producto que se va a producir. Una auditoría
de calidad también se utiliza para determinar si las actividades se están realizando
de conformidad con la ley que las rige, como lo son las leyes directivas,
corporativas, reglamentos federales y estatales, etc.

¿Qué es ISACA? una asociación internacional que apoya y patrocina el desarrollo

de metodologías y certificaciones para la realización de actividades de auditoría y
control en sistemas de información.

Que es ISO? ISO son las siglas en inglés International Organization for
Standardization. Se trata de la Organización Internacional de Normalización o
Estandarización, y se dedica a la creación de normas o estándares para asegurar la
calidad, seguridad y eficiencia de productos y servicios. Son las llamadas Normas
ISO. Es el mayor desarrollador mundial de estándares voluntarios internacionales.
Sus normas Internacionales dan especificaciones de como realizar productos,
servicios. Ayuda a que la industria sea más eficiente y eficaz. Desarrollado a través
de un consenso global, que ayudan a eliminar las barreras al comercio
internacional.

3
 Capitulo 1 y 2

LOS OBJETIVOS DE LA AUDITORIA INFORMATICA

El objetivo es comprobar la fiabilidad de la herramienta informática y la utilización

que se hace de la misma.

Por lo general, en la auditoría de un entorno informático se distinguen cuatro

componentes:

— El examen de la organización general del servicio.

— El examen de los procedimientos relativos al desarrollo y al mantenimiento de

las aplicaciones.

— El examen de los procedimientos relativos a la utilización de las cadenas de

tratamiento.

— El examen de las funciones técnicas.

EL ESTUDIO DE LA EFICACIA Y DE LAS ACTUACIONES DE LA ACTIVIDAD

INFORMÁTICA

La auditoría de la eficacia se interesa más bien por aquellos aspectos no cubiertos

por la auditoría de seguridad. En especial, se estudiarán a fondo las prestaciones y
la dimensión de los equipos físicos.

La auditoría de eficacia en la materia comprobará que no se hayan implantado

configuraciones desproporcionadas sólo por amor al arte.

Los objetivos de la auditoria La finalidad primordial, claro está, es pronunciarse

sobre la calidad de una aplicación dada, por ejemplo: gestión de existencias,
gestión de producción, contabilidad general, auxiliar y analítica, compras, gestión
comercial, etcétera.

Búsqueda defraudes o búsqueda de errores los riesgos de pérdidas

relacionadas con los errores de realización o de utilización del software son
infinitamente más importantes que los riesgos de pérdidas relacionadas con las
operaciones dolosas o fraudulentas. Es, por lo tanto, la búsqueda de errores lo
que será generalmente privilegiada por el auditor en su enfoque.

Control de calidad de los métodos de desarrollo del software o control de

calidad de los procedimientos de utilización

La calidad de los procedimientos de concepción y de realización de las aplicaciones

constituye un supuesto de fiabilidad y de respeto de las especificaciones
funcionales. Sin embargo, pueden aparecer anomalías graves en los ficheros
cuando un programa, aunque sea perfecto, no sea utilizado de manera

4
satisfactoria. De esta forma, los errores de utilización, como la doble ejecución de
un proceso en tiempo diferido o, por el contrario, su no ejecución, pueden alterar
los datos contenidos en los ficheros.

• Control de la fiabilidad del software y control de su perennidad Un software

puede revelarse fiable por la calidad de su concepción, pero no perenne debido a
malos procedimientos de utilización. De igual modo, un programa fiable en un
momento dado, pero mal documentado, verá su esperanza de vida notablemente
reducida.

Los métodos de auditoría de una aplicación informatizada

a) Los juegos de prueba El juego de prueba consiste en crear un entorno de

test, que incluya una copia de los programas en uso y de los ficheros
específicos. Entonces, es posible controlar en este entorno el
funcionamiento de los programas de una manera profunda, dentro del
mínimo de casos de test o comprobación que han sido suficientemente
preparados.
b) El examen del control del entorno informático para esta aplicación El
interés principal de este enfoque, además de que puede ser llevado a cabo
en el marco de un presupuesto limitado, radica en que permite extraer
presunciones acerca de la calidad de los programas.
c) Examen del control interno de la función tratada.
d) La utilización de los programas de auditoría Los lenguajes de
programación, particularmente adaptados al desarrollo rápido de
peticiones de análisis de ficheros, han sido a veces bautizados de forma
abusiva como software de auditoría.

Los principales grupos de aplicaciones

Exceptuadas deliberadamente las aplicaciones de tipo científico o industrial

(control de procesos, etc.) debido a su carácter, estudiaremos de una manera más
detallada, en la tercera parte de la obra, las modalidades de control de las
principales aplicaciones de gestión informatizada de la empresa. Éstas son:

— Contabilidad general, analítica y auxiliar.

— Gestión de existencias.

— Gestión comercial. — Gestión de compras.

— Gestión de inmovilizado.

— Remuneración y gestión del personal.

5
 Auditoria Ágil
¿Qué es auditoría ágil El concepto de metodología ágil surge de la gestión de
proyectos, en particular, de desarrollo de aplicativos y software? Se basa en la
posibilidad de adaptar el trabajo a las condiciones del proyecto, por medio de
ciclos cortos, que permiten tener flexibilidad y rapidez en las respuestas, de
manera que los ajustes se efectúen en función de las circunstancias específicas del
entorno.

El Manifiesto Ágil surge en un entorno de transformación digital. Pero ¿Qué se

entiende por transformación digital? Es un proceso en el que las organizaciones o
empresas replantean sus métodos de trabajo y estrategias, con el propósito de
obtener beneficios originados en la digitalización de procesos y a la
implementación de nuevas tecnologías. Esto implica un cambio cultural en los
paradigmas de gestión y la creación de valor para el cliente.

Valores del Manifiesto Ágil

• Individuos e interacciones sobre procesos y herramientas

• Software funcionando sobre documentación extensiva

• Colaboración con el cliente sobre negociación contractual

• Respuesta ante el cambio sobre seguir un plan

¿Qué se entiende por auditoría interna ágil? Auditoría interna ágil es un

enfoque, estrategia o mentalidad que busca centrarse en las necesidades de los
clientes y terceros interesados, acelerar los ciclos del trabajo de auditoría, generar
información oportuna y útil, ser eficiente, y generar la documentación necesaria y
relevante.

Auditoria Agil vs Auditoria tradicional

6
Cuarta revolución industrial Es un concepto que tiene su origen en el Foro
Económico Mundial del año 2016. Esta Revolución se caracteriza por las
tecnologías digitales, físicas y biológicas, la automatización, el internet de las cosas,
datos en la nube, entre otras.

Transformación digital Esta expresión, de uso corriente hoy día, trae asociadas
otras palabras, tales como agilidad, digitalización, adaptabilidad e innovación.
Puede decirse que es el cambio asociado con la aplicación de tecnologías digitales
en los diferentes aspectos de la sociedad humana. Habitualmente se le considera
como la tercera etapa en la adopción de las tecnologías digitales (Primero, la
competencia digital, luego el uso digital y finalmente la transformación digital).

Digitalización En el ámbito empresarial, la digitalización es entendida como el

mejoramiento o evolución de las actividades de gestión, comunicación,
comercialización y, en general, de los diferentes procesos, haciendo un buen
aprovechamiento de las tecnologías digitales. No es simplemente la adquisición e
implementación de herramientas tecnológicas con el propósito de optimizar
procesos y obtener resultados de manera más eficiente. Es el empleo de la
tecnología en reorientar la cultura empresarial y el rediseño del modelo de
negocios.

Gestión de proyectos La gestión de proyectos es una disciplina que estudia la

gestión (el planeamiento, la organización, la motivación y el control) de los
recursos con el propósito de alcanzar uno o varios objetivos. Un proyecto es un
conjunto de esfuerzos o emprendimiento temporal orientado a producir un
producto, servicio o resultado específico, destinado a ocasionar un cambio o
agregar valor. El producto es medible, limitado en recursos y con un lapso
definido.

Innovación En el entorno de negocios, se entiende por innovación un cambio

basado en el conocimiento y que aporta valor. Es un proceso que permite la
transformación de una idea en producto o servicio e involucra a toda una
organización.

5. Herramientas y metodologías Algunas metodologías ágiles, que inicialmente

fueron orientadas al desarrollo de software pero que se han adaptado a la
auditoría, son:

Scrum: Es un marco de trabajo concebido inicialmente para el desarrollo ágil de

aplicativos y programas (software).

Kanban: Es un sistema que controla el flujo de recursos en procesos de

producción mediante el uso de tarjetas, las cuales se emplean para indicar
abastecimiento de material o producción de piezas.

Métodos híbridos: Son aquellos que corresponden a una mezcla de prácticas y

elementos de diferentes metodologías.

7
SAFe (Scale Agile Framework): Es un marco de trabajo o metodología cuyo
objetivo es ayudar a implementar la agilidad no solo a nivel de la organización,
sino también a nivel de equipo.

Surge entonces la pregunta: ¿se pueden aplicar los principios ágiles a auditoría
interna? La respuesta es sí:

• Los principios básicos de Agile se pueden aplicar a otros enfoques / metodologías

de gestión de proyectos.

• No hay conflictos inherentes con los estándares del IIA.

• Necesita ser implementado de manera consistente con las metas y objetivos de

la Función Auditoría Interna.

3. Scrum De acuerdo con “La guía definitiva de scrum: las reglas del juego”, de
noviembre de 2017, desarrollada por los creadores de Scrum: Ken Schwaber y Jeff
Sutherland:

“Scrum es un marco de trabajo compuesto de procesos que se ha utilizado para

gestionar el trabajo de productos complejos desde principios de los años 90, el
cual muestra la eficacia relativa de las técnicas de gestión de producto y de trabajo
de modo que podamos continuamente mejorar el producto, el equipo y el entorno
de trabajo.”

El marco de trabajo está conformado por: equipos scrum y sus roles, eventos y
artefactos. Cada componente dentro del marco de trabajo sirve a un propósito
específico y es esencial para el éxito de Scrum y para su uso.

a) Equipo El Equipo Scrum está formado por el Propietario del Producto (Product
Owner), el Equipo de Desarrollo (Development Team) y el Scrum Master (Basado
en La guía de Srum. Las reglas del juego.

b) Eventos En Scrum existen diferentes eventos o reuniones predefinidos con el

fin de crear regularidad y minimizar la necesidad de reuniones no definidas.

c) Artefactos Se entiende por artefactos los elementos físicos que se producen

como resultado de la aplicación de Scrum. De acuerdo con Deloitte, los principales
artefactos son: la lista de producto (Product Backlog), la lista de pendientes del
sprint (Sprint Backlog) y el incremento.

. Kanban a) Definición: Kanban es un término de origen japonés, que podría

traducirse como tablero visual o sistema de tarjetas (kan, significa "visual," y ban,
significa "tarjeta" o "tablero").

Beneficios del uso de Kanban

Algunos de los beneficios de este método de trabajo son los siguientes:

• Reducción de los niveles de inventario

8
• Reducción del trabajo en proceso (Work In Process - WiP).

• Reducción de tiempos caídos o muertos

• Provee información rápida y precisa

• Evita sobreproducción

• Minimiza desperdicios

• Flexibilidad en la asignación de tiempos para la producción

• Fomento del trabajo en equipo, círculos de calidad y autonomía en la gestión del

trabajo (decisión del trabajador de detener la línea).

COBIT 2019
Modelo COBIT busca un cubrimiento total de los elementos que comprenden el
Gobierno Empresarial de las Tecnologías de Información (GETI), teniendo en
cuenta que este es parte fundamental del Gobierno Corporativo. En su última
actualización, COBIT 2019, ayuda a las organizaciones a crear un valor óptimo a
partir de la TI, debido a que mantiene un equilibrio entre la realización de
beneficios, la optimización de los niveles de riesgo y el uso de los recursos.
Además, COBIT 2019 toma todas las fortalezas de COBIT 5, e incorpora los nuevos
conocimientos de la ciencia para aplicarlos en la práctica.

Gobierno Es responsabilidad de la Junta Directiva y evalúa las necesidades de las

partes interesadas, y las condiciones y opciones para determinar los objetivos
corporativos.

Administración Es responsabilidad de la Gerencia, en cabeza del Director General

Ejecutivo - CEO, y es el área que debe planificar, construir, ejecutar y monitorear
las actividades y procesos, de acuerdo con las directivas fijadas por el gobierno.

Principios para un Sistema de Gobierno

1. Proporcionar valor a las partes interesadas

2. Enfoque holístico

3. Sistema de gobierno dinámico

4. Separar el Gobierno de la Administración

5. Adaptar a las necesidades de la empresa

6. Sistema de gobierno íntegro.

• Modelo Central de COBIT 2019 –

Objetivos de Gobierno y Administración de TI Para que la Información y

Tecnología contribuyan a los objetivos de la empresa, es necesario alcanzar los

9
Objetivos de Gobierno y Administración. Estos objetivos están relacionados
directamente con un proceso y una serie de componentes que contribuyen a logro
de dicho objetivo. En este sentido, un objetivo de Gobierno está relacionado con
un proceso de Gobierno, y un objetivo de Administración está relacionado con un
proceso de Administración.

• Áreas Prioritarias Hacen referencia a los temas de gobierno, dominio o

problemas que pueden ser abordados por los objetivos de gobierno y
Administración, debido a que son temas actuales y relevantes que requieren unas
directrices específicas dentro de COBIT 2019.

Algunas áreas prioritarias que abarca COBIT 2019 son:

✓ Ciberseguridad

✓ Transformación digital

✓ Computación en la nube

✓ Privacidad

✓ Pequeñas y medianas empresas

✓ DevOps – Desarrollo y operaciones

EDM01: Asegurar el establecimiento y mantenimiento del Marco de Gobierno de TI

EDM02: Asegurar la obtención de beneficios

EDM03: Asegurar la optimización del riesgo

EDM04: Asegurar la optimización de los recursos

EDM05: Asegurar el compromiso de las partes interesadas

APO01: Administrar el Marco de Administración de TI

APO02: Administrar la estrategia APO03: Administrar la Arquitectura Empresarial

APO04: Administrar la innovación APO05: Administrar portafolio

APO06: Administrar el presupuesto y los costos

APO07: Administrar los Recursos Humanos APO08: Administrar las relaciones

APO09: Administrar los acuerdos de servicios

APO010: Administrar los proveedores

APO011: Administrar la calidad

APO012: Administrar el riesgo APO013: Administrar la seguridad

APO014: Administrar los datos

10
• Modelo de gestión del desempeño – CPM El Modelo de Gestión del Desempeño
de COBIT 2019 (CPM, siglas en inglés) retoma el Modelo de Capacidad de Procesos
– PAM de COBIT 5, y amplia los conceptos del Modelo de Madurez de Capacidad –
CMMI1 . Algunos cambios significativos están en que se toma la Evaluación
ISO/IEC33000, que permite proporcionar un enfoque estructurado para la
evaluación de procesos, permitiendo a las organizaciones lograr sus objetivos.

• Gestión de desempeño de los procesos La gestión de desempeño de los

procesos se lleva a cabo mediante el esquema de capacidad de procesos basado
en CMMI. Los procesos dentro de cada objetivo de gobierno o administración de TI
pueden tener distintos niveles de capacidad, que van de 0 a 5, estos niveles de
capacidad se van alcanzando a medida que el proceso cumple con las condiciones
definidas, estableciendo así, una escala de mejoramiento continuo.

• Calificación o evaluación de las actividades de los procesos La evaluación en

cada nivel del Modelo se realiza a partir de una escala de calificación o medición
que permite ubicar el nivel.

• Gestión de Desempeño de los Componentes El Modelo de Gestión de

Desempeño nos permite evaluar los componentes del Sistema de Gobierno y
Administración de TI y determinar sus niveles de capacidad. Para esta evaluación
se tienen en cuenta 4 aspectos relevantes que se retoman de COBIT 5; estos son
las partes interesadas, las metas, ciclo de vida y buenas prácticas.

• Factores de diseño Hacen referencia a elementos que influyen en el diseño del

Sistema de Gobierno de TI de una empresa. Como veíamos en COBIT 5, el primer
paso que debe realizar cada empresa es considerar su contexto y características,
para luego diseñar su propio plan de implementación de acuerdo con factores
específicos internos y externos. Estos factores en COBIT 2019 los denominamos
Factores de Diseño1 .

• Impacto de los factores de diseño Los factores de diseño tienen diferente

impacto sobre el diseño del sistema de gobierno de TI en una empresa.

Existen 3 tipos de impacto que se puede presentar:

Prioridad del objetivo de gestión y niveles de capacidad de gestión

Variaciones de componentes

Áreas prioritarias específicas

11
 ISO 27002
Políticas: Un documento denominado "política" es aquel que expresa una
intención e instrucción global en la manera que formalmente ha sido expresada
por la Dirección de la organización.

Riesgos asociados: Sin políticas indicadas desde la dirección los usuarios

seguramente no tendrán qué se puede hacer o cómo hacerlo y a quién dirigirse en
caso de duda. Una falta de establecimiento e implantación de políticas permite la
materialización de potenciales amenazas, entre otras posibles, como:

-Daños físicos

o Pérdida de servicios esenciales

o Afectaciones por radiación

o Compromiso de información

o Fallos técnicos

Controles de riesgo: 5.1.1 Políticas para la seguridad de la información: Se

debería definir un conjunto de políticas para la seguridad de la información,
aprobado por la dirección, publicado y comunicado a los empleados así como a
todas las partes externas relevantes.

5.1.2 Revisión de las políticas para la seguridad de la información: Las políticas

para la seguridad de la información se deberían planificar y revisar con regularidad
o si ocurren cambios significativos para garantizar su idoneidad, adecuación y
efectividad.

Organización: El objetivo del presente dominio es establecer la administración de

la seguridad de la información, como parte fundamental de los objetivos y
actividades de la organización.

Riesgos asociados: Además de la multiplicación innecesaria de recursos y

responsabibiliades, la falta de coordinación típìcamente produce conflictos
internos, políticas para la seguridads contrapuestas y/o incompatibles entre sí
(p.ej. políticas de cumplimiento legal, de protección de datos, ..., con las de
seguridad de la información).

Controles de riesgos: 6.1.1 Asignación de responsabilidades para la SI: Se

deberían definir y asignar claramente todas las responsabilidades para la
seguridad de la información.

6.1.2 Segregación de tareas: Se deberían segregar tareas y las áreas de

responsabilidad ante posibles conflictos de interés con el fin de reducir las
oportunidades de una modificación no autorizada o no intencionada, o el de un
mal uso de los activos de la organización.

12
6.1.3 Contacto con las autoridades: Se deberían mantener los contactos
apropiados con las autoridades pertinentes.

6.1.4 Contacto con grupos de interés especial: Se debería mantener el contacto

con grupos o foros de seguridad especializados y asociaciones profesionales.

Recursos humanos: El objetivo del presente dominio es la necesidad de educar e

informar al personal desde su ingreso y en forma continua, cualquiera sea su
situación de actividad, acerca de las medidas de seguridad que afectan al
desarrollo de sus funciones y de las expectativas depositadas en ellos en materia
de seguridad y asuntos de confidencialidad.

Riesgos asociados: La indefinición de las responsabilidades de la seguridad antes

de la contratación laboral mediante la descripción adecuada del trabajo y los
términos y condiciones del empleo provoca la indefinición de las tareas específicas
que cada empleado debe atender en su puesto de trabajo a diario.

Controles de riesgo: 7.2.1 Responsabilidades de gestión: La Dirección debería

requerir a empleados, contratistas y usuarios de terceras partes aplicar la
seguridad en concordancia con las políticas y los procedimientos.

7.2.2 Concienciación, educación y capacitación en SI: Todos los empleados de la

organización y donde sea relevante, contratistas y usuarios de terceros deberían
recibir entrenamiento apropiado del conocimiento y actualizaciones regulares en
políticas y procedimientos organizacionales como sean relevantes para la función
de su trabajo.

7.2.3 Proceso disciplinario: Debería existir un proceso formal disciplinario

comunicado a empleados que produzcan brechas en la seguridad.

Activos: El objetivo del presente dominio es que la organización tenga

conocimiento preciso sobre los activos que posee como parte importante de la
administración de riesgos.

Riesgos asociados: La asignación no explícita o suficientemente clara de los

activos desafecta al usuario habitual de la responsabilidad del debido cuidado de
los mismos, introduciendo la idea de que el activo es de la organización y, en
consecuencia, la observancia a los riesgos en los activos y la aplicación de los
controles oportunos también.

Controles de riesgo: 8.1.1 Inventario de activos: Todos los activos deberían

estar claramente identificados, confeccionando y manteniendo un inventario con
los más importantes.

8.1.2 Propiedad de los activos: Toda la información y activos del inventario

asociados a los recursos para el tratamiento de la información deberían
pertenecer a una parte designada de la Organización.

13
5 8.1.3 Uso aceptable de los activos: Se deberían identificar, documentar e
implantar regulaciones para el uso adecuado de la información y los activos
asociados a recursos de tratamiento de la información.

Accesos: El objetivo del presente dominio es controlar el acceso por medio de un

sistema de restricciones y excepciones a la información como base de todo
sistema de seguridad informática (redes y sistemas/plataformas de información).

Riesgos asociados: Una falta de control de los accesos a la información, los

recursos de tratamiento de la información y los procesos de negocio en base a las
necesidades de seguridad y de negocio de la organización permite la
materialización de potenciales amenazas, entre otras posibles.

Controles de riesgos: 9.1.1 Política de control de accesos: Se debería establecer,

documentar y revisar una política de control de accesos en base a las necesidades
de seguridad y de negocio de la Organización.

9.1.2 Control de acceso a las redes y servicios asociados: Se debería proveer a

los usuarios de los accesos a redes y los servicios de red para los que han sido
expresamente autorizados a utilizar.

9.2 Gestión de acceso de usuario: El objetivo es el de garantizar el acceso a los

usuarios autorizados e impedir los accesos no autorizados a los sistemas de
información y servicios.

Cifrado: El objetivo del presente dominio es el uso de sistemas y técnicas

criptográficas para la protección de la información en base al análisis de riesgo
efectuado, con el fin de asegurar una adecuada protección de su confidencialidad
e integridad.

Riesgos asociados: Una falta de protección o control en la gestión del cir permite
la materialización de potenciales amenazas, entre otras posibles, como:

7 - Pérdida de servicios esenciales (telecomunicaciones)

- Compromiso de información (intercepción, espionaje en remoto, robo de

equipos, recuperación desde medios reciclados o deshechados, divulgación,
manipulación de software, ...)

- Acciones no autorizadas (uso no autorizado de equipos, corrupción de datos,

comportamientos no autorizados, procesamiento ilegal de datos, ...)

Control de riesgos: 10.1.1 Política de uso de los controles criptográficos: Se

debería desarrollar e implementar una política que regule el uso de controles
criptográficos para la protección de la información.

10.1.2 Gestión de claves: Se debería desarrollar e implementar una política sobre

el uso, la protección y el ciclo de vida de las claves criptográficas a través de todo
su ciclo de vida.

14
Seguridad física y ambiental: El objetivo es minimizar los riesgos de daños e
interferencias a la información y a las operaciones de la organización.

Riesgos asociados: Una falta de control de los accesos físicos permite la

materialización de potenciales amenazas, entre otras posibles, como:

- Daños físicos (agua, fuego, polución, accidentes, destrucción de equipos, polvo,

corrosión, congelación,...)

- Eventos naturales (climáticos, sísmicos, volcánicos, meteorológicos,

inundaciones, ...) - Pérdida de servicios esenciales (energía eléctrica,
telecomunicaciones, aire acondicionado/agua, ...)

- Afectaciones por radiación (electromagnéticas, térmicas, ...) - Compromiso de

información (espionaje en proximidad, robo de equipos o documentos,
divulgación, recuperación desde medios reciclados o deshechados, manipulación
de hardware, manipulación de software, ...)

Controles de riesgos: 11.1.1 Perímetro de seguridad física: Se deberían definir y

utilizar perímetros de seguridad para la protección de las áreas que contienen
información y las instalaciones de procesamiento de información sensible o crítica.

11.1.2 Controles físicos de entrada: Las áreas seguras deberían estar protegidas
mediante controles de entrada adecuados para garantizar que solo el personal
autorizado dispone de permiso de acceso.

11.1.3 Seguridad de oficinas, despachos y recursos: Se debería diseñar y aplicar

un sistema de seguridad física a las oficinas, salas e instalaciones de la
organización.

.Proveedores: El objetivo es implementar y mantener el nivel apropiado de

seguridad de la información y la entrega de los servicios contratados en línea con
los acuerdos de entrega de servicios de terceros.

Riesgos asociados: La organización debería verificar la implementación de

acuerdos, el monitoreo de su cumplimiento y gestión de los cambios con el fin de
asegurar que los servicios que se ser prestan cumplen con todos los
requerimientos acordados con los terceros.

Controles del riesgo: 15.2.1 Supervisión y revisión de los servicios prestados

por terceros: Las organizaciones deberían monitorear, revisar y auditar la
presentación de servicios del proveedor regularmente.

15.2.2 Gestión de cambios en los servicios prestados por terceros: Se deberían

administrar los cambios a la provisión de servicios que realizan los proveedores
manteniendo y mejorando: las políticas de seguridad de la información, los
procedimientos y controles específicos. Se debería considerar la criticidad de la

15
información comercial, los sistemas y procesos involucrados en el proceso de
reevaluación de riesgos.

Incidentes: El objetivo es garantizar que los eventos de seguridad de la

información y las debilidades asociados a los sistemas de información sean
comunicados de forma tal que se apliquen las acciones correctivas en el tiempo
oportuno.

Riesgos asociados: Las revisiones post-incidente y los casos de estudio para

incidentes serios, tales como fraudes, ilustran los puntos débiles de control,
identifican oportunidades de mejora y conforman por sí mismos un mecanismo
eficaz de concienciación en seguridad.

Controles de riesgo: 16.1.1 Responsabilidades y procedimientos: Se deberían

establecer las responsabilidades y procedimientos de gestión para garantizar una
respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la
información.

16.1.2 Notificación de los eventos de seguridad de la información: Los eventos

de seguridad de la información se deberían informar lo antes posible utilizando los
canales de administración adecuados.

Continuidad del negocio: El objetivo es preservar la seguridad de la información

durante las fases de activación, de desarrollo de procesos, procedimientos y
planes para la continuidad de negocio y de vuelta a la normalidad.

Riesgos asociados: Se deberían determinar los requisitos de seguridad de la

información al planificar la continuidad de los procesos de negocio y la
recuperación ante desastres.

Controles de riesgos: 17.1.1 Planificación de la continuidad de la seguridad de

la información: La organización debería determinar los requisitos para la
seguridad de la información y su gestión durante situaciones adversas como
situaciones de crisis o de desastre.

17.1.2 Implantación de la continuidad de la seguridad de la información: La

organización debería establecer, documentar, implementar y mantener los
procesos, procedimientos y controles para garantizar el mantenimiento del nivel
necesario de seguridad de la información durante situaciones adversas.

17.1.3 Verificación, revisión y evaluación de la continuidad de la seguridad de

la información: La organización debería verificar regularmente los controles de
continuidad de seguridad de la información establecidos e implementados para
poder garantizar su validez y eficacia ante situaciones adversas.

17.2 Redundancias: El objetivo es asegurar la disponibilidad de los recursos de

tratamiento de la información,

16
13. Cumplimiento: El diseño, operación, uso y administración de los sistemas de
información están regulados por disposiciones legales y contractuales.

13.8.1 Cumplimiento de los requisitos legales y contractuales: El objetivo es

evitar incumplimientos de las obligaciones legales, estatutarias, reglamentarias o
contractuales relacionadas con la seguridad de la información y/o de cualquier
otro requisito de seguridad.

18.2 Revisiones de la seguridad de la información: El objetivo es garantizar que

la seguridad de la información se implemente y opere de acuerdo con las políticas
y los procedimientos organizacionales.

17