Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Auditoria Informática

    Cargado por

    jfeg1601
    4 vistas8 páginas
    Investigación de auditoria informática

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    Investigación de auditoria informática

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    4 vistas8 páginas

    Auditoria Informática

    Cargado por

    jfeg1601
    Investigación de auditoria informática

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 8

    FACULTAD DE INGENIERIA

    DEPARTAMENTO DE INGENIERÍA EN SISTEMAS

    INVESTIGACIÓN AUDITORÍA INFORMATICA, COBIT,


    ITIL, ISO27001

    ING. JAIME ANTONIO GALEAS DIAZ

    IS-602 SISTEMAS DE INFORMACIÓN

    JEYSON FERNANDO ESPINAL GUEVARA 20201001015

    TEGUCIGALPA M.D.C., 05 DE FEBRERO DE 2024


    Auditoria Informática
    Podemos entender como auditoria a “la revisión independiente de alguna o algunas actividades,
    funciones específicas, resultados u operaciones de una entidad administrativa realizada por un
    profesional de la auditoria, con el propósito de evaluar su correcta realización” (Muñoz Razo,
    2002, pág. 11). Existen diferentes tipos de auditoría para cada una de las áreas de una
    organización, así como las distintas organizaciones que existen. En este texto, nos enfocaremos
    en la auditoría informática, analizando cómo esta contribuye al respaldo de los sistemas de
    información presentes en una organización.

    Debido a la continua evolución en el entorno empresarial, caracterizado por la incorporación


    constante de tecnología y diversos sistemas de información para agilizar los procesos de
    negocio, así también, surge la necesidad de examinar minuciosamente cada uno de estos
    sistemas, sus componentes y la información asociada. En este contexto, cobra relevancia la
    auditoría informática, la cual podemos definir como:

    La revisión técnica, especializada y exhaustiva que se realiza a los sistemas


    computacionales, software e información utilizados en una empresa, sean individuales,
    compartidos y/o de redes, así como a sus instalaciones, telecomunicaciones, mobiliario,
    equipos periféricos y demás componentes. Dicha revisión se realiza de igual manera a
    la gestión informática, el aprovechamiento de sus re cursos, las medidas de seguridad
    y los bienes de consumo necesarios para el funcionamiento del centro de cómputo.
    (Muñoz Razo, 2002, pág. 19)

    El objetivo principal de la auditoría informática consiste en analizar el uso adecuado de los


    sistemas, asegurando la entrada correcta de los datos, el procesamiento preciso de la
    información y la emisión oportuna de los resultados en la organización. Esto implica evaluar
    el cumplimiento de funciones, actividades y operaciones por parte de los funcionarios,
    empleados y usuarios vinculados a los servicios que los sistemas informáticos ofrecen a la
    empresa.

    Este ámbito existe diferentes marcos de referencia y estándares para la gestión de tecnologías
    de la información y la seguridad de la información, cada uno cuenta con enfoques y objetivos
    distintos, pero también comparten ciertos elementos que les permite complementarse
    mutuamente para la gestión efectiva de los recursos tecnológicos y la seguridad de la
    información en una organización a continuación desglosamos cada uno de ellos.
    COBIT

    Es un framework reconocido internacionalmente que garantiza que las TI cumplan con los
    requisitos comerciales. “Este especifica qué objetivo y procesos deben utilizarse dentro de una
    empresa para garantizar un gobierno corporativo eficiente. El objetivo es alinear las áreas de
    TI y de negocio para garantizar una colaboración eficiente dentro de la empresa” (Editorial Esp,
    2021).

    Sus siglas provienen de “Control Objectives for Information and Related Technoloy” lo que en
    español podemos traducir a “Objetivos de control para tecnologías de la información y
    tecnologías relacionadas”, fue desarrollado a principios de la década de los noventa donde
    principalmente se utilizaba como herramienta para los auditores hasta que posteriormente se
    convirtió en una herramienta de gestión de TI de suma importancia en las organizaciones.

    Sus objetivos principales son:

    • Obtención de ventajas comerciales a través de la utilización efectiva e innovadora de


    las tecnologías de la información corporativas.
    • Proporcionar datos precisos para la toma de decisiones comerciales.
    • Logro de metas estratégicas con el respaldo de las tecnologías de la información,
    identificación y mitigación de riesgos asociados a las mismas.
    • Desarrollo de una utilización eficiente y confiable de la tecnología empresarial.
    • Garantizar el cumplimiento de requisitos legales y normativas.
    • Optimización de costos y recursos.

    Como consecuencia de implementar efectivamente el framework surge múltiples ventajes para


    la organización, entre ellas tenemos:

    • Orientación a objetivos: Permite a los empleados concentrarse en elementos


    facilitadores y procesos para alcanzar los objetivos de TI y la empresa.
    • Análisis de los riesgos: Introduciendo medidas y procesos que, a su vez, facilitan la
    identificación y la resolución de riesgos en el ámbito de TI.
    • Cumplimiento de los estándares de TI: Permite a las empresas asegurarse de que se
    siguen las directrices vigentes y actualizadas para una gestión de TI fiable.
    • Productividad y eficiencia: Facilita el uso de herramientas interdepartamentales que
    permiten mejorar los sistemas existentes.
    • Gobierno exitoso: COBIT 5 facilita la realización de evaluaciones y documentación de
    avances, contribuyendo así al crecimiento continuo de la empresa.

    ITIL

    Las iniciales provienen de "Information Technology Infrastructure Library", que en español se


    traduce como "Biblioteca de Infraestructura de Tecnologías de la Información". Puede ser
    definido como un conjunto de mejores prácticas que contribuyen a mejorar la entrega de
    servicios de TI. Esto posibilita que las organizaciones e individuos ofrezcan una gestión de
    servicios de TI eficiente, alineando dicha gestión con la visión, estrategia y desarrollo de la
    empresa. Funciona como un punto único de contacto entre el proveedor de servicios y los
    usuarios finales.

    ITIL es un marco de trabajo que aborda el ciclo de vida del servicio en cinco etapas. Estas
    etapas incluyen la Estrategia de Servicio, que establece metas empresariales y desarrolla
    estrategias; el Diseño del Servicio, que abarca la creación de procesos y funciones junto con el
    diseño de tecnología e infraestructura; la Transición del Servicio, centrada en la
    implementación de cambios organizacionales mientras mantiene la continuidad del servicio; la
    Operación del Servicio, asegurando la operación diaria sin interrupciones; y la Mejora
    Continua de los Servicios, destinada a la progresiva mejora de procesos a lo largo del ciclo de
    vida del servicio. ITIL es flexible, permitiendo a las empresas adoptar y adaptar procesos según
    sus necesidades y circunstancias.

    La implementación de ITIL en una empresa conlleva diversos beneficios, entre ellos:

    • Mejora en el Desempeño de los Empleados: Organiza y define claramente los procesos


    y actividades de los profesionales de ITIL, estableciendo roles y desempeño de manera
    más precisa. Esto ayuda al equipo a priorizar tareas, distinguir urgencias y concentrarse
    en objetivos específicos.
    • Reducción de Gastos: Las buenas prácticas de ITIL identifican fallos y errores de
    manera anticipada, minimizando pérdidas a corto, medio y largo plazo. Al prevenir la
    necesidad de medidas urgentes, se evitan costos asociados con la resolución apresurada
    de problemas.
    • Mayor Satisfacción para el Cliente: ITIL reduce riesgos y errores, disminuyendo
    incidentes de interrupciones del servicio. Al anticipar y controlar problemas, se
    cumplen las disposiciones del Acuerdo de Nivel de Servicio (SLA). Esto optimiza la
    experiencia del cliente al recibir un servicio más estable y seguro, fortaleciendo la
    confianza y contribuyendo a la fidelización.

    ISO27001

    La norma ISO 27001 es un estándar a nivel mundial que define los criterios para instaurar,
    mantener y mejorar de manera constante un Sistema de Gestión de la Seguridad de la
    Información (SGSI). Este sistema tiene como objetivo salvaguardar la confidencialidad,
    integridad y disponibilidad de la información. La norma establece un marco para la seguridad
    de la información, facilitando a las organizaciones la identificación y gestión efectiva de los
    riesgos relacionados con la seguridad de la información.

    Esta norma se aplica a cualquier organizaciones pequeñas, medianas, grandes corporaciones,


    instituciones gubernamentales y sin fines de lucro. Siendo capaz también de aplicarse a otros
    sectores como finanzas, salud y servicios públicos.

    El proceso de implementación de la norma ISO 27001 se compone de cuatro etapas:


    planificación, implementación, evaluación y mejora continua.

    Durante la fase de planificación, la organización identifica sus requisitos de seguridad de la


    información y elabora un plan para implementar el Sistema de Gestión de la Seguridad de la
    Información (SGSI).

    La fase de implementación implica la creación de políticas, procedimientos y controles


    destinados a resguardar la información.

    En la fase de evaluación, la organización analiza la eficacia de su SGSI y detecta áreas


    susceptibles de mejora.

    La etapa de mejora continua se centra en identificar y aplicar mejoras a los procesos y controles
    del SGSI.

    Una vez implementado y certificado, el SGSI debe ser revisado y actualizado regularmente
    para asegurar su constante alineación con los requisitos de seguridad de la información.

    La norma ISO/IEC 27002 proporciona un marco integral de gestión de seguridad de la


    información que incorpora diversos controles, según los requisitos de la norma ISO 27001,
    para salvaguardar la confidencialidad, integridad y disponibilidad de la información. Algunos
    de estos controles son:
    • Acceso controlado: Restringir el acceso a los recursos de información a individuos
    autorizados.
    • Clasificación de la información: Identificar y clasificar la información crítica para
    determinar su nivel de protección necesario.
    • Seguridad física: Implementar medidas de seguridad para resguardar los recursos
    físicos de información.
    • Control de dispositivos: Aplicar medidas para proteger y supervisar los dispositivos que
    acceden a la información.
    • Criptografía: Utilizar técnicas de cifrado para proteger la información tanto en reposo
    como en tránsito.
    • Copias de seguridad y recuperación: Planificar y realizar copias de seguridad
    regularmente para garantizar la disponibilidad en caso de desastre.
    • Monitoreo y auditoría: Realizar un monitoreo continuo y revisiones periódicas de
    sistemas y registros de seguridad para identificar vulnerabilidades y actividades
    sospechosas.

    La norma ISO/IEC 27002, con su versión de 2022 que consta de 93 controles organizados en
    cuatro grupos (Organizacionales, Personal, Físicos y Tecnológicos), ofrece un enfoque
    completo para la gestión de la seguridad de la información.

    Implementar la norma ISO/IEC 27001 a través de software puede brindar diversas ventajas,
    como:

    • Automatización: Debido a que el software tiene la capacidad de automatizar numerosos


    controles establecidos por la norma, permite ahorrar tiempo y disminuir la probabilidad
    de errores humanos.
    • Eficiencia: El uso de software puede optimizar el seguimiento y la adherencia a los
    protocolos, incrementando la eficiencia y la efectividad en la administración de la
    seguridad de la información.
    • Integración: El software tiene la capacidad de ser compatible con otros sistemas y
    aplicaciones, posibilitando una supervisión total y un control centralizado de la
    seguridad de la información.
    • Rapidez en la identificación de problemas: El software tiene la capacidad de llevar a
    cabo monitoreos y auditorías en tiempo real, lo que posibilita la identificación y
    resolución más rápida de problemas de seguridad.
    • Reportes y análisis: El software tiene la capacidad de producir informes y analizar los
    datos de seguridad, facilitando la toma de decisiones fundamentadas en la gestión de la
    seguridad de la información.
    Bibliografía
    Editorial Esp. (28 de Junio de 2021). freshworks. Obtenido de ¿Qué es COBIT? Definición, ventajas y
    funciones: https://www.freshworks.com/freshservice/es/que-es-cobit-definicion-ventajas-y-
    funciones-blog/

    freshservice. (S.F.). freshservice. Obtenido de ¿Qué es ITIL y para qué sirve?:


    https://www.freshworks.com/es/freshservice/itil/que-es-itil/

    GlobalSuite Solutions. (22 de Agosto de 2023). GlobalSuite Solutions. Obtenido de ¿Qué es la norma
    ISO 27001 y para qué sirve?: https://www.globalsuitesolutions.com/es/que-es-la-norma-iso-
    27001-y-para-que-
    sirve/#:~:text=La%20norma%20ISO%2027001%20es,de%20la%20Informaci%C3%B3n%20(SG
    SI).

    Muñoz Razo, C. (2002). Auditoría en sistemas computacionales. México: PERSON EDUCACIÓN.

    Silva, D. d. (10 de Agosto de 2021). zendesk. Obtenido de ¿Qué es ITIL y para qué sirve? Análisis
    detallado: https://www.zendesk.com.mx/blog/itil-que-es-para-que-sirve/

    También podría gustarte