Trabajo Final Asic PDF

UNIVERSIDAD FRANCISCO GAVIDIA-CRO FACULTAD DE INGENIERIA Y FACULTAD DE CIENCIAS ECONMICAS CATEDRTICO: LIC.
MARIO ALFREDO GUEVARA AGUILAR PROCESO DE IMPLEMENTACIN Y CERTIFICACION DE LA NORMA ISO 27000 CTEDRA AUDITORIA DE SISTEMAS COMPUTACIONALES GRUPO: 01 INTEGRANTES:
DURAN TREJO, DAVID ALFREDO GUTIRREZ GONZLEZ, ERIKA GUADALUPE MENDOZA, TERESA FABIOLA VANEGAS, KEVIN ROLANDO DT200109 GG200105 MM200105 VC200109
ENTREGA: DICIEMBRE 4 DE 2013
UNIVERSIDAD FRANCISCO GAVIDIA-CRO
Contenido
Introduccin ....................................................................................................................................... VI Objetivos ......................................................................................................................................... - 1 Objetivo General ......................................................................................................................... - 1 Objetivos Especficos ................................................................................................................... - 1 Alcances Y Limitaciones................................................................................................................... - 2 Alcances....................................................................................................................................... - 2 Limitaciones ................................................................................................................................ - 2 Captulo I: Seguridad Informtica ................................................................................................... - 3 1.1 Introduccin Seguridad Informtica ..................................................................................... - 3 1.2 Seguridad Ambiental ............................................................................................................. - 5 1.2.1 Terremotos ..................................................................................................................... - 5 1.2.2 Inundaciones ................................................................................................................. - 6 1.2.3 Fuegos (incendios).......................................................................................................... - 6 1.2.4 Tormentas elctricas ...................................................................................................... - 7 1.2.5 Picos de tensin ............................................................................................................. - 7 1.2.6 Back Up........................................................................................................................... - 8 1.3 Seguridad Lgica ................................................................................................................... - 8 1.3.1 Controles de acceso al sistema ...................................................................................... - 9 1.3.2 Niveles de seguridad informtica ................................................................................. - 11 1.4 Seguridad Fsica ................................................................................................................... - 13 1.4.1 Acceso fsico al sistema ................................................................................................ - 14 1.5 Sistemas De Seguridad ........................................................................................................ - 15 1.5.1 Autentificacin del personal ........................................................................................ - 15 1.5.2 Para qu sirve identificarse? ...................................................................................... - 15 1.5.3 Por qu estaran interesados en destruir o robar datos de la entidad? .................... - 15 1.5.4 Quines estaran interesados en destruir o robar datos de la entidad?.................... - 16 Hackers: ............................................................................................................................. - 16 Crackers: ............................................................................................................................ - 16 Empleados de la misma entidad ....................................................................................... - 16 Compaas competidoras.................................................................................................. - 17 AUDITORIA DE SISTEMAS COMPUTACIONALES Pgina II
Por lo que se tiene............................................................................................................. - 17 Tarjetas magnticas .......................................................................................................... - 17 Tarjetas electrnicas ......................................................................................................... - 18 Por lo que se sabe ............................................................................................................. - 19 Contraseas ....................................................................................................................... - 19 Consejos a la hora de elegir contraseas .......................................................................... - 20 Como proteger una contrasea ........................................................................................ - 21 Por lo que es (Biometra)................................................................................................... - 22 Criptografa........................................................................................................................ - 24 Capitulo II: Auditoria Informtica.................................................................................................. - 25 2.1 Qu es una auditora? ....................................................................................................... - 25 2.2 Etapas de la auditora general ............................................................................................. - 25 2.2.1 Estudio General: ........................................................................................................... - 25 2.2.2 Las condiciones Econmicas y del Sector de la Empresa. ............................................ - 26 2.2.3 La estructura de dicha Organizacin ............................................................................ - 26 2.2.4 Su estructura Legal y Operaciones. .............................................................................. - 26 2.2.5 Ejecucin de la Auditora.............................................................................................. - 27 2.2.6 Informe Final ................................................................................................................ - 28 2.3 Cundo realizar una Auditora y por qu?......................................................................... - 28 2.3.1 Razones Externas.......................................................................................................... - 28 2.3.2 Razones internoexternas ............................................................................................ - 29 2.3.3 Auditor informtico ...................................................................................................... - 30 2.3.4 Auditoria informtica ................................................................................................... - 32 2.3.5 Pruebas en la auditora ................................................................................................ - 32 2.4 Cundo realizar la auditora? ............................................................................................ - 32 2.5 Objetivo de la auditora informtica ................................................................................... - 33 Capitulo III: Qu Es Una ISO/IEC? ................................................................................................ - 35 3.1 Introduccin ........................................................................................................................ - 35 3.2 IEC........................................................................................................................................ - 36 3.2.1 Historia ......................................................................................................................... - 36 3.2.2 Visin ............................................................................................................................ - 36 AUDITORIA DE SISTEMAS COMPUTACIONALES Pgina III
3.2.3 Misin ........................................................................................................................... - 36 3.2.4 Importancia del mercado ............................................................................................. - 37 3.2.5 El IEC como una herramienta estratgica. ................................................................... - 38 3.2.6 Alcance mundial ........................................................................................................... - 39 3.2.7 Innovacin y valor aadido .......................................................................................... - 40 3.2.8 Mejora y sostenimiento ............................................................................................... - 40 3.3 ISO ....................................................................................................................................... - 42 3.3.1 Historia ......................................................................................................................... - 42 3.3.2 Quin trabaja en ISO?................................................................................................. - 43 3.3.3 Plan estratgico 20052010 de la ISO .......................................................................... - 43 Prlogo .............................................................................................................................. - 43 Visin global de la ISO en 2010 ......................................................................................... - 44 Objetivos de la ISO para el 2010 ....................................................................................... - 45 3.4 ISO/IEC JTC1 ........................................................................................................................ - 47 3.4.2 Repercusiones de sus puntos dbiles .......................................................................... - 51 3.4.3 Posibles soluciones ....................................................................................................... - 51 3.4.4 Preparacin para la implementacin de las normativas en una entidad .................... - 52 Cultura madura ................................................................................................................. - 52 Cultura inmadura .............................................................................................................. - 53 Diferencias de gerencias (respecto a la cultura inmadura y la madura) ........................... - 54 Condiciones para la implementacin de una normativa llegue a buen puerto. ............... - 55 Problemas que surgen en la implantacin de la normativa.............................................. - 58 3.5 ISO/IEC 27004 ...................................................................................................................... - 60 3.5.1 Introduccin ................................................................................................................. - 60 3.5.2 El porqu de la ISO 27001? ........................................................................................ - 62 Las mediciones .................................................................................................................. - 64 Modelo de las mediciones ................................................................................................ - 65 Mtodo de las mediciones ................................................................................................ - 67 Seleccin y definicin de las mediciones. ......................................................................... - 68 Plan-Do-Check-Act (PDCA) ................................................................................................ - 71 3.5.3 Cuadro de mando ......................................................................................................... - 75 AUDITORIA DE SISTEMAS COMPUTACIONALES Pgina IV
Qu es un cuadro de mando? ......................................................................................... - 75 Cmo implantar un cuadro de mando correcto en una entidad? .................................. - 76 Capitulo IV: Proceso de Implementacin y Certificacin de la Norma ISO 27000 ........................ - 79 4.1 Implantacin del SGSI.......................................................................................................... - 79 Empresas que certifican en la ISO 27001. ..................................................................................... - 88 AENOR.. ............................................................................................................................. - 88 Informacin para certificar con AENOR. ............................................................................... - 89 Parte legal para certificacin con AENOR. ............................................................................ - 94 Conclusin ................................................................................................................................... - 101 Recomendaciones ....................................................................................................................... - 102 Bibliografa .................................................................................................................................. - 103 Anexos ......................................................................................................................................... - 104 Anexo 1: Reglamento Particular De Certificacin De Sistemas De Gestin De Seguridad De La Informacin RP-CSG-08.00 ...................................................................................................... - 104 Anexo 2: Solicitud de Certificacin.......................................................................................... - 107 Anexo 3: Preguntas y respuestas frecuentes sobre Certificacin de la ISO. ........................... - 115 1. Norma ISO 27001 ............................................................................................................ - 115 2. SGSI.................................................................................................................................. - 124 3. Certificaciones ................................................................................................................. - 128 Apndices .................................................................................................................................... - 132 Apndice A: ............................................................................................................................. - 132 Apndice B: ............................................................................................................................. - 133 Glosario ....................................................................................................................................... - 134 -
AUDITORIA DE SISTEMAS COMPUTACIONALES
Pgina V
Introduccin Cada da la tecnologa va tomando parte del diario vivir, debido a las alternativas diversas que ella nos ofrece. Dentro de las nuevas tecnologas es necesario contar con mtodos de legalidad y como instrumento para que los procesos o actividades que se desarrollen sean avalados no solo por la alta gerencia sino tambin por instituciones internacionales. Como bien se conocen la gran gama de ISO, que existen actualmente para cada actividad dentro de una empresa. Dentro de las cuales tomaremos; La serie de normas ISO/IEC 27000 las cuales son estndares de seguridad publicados por la Organizacin Internacional para la Estandarizacin (ISO) y la Comisin Electrotcnica Internacional (IEC). Esta serie contiene las mejores prcticas recomendadas en Seguridad de la informacin para desarrollar, implementar y mantener Especificaciones para los Sistemas de Gestin de la Seguridad de la Informacin (SGSI). La mayora de estas normas se encuentran en preparacin. Dentro del desarrollo de este contenido mencionaremos ms de lo que trata su implementacin y todas las caractersticas y patrones con que la empresa debe cumplir.
Pgina VI
Objetivos
Objetivo General Conocer el proceso de implementacin y certificacin de la ISO 27000 en las empresas, en el rea de seguridad informtica.
Objetivos Especficos Proporcionar a las empresas los lineamientos ms detallados de los procesos que se deben cumplir, para la implementacin de la norma ISO 27000. Conocer ms a fondo los beneficios y garantas que ofrece esta ISO. Detallar los aspectos que la empresa debe tener para optar por su implementacin.
Pgina - 1 -
Alcances Y Limitaciones
Alcances Dar a conocer un mejor entendimiento de los procesos por medio de las partes interesadas en su Implementacin. Proporcionar las informtica. ventajas de poseer un mecanismo de seguridad
Limitaciones Conocimiento prctico limitado en nuestro mbito. Incomprensin por constantes actualizaciones y aplicaciones nuevas dentro de la ISO 27000.
Pgina - 2 -
Captulo I: Seguridad Informtica
1.1 Introduccin Seguridad Informtica Cuando hablamos de seguridad se piensa que es una especie de clase donde el equipo informtico est libre de cualquier tipo de ataque que pueda ocasionar daos tanto a la infraestructura de una empresa o entidad que puede provocar en el peor de los casos la prdida de la informacin necesaria para la empresa. Se podra imaginar bancos en los cuales se pierda la informacin de cuentas corrientes, aseguradoras que pierden clientes, hospitales en los cuales se pierdan registros de pacientes, y todo ello por no tener un mnimo de seguridad? Si eso llegase a ocurrir el mundo sera un completo caos a nivel global.
Por tanto para que un sistema pueda estar seguro debe de tener las siguientes principales caractersticas las cuales son esenciales para tener seguridad ante posibles errores o ataques que puedan surgir:
Confidencialidad: Con esta caracterstica se consigue que la informacin que se est salvaguardando slo pueda ser legible por parte de los usuarios autorizados e impidiendo que sea legible por terceros.
No Repudio: Consiste en que si dicha informacin es modificada o simplemente ha sido legible por parte de los usuarios autorizados quedar registrado, obteniendo as que el usuario autorizado no podr negar dicho uso, debido a dicho registro
Integridad: La informacin que se est salvaguardando solo podr ser modificada por usuarios autorizados.
AUDITORIA DE SISTEMAS COMPUTACIONALES Pgina - 3 -
Disponibilidad: Debe de estar presente en cualquier momento para la utilizacin de los usuarios. Adems de estas caractersticas se puede decir que no existe la seguridad total, ya que es una utopa, simplemente lo que se puede hacer es reducir los posibles errores que tenga la seguridad, nadie ni nada garantiza la seguridad total, solo se puede saber si la seguridad es alta, media o baja, pero no garantiza que puedan existir huecos por los cuales pueda peligrar la informacin de la entidad.
La informacin es el centro de poder de la mayora de entidades, como por ejemplo los bancos, no existe el dinero fsico, disminuyen los registros en papel, o por ejemplo las fichas fsicas de los historiales de los pacientes de cualquier hospital estn siendo transferidas a bases de datos, toda la informacin est centralizada y tiene un grandsimo valor, al fin al cabo, es lo que aparece en las pantallas de los ordenadores, son datos, son informacin y sin ella no se tiene absolutamente nada. Por tanto quien controle dicha informacin podr controlar aquello que representa. Hay que destacar que dicha informacin que se tiene puede ser robada, modificada y usada en beneficio propio, son estas cosas por las cuales la informacin debe de estar asegurada de que nunca salga de la entidad y caiga en manos ajenas. Al fin al cabo la informacin es poder. Y por tanto es crtica para la entidad ya que a partir de ella se toman decisiones a corto, medio y largo plazo, debe de ser conocida solo por las personas autorizadas de la entidad y por ltimo es totalmente importante ya que es el activo de la empresa, es decir lo es todo. Adems la seguridad de la informacin se expande desde la identificacin de problemas, confidencialidad, integridad, comunicacin, anlisis de riesgos hasta la recuperacin de dichos riesgos.
Pgina - 4 -
La seguridad de la informacin tiene como objetivo la proteccin de los datos y de los sistemas de informacin de su uso y acceso, que va desde su interrupcin, destruccin no autorizada, corrupcin o su divulgacin.
1.2 Seguridad Ambiental Cuando se habla de seguridad ambiental se refiere a los procedimientos, procesos y controles con el fin de controlar los efectos de la naturaleza, los cuales pueden daar seriamente a los equipos informticos, personal de la entidad y lo ms importante los datos de la empresa. Estos efectos de la naturaleza pueden ser: terremotos, inundaciones, fuegos, tormentas elctricas, picos de tensin, etc.;
1.2.1 Terremotos Los terremotos o sismos son una serie de sacudidas del terreno debido al choque entre las placas tectnicas y tambin a la liberacin de energa en el curso de una reorganizacin brusca de los materiales de la corteza terrestre debido a superar el estado de equilibrio mecnico. Respecto a la hora de invertir en estas medidas, depende mucho de la situacin geogrfica de la entidad, por ejemplo, si se estuviera en un pas como Japn donde los terremotos estn a la orden del da sera totalmente necesaria y fundamental dicha inversin, pero si fuese como en el caso de Espaa, donde nunca se da ningn terremoto importante ya que sus posibilidades son mnimas, dichas inversiones sern menores. En este caso se recomienda no situar los equipos o sistemas informticos cerca de las ventanas o en superficies altas por miedo de sus posibles cadas, se recomienda el uso de fijaciones. Por supuesto tampoco se debe colocar objetos pesados encima de los equipos por miedo a provocar daos en dichos equipos. Tambin se recomienda el uso de plataformas de goma las cuales absorben parte de las vibraciones generadas por los terremotos, adems del uso de mesas anti
vibraciones ya que sin ellas podran daar los discos duros donde se guarda la informacin vital.
1.2.2 Inundaciones Las inundaciones consisten en la ocupacin del agua en zonas que estn libres de ella, esto es debido por el desbordamiento de ros, subida de mareas, o por avalanchas causadas por maremotos. Estos problemas son graves ya que son los que ms dao hacen a la entidad, ya que cualquier sistema elctrico en contacto con el agua, puede ser mortal para los empleados de la entidad y se perder toda la ltima informacin obtenida adems de la prdida del equipo electrnico ya que dejar de funcionar y no tendr reparacin alguna. Adems nunca habr que ponerse en contacto fsicamente con los equipos electrnicos ya que su contacto sera mortal para los empleados de la entidad. Se recomienda el uso de detectores de agua los cuales al dispararse la alarma corten automticamente la corriente elctrica para evitar males mayores. Para su detencin se recomienda avisar a las autoridades necesarias (bomberos, polica, etc.) con el fin de terminar con dicho problema, ya que tendrn que cortar la corriente elctrica, en caso de que el sistema de seguridad de la empresa no haya podido hacerlo. Nunca deber de hacerlo personal de la entidad.
1.2.3 Fuegos (incendios) El fuego consiste en una reaccin qumica de una oxidacin violenta de una materia combustible, provocando desprendimiento de llamas, vapor de agua, dixido de carbono y calor. Es un proceso exotrmico. Los fuegos son ocasionados por cortocircuitos, cigarros mal apagados, etc., y estos ocasionan gravsimos daos tanto materiales como personales.
Pgina - 6 -
Se recomienda el uso de alarmas, las cuales al detectar fuego o humo, se activan directamente los extintores que estn situados en el techo y avisan a las autoridades con el fin de evitar males mayores. Se recomienda el uso de alarmas, las cuales al detectar fuego o humo, se activan directamente los extintores que estn situados en el techo y avisan a las autoridades con el fin de evitar males mayores. Tambin es necesario el uso de extintores de mano que estn repartidos por toda la entidad. Adems al lado de estos extintores deben existir carteles anunciado su presencia e indicando su situacin.
1.2.4 Tormentas elctricas Las tormentas elctricas consisten en fenmenos atmosfricos los cuales pueden ocasionar graves daos fsicos a la entidad, estos daos pueden ser desde fuegos ocasionados por las tormentas hasta picos de tensin los cuales pueden
destrozar los equipos informticos con sus respectivos datos.
Se recomienda el uso de pararrayos, estos consisten en una varilla de metal, puesta en el tejado o en la parte ms elevada del edificio de la entidad, la cual tiene un cable de cobre que va a aparar a una plancha del mismo metal introducida a unos metros bajo tierra. En caso de que un rayo toque el pararrayos este de descargar al tocar tierra. Evitando posibles daos. Adems se recomienda que las copias de seguridad que se realicen estn siempre alejadas de las estructuras metlicas del edificio de la entidad.
1.2.5 Picos de tensin Los picos de tensin son otros problemas que puede tener cualquier entidad y consiste en una sobrecarga en la corriente elctrica, los cuales pueden provocar pequeos daos a nuestros equipos informticos.
Se recomienda el uso de SAIs, los cuales consisten como dicen sus siglas en un Sistema de Alimentacin Ininterrumpida, gracias a estos dispositivos en caso de que exista un pico de tensin mantendr al equipo en un estado a salvo de cualquier posible dao.
1.2.6 Back Up Un back Up consiste en una copia de seguridad en formato digital de la documentacin de los datos de la entidad, es un conjunto de archivos, los cuales son almacenados con el fin de protegerlos ante cualquier dao interior o exterior a la entidad. Estas copias de seguridad son tiles, ya que nos sirven para restaurar un equipo informtico despus de haber ocurrido un ataque, desastre para recuperar archivos que hayan sido borrados sin querer. 1.3 Seguridad Lgica
Consiste en que los procedimientos de seguridad sirven para saber quin, cmo y cundo un usuario accede a una parte de la informacin, por tanto sus procedimientos sirven para controlar dicho acceso lgico, y en caso de que no sea el usuario adecuado para la informacin, el sistema bloquear dicha informacin, para ello incluir barreras y controles que protejan el acceso de los datos a terceras personas que no tengan la autorizacin necesaria.
Para ello se realiza una serie de puntos clave para la seguridad lgica: En caso de problemas en la transmisin debe de haber un proceso de emergencia con el fin de que la informacin pueda llegar hasta el destinatario.
Comprobar que los empleados que usen dichos archivos y programas puedan estar trabajando sin necesidad de una supervisin y que a la vez no sean capaces de cambiar o modificar los archivos y programas que no les corresponden como empleados. La informacin recibida por el destinatario, tiene que ser la misma que la que fue enviada desde el origen. Limitar el acceso a los archivos y programas de la entidad. Sostener que los empleados que estn utilizando los archivos, programas y los datos estn siendo utilizados en el procedimiento correcto y no por otros. Toda la informacin transferida solo puede ser recibida por el destinario real, y no a terceros, ya que esto sera un grave problema en la entidad. Deben de existir diferentes caminos de transmisin entre diferentes puntos.
1.3.1 Controles de acceso al sistema Los controles de acceso son una herramienta totalmente necesaria y bsica para tener un mnimo de seguridad lgica en la entidad. Adems son de una gran ayuda ya que protegen al sistema respecto a modificaciones no consentidas, mantienen la integridad de la informacin, protegen las aplicaciones que se utilizan y protegen la informacin respecto a empleados que no tienen el acceso necesario para ello.
Pgina - 9 -
Cabe destacar que el (NIST)1 ha compilado los requisitos mnimos que debe de tener cualquier sistema de seguridad: Identificacin y autentificacin del personal. Los roles: Consiste en que el acceso a la informacin por parte del empleado se controla con diversos roles que pueda tener, para cada uno tendr una serie de privilegios o restricciones dependiendo de cul sea. Modalidad de acceso: Consiste en el modo de acceso que puede tener un empleado de la entidad respecto a unos determinados recursos, el usuario puede tener cualquiera de los siguientes modos o todos ellos dependiendo del grado de acceso que tenga: Lectura: en este caso solo podr leer y visionar el documento. Escritura: solo podr modificar dicho documento. Borrado: ser capaz de eliminar el documento. Ejecucin: permite el acceso al programa. Las transacciones: Los controles se pueden desarrollar a travs de dichas transacciones, un ejemplo de esto puede ser que para realizar una determinada transaccin se solicite una clave determinada. Limitando los servicios: Este control se centra en las posibles restricciones que pueden existir dependiendo de la aplicacin o datos utilizados, todo ello establecido por el administrador del sistema que pone dichas restricciones.
National Institute of Standards and Technology
Pgina - 10 -
Horario y Ubicacin: En este caso el empleado solo podr acceder a los recursos en determinadas horas del da y en determinados equipos informticos de la entidad. Control de Acceso Interno: Como su nombre indica consiste en un control que se realiza centrado para un posible ataque desde el interior de la entidad, consiste en uso de contraseas, listas de acceso, cifrado de los datos, etc. Control de Acceso Externo: Sirve para prevenir un ataque desde el exterior, para ello se utilizan cortafuegos (firewalls), dispositivos de control de puertos, etc. Administracin:
En
esta
parte
consiste
en
realizar
una
correcta
implementacin, pruebas, seguimientos y modificaciones sobre los accesos de los usuarios a los sistemas de la entidad.
1.3.2 Niveles de seguridad informtica Los niveles de seguridad utilizados mundialmente por todas las entidades consisten en la ISO 15408 en referencia a las normas de seguridad en los equipos informticos del Departamento de Defensa de los Estados Unidos.
Cada nivel tiene una serie de caractersticas las cuales describen un nivel de seguridad, estos van desde un nivel mnimo de seguridad hasta el mximo. Dichos niveles fueron la base para el desarrollo de los estndares internacionales ISO/IEC.
A continuacin se explican todos los niveles:
Pgina - 11 -
Nivel D: Este es el nivel mnimo en el cual solo tiene una divisin y est guardada para los sistemas que hayan sido evaluados y por supuesto no cumplen con ninguna especificacin de seguridad. En este caso no hay autentificacin con respecto a los usuarios y por tanto no hay proteccin referente al acceso de la informacin. Nivel C1: En este nivel se precisa de una identificacin por parte de los usuarios para permitir el acceso de informacin, de la cual no se obtena en el Nivel D. A partir de ahora se hace la distincin entre los usuarios del sistema y el administrador del sistema, quien tendr un control de acceso total al sistema. En referencia al nivel C1, podrn existir grupos de usuarios con iguales privilegios as como grupos de recursos, respecto de los cuales podr actuar el grupo de usuarios. Nivel C2: Este nivel sirve para solucionar las flaquezas que tiene el nivel C1. Consiste en restringir a los usuarios que ejecuten ciertos comandos o que tengan el acceso a ciertos archivos. Los empleados tienen autorizacin para poder hacer algunas tareas de administrador sin tener que ser administradores. Ayudan a mejorar las cuentas de las tareas centradas con la administracin de sistema. Nivel B1: El nivel B se divide en 3, este es el primero de ellos, en este caso es capaz de soportar seguridad multinivel, como la secreta y ultra secreta. Se consolida que el dueo del archivo no puede ser capaz de modificar los permisos de un objeto que est bajo el control de acceso obligatorio. El usuario que quiere acceder a un determinado objeto deber tener un permiso para hacerlo. Consiste en que cada usuario tendr unos objetos asociados.
Nivel B2: Consiste en que cada objeto de nivel superior se etiquete por ser padre de un objeto de nivel inferior. En esta parte del sistema, avisar y alertar a los usuarios si sus caractersticas de seguridad y acceso han sido modificadas. Nivel B3: En este nivel se necesita que la terminal del usuario debe conectarse al sistema a travs de una conexin segura. Adems aumenta a los dominios con la instalacin de hardware. Por ltimo el usuario tiene asignados los objetos y los lugares a los que puede acceder para conectarse. Nivel A: Es el nivel mximo, para poder llegar a este punto de seguridad, se deben de incluir todos los niveles anteriores. Por supuesto al ser el nivel ms alto tiene un proceso de diseo, control y verificacin mediante mtodos o procesos matemticos, para garantizar todos los procesos que realiza un usuario sobre el sistema de la entidad. Por ltimo debe de existir proteccin para que tanto el hardware como el software infiltraciones ante posibles movimientos del equipo. no tengan
1.4 Seguridad Fsica
Respecto a la seguridad fsica son procesos que existen y sirven para controlar el acceso fsico al equipamiento informtico. Para ello se usarn cmaras de video, puertas de acceso con tarjetas, etc. Por ejemplo, si visitamos las oficinas de cualquier edificio de una gran empresa se observara cmo tendrn desde la entrada principal del edificio un control para saber quin entra y quin sale, y todo ello automatizado y controlado.
Pgina - 13 -
1.4.1 Acceso fsico al sistema Por mucha seguridad que se tenga en el sistema a la hora de acceder a l, no sirve de nada si adems no se es capaz de tratar la seguridad del acceso fsico al sistema, por lo tanto cualquier extrao que entrase en la empresa podra abrir cualquier CPU de la entidad y llevarse fsicamente los discos duros con informacin importante. Se debe de garantizar la seguridad fsica ya que tambin puede ser un agujero de seguridad de acceso a datos, por lo tanto para poder prevenir casos de intrusin y robo se recomienda el uso de diferentes sistemas de prevencin, cada uno depende de la inversin que se quiere realizar para la seguridad. Estos son los siguientes:
Sistemas de prevencin
Inversin
Uso de hardware, desde analizadores Alta de retina, uso de videocmaras, uso de control de puertas, personal de seguridad en el edificio, etc. Uso de lectores de cdigo, con el fin Media de saber quin entra y quin sale en cada determinada sala de la entidad con el fin de tener un control sobre su acceso. Bloquear los tomas de red que no son Baja utilizadas as como los cables de red para evitar pinchazos por terceras personas, cerrar todas las puertas con llave al salir.
Pgina - 14 -
1.5 Sistemas De Seguridad
1.5.1 Autentificacin del personal Esto consiste en la verificacin del personal de la empresa, es decir en confirmar que el usuario que va a usar y manejar los datos es el usuario que se cree que es.
Para acceder a un sistema lo ms comn es utilizar una contrasea o incluso dos para controlar el rango de acceso, aun as existen otras tcnicas que hacen lo mismo, y estas se dividen en tres clases dependiendo el tipo de informacin que se necesita para la autenticacin con el fin de obtener el acceso a los datos. Por lo que se tiene: Es decir el uso de una tarjeta electrnica o magntica. Por lo que se sabe: Este es el mtodo ms clsico, el uso de contrasea. Por lo que se es: Biometra, es decir el uso de huellas digitales u otros sistemas.
1.5.2 Para qu sirve identificarse? La identificacin sirve para tener una barrera de seguridad mnima, con el fin de evitar posibles daos a la entidad, adems con la identificacin se puede entrar en el sistema con las caractersticas correspondientes como usuario.
1.5.3 Por qu estaran interesados en destruir o robar datos de la entidad? Se puede responder a esta pregunta en una sola frase, Quien Tiene La Informacin Que Controlar El Mundo, si se observa en el mundo alrededor se
comprobara que todo se almacena en bases de datos como por ejemplo, cuentas bancarias, historiales clnicos, datos financieros, fichas policiales, inversiones, Hacienda, etc.; hasta el punto de que por ejemplo un banco si quiere saber todo el dinero que tiene no le sirve de nada contar el dinero fsico que tenga en las cajas fuertes, sino el que se indica que tiene en su base de datos. Por lo tanto esa informacin, que es bastante golosa para terceras personas, tiene que estar a salvo de cualquier posible robo o destruccin de datos, estos son conocidos como delitos informticos.
1.5.4 Quines estaran interesados en destruir o robar datos de la entidad? Pueden ser desde, personas que no tienen ninguna relacin, pasando por empleados de la misma compaa o compaas competidoras. Personas sin relacin con la entidad, en este caso pueden ser de dos tipos: Hackers: Son personas que atacan a la compaa con el nico objetivo de encontrar brechas en el sistema de seguridad y obtener as solo el reconocimiento personal de haber encontrado esa brecha de seguridad en el sistema. Crackers: Son personas cuyo objetivo es encontrar esas brechas de seguridad con el fin de obtener los datos de la entidad ya sea para robarlos para su beneficio o destruirlos por puro placer y malicia, los cuales adems de utilizar sus habilidades de informtica para romper los sistemas de la entidad son capaces de colapsar los servidores, entrar a zonas restringidas de la entidad o compaa para luego infectarlas y apoderarse de ellas. Empleados de la misma entidad: En esta parte los mismos empleados pueden atacar a su misma empresa por varias razones, despidos, maltrato por parte de los jefes o compaeros, su nico objetivo ser corromper, modificar y destruir datos de la entidad por pura venganza. Tambin es uno de los ms peligrosos debido a que ellos tienen acceso a los datos y no se sospecha de ellos.
Pgina - 16 -
Compaas competidoras: Muchas empresas que compiten en el mismo mercado que una entidad pueden llegar a hacer cualquier cosa con tal de eliminarlos de su competencia, ya que los pueden ver como una seria amenaza para ellos, por ello a veces algunas empresas (no todas), de forma ocasional, pueden ser capaces de atacar, espiar o robar con tal de obtener una gran ventaja respecto a su competencia en el mercado, aunque para ello realice un acto delictivo. Se puede explicar con una frase En el amor y en la guerra todo vale, y al fin al cabo a la hora de entrar en el mercado de las grandes empresas es una guerra.
A continuacin se explican las tres clases que sirven para autenticacin:
Por lo que se tiene Un tipo de seguridad para la identificacin del usuario es mediante el control y comprobacin de un objeto que tiene la persona y que le identifica como tal usuario y poseedor de dicho objeto, este objeto puede ser una tarjeta magntica o una tarjeta electrnica. Para la identificacin de una persona a travs de un objeto se suele utilizar alguna de estas dos clases de tarjeta, aunque ltimamente empieza a estar en desuso la tarjeta magntica y est ganando adeptos la tarjeta electrnica,
Tarjetas magnticas Son una serie de tarjetas que almacenan datos a travs de una banda magntica con la cual se pueden grabar datos en ella. Consiste simplemente en una tarjeta de plstico a la cual se le aade una banda magntica en el proceso de su fabricacin. La banda magntica consiste en una banda oscura, la cual est formada por partculas ferros magnticos insertados en una matriz de resina y que son capaces
de almacenar informacin a travs de una codificacin determinada que es capaz de polarizar dichas partculas. Dicha banda magntica es leda o grabada a travs del contacto fsico introducindola a travs de una cabeza de escritura/lectura mediante la induccin magntica. Sus principales caractersticas son: De bajo costo para la entidad No son reutilizables, es decir si la tarjeta ha terminado de hacer su funcin no puede ser utilizada para otra diferente, a menos que vuelvan a ser grabada en ella nuevos datos. Pueden ser ledas y grabadas todas las veces que se desea. Aunque son capaces de almacenar informacin su capacidad es baja.
Tarjetas electrnicas Consisten en ser una tarjeta de plstico igualmente que las tarjetas magnticas con la diferencia de que se ha quitado la banda magntica y ha sido sustituida por un chip que consiste en un microprocesador. Estas tarjetas son la evolucin de las tarjetas magnticas, estas tarjetas electrnicas a las cuales al incorporar un microprocesador consiguen tener mayor capacidad de procesamiento que las magnticas adems de ser ms verstiles.
Las caractersticas de estas tarjetas se centran en lo siguiente: Son resistentes al uso continuado. Se pueden hacer varias aplicaciones con una misma tarjeta, cosa que no se poda hacer con las tarjetas magnticas. Los datos que contiene estn cifrados, adems del posible uso de un PIN. Tiene una gran capacidad de almacenamiento.
Pgina - 18 -
Pueden ser reprogramadas.
Por lo que se sabe
Contraseas Las contraseas sirven para verificar que el usuario que est accediendo al sistema es dicho usuario y no terceras personas, ya que entonces se est teniendo una grave brecha en la seguridad, para ello se realiza un proceso de verificacin de la identidad del usuario en el cual se comprueba que es quien dice ser. Aun as no existe una seguridad total, y por tanto se darn a conocer ms adelante consejos necesarios para reducir esa posible brecha en la seguridad.
Adems el uso de contraseas sera para la entidad un pequeo costo, ya que es lo ms barato y mnimo respecto a la seguridad. En este caso existe un pequeo problema con el usuario y consiste en que si el usuario tiene que recordar varias contraseas y ste no sea capaz de recordarlas pueda ocurrir alguna de estas dos cosas: Que apunte todas las contraseas en algn sitio, esto sera un grave error ya que entonces estara en jaque toda la seguridad de nuestro sistema, y por tanto estara en peligro nuestra informacin ya que si alguien encuentra el papel donde estn apuntadas las contraseas producir una brecha enorme en la seguridad. Que al final el usuario decida poner la misma contrasea para todos los accesos que necesita identificarse, en este caso, si alguien es capaz de averiguar su contrasea podra entrar en cualquiera del resto de los sistemas que quiera.
Para que no ocurran dichos problemas se recomienda mentalizar a los empleados respecto al uso de sus contraseas.
Consejos a la hora de elegir contraseas Para empezar se indicaran un par de consejos totalmente necesarios respecto a las claves que hay que elegir. Tienen que tener como mnimo 8 caracteres. Esto es debido a que si se hiciera un ataque intentando escribir todas las contraseas posibles se tardara un tiempo dependiendo de la longitud de la contrasea. No utilizar una contrasea de acceso a un sitio para usarla en otro. Esto es debido a que mucha gente utiliza la misma contrasea para multitud de accesos provocando un gran riesgo en el caso en que se descubra ya que estar en riesgo el acceso al resto de sitios. Nunca usar contraseas numricas que tengan relacin con el usuario, como puede ser, nmero de telfono, fecha de nacimiento o de alguna fecha significativa, nmero de matrcula del coche, o el nmero de la lotera que juega siempre, etc. Toda contrasea debe de ser alfanumrica, es decir nmeros con letras y adems intentar que algunas letras sean maysculas y otras minsculas, adems de posibles smbolos.
Pgina - 20 -
Nunca utilizar palabras con significado o de un nombre personal, ya que entonces nos pueden hacer un agujero en la seguridad con un ataque de diccionario.
Como proteger una contrasea La seguridad respecto a la hora de proteger una contrasea no solo recae en el usuario que la tiene, y muchas veces solo echan la culpa al usuario, sino que adems tambin el administrador tiene parte de culpa. Esto es debido a que si la contrasea del usuario cae en terceras manos no solo se compromete al usuario sino a todo el sistema, en el cual el administrador tiene que estar pendiente de un posible ataque.
A continuacin se lista una serie de consejos con el fin de proteger una contrasea tanto para el usuario como para el administrador. La contrasea debe de ser modificada cada cierto tiempo, semanalmente, mensualmente, etc.; dependiendo de cada caso, en definitiva la contrasea debe de cambiar con el tiempo. Siempre habr que cambiar todas las contraseas que estn por defecto en el sistema, suele ocurrir que mucha gente no se preocupa por ellas, pero estas contraseas son fcilmente de conseguir sin ningn esfuerzo. Las contraseas son de uso individual, por tanto no se deben compartir o distribuir entre compaeros de la entidad. Nunca escribir la contrasea en algn sitio, debe de estar memorizada, ya sea mediante el uso de tcnicas nemotcnicas, ya que cualquier persona
Pgina - 21 -
puede encontrar donde se haya escrito la contrasea poniendo en grave situacin la seguridad del sistema. No debe de existir una cuenta sin contrasea, esto es un grave error, y por tanto para que esto no ocurra el administrador debe de estar pendiente y repasar que no exista una cuenta sin contrasea.
Por lo que es (Biometra)
Esta tcnica consiste en la verificacin del personal de la empresa mediante sus caractersticas fsicas (voz, huellas, retina, mano, cara, firma, etc.). Esta tcnica es una de las ms seguras que existe, aun as siempre se puede decir que no existe la seguridad perfecta sin embargo con esta tcnica se aumenta bastante la seguridad. Adems la biometra tiene una serie de ventajas con respecto a otros sistemas de seguridad, a la hora de la autentificacin como por ejemplo: No es necesario memorizar ninguna contrasea. No es necesario llevar un objeto identificando quien es el usuario. No hay que actualizar los registros de los usuarios, la gente mantendr los mismos rasgos fsicos siempre. Difcilmente de falsificar dichos rasgos fsicos.
El funcionamiento de este sistema consiste en lo siguiente, para empezar el individuo o personal de la entidad se debe registrar en el sistema, obteniendo este
Pgina - 22 -
ltimo las caractersticas fsicas de la persona a travs de un algoritmo numrico, obteniendo una serie de valores, los cuales se almacenarn en una base de datos.
Ahora cuando el empleado se identifique existen dos tipos de autentificacin, el mtodo de 1 a 1 y el mtodo de 1 a N, los cuales se explican a continuacin: Mtodo de 1 a 1: En este caso el usuario deber identificarse primero a travs de una credencial, con ello la base de datos sabr con que registro deber comparar los datos que obtenga a continuacin de dicho usuario cuando ste se haga la prueba biomtrica, por tanto en este caso los datos obtenidos por el usuario en la identificacin biomtrica solo se compararn con un registro guardado en la base de datos. Mtodo de 1 a N: En este tipo de autentificacin el usuario no necesita el uso de ningn tipo de credencial, simplemente se toman los valores del usuario por el sistema biomtrico y son comparados con todos los registros que haya en la base de datos del sistema.
Hay varios tipos de clases de biometra segn lo que se quiera verificar del personal, las cuales se listaran a continuacin. Lectura de la mano del empleado: Lectura de la huella digital del empleado: Lectura del iris del empleado: Lectura de la cara del empleado: Reconocimiento de la voz del empleado: Reconocimiento de la firma:
Pgina - 23 -
Criptografa
La criptografa es un punto en la seguridad informtica que siempre habr que comentar, ya que forma parte de ello. Un ejemplo actual del uso de la criptografa en el mundo de la seguridad informtica consiste en los diferentes tipos de cifrado, con el fin de mantener la seguridad de las claves cuando se est introduciendo una contrasea para acceder a una cuenta de correo o cuando se envia un correo electrnico para alguien. Estos mtodos de seguridad sirven para que en caso de que terceras personas sean capaces de obtener dicha informacin, mediante diferentes mtodos de ataque como por ejemplo el hombre en medio, no sean capaces de leerlas debido a que estn cifradas y por lo tanto no puedan ser ledas por dichos atacantes.
Pgina - 24 -
Capitulo II: Auditoria Informtica
2.1 Qu es una auditora?
Son una serie de tcnicas y de un grupo de procedimientos, cuyo fin es evaluar y controlar un sistema con el objetivo de proteger sus recursos y activos, as como comprobar que las actividades que se realizan de forma eficiente y con la normativa general de cada empresa para obtener la eficacia exigida en el marco de la organizacin estableciendo planes de accin y recomendaciones. Consiste en un examen detallado de la estructura de una empresa, en cuanto a controles y mtodos, su forma de operacin, sus objetivos y planes, sus equipos fsicos y humanos. Es una visin sistemtica y formal con el fin de determinar hasta que parte una organizacin cumple sus objetivos establecidos por la empresa, as como para diferenciar los que necesitan mejorarse
La auditora es en s una actividad que se debe realizar mediante el uso de conocimientos acadmicos, para ello se utilizan una serie de tcnicas que lleven a la prestacin de un servicio con alto nivel de calidad
2.2 Etapas de la auditora general 2.2.1 Estudio General: Est basado en la estimacin general de las caractersticas de la empresa, de los estados financieros y de los elementos ms importantes, de forma que sirvan
para la orientacin a la hora de aplicar una serie de tcnicas que resulten ms convenientes en la auditora.
El concepto que debe de tener el auditor respecto del negocio del cliente es: Las condiciones Econmicas y del Sector de la Empresa. La estructura de dicha Organizacin. Su estructura Legal y Operaciones.
2.2.2 Las condiciones Econmicas y del Sector de la Empresa. El auditor tendr un conocimiento bsico referente a las condiciones econmicas de la empresa, as como las condiciones competitivas que llegan a afectar las operaciones realizadas de un cliente y los cambios que se producen en la tecnologa. La nocin de las prcticas contables relacionadas en el sector de la industria en la cual el cliente se desenvuelve es de vital importancia.
2.2.3 La estructura de dicha Organizacin En una organizacin de cualquier magnitud, ser esencial el uso de un diagrama de la organizacin con el fin de especificar las tareas y las responsabilidades de los diversos miembros de la misma organizacin. La estructura de una asociacin reparte las tareas entre los diversos empleados, las posiciones y departamentos o grupos. Para poder controlar el trabajo de una organizacin se adoptar medidas de procedimiento y mtodos que ayudarn a proporcionar evidencias de que aquellas tareas fijadas por las estructura de la asociacin se llevan a cabo.
2.2.4 Su estructura Legal y Operaciones. La auditora comenzar con el conocimiento de las circunstancias y operaciones de la organizacin auditada. El auditor deber de preparar una descripcin breve
de la naturaleza de aquellas actividades comerciales adems de los factores ms importantes que afectan a dichas operaciones.
Para ello el auditor deber de tener un conocimiento
referente a las
caractersticas de funcionamiento, as como de los procedimientos relativos a la administracin y de su estructura legal. Para poder comprender la informacin obtenida mediante la auditora, el auditor deber de saber los negocios del cliente as como todos los factores que pueden llegar a influir en las operaciones La revisin de los documentos legales de la organizacin es necesaria para el correcto entendimiento de los registros contables, y de los estados financieros. Esta informacin ayudar a ampliar el conocimiento del negocio. Hay que reconocer que sin esta fase del examen de la auditora sera una restriccin referente al alcance de esta rea, en la cual sera una negativa por parte del cliente no permitir al auditor contemplar los libros de actas, lo que conducir al auditor a la denegacin de un dictamen. Ya que la informacin que se puede obtener de ello no se podr obtener de otra forma.
2.2.5 Ejecucin de la Auditora Se encontraran los aspectos siguientes en esta etapa: Anlisis: ayudar para clasificar y agrupar elementos de la organizacin. Inspeccin: se trata de comprobar mediante una serie de pruebas los elementos de la organizacin. Confirmacin: consistir en obtener una comunicacin por parte de una persona independiente de la empresa que est siendo auditada para el conocimiento de las condiciones y de la naturaleza de la operacin de una manera vlida sobre la misma
Pgina - 27 -
Investigacin: el auditor obtendr una serie de conocimientos con los cuales se formar un juicio sobre los elementos de la empresa por medio de datos, ya que estos nos sirven de base para la toma de decisiones. Observacin: consiste en presenciar los hechos o ciertas operaciones, mediante las cuales el auditor se da cuenta de qu forma se realizan por el personal de dicha empresa.
2.2.6 Informe Final El informe constar de dos partes la primera ser de procedimiento y la segunda una opinin del auditor, con la primera parte se indicar el alcance de dicha auditora mientras que la segunda ser la opinin del autor referente al correcto funcionamiento y presentacin de los estados de dicha organizacin. El objetivo de este informe ser dar una opinin independiente y profesional.
2.3 Cundo realizar una Auditora y por qu? Las razones ms importantes a la hora de realizar una auditora podrn ser algunas de las siguientes.
2.3.1 Razones Externas. a) Cambio o modificacin en el marco legislativo. La legislacin o la liberacin pueden cambiar el entorno, siendo este menos previsible ya que cambia la situacin definida por las leyes reguladoras por otra regida por las fuerzas de otras entidades de la competencia. La anulacin de barreras comerciales obligando a la apertura de nuevos horizontes hacia mercados que pueden tener una
competencia internacional en vez de los mercados internos cerrados.

La privatizacin de las organizaciones puede cambiar la orientacin de ellas mismas, obligando a pasar de un modelo burocrtico a un modelo orientado a la eficiencia de las actuaciones y al servicio al cliente.
b) Fluctuaciones del mercado. La innovacin y la mejora de la tecnologa puede llegar a provocar que sectores industriales y las empresas queden obsoletas, para poder solucionar este problema debern de adaptarse a los nuevos cambios Los ciclos econmicos pueden llegar a obligar a ciertas
organizaciones a cambiar su orientacin por lo cual tendrn que tener una serie de estrategias diferentes. 2.3.2 Razones internoexternas a) La reorganizacin de una empresa Esto puede ser provocado por diferentes causas: ya sea un cambio de la propiedad de la empresa, creacin de un producto nuevo, debilitamiento o desgaste en el equipo directivo as como un cambio en la estrategia. b) Emisin de ofertas pblicas en mercados Debido al xito de una oferta pblica, la publicidad de los resultados obtenidos de la auditora puede llegar a servir para comunicar las ventajas competitivas de la empresa as como el destacar el talento de los gestores.
Pgina - 29 -
2.3.3 Auditor informtico Para empezar se tiene que saber que un mismo auditor no tiene porqu servir para distintas auditoras, por lo tanto se debe elegir aquella persona que tenga la experiencia necesaria y los conocimientos necesarios acordes al tipo de auditora que se va a realizar ya que interactuar de una forma ms natural. Su formacin acadmica puede ser desde unos estudios de nivel tcnico hasta pasando por ingeniera industrial, derecho, informtica, ciencias polticas, contabilidad, o cualquier otra formacin, esto es debido a que las auditoras pueden ser de tantas clases como formaciones se tienen, lo importante es que tenga una formacin relacionada con la auditora que vaya a impartir, ya que por ejemplo un auditor en auditora informtica si el da de maana va a realizar una auditora fiscal y no tiene los conocimientos necesarios respecto a ese tema, no va a poder realizar el trabajo correctamente aunque su experiencia en auditoras sea alto . Tambin se valorar toda aquella formacin complementaria que habr obtenido el auditor mediante seminarios, conferencias o cursos de reciclaje.
Respecto a las caractersticas personales del auditor las cuales son determinantes a la hora de hacer su trabajo correctamente tiene que tener algunas de las
siguientes propuestas a continuacin: Estabilidad emocional: el auditor no podr dejarse llevar por sentimientos personales (angustia, rabia, etc.) los cuales pueden influenciar negativamente a la hora de realizar dicha auditora. Escuchar: deber de estar atento y saber todo lo que est ocurriendo a su alrededor entendiendo claramente lo que digan el personal de la entidad.
Pgina - 30 -
Analizar: tendr que ser una persona capaz de examinar objetivamente una vez obtenido los datos necesarios. tica: tiene que ser una persona con moral y que no se pueda corromper. Observador: tendr que estar atento a todo lo que est pasando mientras realiza la auditora. Optimista: habr que dar una actitud positiva a la hora de realizar dicha auditora para que la gente que est en dicha entidad no llegue a tomarle miedo, aunque tendrn que demostrar cierto respeto al auditor. Objetivo: deber de tener su propio punto de vista neutral a la hora de realizar el examen final. Discrecin: su paso a la hora de realizar la auditora desde la toma de datos hasta la realizacin del examen debe de pasar lo ms inadvertido en la entidad. Trabajo en equipo: en el caso de trabajar con ayudantes u otros auditores deber saber delegar el trabajo, as como una actitud correcta en todo el momento con los dems compaeros del equipo. Iniciativa: sabr qu pasos realizar en cada momento y como tienen que hacerse sin dudar ni flaquear. Exposicin en pblico: deber expresarse correctamente al personal de la entidad.
Por ltimo cabe resaltar que la experiencia del auditor es uno de los mayores puntos a favor que tiene, ya que gracias a ella cada vez tendr mejores conocimientos y capacidades a la hora de enfrentarse a nuevos retos
Pgina - 31 -
2.3.4 Auditoria informtica Sirve para recoger, agrupar y evaluar evidencias con el fin de confirmar si un sistema de informacin mantiene la integridad de los datos, salvaguarda el activo empresarial, cumple con los objetivos de la entidad de forma eficiente cumpliendo con las leyes y regulaciones establecidas. Con esta auditora podremos mejorar algunos puntos de la empresa como pueden ser la eficacia, seguridad, rentabilidad y eficiencia. En este tipo de auditora sus objetivos primarios son, el control de la funcin informtica, el anlisis de los sistemas informticos, que se cumpla la normativa en este mbito y la revisin eficaz de la gestin de los recursos informticos.
2.3.5 Pruebas en la auditora A lo largo de la auditora se deben de realizar una serie de pruebas con el fin de obtener la mayor informacin posible a la hora de tomar decisiones Cumplimiento. Sirven para comprobar si un sistema de control
interno funciona correctamente. Sustantivas. Se obtienen por observacin, clculos, entrevistas, muestreos, tcnicas de exmenes analticos, conciliaciones y revisiones. Sirven para verificar la integridad, exactitud y validez de la informacin. Clsicas. Se comprueban sistemas y aplicaciones con datos de prueba, en un entorno simulado. Observando la entrada y el resultado en la salida obtenido.
2.4 Cundo realizar la auditora? Por deficiencias econmicas, incrementos de los costes.
Pgina - 32 -
Inseguridad en las instalaciones, ya sea seguridad fsica, lgica o la confidencialidad de los datos. Cuando hay mala imagen o no se cumple con la satisfaccin de los clientes, debido a que no se reparan las averan en los plazos que deben de ser, cuando no se atiende correctamente a los clientes, o no se cumplen los plazos de entrega firmados. Deben de realizarse cuando se descubren problemas de
descoordinacin y desorganizacin, esto es debido a que no se cumplen los estndares de productividad conseguidos o cuando no coinciden los objetivos o no se cumple con los de la compaa.
2.5 Objetivo de la auditora informtica La operatividad consiste en que la entidad y las mquinas funcionen aunque sea mnimamente. Ya que no es necesario detener los equipos informticos para descubrir sus fallos y comenzar de nuevo. Este tipo de auditora se realizar cuando los equipos estn operativos, en eso consiste su principal objetivo, que el hecho de realizar la auditora no pare la productividad de la empresa totalmente. Para conseguir este objetivo habr que realizar los siguientes controles. Controles Tcnicos especficos, son necesarios para lograr la
operatividad de los sistemas. Por ejemplo se puede descubrir que los parmetros de asignacin automtica en el espacio de un disco estn mal, provocando que no se pueda utilizar por otra seccin distinta. Al igual que la prdida de informacin provocando dificultad o anulando otras aplicaciones. Controles Tcnicos Generales, sirven para comprobar la compatibilidad entre sistema operativo y software, as como la compatibilidad entre hardware y software. Y por tanto es de los ms importantes, ya que un problema en la compatibilidad puede crear un gran problema en la entidad.
Pgina - 34 -
Capitulo III: Qu Es Una ISO/IEC?
3.1 Introduccin Son estndares de seguridad publicados por la Comisin Electrotcnica Internacional (IEC) y la Organizacin Internacional para la Estandarizacin (ISO).
La serie ISO/IEC 27000 sirve para desarrollar, mantener e implementar especificaciones para los sistemas de gestin de la seguridad de la informacin, tambin conocido como (SGSI).
Podemos nombrar algunas ISO relacionadas como por ejemplo: ISO/IEC 27000 consiste en un vocabulario estndar para el SGSI ISO/IEC 27001 es la certificacin que deben de tener las organizaciones, adems es una norma que especifica los requisitos necesarios para la implantacin del SGSI. Se la considera la norma ms importante de la familia. Est centrada en la mejora continua de los procesos y de la gestin de riesgos. ISO/IEC 27002 Tecnologa de la informacin, tcnicas de seguridad y cdigo para la prctica de la seguridad de la gestin de la informacin. ISO/IEC 27003 Directrices para la implementacin de un SGSI. Tambin se le considera el soporte de la norma ISO/IEC 27001. ISO/IEC 27004 Mtricas para la gestin de seguridad de la informacin. Proporciona recomendaciones de quin, cundo y cmo realizar
mediciones de seguridad de la informacin. ISO/IEC 27005 Gua para la gestin del riesgo en relacin a la seguridad de la informacin.
Pgina - 35 -
ISO/IEC 27006 En ella se especifican los requisitos para la acreditacin de entidades de certificacin de sistemas de gestin de seguridad de la informacin y auditora.
Cada da son ms las entidades que quieren obtener dichas normas consiguiendo as su certificacin con el fin de tener un requisito que le permite competir con otras entidades, consiguiendo mayor capacidad de negociacin con entidades que piden que sus proveedores y clientes estn certificados. Otras entidades lo que quieren obtener realmente con dichas normativas es la mejora de sus procesos y acogerse a los estndares de calidad internacionales.
3.2 IEC 3.2.1 Historia IEC surgi en Reino Unido en 1906 y desde sus inicios ha estado proporcionando estndares globales a todas las industrias electrotcnicas mundiales. La IEC es una organizacin no gubernamental sin fines de lucro. Su objetivo consiste en publicar y preparar estndares internacionales para todas las tecnologas elctricas o relacionadas a la electrnica.
3.2.2 Visin Que las normas de la IEC y los programas de evaluacin de la conformidad sean la clave al comercio internacional.
3.2.3 Misin La misin de IEC es ser reconocida mundialmente como el proveedor lder de normas, los sistemas de evaluacin de la conformidad y servicios relacionados
necesarios para facilitar el comercio internacional y aumentar el valor del usuario en los campos de la electricidad, electrnica y tecnologas asociadas.
3.2.4 Importancia del mercado Al promover la adopcin de todas y la utilizacin de las Normas IEC y los servicios a lo ancho del mundo, la gestin IEC har todo lo posible para garantizar que los miembros de los comits nacionales representan todos los intereses nacionales en tanto el sector privado y el sector pblico. Estos incluyen a los fabricantes, servicios pblicos, proveedores, distribuidores, usuarios, consumidores,
investigadores, acadmicos, normas de las organizaciones de desarrollo y los reguladores.
El IEC seguir poniendo de relieve el papel esencial de su representante en los comits nacionales, reconociendo tanto que es a travs de una buena representacin de los comits nacionales y que la industria puede influenciar el trabajo de la IEC y que la mayora de los costos de la IEC normalizacin son sufragados por los patrocinadores de expertos que realizan el trabajo tcnico.
El IEC har hincapi en el carcter democrtico y transparente de su organizacin y funcionamiento, que ofrece igualdad de oportunidades a todos los miembros en beneficio de acuerdo con sus contribuciones a la actividad tcnica de la IEC.
A fin de maximizar aportaciones y beneficios a sus principales mercados, el IEC desarrollar los medios y procesos mediante los cuales se puede atraer e incrementar sustancialmente la participacin de la industria en su normalizacin y gestin de los organismos de evaluacin de conformidad.
Pgina - 37 -
Para garantizar la mayor aceptacin posible de trabajo IEC y reflexionar sobre la evolucin de la sociedad, los comits nacionales de la IEC fomentarn la
participacin de los usuarios finales y los consumidores a nivel nacional y como los miembros de sus delegaciones.
El IEC se esforzar por aumentar su aceptacin como una plataforma mundial para una plena serie de publicaciones tcnicas de los documentos de consenso limitado a un consenso pleno las normas internacionales, as como para la evaluacin de la conformidad sistemas y servicios relacionados con las normas.
3.2.5 El IEC como una herramienta estratgica. El IEC debe mejorar su promocin, marketing y comunicacin esforzando con los tomadores de decisiones en la industria, gobiernos, reguladores y las
organizaciones intergubernamentales sobre los beneficios estratgicos de los productos y servicios de IEC y de participar en su desarrollo y utilizacin. Entre los reguladores y los pases en desarrollo, se prestar especial atencin a la importancia de adoptar y en referencia a las normas IEC y de la utilizacin de sistemas de evaluacin de la conformidad de la IEC. Adems, el IEC ampliar su cooperacin y comunicacin con esfuerzos en los crculos acadmicos, as como en la industria para desarrollar y proporcionar materiales educativos para el personal tcnico y directivos. Estos programas se centrarn en el desarrollo, uso y valor estratgico para negocio de las normas internacionales IEC, los sistemas de evaluacin de la conformidad y otros servicios.
El IEC se encargar de dirigir en la evaluacin emergentes y convergentes tecnologas y la identificacin de nuevas reas para el desarrollo de normas.
Pgina - 38 -
Reconociendo que la industria se centran en torno a la mayora de la relacin costo efectiva de las estructuras de la normalizacin que pueda influir o controlar, la IEC seguir desarrollando mecanismos efectivos, herramientas y procesos innovadores para servir a los mercados en rpido movimiento a travs de relaciones con los consorcios y ampliado foros y con funcionarios de desarrollo social relevantes que han alcance global.
Con el fin de satisfacer mejor las necesidades del mercado, el IEC considerar alternativas al modelo de negocio como el establecimiento de una unidad de IEC a s mismo, separado de la estructura existente para todo el consenso de Normas Internacionales, a desarrollar y publicar los documentos de consenso y la limitada disposicin de otros servicios a los consorcios. Industria se anima a asumir el liderazgo, que participa directamente en la direccin y los niveles tcnicos.
3.2.6 Alcance mundial El IEC seguir fomentando la participacin de las nuevas industrializaciones y economas en transicin en la familia IEC. Los pases candidatos se identificarn y se facilitar la pertenencia para los que quieran y poder (a) promover y apoyar la aplicacin nacional de la IEC y sustituir
progresivamente las normas nacionales divergentes (debido a que estn confusas o no estn de acuerdo); (b) para formar un comit nacional plenamente representativo
electrotcnico, (c) participar activamente en los trabajos tcnicos.
Para lograr su misin de facilitar el comercio internacional, el IEC aplicara su poltica de importancia a nivel mundial para maximizar la aceptacin a nivel mundial y la adopcin de las normas IEC armonizado a nivel mundial que satisfagan las necesidades de todos los principales mercados.
Pgina - 39 -
A fin de maximizar la armonizacin mundial de las normas IEC y apoyar sistemas de evaluacin de conformidad, el IEC se desarrollar y mejorar las relaciones con las conformidades internacionales de los organismos de evaluacin. 3.2.7 Innovacin y valor aadido El IEC sigue respondiendo a las necesidades del mercado en forma oportuna y rentable, el desarrollo y la mejora de herramientas y servicios para ahorrar tiempo y costo. Esto se devolver para facilitar las inversiones en proyectos futuros y servicios para el beneficio de los usuarios y los estndares de desarrollo.
En particular, la comisin electoral independiente colaborar con los comits nacionales para proporcionar liderazgo en el desarrollo y suministro de innovadores y eficaces herramientas informticas necesarias para la
normalizacin de la comunidad entera.
Al tratar de agregar valor para el mercado salvaguardando al mismo tiempo las fuentes de ingresos para el futuro, el IEC en conjunto con los comits nacionales investigar y evaluarn una serie de nuevos servicios de informacin. El objetivo ser facilitar el acceso al mercado de la informacin electrotcnica relacionada con las normas de mltiples fuentes, en especial los comits nacionales, a travs de un nico, integrado e interfaz de usuario.
3.2.8 Mejora y sostenimiento El IEC continuar su prudente gestin financiera, el mantenimiento del saldo de los ingresos por ventas entre el comit nacional y la oficina central para salvaguardar la estabilidad financiera de la pertenencia al tiempo que garantiza los recursos necesarios para las operaciones centrales y las inversiones.
Pgina - 40 -
El IEC mejorar an ms la cooperacin con ISO en las polticas, procedimientos y procesos. Tambin se identificarn y perseguirn nuevas reas para la cooperacin con la ISO (por ejemplo, servicios de subcontratacin o tareas entre la IEC y las secretaras de la ISO), que aumentara las eficiencias de las secretaras y beneficiaria a las comunidades de las organizaciones en su conjunto, mientras que respetando la integridad de cada organizacin y el mantenimiento de una eficiente, operacin independiente IEC para servir mejor a los mercados de la IEC.
El IEC trabajar en estrecha colaboracin con la ISO para desarrollar una poltica coherente enfoque de los derechos de propiedad intelectual.
El IEC continuamente adaptar sus estructuras y procesos internos, que deseen adquirir la mejor informacin y recursos de calidad de interesados, en particular la industria, para dar prioridad a los trabajos tcnicos y mantener su calidad y a la vez cumplir con los requisitos de mercado para la eficiencia de costes y plazos.
El IEC procurar reforzar los recursos directos de mercado a las Juntas del Sector, la revisin sistemtica de los mecanismos de funcionamiento de la Justas del sector y la adaptacin de su cobertura de sectores especficos, segn sea
necesario. El objetivo ser aumentar la participacin de la industria y la toma de decisiones, especialmente en lo que se refiere a las actividades de IEC con los consorcios y foros, en desarrollo o mejora de procesos para identificar los criterios de mercado para los productos de IEC y los servicios de mejor satisfacer las necesidades del usuario.
El IEC continuar mejorando la calidad y eficiencia del desarrollo de la estructura de sus normas. Alternativa participacin de los interesados y el documento de modelos de aprobacin, as como las estructuras del comit tcnico.
El IEC estudiar los medios por los que podrn seguir para optimizar la estructura, la gobernanza, la gestin y el funcionamiento eficaz de sus sistemas
de evaluacin de la conformidad para satisfacer las necesidades del mercado, para garantizar recursos de dichos regmenes y para apoyar la labor de normalizacin en el que se basan.
3.3 ISO
3.3.1 Historia ISO surgi en Ginebra (Suiza), su principal objetivo era la unificacin de los estndares industriales y facilitar la coordinacin internacional. La ISO es una organizacin no gubernamental que forma un puente entre los sectores privados y pblicos. Su objetivo consiste en publicar y desarrollar estndares internacionales al resto del mundo. Hay que destacar que las siglas ISO, provienen del griego (isos), 'igual'. Adems la ISO consiste en una red de los institutos de normas nacionales de 160 pases (y posiblemente vaya en aumento segn pase el tiempo) Cabe destacar que todas las normas desarrolladas por ISO son siempre voluntarias ya que la ISO es un organismo no gubernamental y no depende de ningn otro organismo internacional, por lo que no tiene autoridad y por tanto no puede imponer a un pas. Respecto a su organizacin se divide en tres clases las cuales son las siguientes: Miembros natos Miembros correspondientes Miembros suscritos Existe una cuarta clase que simplemente son miembros de la ISO. aquellos los cuales no son
Pgina - 42 -
3.3.2 Quin trabaja en ISO? El trabajo de ISO es muy descentralizado, se lleva a cabo mediante una jerarqua de unos 2850 comits tcnicos, trabajos en grupo y otros subcomits. En estos comits los representantes de las industrias, consumidoras, autoridades gubernamentales y organizaciones internacionales de todo el mundo trabajan juntos con el fin de obtener una resolucin con todos de acuerdo de los problemas de estandarizacin a nivel global. 3.3.3 Plan estratgico 20052010 de la ISO Prlogo El Plan Estratgico 20052010 esboza la visin global de la organizacin en 2010, junto con los siete objetivos estratgicos establecidos para satisfacer las
Pgina - 43 -
expectativas de sus miembros y las partes interesadas y los resultados ISO espera alcanzar.
Este plan estratgico identificar las acciones que deben adoptarse o emprender para lograr estos resultados. Se ha elaborado tras una amplia consulta de los interesados, a travs de los miembros de ISO, y de las principales organizaciones internacionales con las que colabora la norma ISO.
Visin global de la ISO en 2010
La ISO tiene los siguientes puntos a contemplar: La facilitacin del comercio mundial Mejora de la calidad, seguridad, medio ambiente y proteccin de los consumidores, as como el uso racional de los recursos naturales Difusin global de las tecnologas y de las buenas prcticas, Contribuir al progreso econmico y social. A travs de la red y la colaboracin de sus miembros los organismos nacionales, enlaces internacionales, la cooperacin regional y las organizaciones asociadas, ISO constituye una plataforma lder para la produccin de mercado de referencia a nivel mundial y estndares internacionales. Los mecanismos de ISO, la creacin de consenso, la cobertura multisectorial y la capacidad de difundir de manera eficiente y promover su gama de productos son reconocidos y que se basa la industria, autoridades pblicas, consumidores y otros interesados, lo que ayudar a materializar el objetivo de "una norma, una prueba y un procedimiento de evaluacin de la conformidad aceptada por todos. De esta manera, ISO contribuye a una economa mundial ms eficiente y sostenible.
Pgina - 44 -
Objetivos de la ISO para el 2010 La ISO tiene una serie de objetivos los cuales son los siguientes: El desarrollo de una coleccin coherente y multisectorial de las normas internacionales pertinentes a nivel mundial. La industria, autoridades pblicas, consumidores y otros interesados reconocidos, apreciarn y confiarn en el valor aadido de la ISO para la produccin de normas internacionales y los resultados que apoyan el comercio mundial de productos y servicios, las infraestructuras transfronterizas y las operaciones, as como la
difusin de nuevas tecnologas, nuevos mtodos de negocio y la buena gestin y prcticas de evaluacin de la conformidad. Garantizar la participacin de los interesados. ISO, a travs de sus miembros nacionales, su red de contactos y alianzas, su conjunto coherente de las prestaciones, su facilidad de acceso electrnico y sus iniciativas, promueve el valor de la normalizacin voluntaria, permite la adecuada participacin de partes interesadas y afectadas en sus trabajos y procesos, y por lo tanto se basa el nivel adecuado de consenso para garantizar que sus resultados sean efectivamente utilizados y reconocidos en los mercados mundiales La sensibilizacin y la capacidad de los pases en desarrollo . ISO apoya y facilita el desarrollo de acceso a los pases a los mercados mundiales, el progreso tcnico y el desarrollo sostenible a travs de una mayor conciencia y participacin en la normalizacin internacional y actividades relacionadas (por ejemplo, evaluacin de la conformidad). ISO promueve su participacin activa en su labor. Que miembros de pases en desarrollo tengan acceso a herramientas, procesos y programas que les ayuden a desarrollar su capacidad, participar de manera efectiva en el trabajo tcnico de ISO y aplicacin de estndares internacionales.
Pgina - 45 -
Estar abierto a las asociaciones para el desarrollo eficaz de las normas internacionales La ISO promueve la cooperacin y la integracin que pueden ayudar en la prestacin oportuna y eficiente el mantenimiento de una coleccin amplia y coherente de las normas internacionales y otras prestaciones. ISO tambin est abierto a la colaboracin con organizaciones internacionales y otras entidades con alcance global se dedican al desarrollo estndar, cuando ello pueda contribuir a mejorar el desarrollo y la difusin de las normas internacionales. Promover el uso de normas voluntarias como alternativa o como un apoyo a los reglamentos tcnicos Las autoridades gubernamentales son conscientes de los beneficios y las modalidades de la referencia a Normas Internacionales ISO en los reglamentos o como una alternativa para la reglamentacin. Participan de manera efectiva en su desarrollo, tanto a travs de miembros de la ISO y la colaboracin de la ISO con las organizaciones intergubernamentales. Ser el proveedor reconocido de Normas Internacionales y guas relacionadas con la evaluacin de la conformidad. ISO, en cooperacin con la IEC, ofrece una gama completa de normas y guas para la aplicacin y el reconocimiento de las buenas prcticas de evaluacin de la conformidad, apta para todas las formas de primera, la participacin de las partes segunda y tercera y la evaluacin, ampliamente utilizado por los proveedores, evaluacin de la conformidad operadores y agentes acreditadores y reconocidos por los clientes y autoridades pblicas. Se reconoce claramente que la ISO no est directamente implicada en la evaluacin de la conformidad con sus
Pgina - 46 -
estndares, pero supervisa el uso de su marca en materia de evaluacin de la conformidad. Proporcionar procedimientos eficaces y herramientas para el desarrollo de una serie coherente y completa de las prestaciones La ISO ofrece un conjunto claro, completo y eficiente de los procedimientos y herramientas para apoyar el desarrollo de una serie coherente y completa de las prestaciones, apreciado, entendido y aplicado efectivamente por los miembros de ISO y los participantes en el trabajo tcnico.
3.4 ISO/IEC JTC1 IEC e ISO establecieron un comit tcnico conjunto llamado ISO/IEC JTC1 (ISO/IEC Join Technical Committee). Este comit est relacionado con todos los asuntos de tecnologa de la informacin. La mayora del trabajo de ISO/IEC JTC1 es hecho por subcomits que tratan con un rea o campo en particular.
A continuacin comentaremos los subcomits que hay en ISO/IEC JTC: ISO/IEC JTC 1/SC 02: Conjuntos de caracteres codificados. ISO/IEC JTC 1/SC 06: Telecomunicaciones e intercambio de informacin entre sistemas. ISO/IEC JTC 1/SC 07: El software y la ingeniera de sistemas. ISO/IEC JTC 1/SC 11: Medios magnticos flexibles para el intercambio de datos digitales. ISO/IEC JTC 1/SC 17: Las tarjetas y la identificacin personal. ISO/IEC JTC 1/SC 22: Los lenguajes de programacin, sus entornos e interfaces de software del sistema. ISO/IEC JTC 1/SC 23: los medios de comunicacin, la grabacin digital para el intercambio y almacenamiento de informacin.
Pgina - 47 -
ISO/IEC JTC 1/SC 24: Grficos por ordenador, el procesamiento de la imagen y representacin de datos ambientales. ISO/IEC JTC 1/SC 25: La interconexin de los equipos de tecnologa de la informacin. ISO/IEC JTC 1/SC 27: Tcnicas de seguridad de TI. ISO/IEC JTC 1/SC 28: Equipo de oficina. ISO/IEC JTC 1/SC 29: Codificacin de audio, fotografa, multimedia e informacin hipermedia incluye dos grupos de trabajo: WG 11 Codificacin de imgenes en movimiento y audio (Moving Picture Experts Group MPEG) y GT 1 Codificacin de imgenes fijas (con dos sub grupos Joint Photographic Experts Group JPEG y Conjunto. Los expertos de la imagen con dos niveles en grupo JBIG). ISO/IEC JTC 1/SC 31: La identificacin automtica y captura de datos tcnicas. ISO/IEC JTC 1/SC 32: Gestin de datos e intercambio. ISO/IEC JTC 1/SC 34: Descripcin de documentos y procesamiento de idiomas incluye seis grupos de trabajo, por ejemplo, GT 1: Descripcin de la Informacin (SGML, DSDL, etc.), WG 4: Office Open XML y WG 6: Formato OpenDocument. ISO/IEC JTC 1/SC 35: Las interfaces de usuario. ISO/IEC JTC 1/SC 36: Tecnologa de la informacin para el aprendizaje, la educacin y la formacin incluye siete grupos de trabajo, por ejemplo, GT 1 Vocabulario, WG 2 La tecnologa de colaboracin. ISO/IEC JTC 1/SC 37: Biometra.
Esta ISO/IEC tiene los siguientes puntos como caractersticas principales: Adquisicin, desarrollo y mantenimiento de los sistemas de informacin: reside en tomar todas las medidas necesarias para obtener nuevos
Pgina - 48 -
sistemas, consiguiendo un desarrollo eficiente y mantenimiento de los sistemas. Organizacin en relacin a la seguridad de la informacin: como se debe trabajar en la seguridad de la informacin en la entidad, tanto de forma interna como externa. Gestin de activos: se debe tener un inventario actualizado y completo de los activos, as como su clasificacin, quines son responsables de los activos, etc. Seguridad ambiental y fsica: residen en tener una infraestructura fsica y ambiental adecuada a la entidad. Gestin de operaciones y comunicaciones: consiste en asegurar la correcta operacin de cada uno de los procesos, incluyendo las comunicaciones y operaciones que se dan en la entidad. Cumplimiento: se deben de cumplir los requisitos legales, desde el derecho a la confidencialidad de la informacin, propiedad intelectual, etc. Control de acceso: existirn medidas adecuadas para controlar el acceso a informacin clasificada. Polticas de seguridad: debe de haber polticas organizacionales claras y bien definidas las cuales puedan regular el trabajo que se est realizando en el tema de seguridad de la informacin. Gestin de incidentes en la seguridad de la informacin: la entidad usar registros para identificar las causas y responsables de dichos incidentes, recopilar evidencias con el fin de aprender de ellos y no volver a cometerlos. Evaluacin de riesgos en la seguridad: debern identificar, cuantificar y priorizar los riesgos. Seguridad en relacin a los recursos humanos: se especifican las responsabilidades de los recursos humanos de la entidad.
Pgina - 49 -
Gestin de la continuidad del negocio: se recomienda tener medidas y planes para hacer frente a los incidentes con el fin de que el negocio siga adelante.
La familia incluye estndares internacionales sobre requerimientos, mtrica y medicin, gestin de riesgos y el lineamiento de implementacin del sistema de gestin de seguridad de la informacin. Se adopt el esquema de numeracin utilizando las series del nmero 27000 a continuacin.
3.4.1 Puntos dbiles de las normas ISO/IEC
Las normas ISO/IEC sirven para aportar beneficios en los sistemas de calidad a las entidades o empresas, aunque estas normas estn creadas para aportar valor en el sistema de calidad, no siempre se cumple el objetivo por el cual es aportada en dicha entidad o empresa. Su punto dbil puede tener como origen en diferentes puntos, el ms simple y por tanto el que el mayor nmero de veces ocurre es que no todas las entidades incluyen la norma como un sistema de calidad, ya que en vez de eso, lo que piensan es solo que la ISO/IEC no es ms que una certificacin necesaria que proporciona a las entidades ventajas competitivas respecto a sus competidoras, por lo que provoca que el objetivo en vez de estar centrado en el mejoramiento de la calidad, sea en la certificacin provocando problemas a la hora de incluirla. La ISO o IEC es la nueva moda, todas las empresas desean tener su certificado como sea, aunque para ello les pueda ocasionar terribles perdidas. Otro de los problemas que tiene consiste en que con dicha norma se inicia el proceso de implementacin de dicha norma sin hacer sensibilizacin a todos los actores de la empresa un proceso de que facilite dicha
implementacin, ya que bastantes empresas no estn en condiciones de iniciar un proceso de certificacin en la norma ISO.
3.4.2 Repercusiones de sus puntos dbiles Con estos puntos dbiles provoca que la norma ISO o IEC deje de ser un gran valor incluido el sistema de mejoramiento de la calidad, para convertirse en un gran problema que llega a afectar el ambiente o el trato organizacional de dicha entidad, lo que provoca una satisfaccin negativa por parte del cliente y
obteniendo finalmente que dicha empresa pierda dinero, clientes que se van a otros competidores, denuncias, mala imagen, etc.; lo cual al fin al cabo es el principal objetivo de la empresa.
3.4.3 Posibles soluciones Implementar un sistema hacia la calidad como ISO/IEC, consiste en hacer obligatoriamente (si se quiere llegar a buen puerto) un proceso de sensibilizacin que involucre a todos los actores de la empresa(incluyendo altos directivos), consistiendo como sensibilizacin no como un marco conceptual o una fase acadmica del proceso, sino ser un proceso que facilite y de concienciacin hacia el cambio, obteniendo elementos que creen un ambiente positivo y favorable para el nuevo sistema de calidad en la entidad. Por tanto primero se tendr que intervenir en la cultura de la empresa con el fin de que cuando se vaya a recibir dicho sistema tenga una visin positiva por parte de todos. Se recomienda la intervencin de una auditora en dicha entidad, para saber si la entidad que desea implementar las normas ISO, tienen las condiciones necesarias para dicha implementacin ya que en caso de que no fuera as, tendr graves problemas en un futuro cercano o inmediato.
Pgina - 51 -
3.4.4 Preparacin para la implementacin de las normativas en una entidad Para la implementacin de las normas hay que hacer un anlisis del ambiente del trabajo, son muchas las cosas que hay que tener en cuenta antes de dicha implementacin. Todas las entidades por constituidas que se encuentren no estn preparadas para implementar una norma, para ello se necesita ms que tiempo de experiencia empresarial, tipo de producto, cobertura del mercado, son indispensables unas condiciones bsicas de organizacin, las cuales son las siguientes: Un mnimo de procesos definidos. Compromiso por parte de todos los actores de la empresa. Una cultura organizacional madura. El ambiente laboral debe ser agradable, sano y activo. Ser conscientes de la necesidad de mejoramiento. Tener una buena planificacin Orientacin hacia el trabajo en equipo de forma eficaz.
Dependiendo de la entidad se puede encontrar con diferentes clases de culturas o caractersticas que tiene dicha entidad. Las cuales se comentara a continuacin para poder reconocerlas en caso de una auditora:
Cultura madura Est caracterizada por algunos de los siguientes puntos. Autocontrol o disciplina: Cada empleado de la entidad sabe cul es su responsabilidad y los controles que ejerce. Mando: en la entidad existen menos lneas de mando y ms liderazgo. Estrategia a largo plazo: existe en la entidad un plan y visin de futuro, los objetivos estn bien definidos y se administra ms para el futuro. Compaerismo: existe un gran apoyo y comunicacin entre empleados.
Trabajo en equipo: hay una buena integracin del trabajo por los diferentes departamentos que existen. Control del objetivo: debe de existir un sistema que refleje los logros conseguidos a lo largo del trabajo, se deben hacer mediciones con el fin de saber en qu situacin nos encontramos. La empresa o entidad que tiene estas caractersticas tambin es conocida por ser una gerencia moderna. En este caso las normativas como la ISO, ven en ella una gran ventaja con el fin de mejorar sus procesos de calidad.
Cultura inmadura Est caracterizada por algunos de los siguientes puntos. Gran dependencia: el poder de la empresa est centrado en la gerencia o en un grupo de personas las cuales son los directivos, no aceptan cualquier sugerencia por parte de otras personas de la entidad, y por lo tanto el resto de los empleados realiza lo que se les manda. No hay suficiente motivacin: la nica motivacin que existe puede ser o por el salario que cobra el empleado o por las amenazas que puede recibir, como puede ser un despido, o el rumor de aplicar un E.R.E. obteniendo as que la gente trabaje bien y que no haya quejas por parte de los trabajadores, tambin puede ocurrir que simplemente no existe ninguna motivacin. Existencia de mobbing. Perspectiva a corto plazo o no existe estrategia: los problemas que surgen en la empresa se realizan da a da, no se piensa nunca lo que puede ocurrir a largo plazo, provocando que a lo largo surjan mayores gastos para la empresa. Pasividad del personal: al no existir ninguna motivacin, los empleados solo trabajan lo justo por la empresa.
Pgina - 53 -
Explotacin del trabajador: las empresas abusan del trabajador, como puede ser realizando ms horas de trabajo, las cuales no estaban
planificadas desde un principio, esto provoca mal estar en el empleado. Tradicin: las empresas se apoyan siempre en frases hechas con el fin de hacer las cosas de la misma manera y no tratar de cambiarlo aunque suponga una mejora en el proceso. Como por ejemplo frases de tipo, siempre se ha hecho as, siempre funciona a nuestra manera, para qu cambiar si funciona. La empresa o entidad que tiene estas caractersticas tambin es conocida por ser una gerencia tradicional. En este caso las normativas como la ISO/IEC, ven en ella una gran amenaza ya que ven en ella algo que va a tener que modificar el sistema de la empresa y por tanto a producir cambios en ella. Tienen miedo al cambio.
Diferencias de gerencias (respecto a la cultura inmadura y la madura) Hay que destacar que la cultura inmadura tambin es conocida como la tradicional, mientras que la madura es la nueva gerencia tambin conocida como gerencia moderna la cual se est realizando de una forma correcta con el fin de que la implantacin de las normativas cause una mejora en la calidad y no un problema como puede surgir en la cultura inmadura. Cultura inmadura Gerencia tradicional Se centra en aspectos internos rutinarios. Est orientada a utilidades adems solo a corto plazo. El empleo est asociado a salario econmico por eficiencia del y Cultura madura Gerencia moderna Hace todo lo posible por definir estrategias. Fija su objetivo a resultados
econmicos a largo plazo. El empleo est asociado a la realizacin personal.

Pgina - 54 -
personal.
Estmulo econmico por eficiencia Estilo directivo centralizado y
Estmulo por resultados. Estilo participativo y
autocrtico. Actualiza procesos tcnicos y en mquinas nfasis existente. en costos, control de lo
descentralizado. Mejora valores e interviene las
actitudes negativas del personal Centrada en innovar y asignar recursos a la generacin de valor agregado con el fin de obtener beneficios.
Al fin y al cabo cualquier tipo de entidad, incluyendo la gerencia tradicional, puede implementar las normativas, obteniendo su certificado, pero probablemente no todas van a conseguir una mejora en la calidad de la entidad. Por lo tanto, ahora se tiene que saber cules son las condiciones que necesita una entidad, para que la implementacin de normativas ISO/IEC sea favorable.
Condiciones para la implementacin de una normativa llegue a buen puerto. Para conseguir que sea favorable se necesita que la entidad tenga una mente abierta respecto al enfoque hacia el mercado y de un sistema abierto a cualquier tipo de cambio, y todo ello se manifiesta en condiciones como las siguientes: Evolucin de la empresa, muestra su orientacin a clientes, un enfoque hacia el mercadeo integral, creatividad y la disposicin al cambio y a la mejora continua.
Pgina - 55 -
Busca la estandarizacin productiva y ms flexibilidad en lo administrativo, para la innovacin continua., intenta romper esquemas, se actualiza, es flexible y gil. En vez esperar a que los clientes que vayan a la entidad, es la entidad la que busca a los clientes, mediante el uso de tcnicas comerciales. En vez de centrarse en costos, se centra en la efectividad y productividad en el mercado. Tiene que centrarse en la valoracin del mercado a travs del cumplimiento de metas y de la satisfaccin del cliente, en vez de la valoracin de resultados a travs de los rendimientos financieros. En una entidad donde tiene una cultura madura, no existe resistencia al cambio debido a la normativa que se vaya a implementar, tiene una gerencia abierta y los directivos de tal entidad son llamados como lderes y no como jefes. Adems la cultura madura tiene bastantes caractersticas como las siguientes: Existencia de proceso lgico aunque los procesos no estn estandarizados. Los ejecutivos trabajan en equipo. Los planes concretos que tiene la entidad son ejecutados y medidos. Todas las ideas que surjan para mejorar la entidad son expresadas libremente y adems sirven para la participacin del empleado dentro la entidad. Se estimula a travs de metas y resultados que por un control de tiempo. Existe una comunicacin correcta de forma horizontal y vertical. Aquello que es nuevo para la entidad se le trata como un reto y no como un problema que pueda perjudicar a la empresa. Hay reuniones entre directivos y empleados de la entidad.
Para la implantacin de las normativas se necesita la existencia de un ambiente correcto, ya que de no ser as la implantacin de dicha normativa puede llevar a ocasionar serios problemas para tal entidad.
Por tanto es necesaria y a la vez favorable la existencia de que la cultura de dicha entidad manifieste: Que tenga los mejores recursos humanos posibles Existencia de una organizacin centrada hacia el servicio a clientes Tener una orientacin hacia lo estratgico y una mayor delegacin de lo operativo. Que siempre est innovando la entidad en mtodos, sistemas de trabajo y en los procesos. Adems la organizacin de la entidad tiene que estar centrada en la bsqueda de: Reducir el tiempo para decidir. Ser una organizacin ms horizontal. Reducir el costo. Mejorar el clima organizacional. Disminuir niveles organizacionales. Estudiar, conocer y comprender a la competencia. Evitar el trabajo individual. Uso del Benchmarking. Uso de ms procesos. Bsqueda de la innovacin
Si una entidad es capaz de conseguir todo esto, podr obtener los certificados de dichas normativas, lo cual conseguira que la entidad tome ventaja respecto a sus competidoras, gracias a las ventajas obtenidas mediante la aplicacin de las normativas. Las cuales son: Motivacin por parte del personal. Compromiso por parte de los empleados. Reduccin de los costos de la entidad. Mejoramiento de la productividad. Obtencin de una mayor rentabilidad.
Tener una mejora de la posicin en el mercado respecto a los competidores.
Cabe destacar que cuando se vaya a hacer la implementacin de la normativa hay que vigilar que la entidad no se aleje de centrarse en importantes puntos estratgicos, los cuales durante la implementacin pueden ser dados de lado. Como por ejemplo: Uso de un sistema participativo. Uso del Justintime La mejora continua. La seguridad en la entidad. La calidad del trabajo por parte del trabajador. La participacin de la administracin.
Problemas que surgen en la implantacin de la normativa A la hora de la implementacin de la normativa por parte de la entidad pueden surgir bastantes problemas los cuales habr que evitar y fijarse para que la entidad no caiga en ellos, ya que entonces estamos cayendo en un gravsimo problema. Se pueden destacar los siguientes problemas: Que la entidad se ponga un ritmo de trabajo para la normalizacin el cual no es el suyo propio (de la entidad y de sus empleados) sino que es en realidad el ritmo del consultor, lo que provoca que no haya una asimilacin correcta por parte de la entidad y de sus empleados. Adems hay que saber que en este caso no se puede comparar con otras entidades ya que cada entidad est estructurada de forma diferente que el resto y por tanto tendr su propio ritmo, aun as se pueden establecer unas medias de tiempos para saber entre cunto van a tardar, pueden ser de entre 11, 12
Pgina - 58 -
meses hasta 18, 19, incluso si es necesario un poco ms de tiempo, todo esto depende del personal de la empresa. No creer que todos los empleados de la entidad estn satisfechos tras aplicar la fase de inicio (sensibilizacin) de la normativa, siempre existen empleados que son ms reticentes a la hora de los cambios, por tanto habr que realizar ms esfuerzo en convencerles, ya que entonces si no les hacemos caso nos pueden ocasionar problemas en un futuro inmediato por tanto hay que hacerlo antes de que surjan dichos problemas. Que los trabajadores no sean informados de lo que ocurre en la empresa. Esto tambin es un grave problema ya que les da a entender que no son nadie en la entidad. Crear la existencia de un comit de calidad para la entidad el cual solo est formado por los directivos o ejecutivos de la empresa, esto provoca siempre que los empleados de la empresa creen que estn conspirando o tramando algo contra el mtodo o los controles que aplican los empleados en su trabajo, esto ocasiona en la mayora de las veces un mal ambiente de trabajo, por tanto para poder solucionar este problema tendr que haber como mnimo un representante de los empleados en dichos comits para que no ocurran estos problemas. El consultor el cual sea especialista y sepa cmo aplicar la normativa, no sea capaz de motivar al personal de la entidad, esto que aunque puede no ser muy importante es ms trascendental que otras cosas, debido a que el grado de optimismo de los empleados es una baza importantsima para la entidad. Transformar el proceso de certificacin que se va a implementar en una amenaza para los empleados, este es el mayor problema que puede existir y el primero que hay que evitar, ya que entonces si se toma como una amenaza, lo ms seguro que pueda ocurrir es que no sea llevado a cabo.
Pgina - 59 -
Que dicha implantacin de la norma se haga por imposicin, uso de frases como por ejemplo: es lo que hay y vamos a hacerlo, puede provocar el malestar general por tanto se recomienda hacerlo por convencimiento de los empleados, no hay que utilizar nunca el lenguaje soez. La implantacin se hace simplemente porque est de moda tener dicha normativa con su correspondiente certificado, para dar una imagen que no se tiene en realidad. Dar de lado otros programas de la entidad con el fin de obtener dicha certificacin, ya que entonces estamos perdiendo calidad en vez de mejorar.
3.5 ISO/IEC 27004
3.5.1 Introduccin
El nombre de la normativa es ISO/IEC 27004 Information technology Security techniques Information security management Measurement, cuya traduccin en espaol sera ISO / IEC 27004 Tecnologa de la informacin Tcnicas de seguridad Gestin de la seguridad de la informacin Medida, por lo tanto como su propio nombre indica se abarcaran todos esos campos en dicha normativa.
La norma 27004 se cre para complementar a la norma ISO 27001, ya que la norma 27001 destaca que los controles tienen que ser medibles, ya que si no se es capaz de medir un control no servir de nada para un SGSI (Sistema de Gestin de la seguridad de la Informacin), por lo tanto se debe de hacer medible, y es por esa razn por la que se realiza la normativa 27004 en la cual ensea cmo se debe medir dichos controles, su objetivo consiste en hacerlos medibles.
Pgina - 60 -
Esta normativa 27004 sirve de ayuda para guiar sobre la creacin y el uso de las mediciones con el fin de poder evaluar la eficiencia del sistema de gestin de la informacin aplicada a los controles y seguridad. Con esta normativa se incluye la gestin de informacin de seguridad de riesgos, procesos, poltica, objetivos de control, procedimientos, ayuda tambin al proceso de su revisin, as como ayuda a determinar si alguno de los procesos de SGSI o controles necesita ser mejorados o modificados. El uso de esta normativa constituye una medicin de la seguridad de la informacin. El sistema de gestin de la seguridad de la informacin ayudar evaluar y a identificar aquellos procesos o normas ineficaces en el sistema de la seguridad de la informacin, as como los controles y prioridades de las acciones asociadas. Gracias a esta norma ser un punto de partida para el desarrollo de la medida de medicin es importante para la comprensin de los riesgos de seguridad de informacin donde la entidad o la organizacin se puede enfrentar o tener problemas. As como saber que las actividades que est realizando la empresa respecto a la evaluacin de riesgos se est haciendo correctamente. Queda aclarar que el objetivo de dicha normativa consiste en fortalecer la organizacin y que gracias a la normativa proporciona una informacin fiable a la entidad sobre los riesgos que corre en relacin a la seguridad de informacin as como el estado del SGSI aplicado para la gestin de estos riesgos. Los datos obtenidos de las mediciones realizadas servirn para hacer una pequea comparacin de los avances o progresos obtenidos en referencia a la seguridad de la informacin en un perodo de tiempo, comprobando as la mejora continua de la organizacin en su SGSI. Esta normativa se puede aplicar a cualquier tipo de tamao de la organizacin desde multinacionales repartidas por todo el mundo hasta las PYME, la nica diferencia consistir en la complejidad que tomara para las multinacionales a la hora de aplicarlo ya que tendra que realizar mltiples programas de seguridad de
la informacin de medicin,
mientras que en las PYME, las cuales son las
medianas y pequeas empresas, una informacin menos completa ser suficiente. Ya que con una sola medicin de seguridad de la informacin puede ser suficiente para dichas empresas Adems hay que recordar que esta normativa no es obligatoria y no es necesario su uso, como el resto de las normativas ISO/IEC sirven para aconsejar. En este caso esta normativa aconseja sobre las siguientes actividades. Medida de desarrollo Aplicacin y operacin de un programa de seguridad de la informacin en relacin a la medicin. Recogida y anlisis de datos Elaboracin de los resultados de la medicin Comunicar los resultados de la medicin desarrollados para las partes interesadas. Utilizar los resultados de medicin a la hora de tomar las decisiones relacionadas con el SGSI Utilizar los resultados de medicin para mejorar el SGSI (alcance, polticas, controles, procesos, objetivos y procedimientos) Facilitar la mejora continua de la seguridad de la informacin
Para finalizar hay que indicar que con dicha normativa nunca se podr garantizar la seguridad total.
3.5.2 El porqu de la ISO 27001?
Gracias a la ISO/IEC 27001 se aade un nuevo concepto de indicador sobre la eficacia de los controles, lo cual provoca que el SGSI (Sistema de Gestin de
Pgina - 62 -
Seguridad de la Informacin) sea capaz de evaluar su calidad y su eficacia el mismo. La ISO/IEC 27001 desea que la entidad u organizacin tenga que hacer revisiones peridicas de la eficacia de su SGSI en referencia a los resultados obtenidos de la medicin de su eficacia, y con esos resultados obtenidos verificar que los requisitos de seguridad se cumplen. Adems tambin quiere que dicha entidad sea capaz de definir la manera de medir la eficacia de los controles seleccionados o grupos de controles y especificar cmo estas medidas se van a utilizar para evaluar la eficacia de control para producir resultados comparables y reproducibles. Para la entidad que quiere cumplir los requisitos de medicin indicados en la normativa ISO/IEC 27001 varan en relacin a la entidad, como puede ser, el tamao de la entidad, los riesgos que tienen, recursos de la organizacin, etc. Aun as la entidad tiene que tener cuidado a la hora de aplicar sus recursos y saber repartirlos cuidadosamente para las acciones del SGSI, ya que no debe de utilizar todos los recursos porque entonces dejaran de ser beneficiosos y sera perjudicial debido a que no tendra recursos suficientes para las otras actividades que debe de realizar la entidad. Por lo tanto tiene que tener una buena organizacin y por tanto aquellas actividades que estn en curso de medicin deberan ser integradas en las operaciones regulares de la entidad con un mnimo de necesidades de recursos. El utilizar mtricas de seguridad en el Sistema de Gestin de Seguridad de la Informacin puede provocar que la norma perdure en el tiempo como un estndar potente y eficaz para gestionar las seguridad de la informacin de una forma ptima, debido a que las mtricas de seguridad no estn contempladas como un accesorio ms a aadir al Sistema de Gestin de Seguridad de la Informacin segn le interese a la entidad sino que lo absorbe y termina formando parte de l a lo largo de su ciclo de vida. Todo esto provoca que el sistema de medicin junto
Pgina - 63 -
a su Sistema de Gestin de Seguridad de la Informacin sea revisado y mejorado de una forma continua.
Por ello la ISO/IEC surge a partir de la ISO/IEC 27001.
Las mediciones La normativa ISO/IEC 27004 est centrada sobre el modelo PlanDoCheckAct, tambin conocido como PDCA, el cual consiste en ser un ciclo continuo y que se conocer ms extensamente en el siguiente punto.
1. Norma ISO 27001
En una entidad se deber de saber cmo interactan y se interrelacionan las mediciones de la entidad con su Informacin. Sistema de Gestin de Seguridad de la
Para ello la entidad tendr que crear una serie de guas las cuales especifiquen, sealen, documenten y expliquen estas relaciones con el mximo detalle posible con el fin de llevarlo a cabo lo mejor posible.
Pgina - 64 -
En los procesos de mediciones se tienen que cumplir una serie de objetivos los cuales son los siguientes. Indicar y avisar los valores de seguridad de la entidad. Realizar una evaluacin de la eficiencia del Sistema de Gestin de Seguridad de la Informacin. Incluir niveles de seguridad que sirvan de gua para las revisiones del Sistema de Gestin de Seguridad de la Informacin, lo cual provocar nuevas entradas para auditar y para ayudar a mejorar la seguridad de la entidad. Realizar una evaluacin de la efectividad de la implementacin de los controles de la seguridad de la entidad.
Modelo de las mediciones
Para llevarlo a cabo se necesita crear un programa con el fin de realizar la medicin de la seguridad de la informacin de la entidad. El programa deber centrarse en las ayudas que aportan dichas mediciones a la hora de tomar decisiones. Esto obliga a que dicho programa de medicin deba de estar basado en un modelo de mediciones para la seguridad de la informacin. El modelo se centra en una arquitectura que relaciona los atributos medibles con una entidad relevante. Dichas entidades pueden incluir, productos, recursos, proyectos y procesos.
Pgina - 65 -
Este modelo servir para describir como dichos atributos son cuantificados y transformados en indicadores que servirn para la entidad a la hora de tomar decisiones.
Para desarrollar este modelo es necesario definir los atributos que son considerandos ms importantes para medir la informacin que la organizacin necesita.
Tambin se puede considerar que un mismo atributo puede incorporarse en mltiples mediciones para las cuales se tendrn informaciones distintas.
Pgina - 66 -
Mtodo de las mediciones
Cmo tienen que ser medidos los atributos?
Con esta normativa nos indica cmo los atributos tienen que ser medidos, por lo cual propone un Mtodo.
Existen dos tipos de mtodos a la hora de cuantificar los atributos necesarios. Objetivos: los cuales se centran en una regla numrica (por ejemplo de 1 a 5) que se pueden aplicar a las personas o a los procesos, se recomienda que se realice primero a los procesos. Subjetivos: se centran en el criterio de los empleados o de los evaluadores externos.
Dichos mtodos pueden englobar diferentes tipos de actividades y a su vez un mtodo engloba a varios atributos.
Algunos mtodos que se utilizan en la entidad con el fin de medir los atributos son: Cuestionarios al personal de la entidad. Inspecciones de las areas de dicha organizacin. Toma de notas a partir de observaciones. Comparacin de atributos en diferentes momentos. Muestreo. Consultas de los sistemas.
Pgina - 67 -
Una vez realizados los mtodos de medicin es asociarlo a un tipo de escala, las clases de escala pueden ser: Ratio: uso de escalas de distancias. Nominal: uso de valores categricos Intervalos: uso de mximos y mnimos. Ordinal: uso de valores ordenados.
Para finalizar se tiene que considerar la frecuencia de cada medicin. Se recomienda que la entidad programe dicha frecuencia de las mediciones, ya sean diarios, semanales, mensuales, semestrales, trimestrales, cuatrimestrales o anuales.
Seleccin y definicin de las mediciones.
Tambin se indica cmo desarrollar dichas mediciones para cuantificar la eficiencia de nuestro Sistema de Gestin de Seguridad de la Informacin, controles y procesos.
Dichas mediciones de la informacin son requeridas para:
La certificacin de nuestro Sistema de Gestin de Seguridad de la informacin de la entidad. La mejora en la eficiencia del Sistema de Gestin de Seguridad de la Informacin. Para los clientes de la entidad, accionistas, etc.
Para cumplir con las regulaciones y requisitos legales. Para la mejora de los procesos. Para la alta direccin de la entidad.
Ahora para poder realizar el establecimiento y la operacin de un programa de mediciones necesita realizar los siguientes puntos en orden. Definir los procesos Desarrollo de mediciones Implementacin del programa Revisin de mediciones.
Pgina - 69 -
Las mediciones pueden estar relacionadas con: Ejecucin de controles de seguridad de la informacin, como puede ser por ejemplo el volumen de incidencias por tipo. Procesos de sistemas de gestin, como puede ser por ejemplo si se realizan las auditoras indicadas.
Adems las mediciones tienen que cumplir con una serie de criterios para que sean validadas por la entidad. Los cuales son: Cuantitativo: uso de datos numricos. Indivisible: los datos de obtendr en el nivel ms bajo. Definicin: tienen que estar bien documentadas de todas sus
caractersticas (frecuencia, indicadores, etc.) Usable: los resultados sirven para la toma de decisiones. Verificable: las revisiones deben de ser capaz de valorar el dato y obtener resultados. Estratgico: tiene que estar en relacin con la misin y la estrategia de la seguridad de la informacin. Razonable: el valor del dato obtenido no tiene que ser mayor al coste de recolectarlo. Tendencia: los datos deberan de ser representar el impacto cuando se realizan cambios.
A la hora de seleccionar los controles necesarios la entidad tiene que hacer los siguientes pasos: Definir un programa.
Seleccionar los controles y objetivos de control para ser incluidos en dichas mediciones. Definir los indicadores para sus respectivos controles.
Plan-Do-Check-Act (PDCA) Consiste en una relacin cclica de entrada y salida de las actividades de medicin. Las cuales se dividen en cuatro etapas. Plan Do Check Act
En este ciclo PDCA (PlanDoCheckAct), se tiene que tener mucho cuidado en cada nivel y tratarlo de forma cuidadosa desde el principio de su desarrollo ya que se van tomando una informacin totalmente necesaria a la hora de la toma de decisiones para la entidad y un pequeo error en ellas puede ocasionar graves problemas para la entidad. Ya que pueden arrastrar los errores una tras otra. Por lo tanto sern necesarias comentarlas una por una.
Las cuatro etapas de forma ms exhaustiva:
PLAN: consiste en establecer SGSI y definir las mtricas, en este punto para que la mtrica que estemos definiendo para la seguridad sea correcta tiene que cumplir una serie de puntos necesarios para ello. Tiene que ser algo notable para la entidad en la cual se va a realizar. Tiene que poder medir la evolucin de la seguridad en la entidad en el paso del tiempo (cambios, mejoras) Tiene que ser reproducible. Tiene que ser objetiva. Tiene que ser justificable Tiene que ser imparcial.
Pgina - 72 -
Una vez elegida la medida de seguridad se tiene que
elegir la estrategia de
seguridad que haya sido elegida por la alta direccin de la entidad mediante una serie de objetivos estratgicos.
Esta serie de objetivos estratgicos tienen una serie de indicadores los cuales tienen como funcin medir el grado o calificacin que se obtiene a cumplir el objetivo. Dichos indicadores debern de ser capaces de obtener una meta asociada que consiste en el valor que tienen que alcanzar los indicadores.
Sin embargo a la hora de elegir las mtricas se debe de pensar que los recursos de la entidad son limitados, lo que obliga a que solo se puedan realizar las mtricas que sean rentables a la entidad, adems se debe de tener cuidado
porque puede ser una arma de doble filo ya que si se aplica ms recursos de los debidos a dichas mtricas de seguridad puede provocar grandes prdidas a la entidad y acabar siendo un gran error en vez de ser un fortalecimiento para nuestra entidad, por lo tanto a la hora de elegir la mtrica correcta tendremos que justificar los recursos utilizados junto al esfuerzo realizado con la informacin resultante que obtengamos, ya que si se gastan muchos recursos y esfuerzos para obtener una informacin que no sea lo bastante valiosa para justificar tanto esfuerzo no habr valido la pena ya que habr producido ms gastos de los necesarios para obtener dicha informacin y ser una prdida de tiempo, recursos y esfuerzo que traducido literalmente para la entidad consistir en una gran prdida de dinero para la entidad.
DO: consiste en adaptar procedimientos y controles con el fin de poder obtener los datos necesarios. En este punto es necesaria la existencia del personal de trabajo para obtener, procesar y comunicar los datos obtenidos al cuadro de mando. Esto obliga que dicho personal tiene que estar cualificado para ello y por tanto dicho personal tiene
que estar formado y concienciado a los trabajadores a la hora de evaluar dichos datos, ya que entonces podemos estar cometiendo un grave error a la hora de evaluar por parte del personal de la empresa y tener unos datos errneos, por tanto para la empresa consistir en dar un trabajo adicional a dichos trabajadores formndoles a la vez de invertir ms dinero en ellos (pagar horas extras a los trabajadores por la formacin) as como invertir en los recursos. Estas personas que estn tomando los datos tendrn que avisarlo de forma continua al cuadro de mando. Ya que gracias al cuadro de mando se puede visualizar de una mejor manera los datos obtenidos as como los resultados con el fin de ayudar a la mejora de la entidad y a ellos mismos a la hora de realizar su trabajo.
CHECK: en este punto se deben de revisar los datos obtenidos de las mtricas realizadas. Este tambin es un punto importante ya que a la hora de las decisiones que tome una entidad se basan en relacin a sus datos obtenidos y por tanto dichos datos no pueden ser errneos ya que se tomarn decisiones a partir de una base la cual no es real o est equivocada debido a los datos tomados errneamente, por tanto en este punto se centra en revisar los datos obtenidos de las mtricas para que la entidad sepa realmente lo que est ocurriendo. Para realizar la revisin de dichos datos se har despus de que los indicadores han sido implantados en la entidad. Consiguiendo as poder saber si dichos indicadores son rentables y tiles para la entidad. Por ltimo adems de revisar los datos obtenidos se recomienda tambin tomar nota de las opiniones de los empleados que usan dichos indicadores ya que toda informacin es necesaria, y posiblemente se necesiten varios puntos de vista a la hora de enfrentarse a un problema.
Pgina - 74 -
ACT: Este ltimo punto se centra en la revisin y mejora de las mtricas de seguridad.
Ahora se centrarn en las revisiones de la calidad de las mtricas y de los objetivos con el fin de comprobar que siguen cumpliendo con los objetivos definidos en el principio adems de que sigan siendo tiles para la entidad.
Cuando se realizan dichas revisiones tienen que comprobar y por tanto realizar una serie de puntos para comprobar que siguen siendo tiles. Los cuales son los siguientes: Se tiene que evaluar la eficiencia del SGSI (sistema de gestin de seguridad de la informacin. Saber que el coste de mantener las mtricas y la obtencin de datos no sea superior al valor que aporta dicha informacin. Indicar la evolucin de los objetivos de seguridad indicados por la entidad. Saber que los objetivos de las mtricas no sean lo suficientemente bajos porque entonces siempre saldra de forma correcta.
3.5.3 Cuadro de mando
Qu es un cuadro de mando? Un cuadro de mando es una herramienta de gestin.
Al cuadro de mando se le considera como una de las herramientas ms importantes, valiosas y potentes que puede utilizar la direccin de la entidad para evaluar su estado de seguridad el cual les servir para la toma de decisiones.
Dicha herramienta deber centrarse en los indicadores de la organizacin los cuales no cumplen los lmites elegidos por la entidad as como los indicadores que pueden llegar a superar los lmites elegidos.
Adems el cuadro de mando tiene otras funciones como por ejemplo ayudar a la comunicacin entre diferentes niveles de los empleados de la entidad, tambin sirve para asignar responsabilidades a dichos empleados. Tambin el cuadro de mando ayudar a la entidad a la hora de afrontar nuevos riesgos de seguridad, as como gestionar dichos controles de seguridad, cmo se percibe la seguridad por parte de los clientes, accionistas y empleados de la entidad y la ms importante a contribuir a la hora de obtener los objetivos de negocio de la entidad.
El objetivo principal del cuadro de mando consistir en mejorar los resultados que obtiene la entidad.
Cmo implantar un cuadro de mando correcto en una entidad?
Para la implantacin de un cuadro de mando de seguridad es un trabajo con bastante dificultad desde el punto de vista organizativo y tcnico. Esto provoca que en muchos casos dicho proyecto fracase en su implantacin.
A la hora de implantar un cuadro de mando en una entidad se tiene que tomar en cuenta ciertos puntos y aspectos con el fin de que la implantacin sea de forma correcta y sin causar pequeos problemas en la entidad. Para ello se recomienda que se cumplan las siguientes acciones:
Pgina - 76 -
Sealar toda la informacin que sea totalmente necesaria de una forma resumida, sin complicaciones, entendible, sencilla y eficaz, todo esto servir para la toma de decisiones. Resumir la representacin usando un juego de colores el cual nos sirva para indicar los cambios de estado. (Rojo, amarillo, verde) Encadenar los indicadores a sus respectivos objetivos, con el fin de saber qu es lo que se est midiendo. Deber de facilitar el trabajo de comparar resultados entre reas de la entidad diferentes. Sealar lo importante para la compaa indicando aquellos indicadores que no evolucionan segn era lo planificado por la entidad. Y el ms importante de todos obtener el apoyo de la Direccin y alcanzar el mayor consenso posible entre los participantes del diseo.
Por ltimo cabe mencionar y sealar que dependiendo de a quien est dirigido el cuadro de mando, los indicadores se agruparn de manera diferente dependiendo de los empleados que los utilizan. Si est centrado en la Direccin de la entidad habr que realizar un cuadro de mando de valoracin econmica de los impactos tcnicos para la entidad. Si est centrado en los empleados tcnicos de la entidad se tendra que hacer un cuadro de mando de impacto de fallos tcnicos.
Pgina - 78 -
Capitulo IV: Proceso de Implementacin y Certificacin de la Norma ISO 27000 4.1 Implantacin del SGSI2 Evidentemente, el paso previo a intentar la certificacin es la implantacin en la organizacin del sistema de gestin de seguridad de la informacin segn ISO 27001. Este sistema deber tener un historial de funcionamiento demostrable de al menos tres meses antes de solicitar el proceso formal de auditora para su primera certificacin. En un mundo donde cada vez ms la gestin TI es externalizada o delegadas ciertas partes a sistemas que no son propiedad de la organizacin, es
necesario al menos tener identificados los riesgos y garantizar sobre todo que a pesar de eso, podemos proporcionar proteccin de informacin a nuestras partes propios interesadas (clientes y los la
departamentos
de
Organizacin).
http://www.iso27000.es/certificacion.html#section5a
Pgina - 79 -
Primeramente para dar inicio al proceso de implementacin la empresa debe: Hacer una solicitud de certificacin, con la compaa certificadora que desee, en la cual incluir los datos de la empresa como lo son: Nombre de la empresa Direccin Telfono Nmero de empleados total
rea, proceso o departamento a certificar Nmero de empleados en el rea a certificar Entre otros. Posteriormente deber de incluir: Implicacin de la Direccin. Es decir el involucramiento de la empresa, para ver si esta es apta y cumple con los requisitos para ser certificada. Alcance del SGSI y poltica de seguridad. Determinar el alcance que se quiere obtener con la certificacin, y la poltica a seguir para la seguridad de los datos. Inventario de todos los activos de informacin. Recabar la informacin tanto de inmobiliario, como los datos mismos de todo lo que se tiene. Metodologa de evaluacin del riesgo. Cul es el mtodo para conocer mis riesgos y hacer una evaluacin de los mismos. Identificacin de amenazas, vulnerabilidades e impactos. Determinar cules son las amenazas y vulnerabilidades que se tiene como empresa y los impactos que estos tendran. Anlisis y evaluacin de riesgos. Analizar y evaluar todos aquellos riesgos a los cuales la empresa est expuesta tanto externo como internamente. Seleccin de controles para el tratamiento de riesgos. Elegir cuales sern mis tcnicas de accin para disminuir los riesgos. Aprobacin por parte de la direccin del riesgo residual. Declaracin de aplicabilidad. Plan de tratamiento de riesgos. Determinar el plan estratgico a llevar a cabo para tratar los riesgos. Implementacin de controles, documentacin de polticas,
procedimientos e instrucciones de trabajo.
Pgina - 81 -
Definicin de un mtodo de medida de la eficacia de los controles y puesta en marcha del mismo. Formacin y concienciacin en lo relativo a seguridad de la informacin a todo el personal. Monitoreo constante y registro de todas las incidencias. Realizacin de auditoras internas. Previas a la certificacin. Evaluacin peridica de riesgos, revisin del nivel de riesgo residual, del propio SGSI y de su alcance. Mejora continua del SGSI. Otra forma de explicarlo es: Establecer el SGSI Definir el alcance del SGSI en trminos del negocio, la organizacin, su localizacin, activos y tecnologas, incluyendo detalles y justificacin de cualquier exclusin. Definir una poltica de seguridad que: o incluya el marco general y los objetivos de seguridad de la informacin de la organizacin; o considere requerimientos legales o contractuales relativos a la seguridad de la informacin; o est alineada con el contexto estratgico de gestin de riesgos de la organizacin en el que se establecer y mantendr el SGSI; o establezca los criterios con los que se va a evaluar el riesgo; o est aprobada por la direccin. Definir una metodologa de evaluacin del riesgo apropiada para el SGSI y los requerimientos del negocio, adems de establecer los criterios de aceptacin del riesgo y especificar los niveles de riesgo aceptable. Lo primordial de esta metodologa es que los resultados obtenidos sean comparables y repetibles (existen numerosas metodologas estandarizadas
para la evaluacin de riesgos, aunque es perfectamente aceptable definir una propia). Identificar los riesgos: identificar los activos que estn dentro del alcance del SGSI y a sus responsables directos, denominados propietarios;
identificar las amenazas en relacin a los activos; identificar las vulnerabilidades que puedan ser aprovechadas por dichas amenazas; identificar los impactos en la confidencialidad, integridad y disponibilidad de los activos. Analizar y evaluar los riesgos: o evaluar el impacto en el negocio de un fallo de seguridad que suponga la prdida de confidencialidad, integridad o disponibilidad de un activo de informacin; o evaluar de forma realista la probabilidad de ocurrencia de un fallo de seguridad en relacin a las amenazas, vulnerabilidades, impactos en los activos y los controles que ya estn implementados; o estimar los niveles de riesgo; o determinar, segn los criterios de aceptacin de riesgo previamente establecidos, si el riesgo es aceptable o necesita ser tratado. Identificar y evaluar las distintas opciones de tratamiento de los riesgos para: o aplicar controles adecuados; o aceptar el riesgo, siempre y cuando se siga cumpliendo con las polticas y criterios establecidos para la aceptacin de los riesgos; o evitar el riesgo, p. ej., mediante el cese de las actividades que lo originan;
o transferir el riesgo a terceros, p. ej., compaas aseguradoras o proveedores de Outsourcing.
Seleccionar los objetivos de control y los controles del Anexo A de ISO 27001 para el tratamiento del riesgo que cumplan con los requerimientos identificados en el proceso de evaluacin del riesgo. Aprobar por parte de la direccin tanto los riesgos residuales como la implantacin y uso del SGSI. Definir una declaracin de aplicabilidad que incluya: o los objetivos de control y controles seleccionados y los motivos para su eleccin; o los objetivos de control y controles que actualmente ya estn implantados; o los objetivos de control y controles excluidos y los motivos para su exclusin; este es un mecanismo que permite, adems, detectar posibles omisiones involuntarias. Implementar y Utilizar el SGSI
Pgina - 84 -
Definir un plan de tratamiento de riesgos que identifique las acciones, recursos, responsabilidades y prioridades en la gestin de los riesgos de seguridad de la informacin. Implantar el plan de tratamiento de riesgos, con el fin de alcanzar los objetivos de control identificados, incluyendo la asignacin de recursos, responsabilidades y prioridades. Implementar los controles anteriormente seleccionados que lleven a los objetivos de control. Definir un sistema de mtricas que permita obtener resultados
reproducibles y comparables para medir la eficacia de los controles o grupos de controles. Procurar programas de formacin y concienciacin en relacin a la seguridad de la informacin a todo el personal. Gestionar las operaciones del SGSI. Gestionar los recursos necesarios asignados al SGSI para el
mantenimiento de la seguridad de la informacin. Implantar procedimientos y controles que permitan una rpida deteccin y respuesta a los incidentes de seguridad.
Monitorizar y Evaluar el SGSI La organizacin deber: Ejecutar procedimientos de monitorizacin y revisin para: o detectar a tiempo los errores en los resultados generados por el procesamiento de la informacin; o identificar brechas e incidentes de seguridad; o ayudar a la direccin a determinar si las actividades desarrolladas por las personas y dispositivos tecnolgicos para garantizar la seguridad de la informacin se desarrollan en relacin a lo previsto;
o detectar y prevenir eventos e incidentes de seguridad mediante el uso de indicadores; o determinar si las acciones realizadas para resolver brechas de seguridad fueron efectivas. Revisar regularmente la efectividad del SGSI, atendiendo al cumplimiento de la poltica y objetivos del SGSI, los resultados de auditoras de seguridad, incidentes, resultados de las mediciones de eficacia,
sugerencias y observaciones de todas las partes implicadas. Medir la efectividad de los controles para verificar que se cumple con los requisitos de seguridad. Revisar regularmente en intervalos planificados las evaluaciones de riesgo, los riesgos residuales y sus niveles aceptables, teniendo en cuenta los posibles cambio que hayan podido producirse en la organizacin, la tecnologa, los objetivos y procesos de negocio, las amenazas identificadas, la efectividad de los controles implementados y el entorno exterior, requerimientos legales, obligaciones contractuales, etc. Realizar peridicamente auditoras internas del SGSI en intervalos planificados. Revisar el SGSI por parte de la direccin peridicamente para garantizar que el alcance definido sigue siendo el adecuado y que las mejoras en el proceso del SGSI son evidentes. Actualizar los planes de seguridad en funcin de las conclusiones y nuevos hallazgos encontrados durante las actividades de monitorizacin y revisin. Registrar acciones y eventos que puedan haber impactado sobre la efectividad o el rendimiento del SGSI.
Mantener y Mejorar el SGSI La organizacin deber regularmente:
Pgina - 86 -
Implantar en el SGSI las mejoras identificadas.
Realizar las acciones preventivas y correctivas adecuadas en relacin a la clusula 8 de ISO 27001 y a las lecciones aprendidas de las experiencias propias y de otras organizaciones. Comunicar las acciones y mejoras a todas las partes interesadas con el nivel de detalle adecuado y acordar, si es pertinente, la forma de proceder. Asegurarse que las mejoras introducidas alcanzan los objetivos previstos.
Pgina - 87 -
Empresas que certifican en la ISO 27001. AENOR..
Desde 1992, AENOR formacin promueve las tcnicas para el desarrollo de sistemas de gestin en las organizaciones y la capacitacin en competencias de direccin y especializacin tcnica. Actualmente, se ha posicionado como el principal referente en la formacin de las empresas comprometidas con la calidad y el medio ambiente, consolidndose, adems, en otras reas relacionadas con las actividades de normalizacin y certificacin desarrolladas por AENOR, como seguridad de la informacin, seguridad y salud laboral o I+D+i. AENOR formacin ofrece actualmente ms de un centenar de cursos impartidos bajo distintas modalidades: en abierto, in-company, on-line y CD ROM, entre los que figuran seminarios y cursos de corta duracin, as como titulaciones propias y programas mster. Ms de 60.000 profesionales han confiado en AENOR formacin para recibir una formacin de primer nivel, acorde con las necesidades de un mercado cada da ms competitivo. Las claves de la calidad de los cursos impartidos por AENOR formacin son: un profundo conocimiento del sector empresarial, un contenido de los cursos especfico para dar respuesta a las necesidades reales de las empresas y un profesorado altamente cualificado constituido en su totalidad por profesionales en activo. Cada ao AENOR formacin refuerza su amplia oferta formativa con nuevos programas que dan respuesta a los continuos cambios que se producen en el mbito empresarial.
Pgina - 88 -
Informacin para certificar con AENOR. La informacin es uno de los principales activos de las organizaciones. La defensa de este activo es una tarea esencial para asegurar la continuidad y el desarrollo del negocio, as como tambin es una exigencia legal (proteccin de la propiedad intelectual, proteccin de datos personales, servicios para la sociedad de la informacin), y adems traslada confianza a los clientes y/o usuarios. Una gestin eficaz de la seguridad de la informacin permite garantizar: Confidencialidad, integridad y disponibilidad; para dar plena seguridad de que la informacin solo es utilizada por las personas autorizadas y que est siendo
manipulada correctamente. La certificacin del Sistema de Gestin de Seguridad de la Informacin de LA EMPRESA CERTIFICADORA, de acuerdo a UNE-ISO/IEC 27001, contribuye a fomentar las actividades de proteccin de la informacin en las organizaciones, mejorando su imagen y generando confianza frente a terceros. Por otra parte, el inters de las empresas espaolas por esta certificacin ha hecho que entremos en el top ten mundial por el nmero de certificados de SGSI, y que LA EMPRESA CERTIFICADORA sea el lder en esta certificacin. Sectores relacionados Este esquema de certificacin es aplicable a cualquier tipo de organizacin independientemente del sector en el que acte. Posibilidad de obtener certificacin integrada con El Sistema de Gestin de la Seguridad de la Informacin integra el ciclo de mejora continua PDCA, compartindolo con el resto de Sistemas de Gestin ISO. Esto posibilita la integracin del SGSI con cualquier otro sistema de gestin. Lo que el cliente obtiene
Una vez superado el proceso de Auditora, si el sistema implantado se adeca a los requisitos de la norma UNE-ISO/IEC 27001 Tecnologas de la Informacin. Tcnicas de seguridad. Sistema de Gestin de Seguridad de la Informacin (SGSI). Requisitos, la organizacin obtiene:

El Certificado de Sistemas de Gestin de Seguridad de la Informacin. El licenciamiento de uso de la marca Seguridad de la Informacin de la empresa certificadora.
El Certificado IQNet, pasaporte para un acceso internacional de su certificacin. Con l, su certificado quedar reconocido por las entidades de certificacin lderes en el mbito internacional.
La licencia de uso de la marca IQNet.
La certificacin permite a las compaas calcular y analizar sus riesgos identificando amenazas y por lo tanto prevenir o reducir eficazmente el riesgo mediante la implantacin de los controles adecuados. Qu hacer para certificarse? El derecho de uso de estas marcas se concede tras un proceso de certificacin. El esquema siguiente representa el proceso general de auditora para la certificacin de productos y sistemas de gestin.
Pgina - 90 -
Caractersticas y ventajas de Certool Con Certool disee, implante, mantenga y mejore su sistema de gestin con: Eficacia: Aumente la eficacia en la gestin de la informacin al utilizar una nica base de datos. Ahorro de tiempos y costes: Simplifique las tareas de comunicacin y administracin necesarias para el funcionamiento de los sistemas de gestin.
Pgina - 91 -
Agilidad en la obtencin de informacin: Obtenga de manera rpida y sencilla todo tipo de consultas e informes. Fluidez en la comunicacin y difusin del conocimiento: Potencie el flujo de comunicacin e involucre a las personas en el sistema. Respeto por el medio ambiente: Reduzca en gran medida los registros en papel u otros soportes fsicos. Mejora continua: Certool Compact constituye una base de datos de conocimiento sobre su propia organizacin, favoreciendo el establecimiento de programas de mejora dentro de la misma. Disponibilidad e integracin: Acceda a la informacin desde cualquier lugar (Intranet/ Extranet/ Internet) e integre Certool con otras aplicaciones.
Pgina - 92 -
Las caractersticas de Certool le reportar mltiples ventajas que lo convierten en una solucin ptima para su organizacin:
Aplicacin web cliente / servidor: Los usuarios solamente necesitan tener instalado en su equipo un navegador. Siempre actualizado: Actualizado por LA EMPRESA CERTIFICADORA tanto funcional como tecnolgicamente. Fcil de usar: Disfrutar de una herramienta rpida de aprender y sencilla de usar, que incrementar su productividad y satisfaccin.
Pgina - 93 -
Gestin de la seguridad: Su completo sistema de permisos facilita que los usuarios accedan justo a la informacin que necesitan. Soporta distintos tipos de bases de datos: SQL Server Express, SQL Server y Oracle. Posibilidad de trabajar en entorno multiempresa / multicentro: Con una sola aplicacin podr gestionar los sistemas de mltiples organizaciones, permitiendo as realizar comparativas entre ellas. Escalabilidad: Permite escalar a otras soluciones informticas desarrolladas por LA EMPRESA CERTIFICADORA. Multi-idioma: Cada usuario podr elegir el idioma en el que desea trabajar. Explotacin de la informacin: Podr obtener de forma rpida informacin actualizada de su sistema de gestin, a travs de los mltiples informes que se incluyen en la aplicacin y/o diseando nuevos informes adaptados a las necesidades de su organizacin. Exportables en distintos formatos: Excel, Pdf y Word. Organizacin de tareas y gestin de avisos: Agiliza la gestin de las tareas derivadas del sistema de gestin y facilita la comunicacin entre los participantes, por comunicacin a travs de e-mail y por sincronizacin con el organizador de tareas de Microsoft Outlook. Parte legal para certificacin con AENOR. Cualquier organizacin puede solicitar a cualquier empresa certificadora la certificacin y consecuente concesin del Certificado. Dicha empresa facilitar a todas las organizaciones que lo requiera la documentacin necesaria para efectuar la solicitud, que se realizar sobre impreso establecido al efecto. Con la informacin recibida, la empresa certificadora
Pgina - 94 -
establecer las condiciones contractuales econmicas y tcnicas particulares que sean de aplicacin. El proceso de certificacin se iniciar con la aceptacin por parte de la organizacin de dichas condiciones, que podrn ser modificadas a lo largo del proceso de certificacin, mantenimiento o renovacin, previo acuerdo de las partes. Recepcin de la solicitud La empresa certificadora analizar la solicitud y la informacin remitida por la organizacin y solicitar la complementaria que sea precisa, con el fin de llevar a cabo la auditora inicial. Luego podr decidir la anulacin de la solicitud si por razones ajenas a su
voluntad, no se lleva a cabo la auditora inicial antes de que transcurra un ao desde su recepcin. Auditora inicial
La auditora inicial tiene como finalidad determinar si el sistema de gestin implantado por la organizacin cumple con los requisitos establecidos en el documento normativo correspondiente. Le empresa certificadora enviar a la organizacin el plan de la auditora inicial, en el que se indicar, segn proceda, las fechas de realizacin, el equipo auditor designado, el lugar o lugares donde se llevar a cabo, el alcance que este tendr y otros datos relevantes conforme al modelo de sistema de gestin a certificar. La organizacin podr solicitar a la certificadora informacin sobre los auditores designados. Con carcter general, esta auditora se llevar a cabo en dos fases: En la fase 1, el equipo auditor debe confirmar el alcance (actividades, ubicaciones, etc.) de la certificacin solicitada y asegurarse de que el nivel de implantacin del
sistema de gestin garantiza que la organizacin est preparada para la auditora de la fase 2. Para ello: auditar la documentacin del sistema de gestin; evaluar la ubicacin y condiciones especficas en las que se encuentra implantado el sistema, recopilando la informacin sobre el alcance del sistema, sus procesos y ubicaciones, aspectos legales y reglamentarios relacionados y que estos tengan pleno cumplimiento; revisar el grado de comprensin, por la organizacin, de los requisitos del documento normativo, en particular lo concerniente a la identificacin de aspectos clave o significativos del desempeo de procesos, objetivos y funcionamiento del sistema de gestin; evaluar si las auditoras internas y la revisin por la direccin se planifican y realizan, y acordar con la organizacin los detalles de la fase 2, entre ellos, se confirmar, en la medida de lo posible, la fecha, duracin, equipo auditor y alcance de la misma. En la fase 2, el equipo auditor comprobar si el sistema de gestin, descrito en la documentacin y evidenciado en los registros, est efectivamente implantado y cumple con los requisitos establecidos en el documento normativo
correspondiente. Los resultados de la auditora inicial se reflejarn en informes de carcter confidencial en los que se indicarn, en su caso, las no conformidades detectadas. Los informes de auditora son propiedad de LA EMPRESA CERTIFICADORA; un ejemplar de los mismos quedar en poder de la organizacin. Si existen no conformidades, la organizacin deber presentar un plan de acciones correctivas necesarias para corregirlas, indicando los plazos previstos
para su puesta en prctica y aportando el nmero mximo de pruebas que evidencien que dichas acciones se han llevado, o se llevarn a cabo, y en qu plazo. En el caso de existir no conformidades relevantes, ser necesario que la organizacin auditada presente evidencias suficientes de que las acciones correctivas adecuadas estn implantadas. Con carcter general, no debern transcurrir ms de 3 meses entre la realizacin de las fases 1 y 2; para la certificacin de un sistema de gestin en concreto, su Reglamento Particular puede fijar otro periodo diferente a los 3 meses indicados. Evaluacin y acuerdos La certificadora evaluar la informacin recopilada en la auditora inicial y, si existen no conformidades, el plan de acciones correctivas propuesto por la organizacin, pudiendo solicitar aclaraciones, ms informacin o alternativas a las acciones propuestas. En relacin con la certificacin y la concesin del correspondiente Certificado que lo atestigua, y en funcin de toda la informacin evaluada, le certificadora adoptar uno de los siguientes acuerdos: Conceder el Certificado. Tras ello, llevar a cabo una auditora extraordinaria. No conceder el Certificado hasta que no est la realizacin de una auditora extraordinaria con resultados satisfactorios. Estas auditoras extraordinarias, a realizar en plazo determinado por la empresa certificadora en cada caso, tienen como finalidad verificar la resolucin de las no conformidades detectadas durante la auditora inicial. La no realizacin de la auditora extraordinaria en los plazos indicados por la certificadora dar lugar a la no concesin o a una de las sanciones previstas en sus politicas. Tras la
Pgina - 97 -
realizacin de la auditora extraordinaria y, si procede, el anlisis de las acciones correctivas propuestas por la organizacin, la certificadora adoptar un nuevo acuerdo. LA EMPRESA CERTIFICADORA comunicar a la organizacin los acuerdos adoptados y los motivos que los originan. Ante dichos acuerdos cabe la interposicin de recurso segn se establece en sus reglamentos. Concesin del Certificado Tras su concesin, LA EMPRESA CERTIFICADORA emitir un Certificado vlido por un mximo de tres aos a la organizacin certificada, en el que se detallar, entre otros: Documento normativo aplicable, El alcance, actividades y ubicaciones, del sistema de gestin certificado. Con la concesin del Certificado, LA EMPRESA CERTIFICADORA otorgar a la organizacin certificada licencia para usar la Marca correspondiente. En ningn caso, esta licencia puede ser empleada por, ni transferida a, otro centro de actividad, organizacin, o alcance distinto a los que se refiera el Certificado. Durante el mantenimiento o renovacin de la certificacin, la organizacin puede solicitar a LA EMPRESA CERTIFICADORA la modificacin del alcance, actividades y ubicaciones, certificados. LA EMPRESA CERTIFICADORA evaluar dicha solicitudes y establecer, en cada caso, su viabilidad y la evaluacin o auditora necesaria para proceder a dicha modificacin. La certificacin de LA EMPRESA CERTIFICADORA no exime en ningn caso de las garantas y responsabilidades que correspondan a la organizacin conforme a la legislacin vigente, sea cual sea el sistema de gestin certificado.
Pgina - 98 -
LA EMPRESA CERTIFICADORA no se har responsable, en ningn caso, de cualesquiera incumplimientos de la legislacin vigente de la mencionada organizacin o de los derivados de sus actividades. Los Compromisos a Cumplir: Adems de cumplir con los requisitos establecidos en los otros captulos, la organizacin certificada est obligada a: a) Mantener el sistema de gestin eficazmente implantado mientras el Certificado que lo atestigua est en vigencia. b) Permitir al equipo auditor designado por LA EMPRESA CERTIFICADORA el acceso a los documentos, datos e instalaciones relacionados con el sistema de gestin certificado. La Direccin de la organizacin y sus inmediatos colaboradores deben estar a disposicin del equipo auditor de LA EMPRESA CERTIFICADORA durante la realizacin de las auditoras. c) Informar al equipo auditor de LA EMPRESA CERTIFICADORA de todos aquellos hechos que se consideren relevantes para la evaluacin del sistema de gestin y facilitar en todo momento su trabajo. d) Efectuar los pagos correspondientes a los gastos derivados de la certificacin. e) Comunicar por escrito a LA EMPRESA CERTIFICADORA sin demora: La solicitud de una suspensin voluntaria temporal de la certificacin por cese de actividad, traslado de instalaciones, u otra justificacin. Las modificaciones que realice en el sistema de gestin o instalaciones que afecten al alcance certificado o a las condiciones contractuales. Las modificaciones jurdicas de la empresa o cambios en la razn social que afecten al alcance del Certificado o a las condiciones contractuales.
Las incidencias acontecidas, incluido cualquier procedimiento administrativo o judicial, que puedan cuestionar la eficacia del sistema de gestin certificado. A la vista de esta informacin, LA EMPRESA CERTIFICADORA definir si es preciso realizar una auditora extraordinaria o evaluar informacin adicional, para mantener o modificar su Certificado o el estado del mismo. La modificacin puede consistir en ampliacin, reduccin, suspensin voluntaria temporal u otro cambio en el alcance certificado o datos del Certificado. f) Tener y poner a disposicin de los servicios de LA EMPRESA CERTIFICADORA un procedimiento para el tratamiento y registro de las reclamaciones realizadas sobre los productos, procesos o servicios cubiertos por el sistema de gestin certificado, as como de las acciones correctivas a que dieran lugar. g) Permitir que el personal de entidades de acreditacin, organismos o administracin competentes, asistan como observadores a la realizacin de cualquier tipo de auditora efectuada por LA EMPRESA CERTIFICADORA en sus instalaciones. Los gastos ocasionados por dicha asistencia no sern impuestos a la organizacin. h) En el caso de retirada o renuncia del Certificado, la organizacin certificada se compromete a: No hacer ningn tipo de uso del Certificado a LA EMPRESA CERTIFICADORA, copias o reproducciones del mismo, o del hecho de haber estado certificado. Retirar de su documentacin, publicidad o datos cualquier referencia de la certificacin que se le concedi en su momento. Dejar de manera inmediata cualquier uso de la Marca.
Pgina - 100 -
Conclusin
Toda la informacin contenida en las empresas es de vital importancia y necesita estar protegida y resguardada, hoy en da se puede prever, que la certificacin ISO 27000 ser una obligacin de cualquier empresa que desee competir en el mercado, por supuesto que se deben exigir niveles concretos y adecuados de seguridad informtica, de lo contrario se podran abrir brechas de seguridad, es de esto de lo que trata la norma ISO 27000, exige a diferentes niveles de una empresa u organizacin a cubrir todas estas posibles brechas. Ya no cabe duda que las empresas para competir con sus productos en el mercado ciberntico, tienen que exponer sus infraestructuras de informacin, es por esto que ISO 27000 en este sentido es una muy buena y slida solucin.
Es claro que al aplicar en una organizacin un estndar como ISO 27000 el trabajo con estos estndares debe ser continuo, ya que ISO ao tras ao publica nuevas modificaciones a estos estndares, para as asegurar una correcta gestin de la informacin de las organizaciones, por lo tanto se recomienda estar muy pendiente de todas estas nuevas publicaciones para no poner en riesgo la informacin de la organizacin.
Algo que queda muy claro es que los estndares ISO 27000 son aplicables a cualquier tipo de organizacin, independientemente de la magnitud que sea, si es grande este estndar tiene todo el nivel de detalle que se necesita y si es pequea, ISO 27000 permite sacar adelante un verdadero Sistema de Gestin de la Seguridad de la Informacin.
Pgina - 101 -
Recomendaciones 1. La informacin es un activo vital para el xito y la continuidad en el mercado de cualquier organizacin. El aseguramiento de dicha informacin y de los sistemas que la procesan es, por tanto, un objetivo de primer nivel para la organizacin. 2. Para la adecuada gestin de la seguridad de la informacin, es necesario implantar un sistema que aborde esta tarea de una forma metdica, documentada y basada en unos objetivos claros de seguridad y una evaluacin de los riesgos a los que est sometida la informacin de la organizacin. 3. ISO 27000 es un conjunto de estndares desarrollados -o en fase de desarrollo- por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestin de la seguridad de la informacin utilizable por cualquier tipo de organizacin, pblica o privada, grande o pequea. 4. Implantar ISO 2700 puede llevar tiempo y consumir recursos no previstos, especialmente si las compaas no disponen de un plan de implantacin al inicio del proceso de conformidad. Con objeto de intensificar los esfuerzos en la conformidad, los auditores internos pueden ayudar a las compaas a identificar sus objetivos principales de negocio y el mbito para la implantacin. 5. Los auditores deberan trabajar con los departamentos TI para definir los niveles de madurez de conformidad actuales y analizar el retorno de inversin (ROI) del proceso de conformidad. Estos pasos pueden ser realizados por un equipo formado por miembros de la plantilla o por consultores externos con experiencia previa en la implantacin del estndar.
Bibliografa
Youtube.com [Publicacin seriada en lnea] [Consultado 27 de noviembre de 2013] Disponible en: http://www.youtube.com/watch?v=MtCGzjjlNOU Aenor.es [Publicacin seriada en lnea] [Consultado 28 de noviembre de 2013] Disponible en: http://www.aenor.es/aenor/software/certool/caracteristicas.asp CONACYT.com [Publicacin seriada en lnea] septiembre de 2013] Disponible en: Tecnologa de El Salvador Cert.inteco.es [Publicacin seriada en lnea] [Consultado 01 de diciembre de 2013] Disponible en: http://cert.inteco.es/cert/INTECOCERT/?postAction=getCertHome [Consultado 06 de
Consejo Nacional de Ciencia y
Aenor.es [Publicacin seriada en lnea] [Consultado 03 de diciembre de 2013] Disponible en: http://www.aenor.es/aenor/certificacion/aenornet/aenornet.asp ISO.com [Publicacin seriada en lnea] [Consultado 02 de diciembre de 2013] Disponible en: http://www.iso27001certificates.com. UFG.edu.sv [Publicacin seriada en lnea] [Consultado 03 de diciembre de 2013] Disponible en: http://wwwisis.ufg.edu.sv/wwwisis/documentos/TE/658.562-R173d/658.562R173d-CAPITULO%20I.pdf
Pgina - 103 -
Anexos Anexo 1: Reglamento Particular De Certificacin De Sistemas De Gestin De Seguridad De La Informacin RP-CSG-08.00 Reglamento aprobado el 2008-06-19 1: OBJETO El presente Reglamento particulariza el Reglamento General de Certificacin de Sistemas de Gestin y sus Marcas de Conformidad para la certificacin de los sistemas de gestin de seguridad de la informacin que son conformes con la Norma UNE-ISO/IEC 27001 Tecnologas de la Informacin. Tcnicas de seguridad. Sistema de Gestin de Seguridad de la Informacin (SGSI). Requisitos, en su edicin vigente. La certificacin se llevar a cabo segn las condiciones establecidas en el Reglamento General, con las especificidades o salvedades establecidas en el presente, y en conformidad con la Norma ISO/IEC 27006 Information technology Security techniques Requirements for bodies providing audit and certification of information security management systems, en su edicin vigente. La certificacin da lugar a la emisin del Certificado de Seguridad de la Informacin a la organizacin certificada, y sta obtiene el derecho al uso de la marca AENOR de Seguridad de la Informacin que se describe en el captulo 5. 2: DEFINICIONES Para la interpretacin del presente Reglamento sern de aplicacin las definiciones referenciadas y las contenidas en el Reglamento General y en las normas UNE-ISO/IEC 27001 Tecnologas de la Informacin. Tcnicas de seguridad. Sistema de Gestin de Seguridad de la Informacin (SGSI). Requisitos, ISO/IEC 27002 Information technology Security techniques Code of practice for information security
management e ISO/IEC 27006 Information technology Security techniques Requirements for bodies providing audit and certification of information security management systems, en sus ediciones vigentes. 3: CONCESIN, MANTENIMIENTO Y RENOVACIN DEL CERTIFICADO Los procesos de concesin, mantenimiento y renovacin del Certificado se ajustarn a los descritos en el Reglamento General, con las siguientes consideraciones: 3.1 Auditora inicial El auditor verificar el cumplimiento del Sistema de Gestin de Seguridad de la Informacin conforme a la Norma UNE-ISO/IEC 27001, y en relacin con su apartado 6,2 Auditoras Internas del SGSI, el auditor verificar que, al menos, se han llevado a cabo una auditora interna completa que incluya la evaluacin de los apartados del 4 al 8 de la Norma UNE-ISO/IEC 27001 y la revisin de los objetivos de control y controles que estn definidos en el documento de aplicabilidad de la organizacin. 3.2 Plazo para la presentacin del plan de acciones correctivas Si en la auditora inicial o en una auditora de seguimiento, renovacin o extraordinaria existen no conformidades, se establece un plazo de 30 das naturales para que la organizacin presente a AENOR el plan de acciones correctivas necesarias para corregirlas, as como cuantas evidencias sean necesarias para demostrar la eficacia de las mismas. 4: COMPROMISOS En relacin con el apartado f) del Captulo 9, Compromisos, del Reglamento General, la organizacin debe disponer y poner a disposicin de AENOR, un procedimiento para el tratamiento, investigacin y registro de las reclamaciones y las acciones de remedio y correctivas que contemple, entre otras, las siguientes acciones: Notificacin a las autoridades apropiadas, si la Ley as lo exige. Restaurar la conformidad.
Prevenir la recurrencia. Evaluar y mitigar cualquier incidente de seguridad adverso as como sus impactos asociados. Asegurar la interaccin satisfactoria con otros componentes del SGSI. Asegurar la eficacia de las acciones de remedio y correctivas adoptadas.
Pgina - 106 -
Anexo 2: Solicitud de Certificacin
Muy Sr./a. nuestro/a: Con el fin de poder iniciar los trmites de certificacin de su empresa, le rogamos cumplimenten este impreso y lo enven a la direccin de AENOR EL SALVADOR que figura al final del documento.
Datos generales de la entidad solicitante:
Entidad:
................................................................................................................................................... ............................................
...................................................................................................................................................
NIT: ............................................... Con Domicilio Social:

................................................................................................................................................... ..................
Direccin centro a certificar:

................................................................................................................................................... ......
Ciudad: ........................................................................................................ Departamento: .......................................................
C.P.: ...................................................... Pas:

.....................................................................
Pgina - 107 -
Si su empresa dispone de ms de un centro cumplimente el anexo CASO DE SOLICITAR MS DE UN CENTRO
Identificacin de cargos:
Persona que va a firmar el contrato (Representante Legal):
Apellidos y Nombre:
................................................................................................................................................... .....................
Cargo:
......................................................................................................................................
D.U.I.: ...........................................
Persona de contacto para la comunicacin y envo de correspondencia:
Apellidos y Nombre:
................................................................................................................................................... .....................
Cargo:
................................................................................................................................................... ..............................................
Direccin: .............................................................................................................................. C.P.: ................................................
Ciudad: ...................................................................................................... Departamento: .........................................................
Pas: ................................................ Telf.: .......................... Fax: .....................................
Pgina - 108 -
E-mail:
................................................................................................................................................... Persona de contacto para la facturacin:
Apellidos y Nombre:
...................................................................................................................................................
Cargo:
...................................................................................................................................................
Direccin: .............................................................................................................................. C.P.: ................................................
Ciudad: ...................................................................................................... Departamento: .........................................................
Pas: ................................................ Telf.: ........................... Fax: ....................................
E-mail:
...................................................................................................................................................
Pgina - 109 -
Solicitud de certificacin de Sistemas de gestin

Solicita la certificacin del sistema de gestin:
Gestin de la calidad: UNE-EN ISO 9001 Incluye diseo de productos? SI NO
UNE 66174 Gestin Avanzada 9004 Gestin ambiental: Ecodiseo Gestin integrada: 18001 Referenciales del automvil: Seguridad y salud laboral: organizacin: SI NO UNE-EN ISO/TS 16949 OHSAS 18001 La vigilancia de la salud est asumida por la UNE-EN ISO 9001 + UNE-EN ISO 14001 + OHSAS UNE-EN ISO 14001 Verificacin medioambiental (EMAS)
Modalidad preventiva: ....................................................................................................................

Aeroespacial: prEN 9120 (Almacenaje) Gestin de la accesibilidad: Agroalimentaria: EUREPGAP Otras certificaciones: I+D+I Acuerdo de Reconocimiento (IQNet) Otro no indicado: ................................................................................................................................................ ................................................................................................................................................ ................................................................................................................................................ ................................................................................................................................................ ....................................... Seguridad de la informacin (S.G.S.I.) ISO 27001 Gestin de Accesibilidad global UNE ISO 22000 BRC Alimentacin IFS SAL UNE EN 9100 (fabricacin) prEN 9110 (Mantenimiento)
Pgina - 110 -
Certificacin de productos y/o servicios:
Desean la certificacin de algn producto o servicio simultneamente con alguno de los sistemas anteriores? S No
En caso afirmativo, cite cules: Las condiciones econmicas para la prestacin del servicio solicitado son las
establecidas en la oferta N: ..................................
Actividades objeto de certificacin: Por ejemplo: produccin de, transporte de,

comercializacin de, instalacin de, diseo y produccin de, para cada sistema de gestin:
Indique, si lo conoce, el cdigo CNAE de la actividad que desea certificar:

.......................................
Estructura de la organizacin:
N total de empleados de la organizacin: ......................
N de personas de la organizacin a los que aplica el sistema objeto de la certificacin:
Propias: ................... Turnos: ..........................
Subcontratadas: ..............................
Personal / N
Pgina - 111 -
Informacin adicional:
Fechas aproximadas en las que se deseara:
Realizar la auditoria: ..........................................

............................................
Disponer del certificado:
Dispone de algn tipo de certificacin?
No
Cul y quin certifica:

..................................................................................................................................
Indique el nombre de las entidades asesoras que han participado en la implantacin de cada sistema de gestin en los ltimos tres aos:
........................................................................................................................................... ................................................................................................................................................ ...........................................................
La firma de la Solicitud implica:
El pago de las facturas generadas durante el proceso de certificacin solicitado, de acuerdo a lo establecido en la oferta correspondiente.
El cumplimiento en todo momento de la legislacin vigente aplicable a las actividades y centros de trabajo indicados en la presente solicitud de certificacin de sistemas.
En cumplimiento de la Ley de Prevencin de Riesgos Laborales vigente en materia de coordinacin de actividades empresariales. El firmante (cliente) se compromete a facilitar el intercambio de informacin preventiva (plan de prevencin de riesgos laborales, medidas de prevencin y emergencia, informacin) en relacin a los riesgos a los que pudiera estar expuesto, durante su estancia en sus instalaciones, el personal de AENOR en la prestacin de los servicios encomendados.
Pgina - 112 -
La empresa solicitante se compromete a informar de forma inmediata los cambios organizativos (legales, comerciales, de propiedad, etc.), y de su sistema de gestin (procesos, lneas de fabricacin, productos) a partir de la presentacin de la solicitud y mientras la empresa se encuentre certificada por AENOR.
La aceptacin de las condiciones particulares de cada certificacin especificadas en el anexo correspondiente.
En ........................................... a . de ........ de 20 ............
Nombre y Firma: (Director General/Representante Legal de la Empresa)
AENOR EL SALVADOR tratar, como responsable, sus datos de carcter personal con el fin de llevar a cabo la prestacin del servicio objeto de este documento, remitirles documentacin y realizar estudios. Los datos personales son voluntarios, impidindose, si no los facilita, la correcta prestacin de los servicios contratados. Si se facilitan durante la prestacin del servicio contratado datos de terceras personas deber informar previamente a estas del contenido de esta informacin y recabar su consentimiento para el tratamiento de sus datos. Podr ejercitar los derechos de acceso, rectificacin, cancelacin y oposicin de sus datos dirigindose a AENOR EL SALVADOR.
Sus datos podrn ser cedidos, cuando sea necesario, a las entidades titulares de las certificaciones que haya solicitado a AENOR EL SALVADOR y que sta gestione conjuntamente con dichas entidades, con el fin de que emitan las certificaciones y licencias de uso, consintiendo esta cesin de sus datos con la firma de este contrato, y abstenindose de contratar estos servicios si no consiente esta cesin de sus datos.
Nota importante: Rellene los datos del ANEXO correspondiente a cada sistema
solicitado.
Pgina - 113 -
AENOR EL SALVADOR Edificio Valencia. Cl. Llama del Bosque, Pte. y Pje. S Urb. Madreselva. Antiguo Cuscatln. El Salvador Tel.: +503 22 43 23 77 / Fax: 503 22 43 23 88 aenor@aenorelsalvador.com www.aenorelsalvador.com
BRASIL BULGARIA CHILE CHINA EL SALVADOR ITALIA MXICO - PORTUGAL
Pgina - 114 -
Anexo 3: Preguntas y respuestas frecuentes sobre Certificacin de la ISO. 1. Norma ISO 27001 Qu es ISO? ISO (International Organization for Standardization) es una federacin
internacional con sede en Ginebra (Suiza) de los institutos de normalizacin de 157 pases (uno por cada pas). Es una organizacin no gubernamental (sus miembros no son delegados de gobiernos nacionales), puesto que el origen de los institutos de normalizacin nacionales es diferente en los distintos pases (pblico, privado). ISO desarrolla estndares requeridos por el mercado que representen un consenso de sus miembros (previo consenso nacional entre industrias, expertos, gobierno, usuarios, consumidores) acerca de productos, tecnologas, mtodos de gestin, etc. Estos estndares, por naturaleza, son de aplicacin voluntaria, ya que el carcter no gubernamental de ISO no le da autoridad legal para forzar su implantacin. Slo en aquellos casos en los que un pas ha decidido adoptar un determinado estndar como parte de su legislacin, puede convertirse en obligatorio. ISO garantiza un marco de amplia aceptacin mundial a travs de los 3000 grupos tcnicos y 50.000 expertos que colaboran en el desarrollo de normas.
Qu es un estndar? Es una publicacin que recoge el trabajo en comn de los comits de fabricantes, usuarios, organizaciones, departamentos de gobierno y consumidores y que contiene las especificaciones tcnicas y mejores prcticas en la experiencia profesional con el objeto de ser utilizada como regulacin, gua o definicin para las necesidades demandadas por la sociedad y tecnologa.
Los estndares ayudan a aumentar la fiabilidad y efectividad de materiales, productos, procesos o servicios que utilizan todas las partes interesadas (productores, vendedores, compradores, usuarios y reguladores). En principio, son de uso voluntario, aunque la legislacin y las reglamentaciones nacionales pueden hacer referencia a ellos.
Qu es AENOR y cul es su relacin con ISO? AENOR es una entidad espaola de normalizacin y certificacin en todos los sectores industriales y de servicios. En su vertiente de normalizacin, tiene encomendada esta tarea por la Administracin espaola y es el representante de Espaa en ISO. En su vertiente de certificacin, opera en el mercado como cualquier otra entidad privada de certificacin y no tiene concedida ninguna exclusividad.
Qu es la norma ISO 27001? Es un estndar ISO que proporciona un modelo para establecer, implementar, utilizar, monitorizar, revisar, mantener y mejorar un Sistema de Gestin de Seguridad de la Informacin (SGSI). Se basa en un ciclo de vida PDCA (Plan-DoCheck-Act; o ciclo de Deming) de mejora continua, al igual que otras normas de sistemas de gestin (ISO 9001 para calidad, ISO 14001 para medio ambiente, etc.). Es un estndar certificable, es decir, cualquier organizacin que tenga implantado un SGSI segn este modelo puede solicitar una auditora externa por parte de una entidad acreditada y, tras superar con xito la misma, recibir la certificacin en ISO 27001.
Pgina - 116 -
Cul es el origen de ISO 27001? Su origen est en la norma de BSI (British Standards Institution) BS7799-Parte 2, norma que fue publicada por primera vez en 1998 y ya era un estndar certificable desde entonces. Tras la adaptacin pertinente, ISO 27001 fue publicada el 15 de Octubre de 2005. Puede consultar la historia de ISO 27001 en el archivo sonoro: http://www.iso27000.es/download/HistoriaISO27001.pps
Qu es la serie ISO 27000? ISO ha reservado la serie de numeracin 27000 para las normas relacionadas con sistemas de gestin de seguridad de la informacin. En 2005 incluy en ella la primera de la serie (ISO 27001). En prximos aos est prevista la incorporacin de nuevas normas que supongan un apoyo para las organizaciones que implanten y certifiquen un SGSI segn ISO 27001. Entre otras, sern 27000 (trminos y definiciones), 27002 (objetivos de control y controles), 27003 (gua de implantacin de un SGSI), 27004 (mtricas y tcnicas de medida de la efectividad de un SGSI), 27005 (gua para la gestin del riesgo de seguridad de la informacin) y 27006 (proceso de acreditacin de entidades de certificacin y el registro de SGSIs).
Qu aporta la ISO 27001 a la seguridad de la informacin de una empresa? Aplica una arquitectura de gestin de la seguridad que identifica y evala los riesgos que afectan al negocio, con el objetivo de implantar contramedidas, procesos y procedimientos para su apropiado control y mejora continua.
Pgina - 117 -
Ayuda a la empresa a gestionar de una forma eficaz la seguridad de la informacin, evitando las inversiones innecesarias, ineficientes o mal dirigidas que se producen por contrarrestar amenazas sin una evaluacin previa, por desestimar riesgos, por la falta de contramedidas, por implantar controles desproporcionados y de un coste ms elevado del necesario, por el retraso en las medidas de seguridad en relacin a la dinmica de cambio interno de la propia organizacin y del entorno, por la falta de claridad en la asignacin de funciones y responsabilidades sobre los activos de informacin, por la ausencia de procedimientos que garanticen la respuesta puntual y adecuada ante incidencias o la propia continuidad del negocio, etc.
ISO 27001 tiene que ver slo con la seguridad informtica de una empresa? La informacin crtica de una empresa est presente en los sistemas informticos, pero tambin en papel, en diferentes tipos de archivos y soportes, se transmite a terceros, se muestra en diversos formatos audiovisuales, se comparte en conversaciones telefnicas y reuniones y est presente en el propio conocimiento y experiencia de los trabajadores. ISO 27001 propone un marco de gestin de la seguridad de toda la informacin de la empresa. La presencia masiva de sistemas informticos en el tratamiento de la informacin lleva a menudo a centrar la atencin slo en la informtica, dejando as expuesta informacin esencial para las actividades del negocio. La evaluacin de riesgos previa a la implantacin de controles debe partir de un anlisis de los impactos que podra suponer para la organizacin la prdida de la confidencialidad, la integridad o la disponibilidad de cualquier parte de su informacin. Esto es un estudio en trminos de negocio, independiente del soporte de la informacin.
Pgina - 118 -
La aplicacin posterior de controles considera temas como los aspectos organizativos, la clasificacin de la informacin, la inclusin de la seguridad en las responsabilidades laborales, la formacin en seguridad de la informacin, la conformidad con los requisitos legales o la seguridad fsica, adems de controles propiamente tcnicos.
Quin debe promover la implantacin de ISO 27001 en la empresa? La Direccin de la empresa debe liderar el proceso. Teniendo en cuenta que los riesgos que se intentan minimizar mediante un SGSI son, en primera instancia, riesgos para el negocio, es la Direccin quien debe tomar decisiones. Adems, la implantacin de ISO 27001 implicar cambios de mentalidad, de sensibilizacin, de procedimientos y tareas, etc., y la Direccin es la nica que puede introducirlos en la organizacin. Sin el apoyo decidido de la Direccin, segn la propia ISO 27001 indica, no es posible la implantacin ni la certificacin de la norma en la empresa.
En qu trminos entiende mejor la Direccin la importancia de ISO 27001? La Direccin de la empresa conoce los riesgos del negocio, la tolerancia en su aceptacin y las obligaciones con sus clientes y accionistas mejor que nadie. Por tanto, los trminos en que debe entender la Direccin la importancia de ISO 27001 son los de los riesgos asumibles, la continuidad de negocio y los costes de no seguridad. La Direccin no tiene por qu verse confrontada con tecnologas y descripcin de amenazas desde el punto de vista tcnico.
Pgina - 119 -
Aporta un retorno de inversin la certificacin en ISO 27001 de la empresa? Como cualquier otro proyecto de la empresa, la certificacin requiere de una inversin de mayor o menor importancia en funcin de las prcticas actuales en seguridad. El retorno de la inversin es realmente efectivo en el tiempo, considerando, entre otras razones, que con ISO 27001: Se aprovecha el hecho comprobado de que el coste de la implementacin de controles apropiados de seguridad puede ser hasta 7 veces menor cuando se consideran al principio del diseo e implantacin de las soluciones de negocio. Las inversiones en tecnologa se ajustan a unas necesidades y prioridades conocidas de un entorno controlado. Se evitan compras innecesarias y sobredimensionadas o la necesidad inesperada de productos. Muchos errores se evitan gracias a los controles adoptados; los que se detectan regularmente se solucionan con medidas de coste razonable y sin causar daos, y los que finalmente se producen se solucionan y controlan mediante
procedimientos establecidos. Se asegura la continuidad de negocio en el tiempo mnimo requerido ante cualquier incidencia, por grave que sea. Se evita la fuga de informacin esencial a competidores y medios pblicos que pueda perjudicar el crecimiento, prdida de competitividad y reputacin de la empresa en el mercado en el que participa. Es una buena herramienta para el aprovechamiento de nuevas oportunidades de negocio. Se demuestra a clientes, proveedores, inversores, al mercado y a la sociedad en general un alto nivel de concienciacin en la proteccin de la informacin y conformidad y cumplimento de la legalidad.
Pgina - 120 -
Qu tipo de empresas se estn certificando en ISO 27001? El estndar se puede adoptar por la mayora de los sectores comerciales, industriales y de servicios de pequeas, medianas o grandes entidades y organizaciones: finanzas, aseguradoras, telecomunicaciones, servicios pblicos, minoristas, sectores de manufactura, industrias de servicios diversos, sector del transporte y gobiernos entre otros. En la actualidad destaca su presencia en empresas dedicadas a servicios de tecnologas de la informacin, como prueba del compromiso con la seguridad de los datos de sus clientes.
Qu es la norma UNE 71502? Es una norma espaola certificable de mbito local que surgi como versin adaptada de BS7799-2 y que tambin guarda relacin con UNE-ISO/IEC17799 mediante su Anexo A. Publicada en Febrero de 2004 y elaborada por el comit tcnico AEN/CTN 71 de la Tecnologa de la Informacin, especfica los requisitos para establecer, implantar, documentar y evaluar un SGSI dentro del contexto de los riesgos identificados por la organizacin.
Es mejor certificarse en ISO 27001 o en UNE 71502? Ambas evolucionan desde el mismo estndar certificable BS7799-2 y la diferencia fundamental radica en el mbito internacional de las normas ISO y el local Espaa- de la UNE 71502. Probablemente, a corto-medio plazo, las empresas certificadas en UNE 71502 pasarn a estarlo en ISO 27001, como estndar nico e internacional de certificacin.
Pgina - 121 -
Es ISO 27001 compatible con ISO 9001? ISO 27001 ha sido redactada de forma anloga a otros estndares, como ISO 9001 (Calidad), ISO 14001 (Medio Ambiente) y OHSAS 18001 (prevencin de riesgos), con el objetivo, entre otros, de facilitar a las organizaciones la integracin de todos ellos en un solo sistema de gestin. La propia norma incluye en su anexo C una tabla de correspondencias de ISO 27001:2005 con ISO 9001:2000 e ISO 14001:2004 y sus semejanzas en la documentacin necesaria para facilitar la integracin. Es recomendable integrar los diferentes sistemas, en la medida que sea posible y prctico. En el caso ideal, es posible llegar a un solo sistema de gestin y control de la actividad de la organizacin, que se puede auditar en cada momento desde la perspectiva de la seguridad de la informacin, la calidad, el medio ambiente o cualquier otra.
Cmo se relaciona ISO 27001 con otros estndares de seguridad de la informacin? Ciertamente, existen otros estndares relacionados con seguridad de la informacin (COBIT, COSO, NIST, ITIL, TickIT, etc.), que la enfocan desde diferentes puntos de vista como a controles de seguridad, buen gobierno, gestin de servicios TI, seguridad de producto La organizacin debera considerar cul es la mejor opcin en relacin a sus necesidades.
Pgina - 122 -
Quiero implantar ISO 27001, por dnde empiezo? Si est plantendose abordar ISO 27001 en su organizacin, puede empezar por: Recopilar informacin en pginas web como esta que est visitando y asistir a eventos informativos. Comprar las normas ISO 27001 e ISO 17799 en los sitios oficiales; p. ej., ISO (http://www.iso.org), AENOR (http://www.aenor.es) en Espaa, DGN (http://www.economia.gob.mx/index.jsp?P=85) en Mxico, ICONTEC (http://www.icontec.org.co) en Colombia, INN (http://www3.inn.cl) en Chile, IRAM (http://www.iram.com.ar/) en Argentina, etc. (lista completa en ISO). Realizar un curso de formacin, de los muchos que hay en el mercad o, de introduccin a la norma, a su implantacin y su auditora. Hacer un "gap analysis" (anlisis diferencial) inicial de su estado actual con los controles de ISO 27002. Aunque no sea un anlisis exhaustivo, proporciona una idea aproximada de la distancia que le separa de la conformidad con la norma y el camino que habr que recorrer. En muchos casos, es necesario contratar los servicios de una empresa consultora especializada que le ayude algunas fases del proceso. Sin embargo, recuerde que las decisiones de negocio no deben ser trasladadas a nadie externo a la organizacin. Deber pasar por todas las tareas propias de implantacin de un SGSI: definicin de poltica, determinacin del alcance, anlisis de riesgos, tratamiento de riesgos, etc. Una vez implantado el sistema y en funcionamiento, deber recopilar evidencias al menos durante tres meses antes de pasar a la auditora de certificacin.
Pgina - 123 -
Precisamente, son esas evidencias y registros histricos los que indican al auditor externo que el sistema de gestin funciona de manera adecuada. Para certificar su sistema frente a ISO 27001, debe ponerse en contacto con una o varias entidades de certificacin acreditadas para pedir formalmente la visita de auditora (sus tarifas y oferta de servicios pueden diferir). Ofrecen, adicionalmente, un servicio aadido de pre-auditoria muy recomendable para afrontar con garantas una primera certificacin en la norma.
2. SGSI Qu es un SGSI? Un SGSI es un Sistema de Gestin de la Seguridad de la Informacin. Esta gestin debe realizarse mediante un proceso sistemtico, documentado y conocido por toda la organizacin. Podra considerarse, por analoga con una norma tan conocida como la ISO 9000, como el sistema de calidad para la seguridad de la informacin. El propsito de un sistema de gestin de la seguridad de la informacin no es garantizar la seguridad que nunca podr ser absoluta- sino garantizar que los riesgos de la seguridad de la informacin son conocidos, asumidos, gestionados y minimizados por la organizacin de una forma documentada, sistemtica, estructurada, continua, repetible, eficiente y adaptada a los cambios que se produzcan en la organizacin, los riesgos, el entorno y las tecnologas.
Qu es un ISMS? Son las siglas en ingls (Information Security Management System) de SGSI (Sistema de Gestin de Seguridad de la Informacin).
En qu ayudan los sistemas de gestin en general? Aseguran que una organizacin es dirigida de un modo eficiente y eficaz. Formalizan y sistematizan la gestin en procedimientos escritos, instrucciones, formularios y registros que aseguren la eficiencia de la organizacin y su mejora continua.
Qu informacin protege un SGSI? Los activos de informacin de una organizacin, independientemente del soporte que se encuentren; p. ej., correos electrnicos, informes, escritos relevantes, pginas web, imgenes, documentos, hojas de clculo, faxes, presentaciones, contratos, registros de clientes, informacin confidencial de trabajadores y colaboradores...
Qu es exactamente la seguridad de la informacin? La seguridad de la informacin es la preservacin de la confidencialidad, integridad y disponibilidad de la misma y de los sistemas implicados en su tratamiento dentro de una organizacin. Estos tres factores se definen como: Confidencialidad: acceso a la informacin por parte nicamente de quienes estn autorizados. Integridad: mantenimiento de la exactitud y completitud de la informacin y sus mtodos de proceso. Disponibilidad: acceso a la informacin y los sistemas de tratamiento de la misma por parte de los usuarios autorizados cuando lo requieran. Tengo un firewall, actualizo regularmente el antivirus y realizo copias de Backup.
Pgina - 125 -
Qu aporta un SGSI a mi empresa? Estas medidas no son ms que unos pocos controles tcnicos que, por s mismos, no significan que se est gestionando la seguridad. Un SGSI implica que la organizacin ha estudiado los riesgos a los que est sometida toda su informacin, ha evaluado qu nivel de riesgo asume, ha implantado controles (no slo tecnolgicos, sino tambin organizativos) para aquellos riesgos que superan dicho nivel, ha documentado las polticas y procedimientos relacionados y ha entrado en un proceso continuo de revisin y mejora de todo el sistema. El SGSI da as la garanta a la empresa de que los riesgos que afectan a su informacin son conocidos y gestionados. No se debe olvidar, por tanto, que no hay seguridad total sino seguridad gestionada.
Existe algn producto que cubra los principales aspectos de seguridad de la informacin? No. Por influencia de la publicidad y las campaas de venta agresivas, es un error comn pensar que el nivel de seguridad depende exclusivamente del presupuesto dedicado a la compra de productos relacionados. La seguridad exige de un plan de gestin del riesgo continuado, polticas adecuadas a cada empresa y una seguridad establecida en base a mltiples y diferentes barreras. Siempre hay que recordar que la seguridad no es un producto sino un proceso.
Si la seguridad total no existe, qu diferencia aporta un SGSI? Un SGSI es el modo ms eficaz de conseguir minimizar los riesgos, asegurar la continuidad adecuada de las actividades de negocio hasta en los casos ms
extremos y de adaptar la seguridad a los cambios continuos que se producen en la empresa y en su entorno. Aunque nunca logremos la seguridad total, nos acercamos a ella mediante una mejora continua. Es ms apropiado hablar en trminos de riesgo asumible en lugar de seguridad total, ya que no sera lgico que el gasto en seguridad sea mayor que los impactos potenciales de los riesgos que pretende evitar.
En qu consiste la gestin del riesgo y el ciclo de vida PDCA? Mediante la gestin del riesgo se identifican, evalan y corrigen a niveles razonables y asumibles en coste todos los riesgos en seguridad que podran afectar a la informacin. PDCA son las siglas en ingls del conocido como ciclo de Deming: Plan-DoCheck-Act (Planificar-Hacer-Verificar-Actuar). En la fase PLAN se realiza la evaluacin de las amenazas, riesgos e impactos. En la fase DO, se seleccionan e implementan los controles que reduzcan el riesgo a los niveles considerados como aceptables y en CHECK y ACT se cierra y reinicia el ciclo de vida con la recogida de evidencias y readaptacin de los controles segn los nuevos niveles obtenidos y requeridos. Es un proceso cclico sin fin que permite la mejor adaptacin de la seguridad al cambio continuo que se produce en la empresa y su entorno.
Pgina - 127 -
3. Certificaciones Por qu dentro de la serie es certificable nicamente la 27001? Es la norma que define el modelo completo de gestin de seguridad de la informacin segn ciclo PDCA aunque, para algunos procesos, se apoya en otras normas relacionas no certificables, como ISO 27002.
Quin certifica a mi empresa en ISO 27001? Una entidad de certificacin acreditada, mediante una auditora. Esta entidad establece el nmero de das y auditores necesarios, puede realizar una preauditora (no obligatoria) y lleva a cabo una auditora formal. Si el informe es favorable, la empresa recibir la certificacin.
En qu ayuda a las empresas la auditora de certificacin? Supone la oportunidad de recibir la confirmacin por parte de un experto ajeno a la empresa de que se est gestionando correctamente la seguridad de la informacin. Aade un factor de tensin y de concentracin en un objetivo a todos los miembros del proyecto y de la organizacin en general, lo que redunda en beneficio de la implantacin del sistema. Da una seal al mercado de que la empresa en cuestin es confiable y es gestionada transparentemente. Es el requisito indispensable para acceder a la certificacin y poder utilizar el sello de certificacin junto al de la propia empresa.
Pgina - 128 -
Por qu crece el nmero de empresas certificadas? El acta Sarbanes-Oxley en EEUU y la publicacin de directivas en el mbito EU y en cada estado miembro ha activado las alarmas en la direccin de las empresas. Adicionalmente a los requisitos legales establecidos para auditoras financieras, gestin de riesgos, financiacin, plan de desastres, continuidad de negocio, etc., crece el nmero de requisitos legales relacionados con la proteccin de los datos de carcter personal. ISO 27001 ayuda a considerar y adoptar los controles necesarios en los procesos de negocio y tratamiento de la informacin para satisfacer las demandas de la empresa, legales y de los clientes en materia de seguridad de la informacin.
Obliga mi certificacin a la de mis empresas de servicio externas (outsourcing)? No necesariamente. ISO27001 indica los controles a considerar para servicios de outsourcing desde el mbito de su empresa (requisitos contractuales, niveles de servicio, obligaciones legales, auditora, etc.). La seguridad de los sistemas de informacin que estn fuera del mbito es responsabilidad de la empresa externa, que debe cumplir regularmente con los compromisos contractuales exigidos por el cliente.
Dnde puedo ver si una empresa est certificada? El registro oficial de organizaciones certificadas en ISO 27001 o BS 7799-2 a nivel mundial est en http://www.iso27001certificates.com.
Pgina - 129 -
Quin acredita a las entidades certificadoras? Cada pas tiene una entidad de acreditacin (algunos, varias) que se encarga de supervisar que las entidades de certificacin (las que, finalmente, auditan y certifican los sistemas de gestin de las empresas) estn capacitadas para desempear su labor y se ajustan a los esquemas establecidos. En Espaa, es ENAC (Entidad Nacional de Acreditacin; http://www.enac.es) quien tiene esta misin. Tambin se da el caso de entidades certificadoras que expiden certificados bajo esquema de acreditacin de una entidad de acreditacin extranjera. En ISO 27001, se da frecuentemente el caso con UKAS (entidad nacional de acreditacin del Reino Unido), por el origen ingls de la norma y su corta vida an como ISO.
Cmo es el proceso de certificacin? El proceso de certificacin puede resumirse en las siguientes fases: Solicitud por parte del interesado a la entidad de certificacin y toma de datos por parte de la misma. Respuesta en forma de oferta por parte de la entidad certificadora. Compromiso. Designacin de auditores, determinacin de fechas y establecimiento conjunto del plan de auditora. Pre-auditora: opcionalmente, puede realizarse una auditora previa que aporte informacin sobre la situacin actual y oriente mejor sobre las posibilidades de superar la auditora real. Fase 1 de la auditora: revisin del alcance, poltica de seguridad, Direccin, anlisis de riesgos, declaracin de aplicabilidad y procedimientos clave.
Fase 2 de la auditora: revisin de las polticas, auditora de la implantacin de los controles de seguridad y verificacin de la efectividad del sistema. Certificacin: acciones correctivas en caso de no conformidades graves, revisin y emisin de certificado en caso de informe favorable. Auditora de seguimiento: auditora semestral o anual de mantenimiento. Auditora de re-certificacin: cada tres aos, una auditora de certificacin formal completa.
Alguien puede obligarme a certificarme en ISO 27001? Como obligacin legal, a da de hoy, no. Sin embargo, como en toda relacin comercial, el cliente puede exigir a su proveedor ciertas condiciones previas para ser considerado siquiera como opcin de contratacin. Hay administraciones pblicas que estn empezando a exigir certificados de este tipo a las empresas que quieran acceder a concursos pblicos de productos o servicios relacionados con sistemas de informacin. Igualmente, es previsible que empresas privadas comiencen en algn momento a exigrselo a sus proveedores siempre que vaya a haber algn tipo actividad relacionada con informacin sensible.
Pgina - 131 -
Apndices
Apndice A: AENOR: La Asociacin Espaola de Normalizacin y Certificacin es una entidad privada sin fines lucrativos que se cre en 1986. Su actividad contribuye a mejorar la calidad y competitividad de las empresas, sus productos y servicios. AENOR es lder indiscutible en certificacin de seguridad de la informacin en Espaa, contribuyendo de manera principal a la posicin de Espaa dentro del top ten mundial. Ms de 300 es el nmero de certificados de SGSI emitidos por AENOR. Entre las organizaciones certificadas hay administraciones pblicas y mltiples organizaciones de todo tipo de sectores de actividad (sanitario, tecnolgico, telecomunicaciones, seguros, banca, servicios, bufetes de abogados,
constructoras, transportes, etc.). Algunas de sus marcas:
Qu identifican?
Pgina - 132 -
Apndice B: LEY DEL CONSEJO NACIONAL DE CIENCIA Y TECNOLOGIA DECRETO LEGISLATIVO N 287 DIARIO OFICIAL 10 DE AGOSTO DE 1992 De su creacin: desde 15 de julio de 1992 fue decretada la ley de Consejo Nacional de Ciencia y Tecnologa Art. 1.- Crease el Consejo Nacional de Ciencia y Tecnologa, como institucin de derecho pblico sin fines de lucro, de carcter autnomo descentralizado, que ser la autoridad superior en materia de Poltica Cientfica y Tecnolgica; de conformidad a la Ley de la Materia El CONACYT tiene interaccin con otras instituciones que tienen que ver con la ciencia y tecnologa del pas, as mismo gestiona y administra proyectos a para ser ejecutados en organizaciones del sector gobierno, sector acadmico superior, instituciones de educacin tcnica, gremiales y empresas. Tambin posee
convenios de cooperacin tcnica tales como: 1.- Convenio de Colaboracin con la Fundacin Privada CETEMMSA. 2.- Convenio de Cooperacin y Colaboracin con la Superintendencia de Competencia. 3.- Convenio de Cooperacin y Cooperativa el Espino Beneficio Beln. 4.- Convenio Marco con el Observatorio Colombiano de Ciencia y Tecnologa Memorndum de Entendimiento con: 1. KOICA para la Creacin de Herramientas de Software Educacional para la Reduccin de la Brecha Digital en El Salvador. 2. Universidad Francisco Gavidia y Municipalidad de Comasagua
Pgina - 133 -
Glosario Acreditacin: Es un proceso voluntario mediante el cual una organizacin es capaz de medir la calidad de sus servicios o productos, y el rendimiento de los mismos frente a estndares reconocidos a nivel nacional o internacional. El proceso de acreditacin implica la autoevaluacin de la organizacin, as como una evaluacin en detalle por un equipo de expertos externos. Certificacin: Es un proceso que expide un atestado pblico de que un producto o servicio cumple con una norma. En contraste la acreditacin reconoce la competencia tcnica y profesional de una organizacin respecto a sus actividades. Certificado: Es un tipo de texto administrativo empleado para constatar un determinado hecho. CONACYT: Consejo Nacional de Ciencia y Tecnologa de El Salvador IDI: Investigacin, Desarrollo e Innovacin. PDCA: Es un ciclo de vida continuo, lo cual quiere decir que la fase de Act, lleva de nuevo a la fase de Plan para iniciar un nuevo ciclo de las cuatro fases. Tngase en cuenta que no tiene que haber una secuencia estricta de las fases, sino que, p. ej., puede haber actividades de implantacin que ya se lleven a cabo cuando otras de planificacin an no han finalizado; o que se monitoricen controles que an no estn implantados en su totalidad. Proceso de mejora continua: Es un concepto del siglo XX que pretende mejorar los productos, servicios y procesos. Postula que es una actitud general que debe ser la base para asegurar la estabilizacin del proceso y la posibilidad de mejora. Cuando hay crecimiento y desarrollo en una organizacin o comunidad, es necesaria la identificacin de todos los procesos y el anlisis mensurable de cada paso llevado a cabo. Algunas de las herramientas utilizadas incluyen las acciones correctivas, preventivas y el anlisis de la satisfaccin en los miembros o clientes.
Pgina - 134 -

Trabajo Final Asic PDF

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Trabajo Final Asic PDF

Enviado por

Direitos autorais:

Formatos disponíveis

UNIVERSIDAD FRANCISCO GAVIDIA-CRO FACULTAD DE INGENIERIA Y FACULTAD DE CIENCIAS ECONMICAS CATEDRTICO: LIC.

ENTREGA: DICIEMBRE 4 DE 2013

UNIVERSIDAD FRANCISCO GAVIDIA-CRO

UNIVERSIDAD FRANCISCO GAVIDIA-CRO

UNIVERSIDAD FRANCISCO GAVIDIA-CRO

UNIVERSIDAD FRANCISCO GAVIDIA-CRO

AUDITORIA DE SISTEMAS COMPUTACIONALES

UNIVERSIDAD FRANCISCO GAVIDIA-CRO

AUDITORIA DE SISTEMAS COMPUTACIONALES

UNIVERSIDAD FRANCISCO GAVIDIA-CRO

AUDITORIA DE SISTEMAS COMPUTACIONALES

UNIVERSIDAD FRANCISCO GAVIDIA-CRO

AUDITORIA DE SISTEMAS COMPUTACIONALES

UNIVERSIDAD FRANCISCO GAVIDIA-CRO

Captulo I: Seguridad Informtica

UNIVERSIDAD FRANCISCO GAVIDIA-CRO

AUDITORIA DE SISTEMAS COMPUTACIONALES

UNIVERSIDAD FRANCISCO GAVIDIA-CRO

UNIVERSIDAD FRANCISCO GAVIDIA-CRO

AUDITORIA DE SISTEMAS COMPUTACIONALES

UNIVERSIDAD FRANCISCO GAVIDIA-CRO

destrozar los equipos informticos con sus respectivos datos.

UNIVERSIDAD FRANCISCO GAVIDIA-CRO

UNIVERSIDAD FRANCISCO GAVIDIA-CRO

AUDITORIA DE SISTEMAS COMPUTACIONALES

UNIVERSIDAD FRANCISCO GAVIDIA-CRO

National Institute of Standards and Technology

AUDITORIA DE SISTEMAS COMPUTACIONALES

UNIVERSIDAD FRANCISCO GAVIDIA-CRO

A continuacin se explican todos los niveles:

AUDITORIA DE SISTEMAS COMPUTACIONALES

UNIVERSIDAD FRANCISCO GAVIDIA-CRO

UNIVERSIDAD FRANCISCO GAVIDIA-CRO

1.4 Seguridad Fsica

AUDITORIA DE SISTEMAS COMPUTACIONALES

UNIVERSIDAD FRANCISCO GAVIDIA-CRO

AUDITORIA DE SISTEMAS COMPUTACIONALES

UNIVERSIDAD FRANCISCO GAVIDIA-CRO

1.5 Sistemas De Seguridad

UNIVERSIDAD FRANCISCO GAVIDIA-CRO

AUDITORIA DE SISTEMAS COMPUTACIONALES

UNIVERSIDAD FRANCISCO GAVIDIA-CRO

A continuacin se explican las tres clases que sirven para autenticacin:

UNIVERSIDAD FRANCISCO GAVIDIA-CRO

AUDITORIA DE SISTEMAS COMPUTACIONALES

UNIVERSIDAD FRANCISCO GAVIDIA-CRO

Pueden ser reprogramadas.

Por lo que se sabe

UNIVERSIDAD FRANCISCO GAVIDIA-CRO

AUDITORIA DE SISTEMAS COMPUTACIONALES

UNIVERSIDAD FRANCISCO GAVIDIA-CRO

AUDITORIA DE SISTEMAS COMPUTACIONALES

UNIVERSIDAD FRANCISCO GAVIDIA-CRO

Por lo que es (Biometra)

AUDITORIA DE SISTEMAS COMPUTACIONALES

UNIVERSIDAD FRANCISCO GAVIDIA-CRO

AUDITORIA DE SISTEMAS COMPUTACIONALES

UNIVERSIDAD FRANCISCO GAVIDIA-CRO

AUDITORIA DE SISTEMAS COMPUTACIONALES

UNIVERSIDAD FRANCISCO GAVIDIA-CRO

Capitulo II: Auditoria Informtica

2.1 Qu es una auditora?

UNIVERSIDAD FRANCISCO GAVIDIA-CRO