2009

Auditora y Seguridad en
Sistemas
Resumen

Auditorias y
Seguridad en Sistemas
Profesor: Diego Esteve
Autor: Mariana Rush
2
Empresa
Conjunto de recursos organizados. Para que estn organizados? Para obtener objetivos y
mantener un control.
Categorizacin de Empresas
Por tamao Pyme
Gran Empresa
Por actividad que
desarrolla
Primaria e!plotaci"n de recursos naturales#
$ecundaria
%erciaria $ervicios#
&orma 'ur(dica )ndividuales
$ociales
*mbiente +ocal
,egional
-acional
.ultinacional distintas estrategias de venta#
Global una /nica estrategia de venta#
Capital Capital Privado
Capital Publico
.i!ta
*utogesti"n cooperativas#
Organizacin dentro de la Empresa
0 1ivisi"n de trabajo
0 Control
0 Coordinaci"n de tareas
Tipos de organizacin
0 +ineal2 un /nico mando3 comunicaci"n lineal3 un /nico je4e. El nivel superior siempre
toma las decisiones. $irve cuando las tareas estn estandarizadas y empresas c5icas.
0 +ineal $ta442 +(nea de asesoramiento que ayuda a nivel de la l(nea. *uditoria3 +egales3
,iesgos#
0 .atricial2 *bandona la unidad de mando. +a empresa esta coordinada por ms de 6
criterio.
0 &uncional2 +a empresa esta organizada por divisi"n 4uncional.
Gobierno IT
Estructura de relaciones y procesos para dirigir y controlar la empresa con el objeto de alcanzar
los objetivos de la misma y aadir valor mientras se balancean los riesgos versus el retorno
sobre %) y sus procesos.
7usca generar con4ianza ante los accionistas3 los empleados y la sociedad en general a trav8s
de 9 elementos bsicos2
6. %ransparencia in4ormativa
:. )n4ormes de auditoria
;. C"digo de <tica
=. Gesti"n de ,iesgos
>. .edidas de Protecci"n de patrimonio
9. Plani4icaci"n Estrat8gica
Auditorias y
Seguridad en Sistemas
Profesor: Diego Esteve
Autor: Mariana Rush
3
Normativas a nivel empresa
0 $?@2 +ey que aplica a empresas que cotizan en bolsa en EEAA
0 C?$?
0 Calidad2 )$? BCCC
0 $eguridad y ambiente2 )$? 6=CCC
0 ,iesgo2 )$? 6D>>C
0 7ancos2 7asilea
0 ,,EE3 ,esponsabilidad social de la empresa2 )$? :9CCC
Definicin de responsabilidad social de la empresa2 rol que toma la organizaci"n para con
la sociedad mas all de los bienes que produce o comercializa.
Fentajas2
0 mejora la reputaci"n e imagen corporativa
0 mejora a trav8s de la reducci"n de costos operativos
0 mejora de productividad
0 apoyo social ante situaciones de riesgo
Normativas a nivel Sistemas
0 C?7)%
0 )%)+G)$? :CCCC
0 )$? :DCCC 6DDBB#
0 C..)
Significado de siglas
SOX: $arbanes0?!ley los diputados que escribieron la ley#
ISO: )nternational ?rganization o4 $tandardization
COBIT: ?bjetivos de Control para la in4ormaci"n y las tecnolog(as relacionadas.
C: Capability .adurity .odel .odelo de capacidad y madurez#
Informe COSO
1e4ine una gu(a para la elaboraci"n de in4ormes p/blicos de control interno.
Componentes2
6# incluye aspectos vinculados al ambiente de control estilo operativo de gerencia3 practica
de ,,EE3 estructura organizacional3 atenci"n y compromiso del directorio#
:# Evaluaci"n de ,iesgo )$?6D>>CG7asilea#
;# *ctividades de Control marco normativo3 revisiones de control interno de la
organizaci"n#
=# )n4ormaci"n y comunicaci"n roles y responsabilidades#
># *ctividades de monitoreo salidas de controles H+og03 reportes de de4iciencias3 etc.#
+imitaciones2
0 que el que lo arme tenga un juicio limitado o de4ectuoso
0 colusi"n2 6 o mas personas se ponen de acuerdo para concretar un 4raude
0 atropellos de la gerencia no cooperaci"n#
0 costoGbene4icio
etodolog!as de "estin de #iesgos de IT
0 .agerit
0 ?ctave
0 .icroso4t
0 -)$% ICC0>;
Auditorias y
Seguridad en Sistemas
Profesor: Diego Esteve
Autor: Mariana Rush
4
"obierno IT2 7usca generar con4ianza ante los accionistas3 los empleados y la sociedad en
general.
Como genera con4ianza? * trav8s de 9 elementos bsicos2
6# transparencia in4ormativa publicaci"n de balances#
:# in4ormes de auditoria
;# c"digo de 8tica
=# gesti"n de riesgos
># medidas de protecci"n de patrimonio
9# plani4icaci"n estrat8gica
COBIT $Ob%etivo de control aplicado a la informacin de negocio & tecnolog!a
relacionada'
$erie de documentos que de4inen una estructura de control y seguridad a aplicar en toda el rea
de %).
*grupa los controles en cuatro grandes reas2
0 planeamiento y organizaci"n
0 adquisici"n e implementaci"n de sJ
0 entrega y soporte de servicios que provee %)#
0 monitoreo actividades de monitoreo de procesos de %)#
%odos los controles se aplican sobre los siguientes recursos2
0 datos
0 sistemas
0 tecnolog(a in4raestructura#
0 instalaciones
0 personas
ITI(2 desarrollo organizado por el gobierno britnico para estandarizar procesos de gesti"n de
$K. ?riginalmente 7$ y luego se nombro )%)+
ISO)****2 * los de )$? les gusto )%)+ e 5icieron bsicamente lo mismo.
Procesos que estandarizan2
0 provisi"n de servicios a partir de $+* H$ervice +evel *grement0#
0 procesos de control
0 procesos de entrega
0 procesos de resoluci"n de incidentes
0 procesos de relaciones como se piden in4ormaci"n entre las distintas reas#
C2 Proceso de capacidad y madurez aplicada a desarrollo de so4tJare. 1e4ine > niveles de
madurez.
6# inicial2 no se dispone de ambiente estable de desarrollo y prueba. &alta plani4icaci"n.
,esultados dependen de personas. $obrecostos
:# repetible2 e!isten prcticas institucionalizadas de gesti"n de proyectos. .8tricas bsicas
de seguimiento de la calidad. Gesti"n sistemtica con clientes y subcontratistas
;# de4inida2 buena gesti"n de proyectos. Coordinaci"n entre grupos de trabajo. .8tricas a
nivel de proceso. *decuada 4ormaci"n del personal
=# Gestionado2 m8tricas signi4icativas de calidad y productividad. E!iste de4inido un modo
sistemtico de toma de decisiones y gesti"n de riesgos.
># ?ptimizado2 apunta a mejora continua de los procesos.
-o siempre ms es mejor. An nivel > de C..) requiere muc5a burocracia.
Ciclo de me%ora contin+a: ,DC- $,lan. Do. C/ec0. -ct'
Auditorias y
Seguridad en Sistemas
Profesor: Diego Esteve
Autor: Mariana Rush
5
ISO)1***2 .ejores practicas de seguridad de la in4ormaci"n. .s especi4ico :D.CC6
-n2lisis estrat3gico
E!terno2
0 > 4uerzas de porter
0 .8todo de los escenarios
)nterno2
0 &?1* se aplica tambi8n a personas#
0 Cadena de valor
Definicin de a+ditoria
*ctividad de emitir una opini"n pro4esional independiente sobre si un objeto en anlisis
representa adecuadamente la realidad que pretende re4lejar o cumple las condiciones que le
4ueron establecidas.
Esta actividad se realiza a posteriori.
#iesgo de a+ditoria: Combinaci"n de ; grandes riesgos
6 H ,iesgo de control2 el sistema de control de4inido sobre el objeto 4alla
: H ,iesgo in5erente2 o propio de la actividad que estoy auditando
; H ,iesgo de detecci"n2 a trav8s de pruebas del auditor no se detectan 4allas riesgo propio del
auditor#
Definicin de cons+ltor!a
*sesoramiento sobre lo que debe 5acerse o como llevar a cabo una tarea para lograr los
objetivos. Gran especializaci"n.
* di4erencia de la auditoria3 el trabajo de consultor se realiza a priori y durante los proyectos.
Tipos de -+ditoria
*uditoria )nterna Controla el cumplimiento de controles o normas interno. +o
realiza sta44 interno propio de la empresa.
*uditoria E!terna Feri4ica estados contables de la empresa. Certi4ica los
valores. +o realiza gente e!terna a la empresa.
*uditoria de Certi4icaci"n Feri4ica el cumplimiento de ciertas y especi4icas normativas
Tipos de -+ditoria Interna
0 Contable y 4inanciera2 veri4ica estados contables y 4inancieros de la empresa
0 ?perativa2 controla procesos operativos
0 *uditoria *dministrativa2 Eval/a e4iciencia y productividad de procesos internos.
0 *uditoria de $istemas2 Eval/a estructura de control interno de la empresa. Estudia los
controles organizativos de4inidos dentro del rea de %)3 realiza el anlisis de aplicativos
en desarrollo3 producci"n y mantenimiento3 realiza auditoria sobre datos y redes. ;
aspectos2 con4idencialidad3 integridad y disponibilidad C)*#.
,erfil de a+ditor de Sistemas
0 Pro4esional en sistemas de in4ormaci"n
0 Conocimiento Gral. 1e auditoria
0 Conocimiento Gral. 1e gesti"n de empresas
0 Conocimientos espec(4icos
o 1esarrollo de sistemas
Auditorias y
Seguridad en Sistemas
Profesor: Diego Esteve
Autor: Mariana Rush
6
o Gesti"n de %)
o *nlisis de riesgo de %)
o %elecomunicaciones y redes
o 7ase de datos
o $eguridad 4(sica aplicada a centro de procesamiento de datos
o $eguridad l"gica
o .ejores practicas de continuidad de sistemas
o E H Commerce
,ara organizar el 2rea de a+ditoria de sistemas2
6# 1e4inir plan de trabajo acorde al gerente de auditoria
:# Contar con presupuesto
;# $aber con que recursos cuento
=# 1e4inir un alcance y plan de 4ormaci"n
># $i tengo que contratar gente3 contratar aquella que este certi4icada
0 C)$*2 Certi4ied )n4ormation $ystem *uditor
0 C)*2 Certi4icaci"n *uditoria ?perativa
0 C)$$P2 Certi4icaci"n $eguridad )n4ormtica
Organigrama de -+ditoria de Sistemas
'e4e2 ,ealiza el plan operativo y la descripci"n del plan de trabajo. %iene visi"n completa del
grupo.
$upervisor2 Colabora en armado de evaluaci"n de riesgos. $upervisa auditores. &orma
auditores. Eace devoluci"n de in4ormes
*uditores2 Ejecuta el trabajo. ?btiene in4ormaci"n a trav8s de pruebas3 documenta y realiza
in4ormes. $aca conclusiones.
Por que el auditor 5ace el in4orme y lo entrega el supervisor? Para cubrir el riesgo de detecci"n
que es propio del auditor# y para contestar las preguntas que puedan llegar a 5acerle ya que el
tiene mas e!periencia. Es otra 4orma de control.
Evol+cin de -+ditoria de Sistemas
C+atro Etapas
6 H $oporte a auditor operativo
: H *uditor inicial de sistemas automatizados en auditorias operativas
; H $eparaci"n de auditor de sistemas del auditor operativo
= H ,ol de control interno in4ormtico.
-+ditoria E4terna S-S1* $Statement on -+diting Standards No5 1*'
$e utiliza para 5acer la revisi"n de empresas que prestan servicio de procesamiento de datos.
7ene4icios2
6. ,educci"n de costos2 disminuci"n de es4uerzo en auditorias
:. .ejoramiento de controles
;. .arLeting2 adquisici"n y retenci"n de clientes
: %ipos de in4orme $*$DC2
6. 1escribe controles de %) dentro de la empresa y constata la idoneidad
:. Feri4ica el cumplimiento de los controles de4inidos.
,lanificacin de la a+ditoria
Auditorias y
Seguridad en Sistemas
Profesor: Diego Esteve
Autor: Mariana Rush
7
El auditor trabaja por periodos o ciclos2
* corto plazo2 planes que cubren 6 ao. %iene en cuenta marco regulatorio de la empresa
* largo plazo2 veri4ica el cumplimiento de los controles3 asociados con la estrategia de la
empresa generalmente a > aos#
Como 5ace el auditor para llevar a cabo su plani4icaci"n?
65 Entender el negocio & los procesos core de la empresa
Atiliza 5erramientas de anlisis de estrategiaM marco regulatorio por el cual esta
alcanzada la empresa.
.arcos regulatorios2 $?@3 7asilea3 PC)01$$ %arjetas de cr8dito#3 E)P** $ervicios de
salud y 5ospitales#3 Eabeas 1ata.
)5 -n2lisis de #iesgo
Definicin de riesgo2 Cualquier evento que puede a4ectar negativamente el logro de
los objetivos de la empresa. %iene dos componentes2 )mpacto se mide en t8rminos
econ"micos# y probabilidad de ocurrencia.
$e intenta mitigar el impacto y disminuir la probabilidad de ocurrencia.
Definicin de amenaza2 Cualquier posible 4uente de riesgo o peligro de vulnerabilidad.
$ituaci"n creada por 4alta de controles a trav8s de la cual se materializa una amenaza.
,roceso de -n2lisis de #iesgo
6. )denti4icar objetivos de negocio
:. )denti4icar sistemas que dan soporte a procesos de negocio
;. )denti4icar estructura
=. Evaluar riesgos
>. $obre los riesgos evaluar cuales son los controles de4inidos
9. )denti4icar riesgo residual cuales no tienen controles#
D. 1ecidir2 asumir riesgo3 minimizar riesgo3 trans4erirlo o evitarlo
I. Establecer controles 4altantes
75 #evisin del control interno de TI aplicando COBIT
1esarrollo de control interno para suministrar con una certeza razonable que se cumplen
objetivos y minimizar riesgos.
Distintos tipos de controles dentro de la organizacin
0 Preventivos2 buscan detectar errores de manera temprana o antes de que
ocurran. %rabaja a priori2 normas y procedimientos trabajar a nivel preventivo
consultor(a#
0 1etectivos2 a trav8s de este tipo de controles se busca reportar la e!istencia de
errores o incidentes. )n4ormes de gesti"n3 contabilidad3 auditoria.
0 Correctivos2 minimizan el impacto de 6 incidente y reducen problemas 4uturos.
7acLups.
0 1isuasivos2 controles asociados con aspectos de seguridad 4(sica. Aso de
cmaras3 perros3 etc. )n5iben que se cometa alg/n tipo de il(cito.
,rocedimientos de control
6 H 1e4inir objetivos de control de auditoria de procesos manuales y automticos
: H 1e4inir procedimientos de control
; H Ejecutar los controles
Ob%etivos de seg+ridad de la informacin: CI-
Auditorias y
Seguridad en Sistemas
Profesor: Diego Esteve
Autor: Mariana Rush
8
Con4idencialidad
)ntegridad
1isponibilidad
-o puede 5aber 1*12 1ivulgaci"n3 *lteraci"n3 -egaci"n#
85 E%ec+cin de la a+ditoria
Proceso sistemtico a trav8s del cual un auditor independiente eval/a objetivamente
evidencias a 4in de detectar el grado de cumplimiento de los controles.
9ases de -+ditoria de Sistemas
6. 1e4inir el sujeto de la auditoria2 establecer que3 quien voy a controlar.
:. 1e4inir el objetivo de la auditoria2 veri4icar el cumplimiento regulatorio3 analizar
probabilidad de 4raude3 veri4icar cumplimiento de los controles.
;. 1e4inir el alcance2 que se incluye y que no se incluye en la auditoria. Periodo de
tiempo.
=. 1e4inir aspectos de preauditoria2 que estndares voy a utilizar3 auditorias previas3
organigrama.
>. 1e4inici"n de procedimientos de prueba
a. E!isten dos tipos de pruebas2
i. Pruebas de cumplimiento2 Permiten determinar que los controles
e!isten3 estn siendo aplicados y otorgan al auditor un grado de
certeza razonable de que el control 4unciona.
ii. Pruebas sustantivas2 4undamentan la integridad en el
procesamiento de las operaciones. ?torgan validez e integridad a
los saldos.
9. ,ecopilaci"n de resultados de ejecuci"n de las pruebas
a. 1e4inici"n de evidencia2 in4ormaci"n que puede ser usada por el auditor
para determinar que los datos que estn siendo auditados cumplen con los
objetivos establecidos.
b. Caracter(sticas2
i. Con4iable
ii. )ndependiente del proveedor que la suministra#
iii. 1isponible al auditor#
iv. ,elevante tiene relaci"n l"gica con los objetivos de la auditoria#
v. $u4iciente
vi. *decuada en cuanto a la calidad. -o a4ecta la opini"n del auditor#
c. %8cnicas de recopilaci"n de evidencia
i. ,evisi"n de estructura organizacional
ii. ,evisi"n de normas
iii. ,evisi"n de estndares de con4iguraci"n de %)
iv. ,evisi"n de documentaci"n de auditorias anteriores
v. ,evisi"n de segregaci"n de 4unciones aplicadas al personal
vi. ?bservaci"n de los procesos y desempeo de los empleados
Esta es la t8cnica mas importante y recomendada porque permite
determinar las 4unciones reales de los empleados3 sus destrezas y
asegura que la persona que realiza la 4unci"n es la que debe 5acerlo.
d. %8cnicas de .uestreo
i. Estad(stico2 un auditor decide utilizar un m8todo cuantitativo para
el clculo de la poblaci"n a partir de una muestra.
ii. -o estad(stico de criterio del auditor# o subjetivo. 7asado en la
e!periencia y en la Nc5apaO del auditor.
D. Comunicaci"n a la gerencia o sector involucrado2
a. $e tiene la oportunidad de validar la evidencia obtenida.
Auditorias y
Seguridad en Sistemas
Profesor: Diego Esteve
Autor: Mariana Rush
9
b. ,ealizar alg/n tipo de correcci"n.
c. $ugerir 4ec5as tentativas de resoluci"n.
I. *rmado del in4orme
Eay : clases de in4ormes2
Corto2 se realiza para la gerencia. Es un resumen ejecutivo de la
situaci"n general
+argo2 se realiza para los distintos involucrados en la auditoria
El in4orme de auditor(a es la manera 4ormal mediante la cual un auditor
in4ormtico comunica los resultados y conclusiones de su trabajo.
E!isten distintos estndares para realizar in4ormes de auditor(a3 uno se llama
NEl libro verde de la auditor(aO.
?tro estndar es el )%$EC muy usado en Europa.
?tro estndar tambi8n usado en Europa es Common Criteria.
+os principales campos del in4orme son2
)denti4icaci"n del in4orme2 4ec5a y numeraci"n del in4orme
)denti4icaci"n del cliente2 nombre de la entidad auditada3 los
destinatarios3 etc.
?bjetivos de la auditor(a
-ormativas aplicadas2 C?$?3 C?7)%3 )$? :DCC63 etc.
*lcance de la auditor(a2 se describe el trabajo que se va a realizar3 en
qu8 reas3 en qu8 per(odo. $e debe de4inir qu8 se va a realizar y lo
que no se va a 5acer tambi8n. Permite2
o 1e4inir la magnitud del trabajo
o *cotar el riesgo
o &ijar 5onorarios
Conclusi"n general o resumen ejecutivo2 se comentan los resultados
del in4orme en 4orma general dando una opini"n imparcial e
independiente de lo observado durante el trabajo. Permite de4inir la
posici"n del auditor respecto de lo auditado. Eay = opiniones2
o &avorable o sin observaciones2 cuando no se tuvo ning/n tipo
de problemas en el acceso a la in4ormaci"n. -o 5ubo
incertidumbre o no se observ" ning/n incumplimiento
normativo.
o &avorable con observaciones2 cuando
.e encuentro limitado respecto a lo que se va a auditar
E!iste alg/n tipo de incumplimiento normativo o legal
menor
$e presentan irregularidades menores
o 1es4avorable o adverso2 cuando
$e identi4ican irregularidades graves para la empresa
E!iste alg/n tipo de incumplimiento normativo
$e encuentra altamente acotado respecto al alcance de
la auditoria
o ?pini"n denegada2 cuando
-o se tuvo acceso a la in4ormaci"n
-o se pudo 5acer la auditoria
1etalle de las observaciones2 se indican las observaciones3
recomendaciones3 comentarios para el auditado3 4ec5as tentativa de la
regularizaci"n.
Comentarios de in4ormes previos
)denti4icaci"n y 4irma del auditor
+ista de distribuci"n
Auditorias y
Seguridad en Sistemas
Profesor: Diego Esteve
Autor: Mariana Rush
10
B. Comunicaci"n de los resultados
6C. $eguimiento de las observaciones2 el trabajo del auditor es por ciclo y es un
proceso continuo de revisi"n debilidades detectadas. %areas2
a. 1e4inir los plazos de revisiones
b. *sociar los plazos a criticidad de los 5allazgos
66. ,esguardo de la evidencia obtenida y del in4orme2 por > o 6C aos seg/n
reglamentaci"n.
Cdigo de :tica del -+ditor
$e espera que los auditores apliquen y cumplan los siguientes principios2
Integridad
+a integridad de los auditores internos establece con4ianza y3 consiguientemente3 provee la base
para con4iar en su juicio2
1esempearn su trabajo con 5onestidad3 diligencia y responsabilidad.
,espetarn las leyes y divulgarn lo que corresponda de acuerdo con la ley y la
pro4esi"n.
-o participarn a sabiendas de una actividad ilegal " de actos que vayan en detrimento
de la pro4esi"n de auditor(a interna o de la organizaci"n.
,espetarn y contribuirn a los objetivos leg(timos y 8ticos de la organizaci"n.
Ob%etividad
+os auditores internos e!5iben el ms alto nivel de objetividad pro4esional al reunir3 evaluar y
comunicar in4ormaci"n sobre la actividad o proceso a ser e!aminado. *uditores internos 5acen
una evaluaci"n equilibrada de todas las circunstancias relevantes y 4orman sus juicios sin
dejarse in4luir indebidamente por sus propios intereses o por otras personas2
-o participarn en actividades o relaciones que puedan perjudicar o que aparentemente
puedan perjudicar su evaluaci"n imparcial. Esta participaci"n incluye aquellas actividades
o relaciones que puedan estar en con4licto con los intereses de la organizaci"n.
-o aceptarn nada que pueda perjudicar o que aparentemente pueda perjudicar su juicio
pro4esional.
1ivulgarn todos los 5ec5os materiales que conozcan y que3 de no ser divulgados3
pudieran distorsionar el in4orme de las actividades sometidas a revisi"n.
Confidencialidad
+os auditores internos respetan el valor y la propiedad de la in4ormaci"n que reciben y no
divulgan in4ormaci"n sin la debida autorizaci"n a menos que e!ista una obligaci"n legal o
pro4esional para 5acerlo.
$ern prudentes en el uso y protecci"n de la in4ormaci"n adquirida en el transcurso de
su trabajo.
-o utilizarn in4ormaci"n para lucro personal o de alguna manera que 4uera contraria a
la ley o en detrimento de los objetivos leg(timos y 8ticos de la organizaci"n.
Competencia
+os auditores internos aplican el conocimiento3 aptitudes y e!periencia necesarios al
desempear los servicios de auditor(a interna.
Participarn s"lo en aquellos servicios para los cuales tengan los su4icientes
conocimientos3 aptitudes y e!periencia.
1esempearn todos los servicios de auditor(a interna de acuerdo con las -ormas para
la Prctica Pro4esional de *uditor(a )nterna.
Auditorias y
Seguridad en Sistemas
Profesor: Diego Esteve
Autor: Mariana Rush
11
.ejorarn continuamente sus aptitudes y la e4ectividad y calidad de sus servicios.
ISO-27000
Es una 4amilia de normativas vinculadas con la $eguridad de la )n4ormaci"n
)$?0:DCCC2 de4ine el vocabulario general a utilizar
)$?0:DCC62 especi4ica los requisitos para implementar un $istema de Gesti"n de $eguridad de
)n4ormaci"n $G$)#. Es certi4icable y reemplaza a la )$?06DDBI
)$?0:DCC:2 de4ine un esquema de mejores prcticas respecto de la gesti"n de la seguridad
)$?0:DCC;2 de4ine una gu(a de implementaci"n en 4unci"n del clic lo de 1emin
PlanG1oGC5ecLG*ct#
)$?0:DCC=2 de4ine m8tricas e indicadores de $eguridad est en desarrollo#
)$?0:DCC>2 de4ine un modelo de gesti"n de riesgos est en desarrollo#. *ctual )$?06DD>C
)$?0:DCC92 de4ine todo lo vinculado a la continuidad del negocio
,rincipales dominios de la ISO;)1**)
Pol(tica de $eguridad2 debiera e!istir una pol(tica de seguridad de la in4ormaci"n
*spectos organizativos de la $eguridad de la )n4ormaci"n2 de4inir c"mo se estructurar
la $eguridad de la )n4ormaci"n dentro de la empresa y su vinculo con el tratamiento
contra terceros
Gesti"n de activos2 responsabilidad sobre activos. $e trabaja con C.17 y se debe tener
un oJner.
$eguridad ligada a ,,EE2 al tomar a una persona3 mientras la persona est8 en la
empresa y 5asta que la persona deje la empresa
$eguridad ambiental2 todo lo que se deber asegurar para el procesamiento de la
in4ormaci"n.