Escolar Documentos
Profissional Documentos
Cultura Documentos
ISO 17799
Gestión de Comunicaciones y
Operaciones
I. Obtención de Conocimiento.
III. Alcance.
V. Procedimientos de Auditoría.
VII. Anexos.
2
I. Obtención de Conocimiento.
Para la obtención de conocimiento de este proceso en base a la Norma ISO 17799, consistente en
la sección nº8 que es la Sección de Gestión de Comunicaciones y Operaciones, en que trata
acerca de los procedimientos, responsabilidades, funcionamiento correcto y sobre todo seguro de
sistema de TI en el área Informática y su procesamiento de la información, protección,
condiciones de uso, verificación de responsabilidades y si hay o no actos de negligencia respecto
al manejo de las instalaciones.
Para el logro de lo mencionado anteriormente, se adoptarán bajo la Norma ISO 17799, las
correspondientes pruebas de cumplimiento y sustantivas conforme a la codificación basada en
esta norma, relacionándola con sus diferentes sub – secciones pertenecientes a la Gestión de
comunicaciones y operaciones, a fin de prevenir, enfrentar, corregir y lo más importante,
solucionar las variadas problemáticas que puedan arrojar evidencias que prueben la calidad del
sistema TI bajo esta norma y los constantes cambios tecnológicos y riesgos propios de un sistema
de TI.
Designar a las personas capacitadas en forma responsable para llevar a cabo las distintas
actividades de gestión de comunicaciones y operaciones de un sistema TI (segregación de
funciones de personal indicado ya sea por área o proceso en sistema de TI, tales como
operatividad, prueba y tratamiento).
Contar con un manual de usuario diseñado de tal forma, en que conste sobre las diferentes
instrucciones y tareas sobre como los distintos usuarios deben manejar un sistema de TI,
desde la primera fase hasta la última, todo ello cuantificado bajo un límite de tiempo
determinado, y lo esencial, que sea manejable y entendible por todos los usuarios de la
organización.
Efectuar un reporte de Auditoría en que reflejen los variados cambios que se vaya
suscitando el sistema de procesamiento de datos (TI), aplicaciones, software, programas,
etc, y estar relacionado bajo un enfoque de control (si es posible, que sea medible o
3
cuantificado en base al riesgo inherente y ligado al impacto que originase) así como sobre
quién (es) recae la responsabilidad, la expedita recuperación y respuesta de los datos
contemplados en el sistema de TI.
Contar con una infraestructura acorde a la implementación, manejo y gestión del sistema
TI, en que se vea protegida y segura la información, así como los servicios y accesos
controlados, redes operativas, etc.
Todo ello es fundamental con la participación de los distintos departamentos relacionados con las
áreas informáticas, soporte tecnológico, operaciones, mantenimiento, etc., con tal de inspeccionar
los constantes movimientos de estos en la manipulación de sistema TI y como estos inciden en el
control de accesos restringidos, áreas segregadas por cargo o función, modificación de
contraseñas asignadas a cada usuario correspondiente respecto a las áreas mencionadas, etc.
Todo esto se basa principalmente para generar reportes conforme al sistema TI, administración
del personal, configuración y registro de fallas, ligado con los respectivos controles correctivos o
de recuperación de datos dependiendo de cada caso a tratar.
Para el logro del objetivo general antes explicado, se deben considerar los siguientes objetivos
específicos:
Confirmar el nivel de protección y resguardo de los datos contenidos dentro del sistema
TI, así como el análisis e identificación de problemas ya sea en el manejo de la misma
información, filtración de datos, informes de errores, verificar el responsable de
eventuales incidentes que afectasen la integridad de la información protegida.
4
correspondientes en caso de pérdida, robo, filtración confidencial, incendio y cualquier
otro incidente.
Formular reportes y/o informes en base a información recopilada que consista en una
evaluación de desempeño sobre la gestión llevada a cabo en las distintas áreas de la
organización conforme a la comunicación y operación respecto de materias como
filtración y/o manipulación de información, archivos de datos, errores ocasionados ya sea
por el personal o propios del sistema, estadísticas, traspaso de información y cualquiera
otra forma de verificación.
III. Alcance.
Esto se dará con una fecha de corte documentario al 31 de mayo de 2011, en que se analizará
acuciosamente ciertos aspectos como instalaciones de redes, esquema tecnológica – informática,
procesamiento de datos, dispositivos, correo electrónico, almacenamiento de la información, etc,
todo ello con fecha de corte de auditoría al 31 de julio de 2011.
IV. Metodología.
5
Es fundamental para esto hacer el respectivo análisis sobre diferentes materias tales como
documentación, designar responsabilidades, manejo de eventuales emergencias e incidentes en
que se cuente con los debidos planes de emergencia para enfrentar y solucionar de la mejor
manera posible este tipo de problemáticas, etc.
Si la empresa considera acogerse bajo la norma ISO 17799 (a modo se mejorar sus buenas
prácticas), debe tener en cuenta contar con un gerente del área gestión de comunicaciones y
operaciones designado, en conjunto con un supervisor a cargo y demás profesionales del área
informática en que se pueda en el sistema de TI, en que se pretende llevar a cabo un Plan de
Seguridad que permita mejorar todos los factores implicantes (mencionados en el alcance)
siendo que si bien no contemple todos los aspectos a la vez conforme a sus varios sub – procesos,
se pueda obtener una nueva situación que refleje una nueva forma de control y mejor que la
anterior.
V. Procedimientos de Auditoría.
Los procedimientos de auditoría están hechos en base a actividades que deben ejecutarse por
cuanto a la gestión de comunicaciones y operaciones, que deben ser a través de un Plan de
Seguridad, análisis de riesgos, auditoría informáticas que muestren el nivel de exposición
dependiendo si hay o no falta de controles, y por otro lado se vean la evaluación de los riesgos en
que se hagan las pertinentes recomendaciones para establecer el costo – beneficio de las mismas.
Los procedimientos conforme a tareas y actividades a mostrar en la auditoría son las siguientes:
Indagar la existencia de un Plan Informático, en que consten amplias materias como una
planificación en base a la seguridad que permita tomar acciones drásticas por cuanto a la
segregación de funciones, cambios posteriores y su impacto a causar, resolución de
conflictos internos y ser comunicados de forma inmediata a los altos mandos gerenciales
de la organización a la brevedad posible.
6
participación de personas que intervienen en los procesos clave respecto a la operación y
comunicación en base a la gestión de TI, utilizando por ejemplo un mapa de riesgos
(consistiendo en un inventario de activos, que es la información misma) en conjunto con
sus descripciones y posibles consecuencias.
Programa de Trabajo
Auditoría a la Gestión de
Comunicaciones y Operaciones
Descripción de Actividades Fecha Participantes COBIT Sección
ISO 17799
1. Gestión de Inicio de Auditoría.
2. Obtención de Conocimiento.
7
Solicitar el respectivo Plan de Seguridad Administrador 8.1.3
en que refleje el costo – beneficio así como a cargo 8.2.1
la detección de riesgos en ámbitos de
estrategia – tecnología por cuanto a la
gestión de operación y comunicación.
8
un superior designado
9
actualizaciones.
7. Pruebas de cumplimiento
10
Revisar de qué manera se selecciona el Analistas
personal (habilidades, destreza, etc.) cuales Programadores 8.1.3
son las pruebas, requisitos que estos deben Ingenieros
cumplir y si estos cumplen con los Supervisor
requisitos para actuar frente a fallas
previstas o imprevistas.
Sección Redes 8.3.1
11
equipos y las redes son las requeridas por de informática
la industria, para así garantizar el
funcionamiento en el futuro.
12