Auditoría y Seguridad Informática

Documentos relacionados
DIPLOMADO SISTEMAS INTEGRADOS DE GESTIÓN HSEQ ISO 9001: ISO 14001: OHSAS 18001:2007

PROCEDIMIENTO DE ACCIONES CORRECTIVAS Y PREVENTIVAS

Medidas de seguridad. Tema 1 SAD. Vicente Sánchez Patón. I.E.S Gregorio Prieto

Título del curso. Auditor interno en sistemas integrados de. gestión ISO ISO OHSAS ONLINE MATRÍCULA ABIERTA PRESENTACIÓN

Enfoque moderno de la Auditoría Interna y las Normas

PROCESO DE ASUNCIÓN DE RESPONSABILIDADES POR PARTE DEL EQUIPO DE DIRECCIÓN

INTERPRETACIÓN NORMA OHSAS 18001:2007 MÓDULO 1 SESIÓN 1 INTERPRETACIÓN DE LA NORMA OHSAS 18001:2007 DOCENTE: Ing. Dª. Ana I.

Formación de Auditores Internos para Organismos de Certificación de Personas

VENTAJAS COMPETITIVAS DE LA INSCRIPCIÓN EN EL REGISTRO EMAS

TRANSITION WITH CONFIDENCE ESTRUCTURA GLOBAL COMPARATIVA ENTRE OHSAS ISO 45001

PO-1TI-001. Código: Versión: Elaborado por: - Gerencia de IT. Página: Revisado por: - Gerencia de IT. Page 1 of 5

Éxito Empresarial. Cambios en OHSAS 18001

Cómo realizar una gestión eficaz de la seguridad de la información específica para los servicios sanitarios

Grado en Ingeniería Informática. Plan de proyecto. Desarrollo de Sistemas de Información Corporativos. Departamento de Informática

Sistema de Gestión Ambiental ISO Luis Antonio González Mendoza Luis E. Rodríguez Gómez

OHSAS CURSO ONLINE 1 INFORMACIÓN GENERAL 2 PRESENTACIÓN 3 OBJETIVOS 4 DIRIGIDO A:

LEY No SOBRE COMERCIO ELECTRONICO, DOCUMENTOS Y FIRMAS DIGITALES AGENDA REGULATORIA DEL INDOTEL

CONTROL INTERNO - EL INFORME COSO

SEGUNDO PROGRAMA DE FORMACIÓN: ADMINISTRADORES DEL SISTEMA DE GESTIÓN DE LA CALIDAD BAJO NORMA ISO / IEC 17025:2005

diploma en gerencia de seguridad de la información DGSI seguridad de la información

ISO Esta normativa es de aplicación en todo tipo de empresas y organizaciones.

subcontraloría de auditoría financiera y contable

El Instituto Nacional de la Leche (INALE) es una persona jurídica de derecho público no estatal, creada por el artículo 6 de la ley 18.

UNIVERSIDAD NACIONAL DE SAN MARTÍN-T FACULTAD DE INGENIERÍA DE SISTEMAS E INFORMÁTICA ESCUELA ACADÉMICA PROFESIONAL DE INGENIERÍA DE SISTEMAS

TALLER DE CONTROL DE CALIDAD

CONTENIDO A QUIÉN ESTÁ DIRIGIDO?... 3 JUSTIFICACIÓN... 3 OBJETIVOS GENERALES... 4 COMPETENCIAS... 4 METODOLOGÍA... 4 CONTENIDO...

SISTESEG Seguridad y Continuidad para su Negocio

Cómo puedo tener confianza en un organismo de inspección? Necesitan certificación según ISO 9001 o acreditación según ISO/IEC 17020?

Política de Seguridad de la Información de ACEPTA. Pública

ETAPAS Y ACTIVIDADES MÍNIMAS A REALIZAR POR EL CONSULTOR

Verificación del esquema europeo de ecogestión y ecoauditoría EMAS

Departamento Administrativo Nacional de Estadística

SISTEMAS INTEGRADO DE GESTIÓN E INDICADORES DE GESTIÓN

NTE INEN-ISO/IEC Segunda edición

ANTECEDENTES GENERALES

DIPLOMADO EN SISTEMAS DE GESTIÓN EN SEGURIDAD Y SALUD OCUPACIONAL OHSAS 18001

Seminario de Actualización: Gobernabilidad de Tecnología de Información. Organismos relacionados con TI

NTE INEN-ISO Primera edición

Norma ISO 9001:2000. Espacio empresarial Ltda.

CONVERSATORIO No. 30. NICC-1 Norma Internacional de Control de Calidad 1. Moderador: Luis Armando Leal. Relator: Dra. Maribel Albarracín

C.R.I.G.P. PATACA DE GALICIA. Manual de la Calidad NO CONFORMIDADES Y ACCIONES CORRECTORAS/PREVENTIVAS 1. OBJETO 2. ALCANCE

Auditor de Sistemas de Gestión de la Calidad (ISO 9001:2015) (Online)

Modelo de Control Interno COSO

CRITERIOS DE EVALUACIÓN PROVEEDORES

3.1. Administración de la medición y de la información estratégica:

Le apuesta a la Virtualidad!

PROCEDIMIENTO PARA LA GESTIÓN DE LOS RIESGOS

MCTS Exchange Server 2010 Administración. Fabricante: Microsoft Grupo: Servidores Subgrupo: Microsoft Exchange Server 2010

Clase de auditoría Informática

BOLETIN GESTIÓN TRIBUTARIA TRANSPARENTE AÑO 2012

PROCEDIMIENTO CLAVE PARA LA ACTUALIZACIÓN DEL PERFIL DE INGRESO Y LA

TÉRMINOS DE REFERENCIA

I.E.F.P.S. REPÉLEGA G.L.H.B.I. ESPECIFICACIONES DE CURSOS DE CATÁLOGO MODULAR Pág. 1/3

MEJORA CONTINUA BROCHURE. Una ventaja competitiva en seguridad y salud en el trabajo SST CONSULTING

La Acreditación de laboratorios clínicos

FUNCIONES Y PERFIL DE CARGO

SISTEMA DE GESTIÓN INTEGRAL ITBOY Código: PD-CDG-01 PROCESO Versión: 4 CONTROL DE GESTIÓN Pág.: 1 de 4 AUDITORÍAS INTERNAS DE CALIDAD Y DE GESTION

Curso para la Certificación CMVP en Medida y Verificación de Ahorros EVO

Universidad, Desarrollo Sustentable

NORMAS INTERNACIONALES AUDITORÍA INTERNA

El Ciclo de Vida del Software

Ana Pascual Nobajas Jefe de Servicio de Desarrollo Junta de Comunidades de Castilla-La Mancha

Curso Actualización AUDITOR LIDER NORMA ISO 9001:2015

OFICINA DE DIRECCIÓN ESTRATÉGICA.

El Advanced Management Center nace con todo el know-how de PMC y un sinnúmero de profesionales, que han participado de diversas iniciativas

Auditoría de Tecnologías de la Información

Por qué conformarse con ser bueno si se puede ser mejor

EVALUACION DE INFORMACION POR DEPENDENCIA JEFE DE CONTROL INTERNO VIGENCIA 2.015

60 Preguntas y Respuestas sobre ISO 9001:2000

Colegio Profesional de Ingenieros en Informática de la Comunidad de Madrid

MODELO DE EXCELENCIA

Sistema de Gestión de la Calidad SGC

Procesos de la Dirección de Proyectos para un proyecto

SISTEMAS DE CONTROL EN SEGURIDAD ALIMENTARIA HACCP

ISO 9001 Auditing Practices Group Guidance on:

DISEÑO CURRICULAR AUDITORIA DE SISTEMAS

CRM S.A.S. PROCEDIMIENTO ACCIONES CORRECTIVAS Y PREVENTIVAS

Técnicas y Servicios Integrales de Levante S.L.

Programa AUDIT. Nueva fase de certificación

Fortalezas. Empresa Certificada ISO 9001 Certificado:CERT-AVRQ I

Facultad de Ciencias Naturales e Ingenierías Tecnología en Desarrollo de Sistemas Informáticos Selección y Evaluación de Tecnologías ITIL

ORGANIZACIÓN, IMPLEMENTACIÓN Y CONTROL DE MARKETING. Omar Maguiña Rivero

SISTEMAS DE GESTION EN SALUD Y SEGURIDAD OCUPACIONAL OHSAS Occupational Health and Safety Management Systems

Microsoft YouthSpark-CDI Chile.

PROCESO DE DEFINICIÓN DEL PERFIL DE INGRESO Y CAPTACIÓN DE ESTUDIANTES

4.7. OFICINA DE METODOLOGÍAS DE SUPERVISIÓN Y ANÁLISIS DE RIESGO I. IDENTIFICACIÓN. Oficina de Metodologías de Supervisión y Análisis de Riesgo

SISTEMA DE GESTIÓN DE SEGURIDAD Y SALUD EN EL TRABAJO. Procedimiento de Auditoria Interna de Versión: 1

DEPARTAMENTO DE ORGANIZACIÓN INDUSTRIAL Y GESTIÓN DE EMPRESAS ESCUELA SUPERIOR DE INGENIEROS DE LA UNIVERSIDAD DE SEVILLA

MANUAL M-SGC SISTEMA DE GESTIÓN DE CALIDAD CONTROL DE CAMBIOS Y MEJORAS DESCRIPCIÓN DE LA MODIFICACIÓN Y MEJORA

CURSO PREVENCIÓN DE RIESGOS AMBIENTALES

Identificación, Actualización y Evaluación de Requisitos de Cumplimiento Legal

REPÚBLICA DE PANAMÁ FISCALÍA GENERAL DE CUENTAS UNIDAD DE INFORMÁTICA

POLÍTICA DE MGS. Fecha 23/09/2016 Versión 5 Tipo de documento POLÍTICA

Grado en que el producto software satisface las necesidades expresadas o implícitas, cuando se usa bajo condiciones determinadas. ISO

ESTÁNDAR DE COMPETENCIA. Mantenimiento a equipo de cómputo y software

EL ROL DE AUDITORIA INTERNA Y EL ENFOQUE DE AUDITORIA BASADA EN RIESGOS. Víctor Mancilla Banrural, Guatemala

ESTANDARES INTERNACIONALES PARA DESARROLLO DE SOFTWARE. INTRODUCCIÓN

Ética en la gestión del negocio

Auditorías Integradas

Transcripción:

UNIVERSIDAD AUSTRAL DE CHILE Facultad De Ciencias Económicas Y Administrativas Instituto De Administración Escuela De Auditoría Auditoría y Seguridad Informática Autor: Hardy Muñoz O. Junio 2014, Valdivia 2

I. Introducción En el mundo globalizado que vivimos actualmente, se ha vuelto cada vez más necesario mantener la privacidad, seguridad, integridad y confidencialidad de un componente fundamental para las empresas y sociedad en general. Esto alude a la Información, la cual constituye el activo más importante de una organización y/o persona particular. Y es por este motivo que es de vital importancia protegerla ante posibles o potenciales amenazas de personas que ingresen sin acceso autorizado provocando grandes daños como por ejemplo: Instalación de Virus, Robo de información, Plagio, Manipulación indebida de la Información, Alteración e incluso tomar el control absoluto del servidor, entre otras. Cada vez son más los medios a través de los cuales podemos acceder a nuestros Sistemas de Información y paralelamente por cada medio de acceso tenemos una potencial amenaza. Es por esto que se debe proteger la información incluso cuando ésta se encuentre almacenada en la nube (Cloud Computing), ya que se debe ir supervisando su estado de seguridad continuamente porque no está ajena a que un atacante o persona mal intencionada ingrese e infecte la web. Debido a esto nace la necesidad e importancia de mantener la privacidad y seguridad de nuestra información. En respuesta a esto se creó la Auditoría y Seguridad Informática de la Información, que nos permitirá saber periódicamente manteniendo controlado el estado de seguridad de nuestros sistemas de Información. Cabe destacar que NO cualquier profesional puede realizar una auditoría de Seguridad Informática, ya que deben ser profesionales certificados por medio de la ISACA, la cual establece como prerrequisito tener el Título de Contador Auditor o Ingeniero Informático. 3

II. Qué es Seguridad Informática? Primero que todo, se entiende como seguridad informática a la disciplina encargada de proteger la privacidad e integridad de toda la información que es almacenada en un sistema informático ya sean hardware, software y recursos humanos. La seguridad Informática nace principalmente en respuesta de las crecientes amenazas a la información que se pueden observar hoy en día, éstas amenazas ya sean por medio de programas instalados en el ordenador o también en su mayoría desde el acceso remoto vía web. En resumen, La seguridad informática la podríamos definir como el conjunto de hardware, software y procedimientos establecidos para asegurar que: Personas no autorizadas no accedan a lo que no deberían ver. Personas autorizadas no ponen en peligro el sistema y los datos. III. Qué es Auditoría Informática? Auditoría Informática es un proceso llevado a cabo especialmente por profesionales altamente capacitados y certificados por ISACA en temas sistemas de información. Este proceso consiste en: El análisis de la eficiencia de los Sistemas Informáticos. La verificación del cumplimiento de la Normativa en este ámbito. La revisión de la eficaz gestión de los recursos informáticos. Además permite detectar de forma sistemática el uso de los recursos y los flujos de información dentro de una organización, determinando qué información es crítica para el cumplimiento de su misión y objetivos. La Auditoría informática tiene 2 tipos, las cuales son: 1.1 AUDITORIA INTERNA: Es aquella que se hace adentro de la empresa; sin contratar a personas de afuera. 1.2 AUDITORIA EXTERNA: como su nombre lo dice es aquella en la cual la empresa contrata a personas de afuera para que haga la auditoria en su empresa. 4

IV. Qué es Auditoría de Seguridad Informática? 4.1 DEFINICIÓN: Una auditoría de seguridad informática o auditoría de seguridad de sistemas de información (SI) es el estudio que comprende el análisis y gestión de sistemas llevado a cabo por profesionales certificados ante el ISACA para identificar, enumerar y posteriormente describir las diversas vulnerabilidades que pudieran presentarse en una revisión exhaustiva de toda la información que es almacenada en un sistema informático ya sean hardware, software y recursos humanos. Una vez obtenidos los resultados, se detallan, archivan y reportan a los responsables quienes deberán establecer medidas preventivas de refuerzo y/o corrección siguiendo siempre un proceso secuencial que permita a los administradores mejorar la seguridad de sus sistemas aprendiendo de los errores cometidos con anterioridad. Las auditorías de seguridad de SI permiten conocer en el momento de su realización cuál es la situación exacta de sus activos de información en cuanto a protección, control y medidas de seguridad. Cabe destacar que NO cualquier profesional puede realizar una auditoría de Seguridad Informática, ya que deben ser profesionales certificados por medio de la ISACA, la cual establece como prerrequisito tener el Título de Contador Auditor o Ingeniero Informático. 4.2 METODOLOGÍA DE DESARROLLO DE UNA AUDITORÍA INFORMÁTICA 1 Al igual que en la auditoría de cuentas, tenemos que distinguir 3 fases: Planificación, Ejecución/Supervisión y Conclusiones. Fase 1: Planificación En esta fase el auditor debe fijar con claridad: Finalidad de la Auditoría, destinatario de las conclusiones, documentación a entregar y fechas clave. Alcance del Trabajo (sistemas, procesos, aplicativos y áreas a revisar, localidades que hay que visitar, etc). Es importante fijar qué queda fuera de la Auditoría, para no crear falsas expectativas. Información y documentación previa a solicitar: informes de auditoría previos, organigrama funcional y departamental, esquema de arquitecturas, procesos o interfaces, etc). 1 Metodología obtenida en http://edirectivos.dev.nuatt.es/ 5

Programas de trabajo detallados y estándares que se van a seguir (internos de la Sociedad, COBIT, ISO, etc). Equipo de trabajo y reparto de los programas entre los mismos, con fechas de ejecución de cada apartado o área. Identificación de interlocutores (administradores de bases de datos, responsable de seguridad, etc). Identificación de Herramientas tecnológicas para hacer el trabajo. Fase 2: Ejecución En esta fase se realizan todos los procedimientos detallados en los programas de la fase anterior para obtener las evidencias del desarrollo del trabajo. Estas evidencias se obtienen a través de: Estudio de procesos concretos (documentación, flujogramas, verificaciones in situ con el usuario final del proceso, etc). Entrevistas y análisis de la documentación obtenida en las mismas (procedimientos escritos, manuales, configuraciones de máquina, parametrizaciones, etc). Pruebas de cumplimiento de procedimientos (con muestreos). Verificaciones físicas (p.ej: visita al centro de proceso de datos). Revisión de contratos de prestaciones de servicios y Acuerdos de nivel de servicio (SLA). Fase 3: Conclusiones El output de esta fase suele ser un Informe de Auditoría, de Recomendaciones o de Resultados que, una vez discutido con los afectados, es elevado a Definitivo. En dicho Informe, aparte del Alcance del trabajo realizado y de los Procedimientos que se han seguido, se suele incluir un Informe Ejecutivo y una relación detallada de las Recomendaciones de Mejora por área analizada, con los siguientes parámetros y Plan de Acción: Riesgo asociado Prioridad Dificultad de Implantación Área afectada y comentarios de dicha área al punto de mejora Fecha prevista de solución Persona/departamento responsable de la implantación 1 Metodología obtenida en http://edirectivos.dev.nuatt.es/ 6

4.3 BENEFICIOS: Entre los beneficios de realizar una Auditoría de Seguridad Informática cabe destacar lo siguiente: Mejora la imagen pública. Confianza en los usuarios sobre la seguridad y control de los servicios de TI. Optimiza las relaciones internas y del clima de trabajo. Disminuye los costos de la mala calidad (reprocesos, rechazos, reclamos, entre otros). Genera un balance de los riesgos en TI. Realiza un control de la inversión en un entorno de TI, a menudo impredecible. Además, la auditoría informática sirve para mejorar el desempeño en la empresa, en relación a: Fiabilidad Eficacia Rentabilidad Seguridad Privacidad 7

V. Asociación de Auditoría y Control de Sistemas de Información (ISACA) ISACA es el acrónimo de Information Systems Audit and Control Association (Asociación de Auditoría y Control de Sistemas de Información); una asociación internacional que apoya y patrocina el desarrollo de metodologías y certificaciones para la realización de actividades auditoría y control en sistemas de información. Origen En 1969 un pequeño grupo de auditores que estaban trabajando con controles en sistemas de información en Estados Unidos fundaron la EDPAA (Electronic Data Processing Auditors Association). Pero en 1993, dado que los controles de los sistemas y tecnologías de la información y comunicación son comunes a otras disciplinas fuera de la auditoría, se cambió el nombre y esta organización pasó a llamarse ISACA. Con más de 115.000 integrantes en 180 países, ISACA (www.isaca.org) ayuda a empresas y líderes en Tecnologías de Información a construir confianza y maximizar el valor de la información y de los sistemas de información. ISACA es una fuente confiable de conocimiento, estándares, comunidad, y desarrollo de carrera para los profesionales en gobierno, privacidad, riesgos, seguridad, aseguramiento y auditoría de sistemas. 5.1 CERTIFICADOS QUE SE PUEDEN OBTENER EN ISACA ISACA ofrece cuatro certificaciones, las cuales son reconocidas a nivel mundial para los profesionales de Auditoría, Seguridad, Gobierno y Riesgo de TI. Estas certificaciones son: - Auditor de Sistemas de Información / Certified Information Systems Auditor (CISA ). - Administrador de la Seguridad de Información/ Certified Information Security Manager (CISM ). - Gobernabilidad de TI de las empresas / Certified in the Governance of Enterprise IT (CGEIT ). - Sistemas de Información de Riesgos y Control / Certified in Risk and Information Systems Control (CRISC ). Para esto ISACA lleva a cabo exámenes de certificación dos veces al año, en junio y diciembre y los requisitos para certificarte son los siguientes: Aprobar el examen Experiencia relevante (5 o más años de experiencia en el área de interés) Apegarte al código de ética ISACA. Apegarte al programa de educación profesional continua. Cumplimiento con los estándares de ISACA. 8

Breve descripción de certificaciones otorgadas por ISACA CISA CISM CGEIT CRISC La designación CISA es La certificación CISM Acredita una amplia La certificación CRISC una certificación está enfocada en la variedad de está diseñada para reconocida gestión, promueve profesionales por aquellas personas globalmente para prácticas su conocimiento y expertas en gestión de profesionales en Internacionales de aplicación de riesgo de tecnología y auditoría, control, seguridad y reconoce prácticas y principios negocio, así como aseguramiento y seguridad de SI. a la persona que de gobierno de TI de el diseño, la administra, diseña, la empresa. implementación, supervisa y evalúa la el monitoreo y el seguridad de la mantenimiento información de una del control de SI. empresa. 5.2 CÓMO INSCRIBIRSE PARA EL EXAMEN? Puede inscribirse para un examen de ISACA por medio de inscripción en línea o por formulario de inscripción impresa. Para presentar su inscripción en línea por medio del sitio web de ISACA, visite www.isaca.org/examreg. Para inscribirse por medio del formulario de inscripción impreso, complete el formulario de inscripción impreso suministrado en www.isaca.org/exam y envíelo por fax o por correo a ISACA junto con su información de pago. El costo para rendir los exámenes de certificación son los siguientes: Inscripción Examen Miembro de ISACA No miembro de ISACA Inscripción Temprana US $420 US $600 Inscripción plazo final US $470 US $650 9

VI. Principales Estándares de Seguridad Informática Nacionales e Internacionales 6.1 Estándares Internacionales: ISO/IEC 27000: Son estándares de seguridad publicados por la Organización Internacional para la Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC). La serie contiene las mejores prácticas recomendadas en seguridad de la información para desarrollar, implementar y mantener especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI). La mayoría de estas normas se encuentran en preparación, e incluyen: - ISO/IEC 27001: La ISO 27001 es la Norma que permite el aseguramiento, la confidencialidad e integridad de los datos y de la información, así como de los sistemas que la procesan. La gestión de la seguridad en la información se complementa con las buenas prácticas o controles establecidos en ISO 27002. - ISO/IEC 27002: Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Este estándar internacional va orientado a la seguridad de la información en las empresas u organizaciones, de modo que las probabilidades de ser afectados por robo, daño o pérdida de información se minimicen al máximo. 10

6.2 Estándares Nacionales: En cuanto al ámbito nacional, existe la ley 19.223, la cual se refiere a los delitos informáticos. Ley N 19.223: Esta ley tipifica figuras penales a la informática. Consta de cuatro artículos, los cuales se especifican a continuación: - Artículo 1 : El que maliciosamente, destruya o inutilice un sistema de tratamiento de información o sus partes o componentes, o impida, obstaculice o modifique su funcionamiento, sufrirá la pena de presidio menor en su grado medio a máximo. - Artículo 2 : El que con el ánimo de apoderarse, usar o conocer indebidamente de la información contenida en un sistema de tratamiento de la misma, lo intercepte, interfiera o acceda a él, será castigado con presidio menor en su grado mínimo a medio. - Artículo 3 : El que maliciosamente altere, dañe o destruya los datos contenidos en un sistema de tratamiento de información, será castigado con presidio menor en su grado medio. - Artículo 4 : El que maliciosamente revele o difunda los datos contenidos en un sistema de información, sufrirá la pena de presidio menor en su grado medio. Si quien incurre en estas conductas es el responsable del sistema de información, la pena se aumentará en un grado. 11

VII. Relación entre Auditoría y Seguridad informática (COBIT) 7.1. AUDITORÍA DE SISTEMAS DE INFORMACIÓN Y SEGURIDAD INFORMÁTICA La información es uno de los activos más importantes de cualquier organización. Es por esto, que al optimizar el tiempo y trabajo potenciando el uso de la tecnología importantes ventajas competitivas y oportunidades. Sin embargo, si no se gestiona correctamente el uso de la tecnología, estas oportunidades se pueden transformar en amenazas para la compañía. Desde evaluar si las inversiones tecnológicas aportan lo esperado a la organización, hasta la revisión de las medidas de seguridad implantadas, o un análisis del grado de adecuación a la legislación vigente, son aspectos importantes que toda organización tiene que tener presente. 7.2. COBIT El significado de COBIT proviene del inglés Control Objectives for Information and related Technology, que significa Objetivos de Control para la Información y Tecnologías relacionadas. COBIT es un conjunto de buenas prácticas para el manejo de información creada por la Asociación de Auditoría y Control de Sistemas de Información (ISACA en inglés) y el Instituto de Administración de las Tecnologías de la Información (ITGI en inglés). COBIT permite que las tecnologías de la información y relacionadas se gobiernen y administren de una manera holística a nivel de toda la Organización, incluyendo el alcance completo de todas las áreas de responsabilidad funcionales y de negocios, considerando los intereses relacionados con la TI de las partes interesadas internas y externas. Es un modelo de evaluación y monitoreo que se enfoca en el control de negocios y la seguridad de las TI, y que abarca controles específicos de TI desde una perspectiva de negocios. Su misión es investigar, desarrollar, publicar y promocionar un conjunto de objetivos de control generalmente aceptados de las tecnologías de información que sean autorizados, actualizados e internacionales para el uso de los gestores de un negocio y los auditores. 12

VIII. Conclusiones La Seguridad Informática No es un producto, es un proceso que hay que mantener y cuidar a lo largo del tiempo. Mientras que una Auditoría de Seguridad Informática le dará el conocimiento suficiente para poder tomar decisiones respecto a la seguridad informática de sus sistemas. Hoy en día hay que tener muy presente que para las empresas, la información representa y constituye el activo más valioso de la organización, por lo que es necesario mantenerla muy protegida tomando las medidas necesarias para combatir las amenazas. Una de las medidas que se pueden tomar es teniendo copias de seguridad de la información, claro que siempre se debe tener el debido cuidado brindando una seguridad de alto nivel. Además, es importante estar consciente que toda organización está compuesta por personas, las cuales deben ir capacitándose continuamente al ritmo de las tecnologías de la información y comunicación. En consecuencia, se puede deducir que hoy en día el concepto de la experiencia de los trabajadores ha cambiado y no depende de la cantidad de años de trabajo, sino del nivel de competencias que posea en una determinada área, lo cual se obtendrá por medio de un aprendizaje continuo. La seguridad no funciona si no se aplica un modelo. El principal valor de COBIT es precisamente la gran diversidad de modelos y estándares a nivel global, resultado del trabajo de un gran grupo de practicantes de diversas regiones geográficas, quienes analizan y desarrollan un paraguas general que abarca estándares específicos para seguridad, riesgos, etc. Para finalizar, la Auditoría de Sistemas de Información representa una muy buena alternativa para los profesionales tanto de Auditoría como de Ingenieros Informáticos. Ambos están igualmente capacitados para ejercer esta profesión; Sin embargo los Ingenieros Informáticos tienen una base bastante más sólida en Sistemas de Información que los Auditores, mientras que los Auditores tienen mayor conocimiento en cuanto al proceso de la Auditoría como tal. Por lo que al trabajar en conjunto se obtendrían muy buenos resultados, ya que se complementan y pueden hacer un muy buen equipo de trabajo. Con respecto a la actividad, ésta representa una muy buena alternativa en cuanto a términos monetarios y además porque da la posibilidad de modificar el destino de sus carreras, especializándose en diferentes ámbitos de las tecnologías de Información. 13

IX. BIBLIOGRAFÍA http://www.isaca.org/certification/documents/candidates-guide- 2014_exp_SPA_1113.pdf http://searchdatacenter.techtarget.com/es/reporte/el-rol-de-cobit-5-en-laestrategia-de-seguridad-informatica http://www.isaca.org/spanish/pages/default.aspx http://www.proxyconsulting.es/?p=85 http://www.iaitg.eu/mediapool/67/671026/data/auditoria.pdf http://edirectivos.dev.nuatt.es/articulos/1000002030-la-auditoria-informatica-sunecesidad-y-metodologia http://nuestrofuturo12061.wordpress.com/el-auditor-informatico/ http://www.leychile.cl/navegar?idnorma=30590 http://www.iso27000.es/iso27000.html http://www.isotools.cl/normas/riesgos-y-seguridad/iso-27001/ http://www.isaca.org/cobit/pages/cobit-5-spanish.aspx 14

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback