SEMANA 1 identificacin de quien crea, modifica, elimina y
AUDITORA: una sistemtica evaluacin de las
diversas operaciones y controles de una
organizacin, para determinar si se siguen polticas
y procedimientos aceptables, las normas estable., si
se utilizan los recursos eficientemente y si se han
alcanzado los objetivos de la organizacin.
OBJETIVOS: control de la funcin informtica;
anlisis de la eficiencia de los sis. Informticos;
verificacin del cumplimiento de la Normativa en
este mbito; revisin de la eficaz gestin de los
recursos informticos.
AUDIT. INFORM.: tcnicas y procesos que
ejecutan la revisin practica que se realiza sobre los
recursos informticos de la entidad, con el fin de
emitir un informe y/o dictamen sobre la situacin
en que se desarrollan y se utilizan, esos recursos.
Rec. Inform-: datos e informacin, aplicaciones
(software), infraestructura y recursos humanos.
TIPO: La auditora informtica evala y comprueba
los controles y procedimientos informticos ms
complejos. La auditora operativa o de gestin es
una revisin que comprende las actividades,
sistemas y controles dentro de la empresa para
conseguir economa, eficiencia, u otros objetivos.
Auditorias financieras las que se hacen con el fin de
asegurar el adecuado registro de las transacciones,
el cumplimiento de los principios de Contabilidad
generalmente aceptados y los planes y regulaciones
contables y financieros, que obligan a la
organizacin. Las auditorias verificativas o de
cumplimiento tratan de asegurar a la direccin de la
organizacin, que sus polticas, programas y normas
se cumplen razonablemente en todo el mbito de la
misma. La auditora tcnica o de mtodos es una
revisin de los mtodos y tcnicas utilizadas en la
realizacin de las operaciones de la empresa.
Las auditorias corresponde a los auditores,
dividindose en: Interna: funcin de evaluacin
independiente, bajo la autorizacin de la direccin
para examinar y evaluar las actividades de la
entidad, ayudndole a la misma a realizar sus
funciones y asegurar: salvaguardia del inmovilizado
material e inmaterial, exactitud y fiabilidad de los
registros contables, fomento de la eficiencia
operativa, cumplimiento de sus obligaciones
legales. Externa: evaluacin independiente para la
opinin respecto de la calidad de los estados
financieros de la entidad, el auditor evala y
comprueba los controles y procedimientos
informticos ms complejos. Actividades auditora:
Auditora de la gestin de los S.I./T.I.; Auditora de
los sistemas en desarrollo; Auditora de los Centros
de Proceso de Datos; Auditoria de las Aplicaciones;
Apoyo a los auditores no informticos.
La auditora de datos habilita a una organizacin la
Independiente Nada ni nadie debe ser capaz de
accede los datos, cuando y como son accedidos. O
bien, la estructura de los datos.
Beneficios: Evaluar cumplimiento de planes,
programas, polticas y lineamientos; identificar
problemas operacionales, proveer oportunidad de
mejoras; proveer alimentacin para acciones
preventivas y correctivas. Limitaciones: Tiempo,
presupuesto, personal.
RESPONSABILIDAD Auditor jefe: (R)Responsable
final de todas las fases de la auditora; debe
preparar el plan y presentar el informe de la
auditora; seleccin de los miembros; (F)Definir los
requisitos de cada trabajo de la auditora; Informar
y comunicar al auditado sobre los resultados;
Auditores: (R)Elaborar un informe sobre los
resultados de la auditoria y consignar las
observaciones; realizar con eficacia las
responsabilidades asignadas; (F)Actuar con
objetividad y limitarse al mbito de la auditoria;
Recoger y analizar datos para obtener conclusiones.
Auditado: (R) Informar al personal afectado sobre
el objeto y finalidad de la auditora; Poner a
disposicin del equipo auditor los medios
necesarios; Cooperar con los auditores para
alcanzar los objetivos de la auditora; e iniciar las
acciones correctoras atendiendo al informe de la
auditora.
Informe, debe contener: objetivo y alcance de la
auditora, observaciones de no conformidad,
capacidad del SC para alcanzar los objetivos
definidos, lista de distribucin del informe
Funciones Auditora e informtica: Evaluacin y
verificacin de los controles y procedimientos
relacionados con la funcin de informtica dentro
de la organizacin; La validacin de los controles y
procedimientos utilizados para el aseguramiento
permanente del uso eficiente de los sistemas de
informacin computarizados y de los recursos de
informtica dentro de la organizacin; Evaluacin,
verificacin e implantacin oportuna de los
controles y procedimientos que se requieren para el
aseguramiento del buen uso y aprovechamiento de
la funcin de informtica; Aseguramiento
permanente de la existencia y cumplimiento de los
controles y procedimientos que regulan las
actividades y utilizacin de los recursos de
informtica de acuerdo con las polticas de la
organizacin.
Metodologa: Alcance y objetivos, Estudio inicial del
entorno auditable, Determinacin de los recursos,
Elaborar plan y programa de trabajo, Actividades de
auditora, Informe final, Carta de presentacin del
informe
SEMANA 2
AUDITORIA SIS. INFORMA. Evaluar el uso adecuado
de los sistemas para el correcto ingreso de los datos,
el procesamiento adecuado de la informacin y la
emisin oportuna de sus resultados en la institucin,
incluyendo la evaluacin en el cumplimiento de las
funciones, actividades y operaciones de
funcionarios, empleados y usuarios involucrados
con los servicios que proporcionan los sistemas
computacionales a la empresa. La auditora de datos
no solamente protege los datos de una organizacin,
sino que asegura la responsabilidad, la recuperacin
y la longevidad de los sistemas que dependen de los
datos.
Mejores prcticas: Responsabilidad segregada El
equipo responsable de auditar un sistema debe ser
distinto a aquel que lo administra y lo utiliza.
Mantener el Sistema de Auditora de Datos
alterar un log de auditora. Hacerla Escalable,
Ampliable y Eficiente La plataforma de auditora de
datos debe acomodarse al crecimiento y la adicin
de nuevas fuentes de datos. Hacerla Flexible
asegrese que se pueda responder rpida y
fcilmente a esos cambios de requerimi. Gestin
Centralizada Una plataforma de auditora de datos
debe ser capaz de auditar mltiples bases de datos
en mltiples servidores fsicos. Asegurar la
Plataforma de auditora de Datos la plataforma no
debe tener puertas traseras de acceso ni permitir
el acceso por las mismas de las bases de datos que
monitorea. Identificacin de los Datos Se debe
establecer y mantener un inventario de todos los
datos, incluyendo los de fuentes externas. Anlisis
de los Datos Determinar los roles, vulnerabilidades y
responsabilidades relativas a todos los datos.
Hacerla Completa La poltica de auditora de datos
necesita abarcar todos los datos dentro de una
organizacin, y toda la informacin que pasa hacia o
alrededor de una organizacin tanto desde dentro
como desde afuera.
Habilitacin de Reportes y Anlisis. Establecimiento
de Patrones de Uso Normal. Establecimiento de una
Poltica de Documentacin y Revisin.
Estndares: Objetivos de Control para la informacin
y Tecnologas relacionadas (COBIT) creado por
creado por la Asociacin para la Auditoria y Control
de Sistemas de Informacin, (ISACA). La Information
Technology Infrastructure Library (ITIL)
SEMANA 3
Control, base para auditora Es una de las fases del
proceso administrativo, le corresponde: comparar
los resultados obtenidos contra los resultados
determinados en el proceso de planeacin de la
estrategia organizacional y de sus actividades
tcticas y operativas con el fin de determinar el nivel
de cumplimiento y ajustar los diferentes parmetros
y caractersticas de los procesos mediante los cuales
se busca el cumplimiento de los objetivos
organizacionales. Control est basado en el uso de
un lazo de retroalimentacin (feedback) mediante el
cual se compara la salida (output) del proceso o
sistema controlado contra valores de referencia, de
modo que al presentarse desviaciones, por exceso o
por defecto, se produce una seal de correccin
que debe ser alimentada al proceso para corregir las
desviaciones observadas en la salida.
Orientados a: Control gerencial, Control Informtico
Apoyar los controles anteriores
Sistema de Control Interno: Proceso, llevado a cabo
por la Junta Directiva, la direccin u otro personal de
la entidad, y el resto del personal, diseado para
proveer seguridad razonable sobre el logro de los
siguientes tipos de objetivo: (Efectividad y eficiencia
de las operaciones, Confiabilidad de la informacin
financiera, Cumplimiento de leyes y regulaciones
Salvaguarda de activos)///// OCDE (Organizacin
para la cooperacin y el desarrollo econmicos)
Principios para mantener la confianza de los
inversionistas y atraer capitales estables y a largo
plazo en pases en va de desarrollo. Sarbanes Oxley
Exactitud y transparencia de la informacin
financiera para empresas que cotizan en Bolsa
No lo s joven
COSO Componente
El CI est compuesto por 5 componentes
interrelacionados:
- Ambiente de control. La gente - sus atributos
individuales, incluyendo la integridad, los valores
ticos y la competencia
- Valoracin de riesgos. La entidad debe ser
consciente de los riesgos y enfrentarlos
- Actividades de control.
- Informacin y comunicacin.
- Monitoreo.
El CI es un proceso iterativo multidireccional en el
cual casi todos los componentes pueden influenciar
evala la vulnerabilidad y la probabilidad de su
ocurrencia. Se estima su posible impacto.
La segunda fuente es el conjunto de requisitos
legales, estatutarios, regulatorios y contractuales
que debe satisfacer: la Organizacin, sus socios
comerciales, los contratistas, los proveedores de
servicios.
La tercera fuente est formada por los principios,
objetivos y requisitos que la Organizacin ha
desarrollado para apoyar sus operaciones.
reas de control ISO/IEC 17799:2000
Poltica de Seguridad, Aspectos organizativos para la
seguridad, Clasificacin y control de los activos,
Seguridad ligada al personal, Seguridad fsica y del
entorno, Gestin de comunicaciones y operaciones
Control de accesos, Desarrollo y mantenimiento de
sistemas, Gestin de continuidad del negocio,
Conformidad
reas de control ISO/IEC 17799:2005
Definir el alcance del SGSI (fronteras)
Definir una poltica de seguridad
Identificar activos
Realizar el anlisis de riesgos de activos.
Identificar las reas dbiles de los activo
Tomar decisiones para manejar el riesgo
Seleccionar los controles apropiados
Implementar y manejar los controles seleccionados
Elaborar la declaracin de aplicabilidad
COBIT
COBIT 5 se enfoca en el gobierno y la gestin de la
informacin, este se puede aplicar a cualquier tipo
de empresa ya que lo que se busca es lograr la
satisfaccin e cliente, agregar valor a la empresa,
mejorar la relacin que exista entre la empresa y las
TI.
PRINCIPIO
COBIT 5.

a los otros. Poltica de Seguridad, Organizacin de la Seguridad

Control interno ambiente de control: Integridad y de la Informacin, Gestin de Activos, Seguridad en 1-Satisfacer 5-Separar el
valores ticos, Incentivos y tentaciones, Gua de los Recursos Humanos, Seguridad fsica y del entorno las
2-Cubrir la
Organizacin
3-Aplicar un 4-Habilitar un Gobierno de
necesidades solo marco enfoque la
comportamiento moral, Acuerdos de competencias Gestin de comunicaciones y operaciones, Control de las partes
de forma
integrado holistico Administraci
integral
Comit de auditora, Filosofa de administracin de accesos, Adquisicin, desarrollo y mantenimiento
interesadas n

Estructura organizacional, Asignacin de autoridad y de sistemas de informacin, Gestin de incidentes PREGUNTAS

responsabilidad, Polticas y prcticas de recursos
humanos.
Modelos informticos tecnologas de la info.
Ambiente informtico: Objetivos, Recursos,
Procesos, Objetivos de Control.
de seguridad, Gestin de continuidad del negocio,
Conformidad
SGCI: El sistema de gestin de la seguridad de la
informacin (SGSI) es la parte del sistema de gestin
de la empresa, basado en un enfoque de riesgos del
negocio, para: establecer, implementar, operar,
monitorear, mantener y mejorar la seguridad de la
informacin.
De acuerdo al ndice que estados estn mas
comprometidos y en que lugar est Ecuador
66 de 193 pases a nivel mundial: Europa, Asia,
Norteamrica y Oceana
Puesto 6 en Latinoamrica: Mxico, Brasil, Colombia,
Uruguay, Argentina
Artculos COIP (Cdigo Orgnico Integral Penal)
-229 Revelacion ilegal de
Esquema de Seguridad Informacin
-Acceso ilegal a informacin publica legalmente
reservada
-Las empresas deben tener una comisin de
seguridad y ser presedida precedida por un oficial de
seguridad.

Plan; Establecer la poltica de seguridad, objetivos,

metas, procesos y procedimientos relevantes para
manejar riesgos y mejorar la seguridad de la
informacin para generar resultados de acuerdo con
una poltica y objetivos marco de la organizacin.
Definir el alcance del SGSI. Definir la Poltica de
Seguridad. Aplicar un enfoque sistmico para
evaluar el riesgo. Identificar y evaluar opciones para
tratar el riesgo Mitigar, eliminar, transferir, aceptar.
Seleccionar objetivos de Control y controles a
implementar (Mitigar).
A partir de los controles definidos por la ISO/IEC
17799. Establecer enunciado de aplicabilidad
Do: Implementar y operar la poltica de seguridad,
controles, procesos y procedimientos. Implementar
plan de tratamiento de riesgos. Transferir, eliminar,
aceptar Implementar los controles seleccionados.
Mitigar Aceptar riesgo residual.
Elementos de un Firma de la alta direccin para riesgos que superan
Framework de Seguridad el nivel definido. Implementar medidas para evaluar
ISO 17799, lo otro amenazas la eficacia de los controles Gestionar operaciones y
recursos.
Implementar programas de Capacitacin y
concientizacin. Implementar procedimientos y
controles de deteccin y respuesta a incidentes.
Verificar: Evaluar y medir la performance de los
procesos contra la poltica de seguridad, los
objetivos y experiencia practica y reportar los
resultados a la direccin para su revisin.
Revisar el nivel de riesgo residual aceptable,
considerando: (Cambios en la organizacin. Cambios
en la tecnologas. Cambios en los objetivos del
negocio. Cambios en las amenazas. Cambios en las
condiciones externas (ej. Regulaciones, leyes)).
SEMANA 4 Actuar: Tomar acciones correctivas y preventivas,
Es esencial que una organizacin identifique sus basadas en los resultados de la revisin de la
requisitos de seguridad. La primer fuente procede de direccin, para lograr la mejora continua del SGSI.
la valoracin de los riesgos de la Organizacin. Con La norma establece requisitos para Establecer,
ella: Se identifican las amenazas a los activos, Se Implementar y Documentar un SGSI. }
 SEMANA 1
AUDITORA: una sistemtica evaluacin de las
diversas operaciones y controles de una
organizacin, para determinar si se siguen polticas
y procedimientos aceptables, las normas estable., si
se utilizan los recursos eficientemente y si se han
alcanzado los objetivos de la organizacin.
OBJETIVOS: control de la funcin informtica;
anlisis de la eficiencia de los sis. Informticos;
verificacin del cumplimiento de la Normativa en
este mbito; revisin de la eficaz gestin de los
recursos informticos.
AUDIT. INFORM.: tcnicas y procesos que
ejecutan la revisin practica que se realiza sobre los
recursos informticos de la entidad, con el fin de
emitir un informe y/o dictamen sobre la situacin
en que se desarrollan y se utilizan, esos recursos.
Rec. Inform-: datos e informacin, aplicaciones
(software), infraestructura y recursos humanos.
TIPO: La auditora informtica evala y comprueba
los controles y procedimientos informticos ms
complejos. La auditora operativa o de gestin es
una revisin que comprende las actividades,
sistemas y controles dentro de la empresa para
conseguir economa, eficiencia, u otros objetivos.
Auditorias financieras las que se hacen con el fin de
asegurar el adecuado registro de las transacciones,
el cumplimiento de los principios de Contabilidad
generalmente aceptados y los planes y regulaciones
contables y financieros, que obligan a la
organizacin. Las auditorias verificativas o de
cumplimiento tratan de asegurar a la direccin de la
organizacin, que sus polticas, programas y normas
se cumplen razonablemente en todo el mbito de la
misma. La auditora tcnica o de mtodos es una
revisin de los mtodos y tcnicas utilizadas en la
realizacin de las operaciones de la empresa.
Las auditorias corresponde a los auditores,
dividindose en: Interna: funcin de evaluacin
independiente, bajo la autorizacin de la direccin
para examinar y evaluar las actividades de la
entidad, ayudndole a la misma a realizar sus
funciones y asegurar: salvaguardia del inmovilizado
material e inmaterial, exactitud y fiabilidad de los
registros contables, fomento de la eficiencia
operativa, cumplimiento de sus obligaciones
legales. Externa: evaluacin independiente para la
opinin respecto de la calidad de los estados
financieros de la entidad, el auditor evala y
comprueba los controles y procedimientos
informticos ms complejos. Actividades auditora:
Auditora de la gestin de los S.I./T.I.; Auditora de
los sistemas en desarrollo; Auditora de los Centros
de Proceso de Datos; Auditoria de las Aplicaciones;
Apoyo a los auditores no informticos.
La auditora de datos habilita a una organizacin la
Independiente Nada ni nadie debe ser capaz de
alterar un log de auditora. Hacerla Escalable,
Ampliable y Eficiente La plataforma de auditora de
datos debe acomodarse al crecimiento y la adicin
de nuevas fuentes de datos. Hacerla Flexible
asegrese que se pueda responder rpida y
fcilmente a esos cambios de requerimi. Gestin
Centralizada Una plataforma de auditora de datos
debe ser capaz de auditar mltiples bases de datos
en mltiples servidores fsicos. Asegurar la
Plataforma de auditora de Datos la plataforma no
debe tener puertas traseras de acceso ni permitir
el acceso por las mismas de las bases de datos que
monitorea. Identificacin de los Datos Se debe
establecer y mantener un inventario de todos los
datos, incluyendo los de fuentes externas. Anlisis
de los Datos Determinar los roles, vulnerabilidades y
responsabilidades relativas a todos los datos.
Hacerla Completa La poltica de auditora de datos
necesita abarcar todos los datos dentro de una
organizacin, y toda la informacin que pasa hacia o
alrededor de una organizacin tanto desde dentro
como desde afuera.
Habilitacin de Reportes y Anlisis. Establecimiento
de Patrones de Uso Normal. Establecimiento de una
Poltica de Documentacin y Revisin.
Estndares: Objetivos de Control para la informacin
y Tecnologas relacionadas (COBIT) creado por
creado por la Asociacin para la Auditoria y Control
de Sistemas de Informacin, (ISACA). La Information
Technology Infrastructure Library (ITIL)
SEMANA 3
Control, base para auditora Es una de las fases del
proceso administrativo, le corresponde: comparar
los resultados obtenidos contra los resultados
determinados en el proceso de planeacin de la
estrategia organizacional y de sus actividades
tcticas y operativas con el fin de determinar el nivel
de cumplimiento y ajustar los diferentes parmetros
y caractersticas de los procesos mediante los cuales
se busca el cumplimiento de los objetivos
organizacionales. Control est basado en el uso de
un lazo de retroalimentacin (feedback) mediante el
cual se compara la salida (output) del proceso o
sistema controlado contra valores de referencia, de
modo que al presentarse desviaciones, por exceso o
por defecto, se produce una seal de correccin
que debe ser alimentada al proceso para corregir las
desviaciones observadas en la salida.
Orientados a: Control gerencial, Control Informtico
Apoyar los controles anteriores
Sistema de Control Interno: Proceso, llevado a cabo
por la Junta Directiva, la direccin u otro personal de
la entidad, y el resto del personal, diseado para
proveer seguridad razonable sobre el logro de los
siguientes tipos de objetivo: (Efectividad y eficiencia
de las operaciones, Confiabilidad de la informacin
financiera, Cumplimiento de leyes y regulaciones
Salvaguarda de activos)///// OCDE (Organizacin
para la cooperacin y el desarrollo econmicos)
Principios para mantener la confianza de los
inversionistas y atraer capitales estables y a largo
plazo en pases en va de desarrollo. Sarbanes Oxley
Exactitud y transparencia de la informacin
financiera para empresas que cotizan en Bolsa
evala la vulnerabilidad y la probabilidad de su
ocurrencia. Se estima su posible impacto.
La segunda fuente es el conjunto de requisitos
legales, estatutarios, regulatorios y contractuales
que debe satisfacer: la Organizacin, sus socios
comerciales, los contratistas, los proveedores de
servicios.
La tercera fuente est formada por los principios,
objetivos y requisitos que la Organizacin ha
desarrollado para apoyar sus operaciones.
reas de control ISO/IEC 17799:2000
Poltica de Seguridad, Aspectos organizativos para la
seguridad, Clasificacin y control de los activos,
Seguridad ligada al personal, Seguridad fsica y del
entorno, Gestin de comunicaciones y operaciones
Control de accesos, Desarrollo y mantenimiento de
sistemas, Gestin de continuidad del negocio,
Conformidad
reas de control ISO/IEC 17799:2005
Poltica de Seguridad, Organizacin de la Seguridad
de la Informacin, Gestin de Activos, Seguridad en
los Recursos Humanos, Seguridad fsica y del entorno
Gestin de comunicaciones y operaciones, Control
de accesos, Adquisicin, desarrollo y mantenimiento
de sistemas de informacin, Gestin de incidentes
de seguridad, Gestin de continuidad del negocio,
Conformidad
SGCI: El sistema de gestin de la seguridad de la
informacin (SGSI) es la parte del sistema de gestin
de la empresa, basado en un enfoque de riesgos del
negocio, para: establecer, implementar, operar,
monitorear, mantener y mejorar la seguridad de la
informacin.
Plan; Establecer la poltica de seguridad, objetivos,
metas, procesos y procedimientos relevantes para
manejar riesgos y mejorar la seguridad de la
informacin para generar resultados de acuerdo con
una poltica y objetivos marco de la organizacin.
Definir el alcance del SGSI. Definir la Poltica de
Seguridad. Aplicar un enfoque sistmico para
evaluar el riesgo. Identificar y evaluar opciones para
tratar el riesgo Mitigar, eliminar, transferir, aceptar.
Seleccionar objetivos de Control y controles a
implementar (Mitigar).
A partir de los controles definidos por la ISO/IEC
17799. Establecer enunciado de aplicabilidad
Do: Implementar y operar la poltica de seguridad,
controles, procesos y procedimientos. Implementar
plan de tratamiento de riesgos. Transferir, eliminar,
aceptar Implementar los controles seleccionados.
Mitigar Aceptar riesgo residual.
Firma de la alta direccin para riesgos que superan
el nivel definido. Implementar medidas para evaluar
la eficacia de los controles Gestionar operaciones y
recursos.
Implementar programas de Capacitacin y
concientizacin. Implementar procedimientos y
controles de deteccin y respuesta a incidentes.
Verificar: Evaluar y medir la performance de los
procesos contra la poltica de seguridad, los
objetivos y experiencia practica y reportar los
resultados a la direccin para su revisin.
Revisar el nivel de riesgo residual aceptable,
considerando: (Cambios en la organizacin. Cambios
en la tecnologas. Cambios en los objetivos del
negocio. Cambios en las amenazas. Cambios en las
condiciones externas (ej. Regulaciones, leyes)).
Actuar: Tomar acciones correctivas y preventivas,
basadas en los resultados de la revisin de la
direccin, para lograr la mejora continua del SGSI.
La norma establece requisitos para Establecer,
Implementar y Documentar un SGSI.
Definir el alcance del SGSI (fronteras) evala la vulnerabilidad y la probabilidad de su No lo s joven
Definir una poltica de seguridad ocurrencia. Se estima su posible impacto. COSO Componente
Identificar activos La segunda fuente es el conjunto de requisitos
Realizar el anlisis de riesgos de activos. legales, estatutarios, regulatorios y contractuales
Identificar las reas dbiles de los activo que debe satisfacer: la Organizacin, sus socios
Tomar decisiones para manejar el riesgo comerciales, los contratistas, los proveedores de
Seleccionar los controles apropiados servicios.
Implementar y manejar los controles seleccionados La tercera fuente est formada por los principios, El CI est compuesto por 5 componentes
Elaborar la declaracin de aplicabilidad objetivos y requisitos que la Organizacin ha interrelacionados:
COBIT desarrollado para apoyar sus operaciones. - Ambiente de control. La gente - sus atributos
COBIT 5 se enfoca en el gobierno y la gestin de la reas de control ISO/IEC 17799:2000 individuales, incluyendo la integridad, los valores
informacin, este se puede aplicar a cualquier tipo Poltica de Seguridad, Aspectos organizativos para la ticos y la competencia
de empresa ya que lo que se busca es lograr la seguridad, Clasificacin y control de los activos, - Valoracin de riesgos. La entidad debe ser
satisfaccin e cliente, agregar valor a la empresa, Seguridad ligada al personal, Seguridad fsica y del consciente de los riesgos y enfrentarlos
mejorar la relacin que exista entre la empresa y las entorno, Gestin de comunicaciones y operaciones - Actividades de control.
TI. Control de accesos, Desarrollo y mantenimiento de - Informacin y comunicacin.
sistemas, Gestin de continuidad del negocio, - Monitoreo.
PRINCIPIO Conformidad El CI es un proceso iterativo multidireccional en el
COBIT 5.
reas de control ISO/IEC 17799:2005 cual casi todos los componentes pueden influenciar
Poltica de Seguridad, Organizacin de la Seguridad a los otros.
de la Informacin, Gestin de Activos, Seguridad en Control interno ambiente de control: Integridad y
1-Satisfacer 5-Separar el
las
2-Cubrir la
Organizacin
3-Aplicar un 4-Habilitar un Gobierno de
los Recursos Humanos, Seguridad fsica y del entorno valores ticos, Incentivos y tentaciones, Gua de
necesidades solo marco enfoque la
de las partes
de forma
integrado holistico Administraci Gestin de comunicaciones y operaciones, Control comportamiento moral, Acuerdos de competencias
integral
interesadas n
de accesos, Adquisicin, desarrollo y mantenimiento Comit de auditora, Filosofa de administracin
PREGUNTAS de sistemas de informacin, Gestin de incidentes Estructura organizacional, Asignacin de autoridad y
De acuerdo al ndice que estados estn mas de seguridad, Gestin de continuidad del negocio, responsabilidad, Polticas y prcticas de recursos
comprometidos y en que lugar est Ecuador Conformidad humanos.
66 de 193 pases a nivel mundial: Europa, Asia, SGCI: El sistema de gestin de la seguridad de la Modelos informticos tecnologas de la info.
Norteamrica y Oceana informacin (SGSI) es la parte del sistema de gestin Ambiente informtico: Objetivos, Recursos,
Puesto 6 en Latinoamrica: Mxico, Brasil, Colombia, de la empresa, basado en un enfoque de riesgos del Procesos, Objetivos de Control.
Uruguay, Argentina negocio, para: establecer, implementar, operar,
Artculos COIP (Cdigo Orgnico Integral Penal) monitorear, mantener y mejorar la seguridad de la
-Art. 229 revelacion ilegal de BD informacin.
-Art. 230: Intercepcion ilegal de BD Plan; Establecer la poltica de seguridad, objetivos,
232 Ataque a la integridad de sistemas de metas, procesos y procedimientos relevantes para
informacin manejar riesgos y mejorar la seguridad de la
-233 Delitos contra la informacin publica reservada informacin para generar resultados de acuerdo con
legalmente una poltica y objetivos marco de la organizacin.
-234 Acceso no conssentido a un sistema Definir el alcance del SGSI. Definir la Poltica de
informatico, telemtico o de telecomunicaciones Seguridad. Aplicar un enfoque sistmico para
evaluar el riesgo. Identificar y evaluar opciones para
Esquema de Seguridad Informacin
-Acceso ilegal a informacin publica legalmente
reservada
-Las empresas deben tener una comisin de
seguridad y ser presedida precedida por un oficial de
seguridad

tratar el riesgo Mitigar, eliminar, transferir, aceptar.

Seleccionar objetivos de Control y controles a
implementar (Mitigar).
A partir de los controles definidos por la ISO/IEC
17799. Establecer enunciado de aplicabilidad
Do: Implementar y operar la poltica de seguridad,
controles, procesos y procedimientos. Implementar
plan de tratamiento de riesgos. Transferir, eliminar,
aceptar Implementar los controles seleccionados.
Mitigar Aceptar riesgo residual. Elementos de un
Firma de la alta direccin para riesgos que superan Framework de Seguridad
el nivel definido. Implementar medidas para evaluar ISO 17799, lo otro amenazas
la eficacia de los controles Gestionar operaciones y
recursos.
Implementar programas de Capacitacin y
concientizacin. Implementar procedimientos y
controles de deteccin y respuesta a incidentes.
Verificar: Evaluar y medir la performance de los
procesos contra la poltica de seguridad, los
objetivos y experiencia practica y reportar los
resultados a la direccin para su revisin.
Revisar el nivel de riesgo residual aceptable,
considerando: (Cambios en la organizacin. Cambios
en la tecnologas. Cambios en los objetivos del
negocio. Cambios en las amenazas. Cambios en las
condiciones externas (ej. Regulaciones, leyes)).
Actuar: Tomar acciones correctivas y preventivas, SEMANA 4
basadas en los resultados de la revisin de la Es esencial que una organizacin identifique sus
direccin, para lograr la mejora continua del SGSI. requisitos de seguridad. La primer fuente procede de
La norma establece requisitos para Establecer, la valoracin de los riesgos de la Organizacin. Con
Implementar y Documentar un SGSI. ella: Se identifican las amenazas a los activos, Se