Licenciatura en Telemática

Auditoria informática.

Actividad 3 Reporte de normas.

Alfonso De La Garza Jiménez.

AL10522512

Docente: Manuel Hernández González

Febrero 2020
Introducción a la actividad.

En la presente actividad se analizan dos casos de normas actuales y emergentes, como caso de
norma actual se presenta la norma 27001, y como norma emergente COBIT.

Caso 1:
QUE ES LA NORMA ISO 27001
La ISO 27001 es un Estándar Internacional de Sistemas de Gestión de Seguridad
de la Información que permite a una organización evaluar su riesgo e
implementar controles apropiados para preservar la confidencialidad, la
integridad y la disponibilidad del valor de la información.
El objetivo fundamental es proteger la información de su organización para que
no caiga en manos incorrectas o se pierda para siempre.
La propuesta de esta norma, no está orientada a despliegues tecnológicos o de
infraestructura, sino a aspectos netamente organizativos, es decir, la frase que
podría definir su propósito es “Organizar la seguridad de la información”, por
ello propone toda una secuencia de acciones tendientes al “establecimiento,
implementación, operación, monitorización, revisión, mantenimiento y mejora
del ISMS (Information Security Management System)” (como podrán apreciar
que se recalcará repetidas veces a lo largo del mismo). El ISMS, es el punto
fuerte de este estándar.
Los detalles que conforman el cuerpo de esta norma, se podrían agrupar en tres
grandes líneas:
 ISMS.
 Valoración de riegos (Risk Assesment)
 Controles
VENTAJAS DEL USO DE ESTA NORMA
El hecho de certificar un SGSI según la norma ISO/IEC 27001 puede aportar las
siguientes ventajas a la organización:
  Demuestra la garantía independiente de los controles internos y cumple los
requisitos de gestión corporativa y de continuidad de la actividad comercial.
 Demuestra independientemente que se respetan las leyes y normativas que
sean de aplicación.
 Proporciona una ventaja competitiva al cumplir los requisitos contractuales y
demostrar a los clientes que la seguridad de su información es primordial.
 Verifica independientemente que los riesgos de la organización estén
correctamente identificados, evaluados y gestionados al tiempo que
formaliza unos procesos, procedimientos y documentación de protección de
la información.
 Demuestra el compromiso de la cúpula directiva de su organización con la
seguridad de la información.
 El proceso de evaluaciones periódicas ayuda a supervisar continuamente el
rendimiento y la mejora.
Nota: las organizaciones que simplemente cumplen la norma ISO/IEC 27001 o
las recomendaciones de la norma del código profesional, ISO/IEC 17799 no
logran estas ventajas.
BENEFICIO DE UNA CERTIFICACIÓN BAJO LA NORMA ISO 27001
 Mejora del conocimiento de los sistemas de información, los problemas y los
medios de protección.
 Mejora de la disponibilidad de los materiales y datos.
 Protección de la información.
 Diferenciación sobre la competencia y mercado.
 Algunas licitaciones internacionales empiezan a solicitar una gestión ISO 27001.
 Reducción de los costos vinculados a incidentes.
 Posibilidad de disminución de las primas de seguro.
Características de la
implementación:
PROPUESTA PARA DOCUMENTAR PROCESOS COMO SEGURIDAD DE
INFORMACIÓN EN EL DESITEL.
3.1. PIRÁMIDE DOCUMENTAL DEL ISO 27001
En una organización, la documentación del modelo esta estructurada por la denominada
“pirámide documental de un SGSI” como se ilustra en la figura III.1.
Manual NIVEL I
de seguridad

de INFORMACIÓN

NIVEL II
Procedimientos

Instrucciones de trabajo NIVEL III

Documentos NIVEL IV

Figura III.1. Pirámide documental de un SGSI

Breve descripción de los cuatro niveles:
NIVEL I.- MANUAL DE SEGURIDAD
Es importante recalcar que el manual de seguridad de información no es un requisito del
modelo. No existe clausula que lo exige, pero es una muy buena práctica tenerlo porque
organiza la documentación, facilita la auditoria y agrupa la documentación considerada
por el modelo ISO 2700, los aspectos básicos que un manual de seguridad debería tener
son:
 Enunciados de la política del SGSI.
 Alcance del SGSI
 Procedimientos y controles de soporte.
 Descripción de la metodología de evaluación del riesgo.
 Reporte de evaluación del riesgo.
  Plan de tratamiento del riesgo.
 Declaración de aplicabilidad.
NIVEL II.- PROCEDIMIENTOS
Aquí se realiza una breve descripción de los proceso a documentar es decir ¿Quién hace
que y cuando?
NIVEL III.- INTRUCCIONES DE TRABAJO
Una vez analizados los procesos se analizará si requiere una instrucción de trabajo
especificando como se realiza las tareas y actividades específicas.
NIVEL IV.- DOCUMENTOS

Aquí obtenida toda la información anteriormente recolectada el SGSI señala validar esta
información y posteriormente documentarla como constancia de que se esta tratando
procesos que causen algún tipo de riesgo a la Seguridad de Información.

Conclusiones del caso 1:

CONCLUSIONES
1. El análisis realizado sobre la metodología para la seguridad de la información
permite gestionar las mejoras en la seguridad de la información del
Departamento.
2. El estudio de la Norma ISO 27001 ha permitido el conocimiento de seguridad de
información, sus problemas y los medios de protección además cubre con el
vacío generado por la inexistencia de un método de documentación para los
procesos críticos que maneja el DESITEL.
3. Mediante la recopilación de los activos involucrados en los sistemas de
información perteneciente al DESITEL se pudo constatar la situación actual y
posteriormente con el uso de la metodología de procesos se ha notado una
mejora de 40% en la organización de la seguridad de la información en el
 DESITEL.
4. El uso de la Norma ISO 27001 en la organización de la seguridad de la
información ayudará de forma interna al personal del DESITEL a mejorar las
autorizaciones, acuerdos de confidencialidad y disponibilidad de la información
de los procesos que manejan.
5. Con el uso del software facilitará el manejo de los documentos y el registro de
incidentes que se desarrollan en el DESITEL, para la toma correcta de
decisiones por parte del encargado del SGSI.

RECOMENDACIONES
1. Para una buena gestión de seguridad de la información es recomendable el
cumplimiento de las políticas y documentación por parte del personal
involucrado en el manejo de la Información.
2. Se considere que cualquier organización sin importar su tamaño requiere de una
metodología para sus procesos para garantizar la comerciabilidad, integridad y
disponibilidad de si información.
3. La puesta en práctica de la metodología de los procesos para que se garantice la
seguridad por parte de los encargados de los procesos.
4. Se recomienda el uso de las políticas y documentos para que siempre quede
constancia de cualquier eventualidad que suceda con la información que maneja
el Departamento.
5. Se recomienda a los profesionales informáticos el uso de la documentación para
que siempre este respaldada la información de la cual están encargados, en caso
de cualquier tipo de suceso o auditoría de la información.
RESUMEN
Implementación de la Norma ISO 27001 para la Gestión En Seguridad De
Información, caso práctico “DESITEL” Departamento de Sistemas y Telemática
de la Escuela Superior Politécnica de Chimborazo.
Utilizando el método inductivo para la observación de la situación actual, la
 clasificación y análisis de los procesos que maneja el DESITEL, el método
deductivo nos permite comprobar que la implementación de la Norma ISO
mejorara la gestión de seguridad de la información. Para el desarrollo se utilizó
una computadora portátil Toshiba, con Windows 7, 640 en Disco.
Para la metodología propuesta para la gestión de seguridad en información en
los proceso se utilizo herramientas como Microsoft Visio 2010 para el diseño de
Flujogramas normativos, Microsoft Excel para la tabulación de datos.
Una vez aplicado la metodología con el uso de la Norma ISO 27001 en la
gestión en seguridad de la información se obtuvo un 40% de incremento,
analizado por los tres indicadores propuestos: en disponibilidad se obtuvo el
86,35%, en integridad se obtuvo el 10% y confidencialidad se obtuvo 25%.
Concluyo que la utilización de la Norma ISO 27001 mejora la gestión de
seguridad de la información del Departamento de Sistemas y Telemática de la
Escuela Superior Politécnica de Chimborazo.

Caso 2:
Metodología COBIT COBIT es un acrónimo para Control Objectives for Information and related
Technology(Objetivos de Control para tecnología de la información y relacionada); desarrollada
por la Information Systems Audit and Control Association (ISACA) y el IT Governance
Institute(ITGI). COBIT es una metodología aceptada mundialmente para el adecuado control de
proyectos de tecnología, los flujos de información y los riesgos que éstas implican. La
metodología COBIT se utiliza para planear, implementar, controlar y evaluar el gobierno sobre
TIC; incorporando objetivos de control, directivas de auditoría, medidas de rendimiento y
resultados, factores críticos de éxito y modelos de madurez.

Características de la
implementación:
CAPITULO II EJECUCIÓN DE LA AUDITORÍA
2.1. Situación actual del área de sistemas
a. Ubicación: el departamento de informática se ubica en el primer piso del local, específicamente en el
área de oficinas, tiene como responsabilidad mantener la integridad de la data que se maneja dentro de la
organización. De igual forma, es este departamento quien gestiona y administra la adquisición y uso del
software y hardware que utiliza la empresa para el desarrollo de sus actividades operacionales; así
mismo, se encarga de mantener a la empresa a la vanguardia en lo que respecta a la plataforma
tecnológica.
b. Cargos Funcionales y Operativos: Nombres y Apellidos Cargos Cargos Personal del Departamento
Operativos Funcionales Se encarga de aministrar los recursos tecnológicos (software y hardware) de la
empresa, así como de coordinar que los demás integrantes del departamento Cristian Joan, Navarro
Fuentes Jefe de Informática cumplan con sus funciones, debe velar porque la empresa se encuentre a la
vanguardia a nivel tecnológico. Analista de Una de sus funciones principales consiste en analizar las
posibles utilidades y Cristopher Fuzi Mata sistemas/Técnico modificaciones necesarias de los sistemas
operativos para alcanzar una mayor computación y redes efectividad. De igual forma, estudian procesos
de forma detallada en busca de Analista de posibles mejoras, las cuales deben desarrollar e implementar.
Otra misión de Mitchel José Rivas Noriega sistemas/Técnico estas personas es dar apoyo técnico a los
usuarios de los equipos y software computación y redes utilizado en la empresa; así mismo mantener
software y hardware operativos. Su función principal es la de prestar apoyo durante la ejecución de las
tareas diarias del departamento, se involucra dentro de actividades de Daniel Silvestre Medina Chacón
Asistente analista/técnico mantenimiento, control y reparación de los recursos tecnológicos, sigue
instrucciones de los demás integrantes del departamento.
2.1.1. Objetivos del departamento Constituir planes de acción estratégicos ligados a la tecnología, en
concordancia con los requerimientos de la directiva y gerencia de la empresa. Proponer la adquisición de
nuevos recursos tecnológicos para la organización, siempre y cuando se considere necesario y se
demuestre que así sea. Resguardar la integridad de la data que se maneja dentro de la empresa,
estableciendo mecanismos de control y seguridad para alcanzar tal fin. Brindar soporte técnico al
personal de las diferentes áreas de la empresa. Planificar tareas de respaldo (Plan backup) para cada uno
de los equipos, haciéndolo de forma periódica y almacenando esa información en dispositivos de
almacenamiento masivo externo. Mantener la red de trabajo operativa (Comunicación y sistemas de
información). Realizar jornadas de adiestramiento, capacitación y nivelación a los actuales y futuros
usuarios de los recursos tecnológicos. Establecer planes de mantenimiento en relación al hardware y
software, hacer levantamiento de información de las incidencias relacionadas a ellos, para luego
analizarlas y corregir fallas.

Conclusiones y Recomendaciones
del caso 2.
4.1. CONCLUSIONES Las auditorías permiten conocer de manera concreta el estado de las actividades
desarrolladas, evaluando los niveles de desempeño y productividad en las diferentes dependencias, es
una herramienta o técnica de gran apoyo a nivel gerencial. Por su parte, el trabajo de auditoría aplicado a
la empresa EKIPA, C.A, específicamente en el área de informática, aporta resultados relevantes para la
organización, ya que define de forma puntual los aspectos a mejorar y a desarrollar dentro del área de
estudio para optimizar las actividades que desempeña. Como fue planteado en anteriores oportunidades,
el departamento de informática dentro de una organización es de vital importancia, porque actualmente
todos los procesos son manejados bajo un ambiente tecnológico. Por otro lado, es importante mantener
canales de comunicación efectivos a nivel interno del departamento e interdepartamentales, debido a que
esta área especializada de trabajo interactúa e interviene en los procesos de las demás áreas
especializadas de la empresa, De igual forma se determinó que existe falta de organización, registro y
control de las actividades del departamento, el estudio aplicado se considera beneficioso porque en él se
plasma una especie de mapa o base que servirá de vía en la aplicación de medidas correctivas y el
establecimiento de nuevos planes de trabajo, para optimizar los procesos y hacer uso adecuado y
provechoso de los recursos de TI.
44. 4.2. RECOMENDACIONES Llevar a cabo las sugerencias planteadas en la auditoría COBIT, en la
fase de resultados. Capacitar a los usuarios de los sistemas de información en el uso de estos, de tal
manera que puedan aprovechar al máximo las ventajas que estos ofrecen. Aplicar tareas de auditoría
cada 6 meses. Cumplir con los planes de mantenimiento. Renovar la plataforma tecnológica a medida
que se necesite. Llevar registros de las actividades realizadas, hacer levantamiento de información de las
incidencias, elaboración de manuales para apoyo a usuarios y a futuro integrantes del área de
informática. Mantener informadas a las diferentes gerencias de las actividades a realizar, de tal manera,
que exista un estado de alineación en la información y todos se mantengan al mismo nivel de
conocimiento.
45. GLOSARIO Administración: es el proceso de estructurar y utilizar conjuntos de recursos orientados
hacia el logro de metas, para llevar a cabo las tareas en un entorno organizacional. (Hitt,2006).
Auditoría: evaluación donde se miden los niveles de desempeño y se verifica que los procedimientos
ejecutados son correctos y que cumplen con las normativas o políticas existentes, permite dar a conocer
el estatus actual de la empresa en cuanto a sus operaciones. (Definición operacional). Comercialización:
acción de dar a un producto condiciones y vías de distribución para su venta. (Diccionario de la Real
Academia Española, 2001).Control: es una función administrativa: es la fase del proceso administrativo
que mide y evalúa el desempeño y toma la acción correctiva cuando se necesita. (Chiavenato, 2007).
Dirección: Proceso para dirigir e influir en las actividades de los miembros de un grupo o una
organización entera, con respecto a una tarea. (Stoner y Freeman, 1997). Eficacia: capacidad para lograr
el efecto que se desea o se espera tras la realización de unaacción. (Fernández y Otros, 1997). Eficiencia:
capacidad de reducir al mínimo los recursos usados para alcanzar los objetivosde la organización.
(Chiavenato, 2007). Empresa: organización destinada a la producción o comercialización de bienes o
servicios.(Chiavenato, 2007).Estrategia: En un proceso regulable, conjunto de las reglas que aseguran
una decisión óptima en cada momento. (Diccionario de la Real Academia Española, 2001).Estructura
organizacional: es la capacidad de una organización de dividir el trabajo yasignar funciones y
responsabilidades a personas o grupos de la organización. (Lusthaus,2002). Flujo de información:
Desplazamiento de información dentro de una organización o entre la organización y su entorno.
(Definición operacional).
46. Gerencia: son los gerentes responsables de la administración general de la organización; establecen
políticas operativas y guían la interactuación de la organización y su entorno. (Chiavenato, 2007).Metas:
fin de aprender alcanzar la organización; con una frecuencia, las organizaciones tienen más de una meta;
las metas son elementos fundamentales de las organizaciones.(Stoner y Freeman, 1997).Objetivos: son
los resultados y fines esperados por personas o instituciones. (Definición Operacional). Organigrama: es
un diagrama que ilustra las líneas de reporte entre unidades y personas dentro de la organización, usando
el término unidades para referirnos a equipos, grupos, departamentos o divisiones. (Hellriegel, 2006).
Organización: es el proceso de gestión que combina los recursos materiales y humanos con objetos de
estableces una estructura formal de tareas y actividades. (Chiavenato, 2007). Optimización: Buscar la
mejor manera de realizar una actividad. (Diccionario de la Real Academia Española, 2001). Planeación:
trazar un plan. (Diccionario de la Real Academia Española, 2001) . Planificador: que Hacer plan o
proyecto de una acción. (Diccionario de la Real Academia Española, 2001). Proceso: Conjunto de las
fases sucesivas de un fenómeno natural o de una operación artificial. (Diccionario de la Real Academia
Española, 2001). Servicio: acción de repartir o suministrar algún producto a un cliente. (Diccionario de
la Real Academia Española, 2001).Toma de Decisiones: es un proceso de pensamiento que ocupa toda
la actividad, que tiene por fin solucionar un problema. (Latorre, 1996).

Bibliografía
ESPINOSA, L. V. (2012). IMPLEMENTACIÓN DE LA NORMA ISO 27001 PARA GESTIÓN EN. Obtenido de
http://dspace.espoch.edu.ec/bitstream/123456789/2541/1/18T00517.pdf

Mosley, B. (2013). Trabajo final auditoría. Obtenido de https://es.slideshare.net/mitcheljrn/trabajo-final-

auditora