TRABAJO “NORMA TECNICA COLOMBIANA”

1. ¿Qué conclusiones tienen del documento?

Esta desarrollado como guía para el establecimiento, implementación, operación, monitorización, revisión, mantenimiento y mejora de un SGSI para cualquier tipo de organización.

Brinda un modelo para la implementación, seguimiento, revisión y mejora de un sistema de gestión de la seguridad de la información.

Medir la eficacia de los controles para verificar que se han cumplido los requisitos de seguridad.

Asegurar que los procedimientos de seguridad de la información brindan apoyo a los requisitos del negocio.

a ISO 27001 es un Estándar Internacional para la implantación de Sistemas de Gestión de Seguridad de la Información que permite a una organización evaluar su riesgo e implementar controles apropiados para preservar la confidencialidad, la integridad y la disponibilidad del valor de la información

El objetivo fundamental es proteger la información de su organización para que no caiga en manos incorrectas, se pierda para siempre o bien que incurramos en incumplimiento legal.

Este diseño e implantación de un SGSI (Un Sistema de Gestión de Seguridad de la Información) está influenciado por las necesidades, objetivos, requisitos de seguridad, los procesos, los empleados, el tamaño, los sistemas de soporte y la estructura de la empresa.

Una estructura organizativa donde las funciones, responsabilidades, autoridad, etc. de las personas están definidas

Procesos y recursos necesarios para lograr los objetivos Metodología de medida y de evaluación para valorar los resultados frente a los objetivos, incluyendo la realimentación de resultados para planificar las mejoras del sistema

Un proceso de revisión para asegurar que los problemas se detectan y se corrigen, y las oportunidades de mejora se implementan cuando están justificadas

2. ¿Se puede considerar de la ISO 27001 como una herramienta para la Auditoria de Sistemas, por qué? Sustente su postulado.

Si, ya que a través de esta norma se puede verificar el cumplimiento de controles internos, normativa y procedimientos.

Ejerciendo con responsabilidad los requerimientos necesarios para la conducción de las actividades de auditoria y analizando los informes

resultantes y el mantenimiento de los registros será definido en un procedimiento proceso de auditoria en sistemas,

La compañía debe llevar a cabo acciones para eliminar las causas que no estén en conformidad con los requerimientos del ISMS con el objetivo de evitar la recurrencia de los mismos., adicional certificarse con ISO 27001 es establecer que las cosas se vigilan dentro de un marco de gestión y que existen procesos de mejora continua sobre el funcionamiento de las medidas de seguridad

Se encarga de llevar a cabo la evaluación de normas, controles, técnicas y procedimientos que se tienen establecidos en una empresa para lograr confiabilidad, oportunidad, seguridad y confidencialidad de la información que se procesa a través de los sistemas de información. La auditoría de sistemas es una rama especializada de la auditoría que promueve y aplica conceptos de auditoría en el área de sistemas de información.

La auditoría de los sistemas de información se define como cualquier auditoría que abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes.

El objetivo final que tiene el auditor de sistemas es dar recomendaciones a la alta gerencia para mejorar o lograr un adecuado control interno en ambientes de tecnología informática con el fin de lograr mayor eficiencia operacional y administrativa

3. Indique ocho (8) objetivos que plantea la ISO 27001 en relación con las Tecnologías de la Información y qué efectos tiene sobre la Auditoria de Sistemas.

Implementar y operar controles para manejar los riesgos de la seguridad de la información.

Comprender los requisitos de seguridad de la información del negocio.

Identificar y atender los requisitos legales y reglamentarios, así como las obligaciones de seguridad contractuales.

Mantener la seguridad de la información y de los servicios de procesamiento de información de la organización a los cuales tienen acceso partes externas o que son procesados, comunicados o dirigidos por éstas.

Brindar apoyo y orientación a la dirección con respecto a la seguridad de la información, de acuerdo con los requisitos del negocio y los reglamentos y las leyes pertinentes.

Asegurar la operación correcta y segura de los servicios de procesamiento de información.

Implementar y mantener un grado adecuado de seguridad de la información y de la prestación del servicio, de conformidad con los acuerdos de prestación del servicio por terceras partes.

Garantizar la seguridad de los servicios de comercio electrónico, y su utilización segura.

4. ¿Qué incidencia tiene la ISO 27001 para el caso de las Tecnologías de la información, indique cinco?

La norma internacional ISO/IEC 27001:2005 especifica los requerimientos para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un sistema documentado de gestión de la seguridad de la información dentro del contexto de los riesgos comerciales generales de la organización.

La norma ISO 27001 puede aplicarse a cualquier negocio, organización o industria.

permite realizar evaluaciones de los sistemas de gestión de la seguridad informática conforme a los requerimientos de la citada norma.

ayudará a asegurar la continuidad de su negocio en casi todas las

circunstancias, como incendios, inundaciones, hackers, pérdida de datos, violación de confidencialidad y terrorismo.

Una organización tiene la posibilidad de implantar una política de seguridad de la información que cubra toda clase de comunicación y almacenamiento de datos.

5. ¿Qué entiende por control en Tecnologías de la Información?

El control en Tecnologías de la información es la aplicación de ordenadores y equipos de telecomunicación para almacenar, recuperar, transmitir y manipular datos, y aqui se debe estudiar, diseñar ,desarrollar, implementación y administración de los sistemas de información utilizados para el manejo de datos e información de toda la organización. Estos sistemas, a su vez, comprenden aplicaciones o software, y equipos o hardware. 

Igualmente, las computadoras relevan a los empleados de numerosas actividades repetitivas y aburridas, permitiéndoles aprovechar mejor su tiempo en actividades que agregan más valor.

A En las empresas, sus aplicaciones son diversas. Hoy en día, la mayoría de las empresas medianas y grandes (y cada día más pequeñas y micro-empresas) utilizan la TI para gestionar casi todos los aspectos del negocio, especialmente el manejo de los registros financieros y transaccionales de las organizaciones, registros de empleados, facturación, cobranza, pagos, compras, y mucho más.

6. ¿Qué beneficios presenta las ISO 27001 para las Tecnologías de la Información?

Protección de la información

Crear una política en el Sistema de Gestión de Calidad que permita la gestión y la implementación efectiva de todos los servicios de Tecnología de la Información

Mejorar la documentación de los procedimientos existentes que ayuden a cumplir con los requisitos de la documentación, que incluyan las políticas y planes de la gestión del servicio y los acuerdos de niveles de servicio, además de crear los nuevos procedimientos requeridos por la norma.

Confidencialidad de los clientes internos y externos

Adopción de un estándar mundial del manejo de la información.

Mejora de los procedimientos y seguridad de la información

Medición de los acontecimientos realizados en seguridad y poder tener un mejor control de ellos, Crear los procesos de solución, para gestión de incidentes y gestión de problemas. Identificando muy bien cada uno de ellos para dar la solución correcta en cada caso.

7. Desde la práctica del Contador Público, en que nos puede beneficiar la ISO 27001 para nuestra labor profesional

La seguridad de la información debe ser parte del día a día de la Organización y deben intervenir todos y cada uno de los involucrados en cada uno de sus procesos ______________________________________________________________________________________ 16 Con la Gestión de los servicios de Tecnología se logra la alineación del Plan Estratégico de Tecnología Informática con el Plan de Desarrollo de las Organización.

Entregar servicios de calidad en el área de TI, permite garantizar la satisfacción de los usuarios y mejorar los tiempos de respuesta del área en la prestación de los servicios.

La disminución de los costos es un factor a realzar, ya que se realizarán las inversiones de manera planificada y organizada, con presupuestos asignados con anterioridad y no bajo improvisación.

Los acuerdos de niveles de servicio se convierten en una herramienta, para garantizar no solo la correcta atención de los servicios a los usuarios, sino también para que los proveedores cumplan de manera adecuada y oportuna con los compromisos adquiridos.

En la implementación e implantación de un SGSI se requiere la participación de profesionales de diversas disciplinas, tales como Ingenieros de Sistemas, Electrónicos, Industriales, Contadores, Administradores, etc.

Es necesario que al interior de las Organizaciones se tome conciencia de las amenazas a las que se ve expuesta por razones inherentes a su objetivo y tomen las medidas correspondientes.

Hoy en día, la mayoría de las empresas medianas y grandes (y cada día más pequeñas y micro-empresas) utilizan la TI para gestionar casi todos los aspectos del negocio, especialmente el manejo de los registros financieros y transaccionales de las organizaciones, registros de empleados, facturación, cobranza, pagos, compras, y mucho más.

El sistema de Gestión para el área de TI, debe ser auditado para garantizar la evaluación de sus procesos y generar las acciones que corresponda