TEMAS PARA EL LUNES 29 06 - 15

Definir (
1. Que significa la ISO 27001
Tecnologa de la informacin Tcnicas de Seguridad Sistemas de Gestin de la
Seguridad de la Informacin Requisitos
Sera el homnimo de la ISO 9001, es una norma certificable, y es la que vamos a
utilizar para todos los procesos de auditora en lo que respecta a seguridad de la
informacin
2. Respaldo (Backup) y Recuperacin
Se deben utilizar medios secundarios de almacenamiento para proteger programas y
datos asociados para fines de copias de respaldo, estas copias son almacenadas en una o
ms instalaciones fsicas, basadas en el riesgo percibido.
Los respaldos de datos y de software deben seguir la ocurrencia de cambios de manera
continuada, manteniendo copias del software en sus versiones actualizadas.

3. Mantenimiento del plan

Se deben revisar y actualizar en forma programada los planes y estrategias para la
continuidad del negocio, analizando los factores que pueden tener un impacto sobre
los requerimientos:
- Una estrategia que es apropiada en un punto en el tiempo puede no se adecuada
cuando las necesidades de la organizacin cambian.
- Se pueden desarrollar o adquirir nuevos recursos / aplicaciones.
- Los cambios en la estrategia del negocio pueden alterar la importancia de las
aplicaciones crticas.
- Los cambios en el software o ambiente de hardware pueden hacer obsoletas o
inapropiadas los planes actuales.
4. Que significa Pruebas del Plan
La mayora de las pruebas de la continuidad del negocio no llegan a una prueba
a escala total de todas las porciones operativas de la corporacin.

5. Que es la Planeacin de Continuidad del Negocio

La Planeacin de continuidad del negocio (BCP) es un proceso diseado para
reducir el riesgo de negocios que surja de una interrupcin no esperada de las
funciones / operaciones crticas (manuales o automticas) necesarias para
supervivencia de la organizacin, esto incluye recursos humanos / materiales que
soportan estas funciones / operaciones crticas y garanta de continuidad en un nivel
mnimo de los servicios necesarios.
6. Que significan las siglas BCP
Business Continuity Plan
7. Auditoria
El trmino Auditoria se define como inspeccin o verificacin de la contabilidad de
una empresa o una entidad, realizada por un auditor con el fin de comprobar si sus
cuentas reflejan el patrimonio, la situacin financiera y los resultados obtenidos por
dicha empresa o entidad en un determinado ejercicio.
8. Auditoria Informtica
La auditora informtica es un proceso llevado a cabo por profesionales
especialmente capacitados para el efecto, y que consiste en recoger, agrupar y
evaluar evidencias para determinar si un sistema de informacin salvaguarda el
activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los
fines de la organizacin, utiliza eficientemente los recursos, y cumple con las leyes
y regulaciones establecidas. Permiten detectar de forma sistemtica el uso de los
recursos y los flujos de informacin dentro de una organizacin y determinar qu
informacin es crtica para el cumplimiento de su misin y objetivos, identificando
necesidades, duplicidades, costes, valor y barreras, que obstaculizan flujos de
informacin eficientes
9. Auditora Interna
Es aquella que se hace adentro de la empresa; sin contratar a personas de afuera.
10. Quien o quienes componen una Auditora Interna
Empleados de la empresa, un auditor o equipo de auditores contratados como
personal fijo de la empresa.

11. Seguridad de la Informacin

La seguridad de la informacin es el conjunto de medidas preventivas y reactivas de
las organizaciones y de los sistemas tecnolgicos que permiten resguardar y
proteger la informacin buscando mantener la confidencialidad, la disponibilidad e
integridad de la misma.
El concepto de seguridad de la informacin no debe ser confundido con el de
seguridad informtica, ya que este ltimo slo se encarga de la seguridad en el
medio informtico, pero la informacin puede encontrarse en diferentes medios o
formas, y no solo en medios informticos.
12. Centro de cmputos
Un centro de cmputo, centro de procesamiento de datos, centro de datos o data
center es una entidad, oficina o departamento que se encarga del procesamiento de
datos e informacin de forma sistematizada. El procesamiento se lleva a cabo con la
utilizacin de ordenadores que estn equipados con el hardware y el software
necesarios para cumplir con dicha tarea. Por lo general, estas computadoras se
encuentran interconectadas en red y cuentan con conexin a Internet.

Citar
1. Introduccin a la Seguridad de Informacin / Tres puntos a tratar
Introduccin a la Seguridad de la Informacin
Seguridad de la Informacin:
- Conceptos
- Valor de la Informacin
- Importancia de la confiabilidad
2. Amenazas y Riegos / Relaciones de las amenazas con la confiabilidad
Amenazas y riesgos: relaciones de las amenazas con la confiabilidad
Activos de la Organizacin
Incidentes de Seguridad de la Informacin
Mediciones: fsicas, tcnicas y de la organizacin
Legislacin y Regulaciones
Estndares: ISO/IEC 17799/27001/2
- Introduccin
- Alcance
- Secciones
3

3. Dominios de seguridad / Puntos a tratar

Los 11 dominios de seguridad:
Poltica de seguridad
Seguridad de la Organizacin
Recursos Humanos
Clasificacin y control de Activos
4. Citar tres puntos de La responsabilidad de mantener el plan a menudo recae en
el coordinador del plan e incluye responsabilidades especficas
Desarrollar un programa para revisin y mantenimiento peridicos del plan.
Exigir revisiones no programadas cuando hayan ocurrido cambio significativos.
Hacer arreglos y coordinar las pruebas programadas
5. Tipos de Auditoria
Interna y externa
6. Conocimientos bsicos de un Auditor Informtico
Gestin Empresarial Gestin de Proyectos Gestin Tecnolgica Tecnologa
Informtica Tecnologa ofimtica y Telemtica Bases de Datos Ingeniera de
Software Seguridad Informtica Sistemas de Informacin
7. Objetivos del rea de Informtica
La seguridad informtica debe establecer normas que minimicen los riesgos a la
informacin o infraestructura informtica. Estas normas incluyen horarios de
funcionamiento, restricciones a ciertos lugares, autorizaciones, denegaciones,
perfiles de usuario, planes de emergencia, protocolos y todo lo necesario que
permita un buen nivel de seguridad informtica minimizando el impacto en el
desempeo de los trabajadores y de la organizacin en general y como principal
contribuyente al uso de programas realizados por programadores.
Hablar brevemente
1. NP-ISO/IEC 27001 ( de que trata)
de "Tecnologa de la informacin Tcnicas de Seguridad Sistemas de Gestin de
la Seguridad de la Informacin Requisitos" sera el homnimo de la ISO 9001, es
una norma certificable, y es la que vamos a utilizar para todos los procesos de
auditora en lo que respecta a seguridad de la informacin
4

El Ministro Secretario Ejecutivo de la Secretara Nacional de Tecnologa de la

Informacin y Comunicacin (SENATICs), Ing. David Ocampos, destac lo
oportuno del lanzamiento de esta norma teniendo en cuanta que son demasiadas las
empresas de sectores pblicos y privados que manejan informaciones muy delicadas
y estaban necesitando de una norma como sta, que les d el sello de confianza al
servicio que ofrecen.
2. Anlisis de Riesgos Informticos
El anlisis de riesgos informticos es un proceso que comprende la identificacin de
activos informticos, sus vulnerabilidades y amenazas a los que se encuentran
expuestos as como su probabilidad de ocurrencia y el impacto de las mismas, a fin
de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la
ocurrencia del riesgo.
Teniendo en cuenta que la explotacin de un riesgo causara daos o prdidas
financieras o administrativas a una empresa u organizacin, se tiene la necesidad de
poder estimar la magnitud del impacto del riesgo a que se encuentra expuesta
mediante la aplicacin de controles. Dichos controles, para que sean efectivos,
deben ser implementados en conjunto formando una arquitectura de seguridad con
la finalidad de preservar las propiedades de confidencialidad, integridad y
disponibilidad de los recursos objetos de riesgo.
3. Continuidad del negocio
La Planificacin de la Continuidad del Negocio (BCP) trata de evitar la interrupcin
de los servicios de misin crtica y restablecer el pleno funcionamiento de la forma
ms rpida y fcil que sea posible.
4. Plan de contingencia
Un plan de contingencias es un instrumento de gestin para el buen gobierno de las
Tecnologas de la Informacin y las Comunicaciones en el dominio del soporte y el
desempeo (delivery and support, vase ITIL).
Dicho plan contiene las medidas tcnicas, humanas y organizativas necesarias para
garantizar la continuidad del negocio y las operaciones de una compaa. Un plan de
contingencias es un caso particular de plan de continuidad del negocio aplicado al
departamento de informtica o tecnologas. Otros departamentos pueden tener
planes de continuidad que persiguen el mismo objetivo desde otro punto de vista.
5

No obstante, dada la importancia de las tecnologas en las organizaciones modernas,

el plan de contingencias es el ms relevante.
5. Perfil de un Auditor Informtico
El auditor informtico es un profesional que debe tener un alto grado de
calificacin tcnica y manejar perfectamente cualquiera de
las corrientes organizativas empresariales actuales
por lo que dentro de la funcin de auditora informtica, se deben contemplar unas
caractersticas para mantener un perfil profesional adecuado y actualizado.
6. Centro de cmputos
7. Amenazas Internas
Generalmente estas amenazas pueden ser ms serias que las externas por varias razones
como son:
Si es por usuarios o personal tcnico, conocen la red y saben cmo es su
funcionamiento, ubicacin de la informacin, datos de inters, etc. Adems tienen algn
nivel de acceso a la red por las mismas necesidades de su trabajo, lo que les permite
unos mnimos de movimientos.

Explica brevemente con tus palabras

1. Como haras una Auditoria Informtica Web?
2. Perfil del Gerente de TI?
Explica brevemente
1. Tarea de Investigacin