ESTUDIO PARA LA IMPLANTACION DE LA NORMA ISO 27004

Plan de proyecto de evaluacin y auditoria

Esteban Cando Diego Flores Andrs Snchez

Tabla de contenido
PLAN DE PROYECTO DE EVALUACIN Y AUDITORA INFORMTICA .......................... 2 Tema ......................................................................................................................................................... 2 Objetivos Generales ............................................................................................................................ 2 Objetivos Especficos .......................................................................................................................... 2 Alcance ..................................................................................................................................................... 2 Justificacin ............................................................................................................................................ 3 Introduccin .......................................................................................................................................... 3 El porqu de la ISO 27004? ....................................................................................................... 4 Las mediciones...................................................................................................................................... 5 Modelo de las mediciones................................................................................................................. 6 Mtodo de las mediciones ................................................................................................................ 7 Seleccin y definicin de las mediciones. .................................................................................. 8 Las cuatro etapas .............................................................................................................................. 10 PLAN.................................................................................................................................................. 10 DO ....................................................................................................................................................... 10 CHECK............................................................................................................................................... 11 ACT..................................................................................................................................................... 11 Cuestionarios CheckList del SGSI ............................................................................................... 12 Formatos de los Cuestionarios Checklist ............................................................................ 12 Inspeccin de los procesos y las Polticas empresariales ........................................... 21 Inspeccin .................................................................................................................................. 21 Autoridad de Inspeccin. ...................................................................................................... 22 Cronograma ........................................................................................................................................ 23 Conclusiones ....................................................................................................................................... 23 Bibliografa .......................................................................................................................................... 24

PLAN DE PROYECTO DE EVALUACIN Y AUDITORA INFORMTICA Tema

Estudio para la implantacin de la norma ISO 27004, en una empresa de consultora tcnica especializada en motores de Bases de Datos (DBMSs).

Objetivos Generales
Conocer la esencia y el funcionamiento de la Norma ISO 27004 como un estndar de calidad dentro de una organizacin de consultora tcnica. Plantear cual sera el mejor modelo y mecanismo de auditora en este tipo de entornos profesionales. Determinar las ventajas que se obtendran al implementar esta norma dentro de una organizacin de esta ndole.

Objetivos Especficos
Ver el comportamiento que tiene la empresa frente en la implantacin de la Norma ISO 27004, que se refiere a los aspectos de eficacia sobre un sistema de seguridad de la informacin. Identificar los puntos ms relevantes de la norma y adaptarlos a los procesos de negocio y al sistema de seguridad de la informacin de este tipo de empresa. Verificar, comprobar y medir el impacto que tiene el uso de la norma dentro de la empresa. Desarrollar un mecanismo de control y evaluacin de resultados sobre la norma implantada.

Alcance
No pretendemos seguir la norma al 100%, simplemente queremos extraer las buenas prcticas y la metodologa de auditora que se adapte a las necesidades de una empresa de consultora tcnica, basndonos en la norma ISO 27004 ya establecida. Como se menciona en el tema nos limitaremos a las empresas de consultora con especialidad en el manejo y administracin de DBMSs. El estudio pretende registrar en un documento formal, una metodologa de auditora adaptada a las necesidades del negocio y no ms que eso.

Justificacin
Esta implantacin permitir a la empresa poder mejorar la gestin y evaluacin de la seguridad de la informacin administrada por un motor de base de datos en un determinado cliente dndole a este, datos concretos acerca del desempeo de su DBMS por medio de las mtricas propuestas en la norma.

Introduccin
El nombre de la normativa es ISO/IEC 27004 Information technology Security techniques Information security management Measurement, cuya traduccin en espaol sera ISO / IEC 27004 Tecnologa de la informacin Tcnicas de seguridad Gestin de la seguridad de la informacin Medida, por lo tanto como su propio nombre indica tocaremos todos esos campos en dicha normativa. La norma 27004 se cre para complementar a la norma ISO 27001, ya que la norma 27001 destaca que los controles tienen que ser medibles, ya que si no somos capaces de medir un control no nos servir de nada para nuestro SGSI, por lo tanto hay que hacerlo medible, y es por esa razn por la que se realiza la normativa 27004 en la cual nos ensea cmo debemos medir dichos controles, su objetivo consiste en hacerlos medibles. Esta normativa 27004 nos sirve de ayuda para guiarnos sobre la creacin y el uso de las mediciones con el fin de poder evaluar la eficiencia del sistema de gestin de la informacin aplicada a los controles y seguridad. Con esta normativa se incluye la gestin de informacin de seguridad de riesgos, procesos, poltica, objetivos de control, procedimientos, ayudar al proceso de su revisin, as como ayudar a determinar si alguno de los procesos de SGSI o controles necesitan ser mejorados o modificados. El uso de esta normativa constituye una medicin de la seguridad de la informacin. El sistema de gestin de la seguridad de la informacin nos ayudar evaluar y a identificar aquellos procesos o normas ineficaces en nuestro sistema de la seguridad de la informacin, as como los controles y prioridades de las acciones asociadas. Gracias a esta norma ser un punto de partida para el desarrollo de la medida de medicin es importante para la comprensin de los riesgos de seguridad de informacin donde la entidad o la organizacin se puede enfrentar o tener problemas. As como saber que las actividades que est realizando la empresa respecto a la evaluacin de riesgos se est haciendo correctamente. Queda aclarar que el objetivo de dicha normativa consiste en fortalecerla organizacin y que gracias a la normativa proporciona una informacin fiable a la entidad sobre los riesgos que corre en relacin a la seguridad de informacin as como el estado de nuestro SGSI aplicado para la gestin de estos riesgos. Los datos obtenidos de las mediciones realizadas nos servirn para hacer una pequea comparacin de los avances o progresos obtenidos en referencia a la seguridad de la informacin en un perodo de tiempo, comprobando as la mejora continua de la organizacin en su SGSI.

El porqu de la ISO 27004?

Gracias a la ISO/IEC 27004 se aade un nuevo concepto de indicador sobre la eficacia de los controles, lo cual provoca que el SGSI (Sistema de Gestin de Seguridad de la Informacin) sea capaz de evaluar su calidad y su eficacia el mismo. La ISO/IEC 27001 desea que la entidad u organizacin tenga que hacer revisiones peridicas de la eficacia de su SGSI en referencia a los resultados obtenidos de la medicin de su eficacia, y con esos resultados obtenidos verificar que los requisitos de seguridad se cumplen. Adems tambin quiere que dicha entidad sea capaz de definir la manera de medir la eficacia de los controles seleccionados o grupos de controles y especificar cmo estas medidas se van a utilizar para evaluar la eficacia de control para producir resultados comparables y reproducibles. Para la entidad que quiere cumplir los requisitos de medicin indicados en la normativa ISO/IEC 27004 varan en relacin a la entidad, como puede ser, el tamao de la entidad, los riesgos que tienen, recursos de la organizacin, etc. Aun as la entidad tiene que tener cuidado a la hora de aplicar sus recursos y saber repartirlos cuidadosamente para las acciones del SGSI, ya que no debe de utilizar todos los recursos porque entonces dejaran de ser beneficiosos y sera perjudicial debido a que no tendra recursos suficientes para las otras actividades que debe de realizar la entidad. Por lo tanto tiene que tener una buena organizacin y por tanto aquellas actividades que estn en curso de medicin deberan ser integradas en las operaciones regulares de la entidad con un mnimo de necesidades de recursos. El utilizar mtricas de seguridad en el Sistema de Gestin de Seguridad de la Informacin puede provocar que la norma perdure en el tiempo como un estndar potente y eficaz para gestionar las seguridad de la informacin de una forma ptima, debido a que las mtricas de seguridad no estn contempladas como un accesorio ms a aadir al Sistema de Gestin de Seguridad de la Informacin segn le interese a la entidad sino que lo absorbe y termina formando parte de l a lo largo de su ciclo de vida. Todo esto provoca que el sistema de medicin junto a su Sistema de Gestin de Seguridad de la Informacin sea revisado y mejorado de una forma continua. Por ello la ISO/IEC surge a partir de la ISO/IEC 27004.

Las mediciones

La normativa ISO/IEC 27004 est centrada sobre el modelo PlanDoCheck Act, tambin conocido como PDCA, el cual consiste en ser un ciclo continuo y que comentaremos ms extensamente en el siguiente punto. En una entidad se deber de saber cmo interactan y se interrelacionan las mediciones de la entidad con su Sistema de Gestin de Seguridad de la Informacin. Para ello la entidad tendr que crear una serie de guas las cuales especifiquen, sealen, documenten y expliquen estas relaciones con el mximo detalle posible con el fin de llevarlo a cabo lo mejor posible. En los procesos de mediciones se tienen que cumplir una serie de objetivos los cuales son los siguientes: Indicar y avisar los valores de seguridad de la entidad. Realizar una evaluacin de la eficiencia del Sistema de Gestin de Seguridad de la Informacin. Incluir niveles de seguridad que sirvan de gua para las revisiones del Sistema de Gestin de Seguridad de la Informacin, lo cual provocar nuevas entradas para auditar y para ayudar a mejorar la seguridad de la entidad. Realizar una evaluacin de la efectividad de la implementacin de los controles de la seguridad de la entidad.

Modelo de las mediciones

Para llevarlo a cabo se necesita crear un programa con el fin de realizar la medicin de la seguridad de la informacin de la entidad. El programa deber centrarse en las ayudas que aportan dichas mediciones a la hora de tomar decisiones. Esto obliga a que dicho programa de medicin deba de estar basado en un modelo de mediciones para la seguridad de la informacin. El modelo se centra en una arquitectura que relaciona los atributos medibles con una entidad relevante. Dichas entidades pueden incluir, productos, recursos, proyectos y procesos.

Este modelo servir para describir como dichos atributos son cuantificados y transformados en indicadores que servirn para la entidad a la hora de tomar decisiones. Para desarrollar este modelo es necesario definir los atributos que son considerandos ms importantes para medir la informacin que la organizacin necesita. Tambin se puede considerar que un mismo atributo puede incorporarse en mltiples mediciones para las cuales se tendrn informaciones distintas

Mtodo de las mediciones

Cmo tienen que ser medidos los atributos? Con esta normativa nos indica cmo los atributos tienen que ser medidos, por lo cual propone un Mtodo. Existen dos tipos de mtodos a la hora de cuantificar los atributos necesarios. - Objetivos: los cuales se centran en una regla numrica (por ejemplo de 1 a 5) que se pueden aplicar a las personas o a los procesos, se recomienda que se realice primero a los procesos. Subjetivos: se centran en el criterio de los empleados o de los evaluadores externos.

Dichos mtodos pueden englobar diferentes tipos de actividades y a su vez un mtodo engloba a varios atributos. Algunos mtodos que se utilizan en la entidad con el fin de medir los atributos son: - Cuestionarios al personal de la entidad. - Inspecciones de las areas de dicha organizacin. - Toma de notas a partir de observaciones. - Comparacin de atributos en diferentes momentos. - Muestreo. - Consultas de los sistemas. Una vez realizados los mtodos de medicin es asociarlo a un tipo de escala, las clases de escala pueden ser: - Ratio: uso de escalas de distancias. - Nominal: uso de valores categricos - Intervalos: uso de mximos y mnimos. - Ordinal: uso de valores ordenados. Para finalizar se tiene que considerar la frecuencia de cada medicin. Se recomienda que la entidad programe dicha frecuencia de las mediciones, ya sean diarios, semanales, mensuales, semestrales, trimestrales, cuatrimestrales o anuales.

Seleccin y definicin de las mediciones.

Tambin se indica cmo desarrollar dichas mediciones para cuantificar la eficiencia de nuestro Sistema de Gestin de Seguridad de la Informacin, controles y procesos. Dichas mediciones de la informacin son requeridas para: -

La certificacin de nuestro Sistema de Gestin de Seguridad de la Informacin de la entidad. La mejora en la eficiencia del Sistema de Gestin de Seguridad de la Informacin. Para los clientes de la entidad, accionistas, etc. Para cumplir con las regulaciones y requisitos legales. Para la mejora de los procesos. Para la alta direccin de la entidad.

Ahora para poder realizar el establecimiento y la operacin de un programa de mediciones necesita realizar los siguientes puntos en orden. Definir los procesos Desarrollo de mediciones Implementacin del programa Revisin de mediciones.

Las cuatro etapas

PLAN
Consiste en establecer SGSI y definirlas mtricas, en este punto para que la mtrica que estemos definiendo para la seguridad sea correcta tiene que cumplir una serie de puntos necesarios para ello. Tiene que ser algo notable para la entidad en la cual se va a realizar. Tiene que poder medir la evolucin de la seguridad en la entidad en el paso del tiempo (cambios, mejoras) Tiene que ser reproducible. Tiene que ser objetiva. Tiene que ser justificable Tiene que ser imparcial.

DO
Consiste en adaptar procedimientos y controles con el fin de poder obtener los datos necesarios. En este punto es necesaria la existencia del personal de trabajo para obtener, procesar y comunicar los datos obtenidos al cuadro de mando. Esto obliga que dicho personal tiene que estar cualificado para ello y por tanto dicho personal tiene que estar formado y concienciado a los trabajadores a la hora de evaluar dichos datos, ya que entonces podemos estar cometiendo un grave error a la hora de evaluar por parte del personal de la empresa y tener unos datos errneos, por tanto para la empresa consistir en dar un trabajo adicional a dichos trabajadores formndoles a la vez de invertir ms dinero en ellos (pagar horas extras a los trabajadores por la formacin) as como invertir en los recursos.

10

CHECK
En este punto tendremos que revisar los datos obtenidos de las mtricas realizadas. Este tambin es un punto importante ya que a la hora de las decisiones que tome una entidad se basan en relacin a sus datos obtenidos y por tanto dichos datos no pueden ser errneos ya que entonces tomarn decisiones a partir de una base la cual no es real o est equivocada debido a los datos tomados errneamente, por tanto en este punto se centra en revisarlos datos obtenidos de las mtricas para que la entidad sepa realmente lo que est ocurriendo.

ACT
Este ltimo punto se centra en la revisin y mejora de las mtricas de seguridad. Ahora se centrarn en las revisiones de la calidad de las mtricas y de los objetivos con el fin de comprobar que siguen cumpliendo con los objetivos definidos en el principio adems de que sigan siendo tiles para la entidad. Cuando se realizan dichas revisiones tienen que comprobar y por tanto realizar una serie de puntos para comprobar que siguen siendo tiles. Los cuales son los siguientes: Tienen que evaluar la eficiencia del SGSI (sistema de gestin de seguridad de la informacin. Saber que el coste de mantenerlas mtricas y la obtencin de datos no sea superior al valor que aporta dicha informacin. Indicar la evolucin de los objetivos de seguridad indicados por la entidad. Saber que los objetivos de las mtricas no sean lo suficientemente bajos porque entonces siempre saldra de forma correcta.

11

Cuestionarios CheckList del SGSI

Las preguntas pertinentes realizadas en base a desastres fsicos que pueden suceder se muestran en los siguientes cuestionarios con preguntas de preguntas cerradas o se los puede considerar como un checklist donde se observa si cumple o no con ciertos requisitos de la norma o estndar. De esa forma se pueden tomar medidas para poder tener un SGSI de manera integral.

Formatos de los Cuestionarios Checklist

TERREMOTOS

existencias de terremotos? 2. Los equipos informticos estn en posiciones elevadas poniendo en peligro recursos tantos humanos como fsicos? 3 S q p m (m , ) rr m ? 4 q p rm rr m m p rr m m ? m ?

5 E q p m

6. Los servidores de BD de respaldo se encuentran en la misma instalacin local? 7. Existe alguna informacin critica de las bases de Datos de sus clientes dentro de su centro de datos?

12

INUNDACIONES

existencia de inundaciones? existencia de lagos, riachuelos, ros, mar? 3. Se ha establecido el uso de detectores de agua en el edificio de la entidad? 4. Existencia de caeras en mal estado? 5. Se revisan las caeras? 6. Existencia de caeras cerca de componentes elctricos? 7. Los detectores de agua tienen un plan de mantenimiento? 8. Hay pulsador de alarma de inundacin para ser pulsado por el personal de la entidad? 9. Las alarmas de inundacin avisan a los bomberos, hospitales, polica? 10. Existe material impermeable en la losa superior e inferior del recinto? 11. El centro de datos de la entidad se encuentra expuesta a posibles inundaciones?

13

FUEGOS 1. El personal de la entidad fuma dentro de las instalaciones de la entidad? 2. Se han establecido zona de fumadores para el personal de la entidad con el fin de evitar de que fumen a escondidas dentro del edificio(baos, escaleras)? 3. Hay paneles elctricos deteriorados? 4. Hay simulacros de incendios? 5. Uso de material inflamable(mesas, sofas, etc)? 6. Hacen cursos de formacin de primeros auxilios por parte del personal de la entidad? 7. Hacen cursos de formacin contra incendios por parte del personal de la entidad? 8. Existen almacenamiento de papel en grandes proporciones? 9. Existen extintores dentro de la entidad? 10. Existen indicaciones de la situacin de los extintores de la entidad? E r p r ?

12. Hay detectores de fuego y humo en la entidad? 13. Hay pulsador de alarma de fuego para ser pulsado por el personal de la entidad? 4 E r p r rm ? 15. Las alarmas avisan a los bomberos, hospitales, polica? 16. Los detectores tienen un plan de mantenimiento? 17. Los extintores tienen un plan de mantenimiento? 18. Los cables elctricos estn dentro de paneles? 19. Tienen los servidores proteccin automtica contra el fuego? 20. Existe un buen sistema de enfriamiento en su centro de datos?

S-No

14

BACKUPS(informacin salvaguardada) E rm B k p ? g r k p rm p r ?

3. Todas las copias de la informacin se guardan junta? 4 B k p de fuegos, inundaciones, etc.? 5 k p pr g fuertes)? 6 B k p p g r ( j r m m ( ? g r ) , j

7 k p pr g q rm ( k r , vr , crackers, etc)? 8. Existen procedimientos para la reconstruccin de los archivos en caso de su destruccin? 9. Estn identificados los archivos con informacin clasificada? 10. Dicha informacin clasificada tiene clave de acceso? 11. Hay certificacin de que los archivos borrados? 12. Hay personal autorizado para firmar la salida de los archivos clasificados? 13. Hay responsable en caso de fallo de los backups? 14. Existen polticas de respaldos para los consultores y dems empleados de la empresa?

15

TORMENTAS ELECTRICAS Y PICOS DE TENSION ELECTRICIDAD

existencia de tormentas elctricas? 2. Existe la instalacin de pararrayo en el edificio de la entidad? 3. Las tormentas elctricas han producido daos en lo equipos informticos en forma fsica? (Placas quemadas, ordenadores inutilizados completamente) 4. Las tormentas elctricas han producido perdida de la informacin(bases de datos daadas) en los equipos informticos? 5. Los pararrayos tienen un plan de mantenimiento? 6. Existen SAI (sistemas de alimentacin ininterrumpida)? 7. Existe un plan de mantenimiento de los SAI? 8. Existe sobrecarga de corriente elctricas? 9. Existe un plan de mantenimiento de los paneles elctricos?

16

CONTROL DE ACCESO A LAS INSTALACIONES SEGURIDAD FISICA 1. Uso de cmaras de seguridad? 2. Sistemas de sensores de movimiento? 3. Las puertas estn cerradas? 4. Uso de sistemas de control de acceso a las salas(tarjetas, biometra, etc.)? 5. Existencia de personal de seguridad? 6. Existencia de un registro de entrada al edificio? 7. Existencia de un registro de salida del edificio? 8. Existencia de un registro de entrada de las salas del edificio? 9. Existencia de un registro de salida de las salas del edificio? 10. Las cmaras de seguridad estn bien colocadas? 11. Los sensores de movimiento estn bien colocados? 12. Existe un plan de mantenimiento de las cmaras de seguridad? 13. Existe un plan de mantenimiento de los sensores de movimiento? 14. Existe un plan de mantenimiento de los sistemas de control de acceso a las salas? 15. Existencia de un registro para el edificio para invitados(personas que no trabajan en la entidad)? 16. Son capaces de acceder personas no relacionadas con la entidad en el edificio? 17. Se hacen pruebas de personas colndose en el edificio para comprobar las medidas? 8 E p r g r rm ? 19. Existencia de cursos de reciclaje para el personal de seguridad? 20. Tras finalizar la jornada laboral se cierran las puertas?

17

21. El personal de la entidad respeta ese control? 22. El trato del personal de seguridad es correcto? 23. Existe divisin de la responsabilidad para tener un control mejor de la seguridad? 24. Se investiga a los vigilantes antes de ser contratados? 25. Se bloquean las tomas de red que no son utilizadas para evitar pinchazos de terceras personas? 26. Una vez despedido un empleado se le retira su tarjeta de acceso a la entidad?

18

CONTROL DE ACCESO A LOS EQUIPOS INFORMATICOS 1. Uso de contraseas por parte de los empleados? 2. Las contraseas tienen ms de 8 caracteres? 3. La contrasea es alfanumrica? 4. Existen diferentes niveles de acceso?(ejecutivos, programadores, analistas) 5. Se registra la entrada al equipo informtico? 6. Se registra la salida al equipo informtico? 7. Los empleados son informados sobre los riesgos de las contraseas? 8. Uso de contraseas que no tienen nada que ver con informacin del personal de la entidad(nombre, telfono, matricula del coche? 9. Las cuentas de los empleados que vayan a ser despedidos son bloqueadas o capadas antes del aviso de despido? 10. Las contraseas son cambiadas peridicamente? 11. Las contraseas de cada empleado son diferentes para cada tipo de acceso? 12. Se comprueba que las cuentas que estn en desuso son eliminadas? 13. Existe un responsable del control de dichas cuentas? 14. Hay diferentes modalidades de accesos dependiendo del grado de acceso del empleado?(lectura, escritura, borrado, ejecucin) 15. El empleado solo puede acceder a los recursos en determinadas horas del da? 16. El empleado solo puede acceder a determinados equipos informticos? 17. Se cambian las contraseas que vienen por defecto en los equipos informticos? 18. Existen cuentas sin contrasea? 9 E m r m r r r r ?

19

SEGURIDAD LOGICA 1. Hay cada de la conexin a internet? 2. Los equipos informticos tienen los programas necesarios para trabajar? 3. Son adecuadas las restricciones de la configuracin del equipo? 4. Se controla a los analistas? 5. Se controla a los programadores? 6. Existe un proceso de emergencia con el fin de que la informacin pueda llegar hasta el destinatario? 7. Se comprueba que la informacin llegada al destinario es la misma que fue enviada desde el origen? 8. La informacin transferida llega a ser recibida por terceros? 9. Existen diferentes caminos de transmisin entre diferentes puntos?

20

Inspeccin de los procesos y las Polticas empresariales

La tcnica de Inspeccin consiste en examinar los recursos materiales y registros de la compaa, los cuales comprenden desde los registros de actas de la asamblea y de la junta directiva hasta los libros oficiales y los auxiliares y/o documentos que tengan como fin respaldar y facilitar las gestiones contables, financieras y administrativas, as como todos los bienes de propiedad de la Empresa examinada. Puede afirmarse que la tcnica de la inspeccin es el examen fsico de bienes materiales o documentos con el fin de comprobar la existencia de un recurso o de una transaccin registrada por el sistema de informacin financiera presentada en los estados financieros. La tcnica de la Inspeccin se aplica sobre objetos inanimados o estticos, nunca sobre procedimientos o personas. Se inspecciona por ejemplo un vehculo de la Empresa, el edificio de la misma, las letras por cobrar, la maquinaria y equipo, los inventarios fsicos etc. Inspeccin La inspeccin consiste en examinar registros, documentos, o activos tangibles. La inspeccin de registros y documentos proporciona evidencia de auditora de grados variables de confiabilidad dependiendo de su naturaleza y fuente y de la efectividad de los controles internos sobre su procesamiento. Tres categoras importantes de evidencia de auditora documentaria, que proporcionan diferentes grados de confiabilidad, son: (a) evidencia de auditora documentaria creada y retenida por terceras partes, (b) evidencia de auditora documentaria creada por terceras partes y retenida por la entidad, (c) evidencia de auditora documentaria creada y retenida por la entidad. La inspeccin de activos tangibles proporciona evidencia de auditora confiable con respecto a su existencia pero no necesariamente a su propiedad o valor. [NIA, 1998] La inspeccin Consiste en verificar que los controles claves determinados a efectos de satisfacernos de las afirmaciones para cierto nmero de cuentas y/o transacciones, se encuentren debidamente respaldados con la documentacin de sustento pertinente, ratificando de esta manera que los controles sobre los cuales se decidi confirmar inicialmente, operan eficazmente. Para mantener la efectividad global de la inspeccin o auditora, nuestra aproximacin a cada organizacin solicitante (ya sea AMO, o COA, etc.), esta debe ser de completa transparencia, con un alto grado de profesionalismo, usando la experiencia, la habilidad, y la comunicacin como ingredientes esenciales La comunidad aeronutica debe ver a estas actividades como justas y equitativas en su aplicacin.

21

Autoridad de Inspeccin. Las inspecciones y auditoras son realizadas tomando como norma los RABs, que obliga a las organizaciones, a permitir que usted como Autoridad inspeccione sus instalaciones en cualquier momento, para controlar los procedimientos de mantenimiento, el sistema de calidad, sus registros y su capacidad general para determinar si cumple con los requerimientos: ...conducir pruebas e inspecciones en cualquier momento o lugar, para determinar si un poseedor de COA est cumpliendo con las leyes, regulaciones aplicables a los trminos y condiciones del COA. RAB 119.21 la validez continua de la aprobacin depender de: Que a la Autoridad de Aeronutica Civil se le conceda el acceso a las instalaciones de la Organizacin para determinar el continuo cumplimiento con la Reglamentacin Aeronutica Boliviana; RAB 145.17 Criterios a tomar en cuenta en la inspeccin Se lleva una poltica de respaldos sobre la empresa? Existe un mapa de procesos, se documentan los procesos? Se tienen polticas de seguridad de la informacin en la empresa?

22

Cronograma

Conclusiones
Una vez terminado dicho proyecto he comprobado que no existe ni existir una Seguridad total capaz de defenderse de todos los ataques que ocurran tanto en el presente as como en un futuro cercano o lejano para la entidad, y por tanto la nica meta que hay que aplicarse es la de la mejora continua ya sea mejorando los controles de seguridad tanto de los sistemas informticos, como personales, etc. hay que abarcar todo lo posible para reducir los futuros riesgos o amenazas venideras. Incluso es necesario realizar pruebas sobre nuestro propio sistema mediante el uso de ataques intencionados, con el fin de comprobar nuestra propia seguridad, con el fin de estar preparados. Adems he conseguido tener una visin ms concreta respecto a las normativas ISO/IEC se refiere.

23

Bibliografa
http://www.pallavicini.cl/sites/default/files/iso_27004.pdf http://www.monografias.com/trabajos-pdf/iso/iso.pdf http://interdata.cl/?p=247 http://issaperu.org/?p=13 http://e-rchivo.uc3m.es/bitstream/10016/10564/1/PFC_Agustin_Larrondo_Quiros.pdf http://www.dgac.gob.bo/DSO/manualesDSO/MGIA/Vol%20I/VOL1CAP11R8.pdf http://fccea.unicauca.edu.co/old/tgarf/tgarfse104.html

24