SEGURIDAD DE LA

INFORMACIN.












INTEGRANTES: DIANA CARABAJO MATUTE
TAMARA CHAUCA MENDEZ
LUCIA PACHO GUAMAN.
BELEN QUIRIDUNBAY PASATO.
GABRIELA SALCEDO JARA.
CURSO: CS-07-01
DOCENTE: ING. PAOLA MENDEZ R.
ASIGNATURA: AUDITORIA DE SISTEMAS contables
AUTOMATIZADOS
CUENCA-ECUADOR.

Contenido
INTRODUCCIN ............................................................................................................................. 3
1. MARCO DE ASEGURAMIENTO DE TI ...................................................................................... 4
GOBIERNO EMPRESARIAL TI ..................................................................................................... 4
El gobierno de TI es parte integral del gobierno corporativo y consiste en el liderazgo, los
procesos y las estructuras que aseguran que las tecnologas de la organizacin apoyen los
objetivos y estrategias de la empresa. ....................................................................................... 4
El gobierno de las TI garantiza que las decisiones relacionadas con las tecnologas de la
informacin, encajen con los objetivos de la organizacin. ..................................................... 4
EL GOBIERNO DE LA TI SE BASAN EN EL COBIT. ........................................................................ 5
COBIT 4.1 ................................................................................................................................... 6
COBIT 5. ..................................................................................................................................... 6
2. SEGURIDAD DE LA INFORMACION Y GESTION DE RIESGO. ....................................................... 8
a) NORMA ISO 27001, GESTIN DE LA SEGURIDAD DE LA INFORMACIN .............................. 8
b) NORMA ISO 27002, CDIGO DE BUENAS PRCTICAS PARA LA GESTIN DE LA SEGURIDAD
9
c) SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION ............................................. 11
DEFINICION DE SGSI ................................................................................................................ 11
ALCANCE DEL SISTEMA ........................................................................................................... 12
DEFINICIN DE POLTICA DE SEGURIDAD ............................................................................... 12
ORGANIZACIN DE LA SEGURIDAD ......................................................................................... 13
d) ISO 27005: GESTIN DE RIESGOS DE LA SEGURIDAD ......................................................... 14
SEGURIDAD DE LA INFORMACIN: ......................................................................................... 14
ASPECTOS GENERALES DEL PROCESO DE LA GESTIN DE LA SEGURIDAD DE LA
INFORMACIN ........................................................................................................................ 14
ANALISIS DE RIESGOS .............................................................................................................. 15
FASE DE ESTABLECIMIENTO .................................................................................................... 15
CONCLUSIN ............................................................................................................................... 16
BIBLIOGRAFA: ............................................................................................................................. 16
VIDEO: ..................................................................................................................................... 16



INTRODUCCIN

El marco de aseguramiento permite a la empresa tener un mejor manejo de su
informacin, es por ello que en este trabajo se hablar sobre la importancia del
marco de aseguramiento, as como del COBIT que es la herramienta que ayuda a la
empresa en la administracin de la TI y sobre todo a administrar el riesgo que toda
organizacin enfrenta en cuanto a la tecnologa, en donde el concepto de gobierno
corporativo as como empresarial permitirn desarrollar el tema investigado y
conocer lo referente a la seguridad de la informacin.
Tamara

Beln
La gestin de riesgos es muy importante, porque de esto depende si se est o no
cumpliendo con las normas de seguridad de la informacin. Al evaluar los riesgos
de cada actividad o aspecto la toma de decisiones va a ser la ms adecuada, esta
evaluacin de riesgos tiene una secuencia de pasos primero tenemos que, analizar
los riesgos es decir identificarlas, evaluar los riesgos, teniendo en cuenta los
objetivos de cada institucin y por ltimo la vigilancia y la revisin del riesgo.










1. MARCO DE ASEGURAMIENTO DE TI
El marco de aseguramiento de TI (Tecnologas de la Informacin) es parte esencial
del gobierno corporativo, as como tambin los requerimientos para controlar la
informacin en una organizacin.
Las Tecnologas de la Informacin facilitan a la empresa para que aproveche al
mximo su informacin maximizando as los beneficios, capitalizando las
oportunidades y ganando ventajas competitivas.
Las entidades deben salvaguardar su informacin y optimizar los recursos
disponibles de tecnologas de la informacin como aplicaciones, capacitaciones al
personal y programas, para esto cada organizacin por medio de sus directivos
debe decidir qu tipo de gobierno y control aplacar para lograrlo ya que al
coordinar las TI con la estrategia del negocio, las tecnologas encajarn con los
objetivos de la entidad.
La gestin de aseguramiento trata aspectos como la seguridad, la recuperacin de
desastres o la privacidad de la informacin que se tiene dentro de cada
organizacin.
GOBIERNO EMPRESARIAL TI
El gobierno de TI es parte integral del gobierno corporativo y consiste en el
liderazgo, los procesos y las estructuras que aseguran que las tecnologas de la
organizacin apoyen los objetivos y estrategias de la empresa.
El gobierno de las TI garantiza que las decisiones relacionadas con las tecnologas
de la informacin, encajen con los objetivos de la organizacin.
Es necesario que las autoridades institucionales acepten a TI como una parte
indispensable en la entidad porque cada da aumentan los requisitos externos,
tanto legales como de cumplimiento regulatorio y contractual, relacionados con el
uso de la informacin y la tecnologa, amenazando el patrimonio si no se cumplen.
Para lograr la seguridad es necesaria la existencia de los siguientes factores de
cumplimiento:
Objetivos y Metas de Procesos
Roles y responsabilidades
Polticas, planes y procesos
Mejoramiento desempeo del proceso
Comit estratgico de TI gua alto nivel y validacin cumplimiento
estrategia
Prioridades inversin en TI
Estructura administrativa comit TI, consejo tecnolgico, equipo
arquitectura, comit auditora
Prcticas administracin portafolio de inversin en TI
Comunicacin y cultura sobre gestin TI
Informe peridico sobre gestin de TI
Proceso planificacin estratgica
Alineacin estratgica
Involucramiento de patrocinadores del negocio
Monitoreo de la entrega de servicios
Aseguramiento del control interno
Medicin desempeo contribucin de TI
Certificacin del cumplimiento de lineamientos.
Los factores claves de xito en la implementacin del Gobierno de TI, son:
1. La administracin superior debe proveer la direccin y directrices.
2. Para todas las partes que soportan el proceso de Gobierno, deben contar
con un entendimiento claro de los objetivos de negocio y TI.
3. El valor, el riesgo y el control constituyen la esencia del gobierno de TI.
4. Cada organizacin necesita personalizar y adaptar el uso de estndares y
mejores prcticas que se adapten a sus requerimientos especficos.
5. Las empresas estn sacrificando productividad y competitividad cuando no
se tienen estrategias de gobierno para IT.
Los ejecutivos de IT necesitan una forma:
Consistente, ordenada y formal de dirigir su equipo y recursos de IT
De medir el valor que IT provee al negocio
De manejar los riesgos inherentes a las actividades de IT.
EL GOBIERNO DE LA TI SE BASAN EN EL COBIT.
COBIT (Control de Objetivos para Tecnologas de la Informacin y Relacionadas)
fue publicado por primera vez en abril de 1996. Este instrumento es un apoyo para
incrementar el valor de TI (Tecnologa de Informacin); para ello crea vnculos
entre los objetivos del negocio y TI, e implementa un marco de trabajo para los
diferentes entes reguladores a nivel mundial, con la finalidad optimizar las
inversiones de TI y que se administre adecuadamente los riesgos tecnolgicos, es
decir que el cobit reduce riesgos y mejora desempeo de las TI.
El Cobit mejora las operaciones y ayuda con el gobierno de TI para proteger los
bienes de la compaa a travs de un modelo de Gobierno. COBIT es el nico marco
administrativo que comprende el ciclo de vida completo de la inversin en TI.
Los Beneficios del COBIT son:

Mejor alineacin basada en una focalizacin sobre el negocio.
Visin comprensible de TI para su administracin.
Clara definicin de propiedad y responsabilidades.
Aceptabilidad general con terceros y entes reguladores.
Entendimiento entre los interesados mediante un lenguaje comn.
Cumplimiento global de los requerimientos de TI planteados en el Marco de
Control Interno de Negocios COSO.

COBIT apoya la gobernanza de TI, proporcionando un marco para garantizar que:
TI est alineada con el negocio
Permite a las empresas y maximiza beneficios
Los recursos de TI se utilicen de manera responsable
Riesgos de TI se gestionan adecuadamente

COBIT se ha convertido en el integrador de TI de las mejores prcticas y el marco
general para los profesionales de TI gestin de los asuntos pblicos.

Esta herramienta es el producto de 15 aos de investigacin y cooperacin entre
expertos mundiales en TI y negocios. Tiene varias actualizaciones como el COBIT
4.1 y el 5.

COBIT 4.1
Esta actualizacin asegura que las TI estn alineadas con los objetivos de negocio,
sus recursos sean usados responsablemente y sus riesgos administrados de forma
apropiada. Representa una mejora al COBIT 4.0 y puede usarse para perfeccionar
el trabajo basado en versiones anteriores de COBIT.
Las actualizaciones en COBIT 4.1 incluyen:
1. Avances en la medicin del desempeo;
2. Mejores objetivos de control;
3. Una excelente alineacin entre objetivos de negocio y de TI.
COBIT 4.1 se compone de cuatro secciones:
1. La visin general ejecutiva
2. El marco
3. El contenido bsico (objetivos de control, directrices de gestin y la
madurez modelos).
4. Apndices (mapeos y cruzadas, modelo de madurez adicionales
informacin, material de referencia, un proyecto descripcin y un glosario)


COBIT 5.
El COBIT 5 proporciona directrices para mantener un equilibrio entre beneficios y
la optimizacin de los niveles de riesgo de la informacin. Permite que las TI sean
administradas y se gobiernen dentro de toda una organizacin, considera los
intereses tanto de partes internas como externas.
Los principios del COBIT 5 se adaptan a cualquier tipo de organizacin en tamao
y actividad, sean tambin pblicas o privadas.
PRINCIPIOS DEL COBIT:
1. Satisfacer las necesidades de las partes interesadas. Dentro de una
entidad existen varias partes interesadas que pueden llegar a ser
conflictivas, entonces el Gobierno debe decidir la mejor decisin para el
beneficio de estas. Con respecto a la realizacin de beneficios, optimizacin
de recursos y disminucin de riesgos.
2. Cubrir la Organizacin de forma integral. Hace que la tecnologa de la
informacin se relacione desde una perspectiva integral a toda la
organizacin, para lo cual el COBIT 5 integra el gobierno de la TI con el
gobierno corporativo de una manera fluida as como los desarrollos del
gobierno corporativo. El COBIT 5 cubra todas las funciones y procesos de la
organizacin, concentrndose en tratar a la tecnologa de la informacin
como activos y por todos dentro de la entidad.
3. Aplicar un solo marco integrado. Proporciona marcos y normas usados
por las organizaciones, permite a los usuarios el mapeo de prcticas y
actividades de normas con terceros.
4. Habilitar un enfoque holstico. Para lo cual el COBIT cuenta con
habilitadores que se describen en siete categoras enunciadas
posteriormente. Para lograr los objetivos principales de la Organizacin,
siempre debe considerarse una serie interconectada de estos habilitadores.
5. Separar el Gobierno de la Administracin. El gobierno y la
administracin mencionados en este COBIT Comprenden diferentes tipos
de actividades, requieren diferentes estructuras organizacionales y
cumplen diferentes propsitos. Si bien es cierto la aplicacin del COBIT 5 no
es obligatoria, pero propone que las organizaciones implementen los
procesos de gobierno y administracin de tal manera que las reas claves
queden cubiertas e interconectadas.
Estos cinco principios facilitan que las organizaciones puedan construir un
marco efectivo de gobierno y administracin basada en los habilitadores que
harn posible la optimizacin de la tecnologa e informacin, as como el
adecuado uso para el beneficio de los usuarios.
HABILITADORES DEL COBIT 5.

2. SEGURIDAD DE LA INFORMACION Y GESTION DE
RIESGO.

a) NORMA ISO 27001, GESTIN DE LA SEGURIDAD
DE LA INFORMACIN
Para toda empresa, organizacin, ya sea grande, mediana o pequea es importante
preservar la seguridad de su informacin, ya que sta constituye uno de sus activos
ms valiosos, tal vez condicionantes para el mantenimiento y supervivencia de la
misma, es por esto que se requiere de una certificacin ISO 27001, debido a que
ayuda a gestionar y proteger la misma.
Esta norma constituye una base para gestionar la seguridad de la informacin,
adems se puede decir que brinda confianza a los usuarios o interesados en la
informacin garantizando que sta est protegida.
Tener una certificacin ISO 27001, es muy importante ya que constituye un
indicador de que la seguridad de la informacin ha sido implementada en aquella
empresa u organizacin de la mejor manera.
Preservar la Confidencialidad, Integridad y disponibilidad de la Informacin
constituyen los 3 grandes objetivos del Sistema de Gestin de Seguridad de la
Informacin.
Adems contar con una certificacin como esta trae a la organizacin o empresa
varias ventajas entre las cuales podemos mencionar:
Evidencia de forma independiente que se estn respetando leyes y normas
de aplicacin
Proporciona una ventaja competitiva al cumplir los requisitos
contractuales y demostrar a los clientes que la seguridad de su
informacin es primordial.
Demuestra de forma independiente que los riesgos de la empresa u
organizacin, se encuentran identificados de forma correcta y oportuna.
Demuestra el compromiso de la cpula directiva de su organizacin con la
seguridad de la informacin.
Adems de debe tener presente que el proceso de evaluaciones de manera
peridica ayudan tener un mejor control del rendimiento y la mejora.
Fases del sistema de gestin de seguridad de la informacin: Son cuatro las
fases que se deben cumplir de manera consecutiva y constante para poder reducir
al mnimo los riesgos que puedan que puedan atacar a aquel activo tan importante
como es la informacin. Es importante sealar que ste ciclo nunca termina es
necesario mantener una rutina cclica para conseguir eficiencia en el sistema.
1. Fase de Planificacin: En sta se procede a planificar la organizacin, fijar
los objetivos de la seguridad de la informacin y a su vez escoger los
controles de seguridad adecuados.
2. Fase de implementacin: Aqu se hace la ejecucin de todo lo que se ha
planteado en la fase de planificacin.
3. Fase de revisin: Lo principal en esta fase es el monitoreo del
funcionamiento del sistema de gestin de seguridad de la informacin, a
travs de diversos medios, adems de verificar si los resultados estn
ayudando a cumplir con los objetivos planteados
4. Fase de mantenimiento y mejora: En sta fase se busca mejorar todo lo
que no se ha podido cumplir en la fase de revisin.


b) NORMA ISO 27002, CDIGO DE BUENAS
PRCTICAS PARA LA GESTIN DE LA SEGURIDAD
La norma ISO 27002 es como una especie de gua que incluye buenas prcticas
que, mediante las mismas las organizaciones o empresas pueden mejorar la
seguridad de la informacin de las mismas, en fin sta ISO nos brinda los objetivos
en todos los aspectos que las organizaciones deben seguir en cuanto a control y
gestin se trate.
En su contenido brinda una serie de consejos que se deben seguir para de sta
manera asegurar los sistemas de informacin de una organizacin, y
consecuentemente reducir al mnimo los peligros de robo dao o prdida de
informacin.
En necesario tener presente que ningn tipo de control podr reducir en su
totalidad los riesgos, es por esto que el personal encargado, debe analizar las
distintas opciones que cumplan con lo deseado, como costos bajos apego a los
objetivos institucionales, que no afecten a la rentabilidad de la empresa, se debe
seguir una serie de medidas para la implementacin de un sistema de seguridad
para la empresa u organizacin, todo esto se debe ejecutar siempre con total apego
a las leyes, normas y dems.
El objetivo principal es definir los aspectos prcticos/operativos de la
incorporacin de del SGSI, para ello se tiene once clusulas que ayudan a su
cumplimiento.
1. Poltica de seguridad.- Mediante la redaccin de un documento de
la poltica de seguridad de la informacin y con previa aprobacin
de gerencia para su posterior publicacin se cumple con este
requerimiento, pero se debe tener presente que ste no debe ser
esttico, debe tener actualizaciones que vayan de acuerdo a los
cambios del medio.
2. Aspectos organizativos para la seguridad.- Aqu existen dos: Una
organizacin interna que maneja la seguridad de la informacin
dentro de la organizacin, y por otra parta una organizacin con
respecto a terceros, cuyo objetivo es mantener la seguridad de la
informacin que es manejada, procesada por agentes externos, por
lo tanto se debe tener cuidado con los contratos que se realicen para
que no afecten a la seguridad de la informacin.

3. Clasificacin y control de activos.- Es necesario tener un
seguimiento del uso, destino, clasificacin de los activos. En resumen
es preciso tener un inventario actualizado de stos.
4. Seguridad ligada al personal.- Se debe tener especial cuidado en
cuanto al personal, ste debe saber precisamente cules son sus
actividades, debe ser calificado, todo esto en busca de reducir el
riesgo de hurto, fraude o uso indebido de la informacin, se
recomienda ponerlo todo claro en un contrato, adems de
capacitarlos continuamente.
5. Seguridad fsica y del entorno.- Se divide en: reas seguras que
contemplan a la seguridad del permetro fsico como rejas, paredes,
etc. todo esto para proteger las reas que contienen informacin de
todo riesgo natural o proveniente de personas externas, y la
seguridad de los equipos que requiere de contratar personal
calificado para asegurar el cuidado y mantenimiento de los mismos.
6. Gestin de comunicaciones y Operaciones.- Para poder asegurar
una correcta operacin de los medios de procesamiento de la
informacin de la organizacin se debe tener presente:
Todo procedimiento debe estar plasmado en documentos debidamente
autorizados
Tener especial cuidado en cuanto a cambios, ya que stos deben traer
beneficios a la organizacin y adems deben estar autorizados por la
autoridad pertinente.
Nadie debe tener acceso o modificar los activos sin previa autorizacin
Se debe tener delimitados correctamente los espacios para los diferentes
niveles operacionales, todo en pro de evitar problemas entre stos.
Tambin se debe proteger la integridad del software, de los sistemas y
tecnologas, mediante controles de deteccin de contenido malicioso.
Es necesario tener cuidado en los medios de difusin con los que se cuente,
siempre para asegurar la proteccin de la informacin.
Debe existir un continuo control para detectar el procesamiento de
informacin no autorizada, y tambin son necesarias las auditoras.
De existir fallas, deben ser corregidas, y registradas.
7. Control de accesos.- Todo acceso no autorizado debe ser negado
inmediatamente, y se debe tener cuidado especial en las formas de
proceder para evitar que la informacin corra un riesgo innecesario.
8. Desarrollo y mantenimiento de sistemas.- Al adquirirlos adems
de analizar asuntos como costos y calidad, se debe tener mucho
cuidado ya que stos deben proporcionar la mayor seguridad
posible.
9. Gestin de incidentes de seguridad de la informacin.- Todo
incidente ocurrido debe quedar inmediatamente registrado para
poder darle la atencin correspondiente.
10. Gestin de continuidad de negocio.- ste es necesario para que
luego de cualquier evento ocurrido que atenten a las actividades de
la organizacin, se pueda reanudar oportunamente las operaciones
esenciales
11. Cumplimiento.- Se debe tener como prioridad el cumplimiento de
todos los aspectos legales para evitar violacin alguna a cualquier
ley.


c) SISTEMA DE GESTION DE SEGURIDAD DE LA
INFORMACION
DEFINICION DE SGSI
SGSI es la abreviatura utilizada para referirse a un Sistema de Gestin de la
Seguridad de la Informacin. ISMS es el concepto equivalente en idioma ingls,
siglas de Information Security Management System.
Informacin es todo aquel conjunto de datos organizados en poder de una entidad
que posean valor para la misma, independientemente de la forma en que se guarde
o transmita (escrita, en imgenes, oral, impresa en papel, almacenada
electrnicamente, proyectada, enviada por correo, fax o e-mail, transmitida en
conversaciones, etc.), de su origen (de la propia organizacin o de fuentes
externas) o de la fecha de elaboracin.


La implantacin de un SGSI empieza con un adecuado diseo para lo cual se debe
definir 4 aspectos o pasos fundamentales que son:
1. Alcance del Sistema
2. Poltica de seguridad
3. Organizacin de la seguridad
4. Los programas de concienciacin y formacin del personal.

ALCANCE DEL SISTEMA
Se debe definir las partes o procesos de la organizacin que se van a incluir, para lo
cual la empresa debe determinar cules son los procesos crticos, para lo cual
decide que quiere proteger y por donde desea empezar.
Adems dentro de este paso se deben definir las actividades de la empresa, los
lugares fsicos que van a estar involucradas, la tecnologa de la organizacin y
reas excluidas es decir que no formaran parte del sistema.
Es necesario que durante esta fase se estimen los recursos econmicos y de
personal que se requerir para implantar y mantener el sistema, puesto que si no
se realiza esta tarea de nada servir el implantar el sistema.
DEFINICIN DE POLTICA DE SEGURIDAD
Su objetivo es recoger las directrices que debe seguir la seguridad de Informacin
de acuerdo a las necesidades de la empresa y legislacin vigente del pas. Adems
debe establecer las pautas o gua a seguir en caso de incidentes y sobre todo
definir responsabilidades.
Este documento debe delimitar qu se tiene, de quin se debe proteger y por qu
proteger, adems debe incluir una explicacin de lo que se est permitiendo y que
no se permite, determinar los limites de comportamiento aceptable y cul ser la
respuesta frente a estos si se sobrepasan y sobre todo se debe identificar los
riesgos a la que la organizacin se est exponiendo.
Hay que recordar que para que la poltica de seguridad sea un documento de
utilidad para la organizacin y se cumpla con los requisitos establecidos en la
norma UNE-ISO 27001 que son:
Debe ser redactada de manera accesible para todo el personal de la
organizacin, por lo tanto debe ser corta, precisa y de fcil
comprensin.
Debe ser aprobada y publicada por la direccin.
Debe ser de dominio pblico dentro de la organizacin, por lo que es
necesario que est disponible para su consulta siempre que se lo
requiera.
Debe ser la referencia para resolucin de conflictos y otras cuestiones
relativas a la seguridad de la organizacin.
Debe definir responsabilidad teniendo en cuenta que stas estancan
asociadas a la autoridad dentro de la misma. En funcin de las
responsabilidades se definir quin est autorizado a qu tipo de
informacin.
Debe indicar que lo que se protege en la organizacin incluye tanto al
personal como a la informacin, as tambin de su reputacin y
continuidad.
Deber ser personalizada: totalmente para la organizacin.
Debe sealar las normas y reglas que va adoptar la organizacin y
definir las medidas de seguridad necesarias.

Debe cumplir la Polticas de Seguridad, las ms importantes son cinco:
1. Definicin de la Seguridad de la Informacin y objetivos globales, el alcance
de la seguridad y su importancia como mecanismo de control que permite
compartir la informacin.
2. Declaracin por parte de la Direccin apoyando los objetivos y principios de
seguridad de la informacin.
3. Contener una breve explicacin de las polticas.
4. Definicin de las responsabilidades generales y especficas, en el cual se
incluirn los roles pero jams a apersonas concretas dentro de la
organizacin.
5. Tener referencias en documentacin que pueda sustentar la poltica.
El documento de la Poltica de Seguridad debe estar completamente actualizado,
por lo que implica que debe ser revisado y modificado anualmente. Adems
existen tres casos en los que es fundamental ser revisado y actualizado:
1. Despus de grandes incidentes de seguridad.
2. Despus de una auditoria del sistema sin tener xito.
3. Despus de cambios en la estructura de la organizacin.

ORGANIZACIN DE LA SEGURIDAD
Es el tercer aspecto que se debe desarrollar en el diseo del Sistema de Gestin de
Seguridad de la Informacin. Aqu se debe realizar la revisin de los aspectos
organizativos de la entidad y la asignacin de nuevas responsabilidades.
Dentro de estas nuevas responsabilidades se encuentras tres fundamentales que
son:
1. El responsable de seguridad: Que es la persona que se va encargar de
coordinar todas las actuaciones en materia de seguridad dentro de la
empresa.
2. El Comit de Direccin: Formado por los directivos de la empresa y que
tendr las mximas autoridades y aprobar las decisiones de alto nivel
relativas al sistema.
3. El Comit de Gestin: Controlar y gestionar las acciones de la
implantacin del sistema colaborando muy estrechamente con el
responsable de seguridad de la empresa. Este comit tendr el poder de
para asumir las decisiones de seguridad y est formado por personal de
diferentes departamentos involucrados en la implantacin del sistema.

Al plantear la nueva organizacin de la seguridad hay que tener en cuenta la
relacin que se mantiene con terceras partes que pueden acceder a la informacin
en un momento determinado identificando los posibles riesgos y tomando las
medidas al respecto.
Ejemplo: En el caso del personal de Limpieza que suelen tener acceso a todos los
departamentos, para mantener un control se podra requerir la firma de acuerdos.

d) ISO 27005: GESTIN DE RIESGOS DE LA
SEGURIDAD
SEGURIDAD DE LA INFORMACIN:
La informacin es uno de los principales instrumentales de toda organizacin,
necesaria para el funcionamiento y para alcanzar los fines previstos.
Debido a la gran importancia que tiene la informacin es necesario garantizar para
que est disponible cuando se necesite, puede parecer sencillo, pero dentro de las
organizaciones existe gran cantidad de informacin
La gestin de la seguridad de la informacin es un proceso por medio del cual la
organizacin define, alcanza y mantiene niveles adecuados de confiabilidad,
integridad, disponibilidad, trazabilidad, y autenticidad de la informacin.
Esta norma propone directrices para gestionar el riesgo de la seguridad de la
informacin dentro de la organizacin, adems da soporte a la norma ISO 27001.
ASPECTOS GENERALES DEL PROCESO DE LA GESTIN DE LA SEGURIDAD DE LA
INFORMACIN
El Proceso de Gestin de Seguridad de Informacin es el siguiente:
Determinar objetivos, polticas y estrategias de seguridad como son las
operaciones, que tecnologas disponemos, con que finanzas dispones y que
factores influye,
Determinar los requerimientos de la informacin.
Identificar y analizar las amenazas y la vulnerabilidad de la informacin.
Identificar y analizar riesgos de seguridad, mediante una metodologa,
evaluando riesgos identificando amenazas y vulnerabilidades.
Detectar posibles incidentes de seguridad y reaccionar ante ello, establecer
controles para evitar el riesgo.
Adems dentro de una organizacin se pueden encontrar los siguientes aspectos:
Crecimiento de incidentes provocados por el personal de la institucin,
Debido a debilidades tecnolgicas, se dan prdida significativa de
informacin o el abuso de privilegios dentro del sistema.
ANALISIS DE RIESGOS
Dentro de toda organizacin existen objetivos determinados que se desean
alcanzar, pero pueden existir factores que afecten su cumplimento, estos riesgos
financieros, operativos y tecnolgicos, de mercado legal, de seguridad de la
informacin entre otros.
Analizar estos riegos permite identificar, clasificar y valorar los eventos que
amenazan el cumplimento de objetivos, de esta forma reducir el impacto.
Dentro de la organizacin existen responsables de la seguridad de la informacin
que son:
1. Responsables de la seguridad de la informacin: Son quienes define el plan
de accin necesario para cumplir con los objetivos de la organizacin.
2. Direccin de la organizacin: Son los responsables necesarios para
establecer medidas contra los riesgos, que amenazan la consecucin de
objetivos.
3. Auditores: Son aquellos que conocen de forma ms profunda los riesgos que
existen dentro de la organizacin para establecer un plan de accin.
FASE DE ESTABLECIMIENTO
En esta etapa se definen los objetivos, el alcance y la organizacin de los procesos
con esto obtendremos la informacin que se desea evaluar para ello necesitamos
establecer:
Criterios de evaluacin de riesgos.
Criterios de impacto.
Criterios de aceptacin del riesgo.

Esta fase se divide en contexto externo y el contexto interno. En el contexto in
terno es necesario conocer la estructura internamente, el personal, recursos
humanos, filosofa y valores, polticas, misin, metas, objetivos y estrategias para
lograrlo.

CONCLUSIN

Dado que hoy en da la seguridad de la informacin es una amenaza eminente se ve
necesario la gestin de los riesgos que pudieran ocurrir como la perdida de la
informacin prevenir el fraude online, robo de identidad, daos a los sitios web,
perdida de datos personales y otros ms incidentes, sin un marco de gestin de
riesgos, las organizaciones se exponen a muchos tipos de amenazas informticas.

BIBLIOGRAFA:
http://auditoriadesistemas-unac.blogspot.com/2008/12/cobit-41.html
http://www.orcilatam.cl/index.php?option=com_content&view=article&id
=116&Itemid=168
http://www.isaca.org/COBIT/Documents/COBIT5-Framework-Spanish.pdf
http://www.isacacr.org/archivos/Aseg_%20Gobierno_TI.pdf
http://www.iso.org/iso/news.htm?refid=Ref1451
http://sgsi-iso27001.blogspot.com/2008/06/publicada-la-iso-270052008-
sobre-gestin.html
http://www.slideshare.net/ffffffffe23/dumar-resumen-analitico-
investigativo-sobre-el-iso-27005
http://www.normas-iso.com/iso-27001
http://www.iso27001standard.com/es/que-es-la-norma-iso-27001
http://www.bsigroup.es/certificacion-y-auditoria/Sistemas-de-
gestion/estandares-esquemas/Seguridad-de-la-Informacion-ISOIEC27001/
http://www.iso27002.es/
http://www.ecured.cu/index.php/ISO/IEC_27002

VIDEO:
http://www.youtube.com/watch?v=XhOBiJXPnhs