Auditoria
Páginas: 5 (1191 palabras)
Publicado: 11 de mayo de 2011
CASO N. 1
1. NOMBRE DE LA NORMA
Norma Técnica Peruana NTP-ISO/IEC 17799 EDI. Tecnología de la Información. Código de buenas practicas para la gestión de la seguridad de la información publicada el 25.Set.2004.
2. DETALLE DE LA NORMA
4. ASPECTOS ORGANIZATIVOS PARA LA SEGURIDAD
4.2 Seguridad en los accesos de terceras partes
OBJETIVO: Mantener la seguridad de que los recursos detratamiento de la información y de los activos de información de la organización sean accesibles por terceros.
Debería controlarse el acceso de terceros a los dispositivos de tratamiento de información de la organización.
Cuando el negocio requiera dicho acceso de terceros, se debería realizar una evaluación del riesgo para determinar sus implicaciones sobre la seguridad y las medidas de controlque requieren. Estas medidas de control deberían definirse y aceptarse en un contrato: con la tercera parte.
El acceso de un tercero puede implicar a otros participantes. Los contratos que confieren acceso a un tercero deberían incluir la posibilidad de designar a otros participantes y las condiciones para su acceso.
Esta Norma Técnica Peruana podría usarse como base para dichos contratos ycuando se considere el outsourcing del tratamiento de la información.
3. DESCRIPCIÓN Y/O DEFINICIÓN DEL ASPECTO INFORMÁTICO
Nos referimos a los aspectos organizativos para la seguridad, determinando el respaldo de los mismos en el caso de pérdida de información
4. SUSTENTO
Se determino este criterio referido a los aspectos organizativos para la seguridad en relación a la página Web de laSUNAT porque a través de ésta, se tiene acceso a la información confidencial de la empresa que puede ser usada para fines lucrativos por terceros
CASO N. 2
1. NOMBRE DE LA NORMA
Norma Técnica Peruana NTP-ISO/IEC 17799 EDI. Tecnología de la Información. Código de buenas practicas para la gestión de la seguridad de la información publicada el 25.Set.2004.
2. DETALLE DE LA NORMA
6. SEGURIDADLIGADO AL PERSONAL
6.2 Formación de usuarios
OBJETIVO: Asegurar que los usuarios son conscientes de las amenazas y riesgos en el ámbito de la seguridad de la información, y que están preparados para sostener la política de seguridad de la organización en el curso normal de su trabajo.
Los usuarios deberían recibir formación en procedimientos de seguridad y en el uso correcto de los recursosde tratamiento de información para minimizar los posibles riesgos en la seguridad.
6.2.1 Formación y capacitación en seguridad de la información
Todos los empleados de la organización y los usuarios de terceros, cuando corresponde, deberían recibir la formación adecuada y actualizaciones regulares en las políticas y procedimientos de la organización. Incluyendo requisitos de seguridad,responsabilidades legales y otros controles del negocio, así como prácticas en el uso correcto de los recursos de tratamiento de información (procedimientos de conexión (log-on), uso de paquetes de software, etc.), antes de obtener acceso a la información o los servicios.
3. DESCRIPCIÓN Y/O DEFINICIÓN DEL ASPECTO INFORMÁTICO
Formación de usuarios, implica que los usuarios se mantengan informadosrespecto a los procedimientos principales de la página Web para mayor ayuda
4. SUSTENTO
Se determino este criterio referido a la formación de usuarios, en relación a la página Web de la SUNAT ya que debería existir un link que sea directo para poder informarnos de los procedimientos para no incurrir en ninguna amenaza
[pic]
CASO N. 3
1. NOMBRE DE LA NORMA
El IT Governance Institute®
El ITGovernance Institute (ITGITM, por sus siglas en Inglés) (www.itgi.org) se estableció en 1998 para evolucionar el pensamiento y los estándares internacionales respecto a la dirección y control de la tecnología de información de una empresa
2. DETALLE DE LA NORMA
✓ DIRECTRICES GERENCIALES
DESCRIPCIÓN DEL PROCESO
P02. Definir la Arquitectura de la Información.
La función de...
1. NOMBRE DE LA NORMA
Norma Técnica Peruana NTP-ISO/IEC 17799 EDI. Tecnología de la Información. Código de buenas practicas para la gestión de la seguridad de la información publicada el 25.Set.2004.
2. DETALLE DE LA NORMA
4. ASPECTOS ORGANIZATIVOS PARA LA SEGURIDAD
4.2 Seguridad en los accesos de terceras partes
OBJETIVO: Mantener la seguridad de que los recursos detratamiento de la información y de los activos de información de la organización sean accesibles por terceros.
Debería controlarse el acceso de terceros a los dispositivos de tratamiento de información de la organización.
Cuando el negocio requiera dicho acceso de terceros, se debería realizar una evaluación del riesgo para determinar sus implicaciones sobre la seguridad y las medidas de controlque requieren. Estas medidas de control deberían definirse y aceptarse en un contrato: con la tercera parte.
El acceso de un tercero puede implicar a otros participantes. Los contratos que confieren acceso a un tercero deberían incluir la posibilidad de designar a otros participantes y las condiciones para su acceso.
Esta Norma Técnica Peruana podría usarse como base para dichos contratos ycuando se considere el outsourcing del tratamiento de la información.
3. DESCRIPCIÓN Y/O DEFINICIÓN DEL ASPECTO INFORMÁTICO
Nos referimos a los aspectos organizativos para la seguridad, determinando el respaldo de los mismos en el caso de pérdida de información
4. SUSTENTO
Se determino este criterio referido a los aspectos organizativos para la seguridad en relación a la página Web de laSUNAT porque a través de ésta, se tiene acceso a la información confidencial de la empresa que puede ser usada para fines lucrativos por terceros
CASO N. 2
1. NOMBRE DE LA NORMA
Norma Técnica Peruana NTP-ISO/IEC 17799 EDI. Tecnología de la Información. Código de buenas practicas para la gestión de la seguridad de la información publicada el 25.Set.2004.
2. DETALLE DE LA NORMA
6. SEGURIDADLIGADO AL PERSONAL
6.2 Formación de usuarios
OBJETIVO: Asegurar que los usuarios son conscientes de las amenazas y riesgos en el ámbito de la seguridad de la información, y que están preparados para sostener la política de seguridad de la organización en el curso normal de su trabajo.
Los usuarios deberían recibir formación en procedimientos de seguridad y en el uso correcto de los recursosde tratamiento de información para minimizar los posibles riesgos en la seguridad.
6.2.1 Formación y capacitación en seguridad de la información
Todos los empleados de la organización y los usuarios de terceros, cuando corresponde, deberían recibir la formación adecuada y actualizaciones regulares en las políticas y procedimientos de la organización. Incluyendo requisitos de seguridad,responsabilidades legales y otros controles del negocio, así como prácticas en el uso correcto de los recursos de tratamiento de información (procedimientos de conexión (log-on), uso de paquetes de software, etc.), antes de obtener acceso a la información o los servicios.
3. DESCRIPCIÓN Y/O DEFINICIÓN DEL ASPECTO INFORMÁTICO
Formación de usuarios, implica que los usuarios se mantengan informadosrespecto a los procedimientos principales de la página Web para mayor ayuda
4. SUSTENTO
Se determino este criterio referido a la formación de usuarios, en relación a la página Web de la SUNAT ya que debería existir un link que sea directo para poder informarnos de los procedimientos para no incurrir en ninguna amenaza
[pic]
CASO N. 3
1. NOMBRE DE LA NORMA
El IT Governance Institute®
El ITGovernance Institute (ITGITM, por sus siglas en Inglés) (www.itgi.org) se estableció en 1998 para evolucionar el pensamiento y los estándares internacionales respecto a la dirección y control de la tecnología de información de una empresa
2. DETALLE DE LA NORMA
✓ DIRECTRICES GERENCIALES
DESCRIPCIÓN DEL PROCESO
P02. Definir la Arquitectura de la Información.
La función de...
Leer documento completo
Regístrate para leer el documento completo.