Perfil del Auditor Informatico
Páginas: 8 (1833 palabras)
Publicado: 29 de marzo de 2014
AUDITORIA DE SISTEMAS
PRESENTADO POR: LICED JULIANA GUERRERO A.
NORMA ISO 2700
La Organización Internacional de Estandarización (ISO por sus siglas en inglés) es responsable de establecer más de 18.000 normas para múltiples industrias, y múltiples campos dentro de cada industria.
Las normas ISO 2700x representan a la familia de estándares para la industria de la seguridad informática. Lasempresas buscan obtener una certificación en la 2700 para demostrarle al mundo que sus sistemas de TI cumplen con los estándares de la industria. La "x" en el 2700x se refiere a las normas individuales dentro de la familia 2700, como 27000, 27001, 27002, 27003, 27004, 27005 y 27006. Cada sector tiene un estándar de aplicación específica bajo el paraguas de la industria de la seguridad informática.Para prepararse para la certificación las empresas establecen un sistema de gestión de seguridad informática.
Las series de normas ISO en el ámbito de calidad constituyen lo que se denomina familia de normas, estas son:
ISO 27000: Contiene términos y definiciones que se emplean en toda la serie 27000.
ISO 27001: Es la norma principal de la serie y contiene los requisitos del Sistema deGestión de Seguridad de la Información.
ISO 27002: Desde el 1 de Julio de 2007. Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a Seguridad de la Información. No es certificable.
ISO 27003: Consiste en una guía de implementación deSGSI e información acerca del uso del modelo PDCA (Plan, Do, Check, Act) y de los requerimientos de susdiferentes fases.
ISO 27004: Especifica las métricas y las técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados.
ISO 27005: Consiste en una guía de técnicas para la gestión del riesgo de la Seguridad de la Información.
ISO 27006: Especifica los requisitos para la acreditación de entidades de auditoría y certificación de Sistemas de Gestiónde Seguridad de la Información.
ISO 27007: Consiste en una guía de auditoría de un SGSI.
ISO 27011: Consiste en una guía de gestión de seguridad de la información específica para telecomunicaciones.
ISO 27031: Consiste en una guía de continuidad de negocio en cuanto a tecnologías de la información y comunicaciones.
ISO 27032: Consiste en una guía relativa a la ciberseguridad.
ISO27033: Es una norma consistente en 7 partes:
-Gestión de seguridad de redes
-Arquitectura de seguridad de redes
-Escenarios de redes de referencia
-Aseguramiento de las comunicaciones entre redes mediante Gateway
-Acceso remoto
-Aseguramiento de comunicaciones en redes mediante VPNs
-Diseño e implementación de seguridad en redes.
ISO 27034: Consiste en una guía de seguridad enaplicaciones.
ISO 27799: Es un estándar para la seguridad de la información en el sector salud.
-ETIMOLOGÍA:
Administración: -Planifica Diseñar un Cronograma
-Organiza Dar estructura lógica
-Ejecuta Llevar a cabo lo establecido
-Controla Verificar que se realice de acuerdo a losparámetros.
-Comunica Darse cuenta cómo va todo
-ENTROPÍA: Tendencia a desorganizarse.
-AUDITORIA DE SISTEMAS:
1) Revisión sistemática de los sistemas que en función de cumplir sus propiedades.
2) Concordancia con la efectividad del mismo.
3) Verifica la permanencia del diseño frente a las alteraciones que lo puedan dañar.
4) Revisa la eficiencia del sistema5) Sistema de control correctivo de tipo retroalimentado
NORMAS DE AUDITORIA
1. Auditoría de regularidad
* Auditoría financiera
* Auditoría del cumplimiento de la legalidad
2. Auditoría operativa
* Auditoría de eficacia
* Auditoría de economía y eficiencia
3. Auditoría integrada
Normas Generales o Personales
1. Entrenamiento y capacidad profesional
2. Independencia...
PRESENTADO POR: LICED JULIANA GUERRERO A.
NORMA ISO 2700
La Organización Internacional de Estandarización (ISO por sus siglas en inglés) es responsable de establecer más de 18.000 normas para múltiples industrias, y múltiples campos dentro de cada industria.
Las normas ISO 2700x representan a la familia de estándares para la industria de la seguridad informática. Lasempresas buscan obtener una certificación en la 2700 para demostrarle al mundo que sus sistemas de TI cumplen con los estándares de la industria. La "x" en el 2700x se refiere a las normas individuales dentro de la familia 2700, como 27000, 27001, 27002, 27003, 27004, 27005 y 27006. Cada sector tiene un estándar de aplicación específica bajo el paraguas de la industria de la seguridad informática.Para prepararse para la certificación las empresas establecen un sistema de gestión de seguridad informática.
Las series de normas ISO en el ámbito de calidad constituyen lo que se denomina familia de normas, estas son:
ISO 27000: Contiene términos y definiciones que se emplean en toda la serie 27000.
ISO 27001: Es la norma principal de la serie y contiene los requisitos del Sistema deGestión de Seguridad de la Información.
ISO 27002: Desde el 1 de Julio de 2007. Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a Seguridad de la Información. No es certificable.
ISO 27003: Consiste en una guía de implementación deSGSI e información acerca del uso del modelo PDCA (Plan, Do, Check, Act) y de los requerimientos de susdiferentes fases.
ISO 27004: Especifica las métricas y las técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados.
ISO 27005: Consiste en una guía de técnicas para la gestión del riesgo de la Seguridad de la Información.
ISO 27006: Especifica los requisitos para la acreditación de entidades de auditoría y certificación de Sistemas de Gestiónde Seguridad de la Información.
ISO 27007: Consiste en una guía de auditoría de un SGSI.
ISO 27011: Consiste en una guía de gestión de seguridad de la información específica para telecomunicaciones.
ISO 27031: Consiste en una guía de continuidad de negocio en cuanto a tecnologías de la información y comunicaciones.
ISO 27032: Consiste en una guía relativa a la ciberseguridad.
ISO27033: Es una norma consistente en 7 partes:
-Gestión de seguridad de redes
-Arquitectura de seguridad de redes
-Escenarios de redes de referencia
-Aseguramiento de las comunicaciones entre redes mediante Gateway
-Acceso remoto
-Aseguramiento de comunicaciones en redes mediante VPNs
-Diseño e implementación de seguridad en redes.
ISO 27034: Consiste en una guía de seguridad enaplicaciones.
ISO 27799: Es un estándar para la seguridad de la información en el sector salud.
-ETIMOLOGÍA:
Administración: -Planifica Diseñar un Cronograma
-Organiza Dar estructura lógica
-Ejecuta Llevar a cabo lo establecido
-Controla Verificar que se realice de acuerdo a losparámetros.
-Comunica Darse cuenta cómo va todo
-ENTROPÍA: Tendencia a desorganizarse.
-AUDITORIA DE SISTEMAS:
1) Revisión sistemática de los sistemas que en función de cumplir sus propiedades.
2) Concordancia con la efectividad del mismo.
3) Verifica la permanencia del diseño frente a las alteraciones que lo puedan dañar.
4) Revisa la eficiencia del sistema5) Sistema de control correctivo de tipo retroalimentado
NORMAS DE AUDITORIA
1. Auditoría de regularidad
* Auditoría financiera
* Auditoría del cumplimiento de la legalidad
2. Auditoría operativa
* Auditoría de eficacia
* Auditoría de economía y eficiencia
3. Auditoría integrada
Normas Generales o Personales
1. Entrenamiento y capacidad profesional
2. Independencia...
Leer documento completo
Regístrate para leer el documento completo.