Auditoría de la Seguridad informática

La computadora es un instrumento que estructura gran cantidadde información, la cual puede ser confidencial para individuos, empresas oinstituciones, y puede ser mal utilizada o divulgada a personas que hagan maluso de esta. 

También puede ocurrir robos, fraudes o sabotajes que provoquen ladestrucción total o parcial de la actividad computacional. Esta informaciónpuede ser de suma importancia, y el no tenerla en el momento preciso puedeprovocar retrasos sumamente costosos

.

En la actualidad y principalmente en las computadoraspersonales, se ha dado otro factor que hay que considerar: el llamado"virus" de las computadoras, el cual, aunque tiene diferentesintenciones, se encuentra principalmente para paquetes que son copiados sinautorización ("piratas") y borra toda la información que se tiene enun disco. Al auditar los sistemas se debe tener cuidado que no se tengan copias"piratas" o bien que, al conectarnos en red con otras computadoras, noexista la posibilidad de transmisión del virus. El uso inadecuado de lacomputadora comienza desde la utilización de tiempo de máquina para usosajenos de la organización, la copia de programas para fines de comercializaciónsin reportar los derechos de autor hasta el acceso por vía telefónica a basesde datos a fin de modificar la información con propósitos fraudulentos.

La seguridad en la informática abarca los conceptos deseguridad física y seguridad lógica. La seguridad física se refiere a laprotección del Hardware y de los soportes de datos, así como a la de losedificios e instalaciones que los albergan. Contempla las situaciones deincendios, sabotajes, robos, catástrofes naturales, etc.

La seguridad lógica se refiere a la seguridad de uso delsoftware, a la protección de los datos, procesos y programas, así como la delordenado y autorizado acceso de los usuarios a la información.

Un método eficaz para proteger sistemas de computación esel software de control de acceso. 

Dicho simplemente, los paquetes de control deacceso protegen contra el acceso no autorizado, pues piden del usuario unacontraseña antes de permitirle el acceso a información confidencial. Dichospaquetes han sido populares desde hace muchos años en el mundo de lascomputadoras grandes, y los principales proveedores ponen a disposición declientes algunos de estos paquetes.

Ejemplo: Existe una Aplicación de Seguridad que se llamaSEOS, para Unix, que lo que hace es auditar el nivel de Seguridad en todos losservidores, como ser: accesos a archivos, accesos a directorios, que usuario lohizo, si tenía o no tenía permiso, si no tenía permiso porque falló, entradade usuarios a cada uno de los servidores, fecha y hora, accesos con passwordequivocada, cambios de password, etc. La Aplicación lo puede graficar, tirar ennúmeros, puede hacer reportes, etc.

La seguridad informática se la puede dividir como AreaGeneral y como Area Especifica (seguridad de Explotación, seguridad de lasAplicaciones, etc.). Así, se podrán efectuar auditorías de la SeguridadGlobal de una Instalación Informática –Seguridad General- y auditorías dela Seguridad de un área informática determinada – Seguridad Especifica -.

Con el incremento de agresiones a instalaciones informáticasen los últimos años, se han ido originando acciones para mejorar la SeguridadInformática a nivel físico. Los accesos y conexiones indebidos a través delas Redes de Comunicaciones, han acelerado el desarrollo de productos deSeguridad lógica y la utilización de sofisticados medios criptograficos.

El sistema integral de seguridad debe comprender:

·                Elementos administrativosDefinición de una política de seguridad

·                Organización y división de responsabilidades

·                Seguridad física y contra catástrofes(incendio, terremotos, etc.)

·                Prácticas de seguridad del personal

·                Elementos técnicos y procedimientos

·                Sistemas de seguridad (de equipos y de sistemas, incluyendo todos los elementos, tanto redes como terminales.

·                Aplicación de los sistemas de seguridad, incluyendo datos y archivos

·                El papel de los auditores, tanto internos como externos

·                Planeación de programas de desastre y su prueba.

La decisión de abordar una Auditoría Informática deSeguridad Global en una empresa, se fundamenta en el estudio cuidadoso de losriesgos potenciales a los que está sometida. 

Se elaboran "matrices deriesgo", en donde se consideran los factores de las "Amenazas" alas que está sometida una instalación y los "Impactos" que aquellaspuedan causar cuando se presentan.

 Las matrices de riesgo se representan encuadros de doble entrada <<Amenaza-Impacto>>, en donde se evalúanlas probabilidades de ocurrencia de los elementos de la matriz.

Ejemplo:

Impacto	Amenaza				1: Improbable 2: Probable 3: Certeza -: Despreciable
	Error	Incendio	Sabotaje	……..
Destrucción de Hardware	-	1	1
Borrado de Información	3	1	1

El cuadro muestra que si por error codificamos un parámetro que ordene el borrado de un fichero, éste se borrará con certeza.

Auditoria Informática de Comunicaciones y Redes

Para el informático y para el auditor informático, elentramado conceptual que constituyen las Redes Nodales, Líneas, Concentradores,Multiplexores, Redes Locales, etc. no son sino el soporte físico-lógico delTiempo Real. El auditor tropieza con la dificultad técnica del entorno, pues hade analizar situaciones y hechos alejados entre sí, y está condicionado a laparticipación del monopolio telefónico que presta el soporte.

 Como en otroscasos, la auditoría de este sector requiere un equipo de especialis-tas,expertos simultáneamente en Comunicaciones y en Redes Locales (no hay queolvidarse que en entornos geográficos reducidos, algunas empresas optan por eluso interno de Redes Locales, diseñadas y cableadas con recursos propios).

El auditor de Comunicaciones deberá inquirir sobre los índicesde utilización de las líneas contratadas con información abundante sobretiempos de desuso. Deberá proveerse de la topología de la Red deComunicaciones, actualizada, ya que la desactualizacion de esta documentaciónsignificaría una grave debilidad.

 La inexistencia de datos sobre la cuantas líneasexisten, cómo son y donde están instaladas, supondría que se bordea laInoperatividad Informática.

 Sin embargo, las debilidades más frecuentes oimportantes se encuentran en las disfunciones organizativas. 

La contratación einstalación de líneas va asociada a la instalación de los Puestos de Trabajocorrespondientes (Pantallas, Servidores de Redes Locales, Computadoras contarjetas de Comunicaciones, impresoras, etc.). Todas estas actividades debenestar muy coordinadas y a ser posible, dependientes de una sola organización.

Auditoria Informática de Sistemas

Se ocupa de analizar la actividad que se conoce como Técnicade Sistemas en todas sus facetas. Hoy, la importancia creciente de lastelecomunicaciones ha propiciado que las Comunicaciones, Líneas y Redes de lasinstalaciones informáticas, se auditen por separado, aunque formen parte delentorno general de Sistemas.

Sistemas Operativos:

Engloba los Subsistemas de Teleproceso, Entrada/Salída, etc.Debe verificarse en primer lugar que los Sistemas están actualizados con las últimasversiones del fabricante, indagando las causas de las omisiones si las hubiera.El análisis de las versiones de los Sistemas Operativos permite descubrir lasposibles incompatibilidades entre otros productos de Software Básico adquiridospor la instalación y determinadas versiones de aquellas. Deben revisarse losparámetros variables de las Librerías más importantes de los Sistemas, por sidifieren de los valores habituales aconsejados por el constructor.

Software Básico:

Es fundamental para el auditor conocer los productos desoftware básico que han sido facturados aparte de la propia computadora. Esto,por razones económicas y por razones de comprobación de que la computadorapodría funcionar sin el producto adquirido por el cliente. En cuanto alSoftware desarrollado por el personal informático de la empresa, el auditordebe verificar que éste no agreda ni condiciona al Sistema. Igualmente, debeconsiderar el esfuerzo realizado en términos de costes, por si hubieraalternativas más económicas.

Software de Teleproceso (Tiempo Real):

No se incluye en Software Básico por su especialidad eimportancia. Las consideraciones anteriores son válidas para éste también.

Tunning:

Objetivos:

1. Participación en el desarrollo de nuevos sistemas:


• evaluación de controles

• cumplimiento de la metodología.

2. Evaluación de la seguridad en el área informática.

3. Evaluación de suficiencia en los planes de contingencia.

• respaldos, preveer qué va a pasar si se presentan fallas.

4. Opinión de la utilización de los recursos informáticos.

• resguardo y protección de activos.

5. Control de modificación a las aplicaciones existentes.

• fraudes

• control a las modificaciones de los programas.

6. Participación en la negociación de contratos con los proveedores.

7. Revisión de la utilización del sistema operativo y los programas

• utilitarios.

• control sobre la utilización de los sistemas operativos

• programas utilitarios.



8. Auditoría de la base de datos.

• estructura sobre la cual se desarrollan las aplicaciones...

9. Auditoría de la red de teleprocesos.

10. Desarrollo de software de auditoría.

Es el objetivo final de una auditoría de sistemas bien implementada, desarrollar software capaz de estar ejerciendo un control continuo de las operaciones del área de procesamiento de datos.

Auditoria Informática de Desarrollo de Proyectos

La función de Desarrollo es una evolución del llamado Análisis y Programación de Sistemas y Aplicaciones. A su vez, engloba muchas áreas, tantas como sectores informatizables tiene la empresa. Muy escuetamente, una Aplicación recorre las siguientes fases:

• · Prerequisitos del Usuario (único o plural) y del entorno 
• · Análisis funcional 
• · Diseño 
• · Análisis orgánico (Preprogramación y Programación) 
• · Pruebas 
• · Entrega a Explotación y alta para el Proceso.

Estas fases deben estar sometidas a un exigente control interno, caso contrario, además del disparo de los costes, podrá producirse la insatisfacción del usuario.

Finalmente, la auditoría deberá comprobar la seguridad de los programas en el sentido de garantizar que los ejecutados por la maquina sean exactamente los previstos y no otros.

Una auditoría de Aplicaciones pasa indefectiblemente por la observación y el análisis de cuatro consideraciones:

1. Revisión de las metodologías utilizadas: Se analizaran éstas, de modo que se asegure la modularidad de las posibles futuras ampliaciones de la Aplicación y el fácil mantenimiento de las mismas.
2. Control Interno de las Aplicaciones: se deberán revisar las mismas fases que presuntamente han debido seguir el área correspondiente de Desarrollo:

· Estudio de Vialidad de la Aplicación. [importante para Aplicaciones largas, complejas y caras]
· Definición Lógica de la Aplicación. [se analizará que se han observado los postulados lógicos de actuación, en función de la metodología elegida y la finalidad que persigue el proyecto]
· Desarrollo Técnico de la Aplicación. [Se verificará que éste es ordenado y correcto. Las herramientas técnicas utilizadas en los diversos programas deberán ser compatibles]
· Diseño de Programas. [deberán poseer la máxima sencillez, modularidad y economía de recursos]
· Métodos de Pruebas. [ Se realizarán de acuerdo a las Normas de la Instalación. Se utilizarán juegos de ensayo de datos, sin que sea permisible el uso de datos reales]
· Documentación. [cumplirá la Normativa establecida en la Instalación, tanto la de Desarrollo como la de entrega de Aplicaciones a Explotación]
· Equipo de Programación. [Deben fijarse las tareas de análisis puro, de programación y las intermedias. En Aplicaciones complejas se producirían variaciones en la composición del grupo, pero estos deberán estar previstos]

Es aconsejable que las Empresas cuenten con un Departamento QA (Quality Assurance – Aseguramiento de la Calidad) que tendría la función de controlar que el producto que llegue al usuario sea el correcto en cuanto a funcionamiento y prestaciones, antes del U.A.T.

Auditoria Informática de Explotación

Definimos la Explotación Informática se ocupa de producir resultados informáticas de todo tipo: listados impresos, archivos soportados magnéticamente para otros informáticos, órdenes automatizadas para lanzar o modificar procesos industriales, etc.

Para realizar la Explotación informática se dispone de una materia prima, los Datos, que es necesario transformar, y que se someten previamente a controles de integridad y calidad.

La transformación se realiza por medio del Proceso Informático, el cual está dirigido por programas. Obtenido el producto final, los resultados son sometidos nuevamente a uno o varios controles de calidad, y finalmente son distribuídos al cliente, al usuario. En ocasiones, el propio cliente realiza funciones de reelaboración del producto terminado.

Para mantener el criterio finalista y utilitario, el concepto de centro productivo ayuda a la elaboración de la auditoría de la Explotación. Auditar Explotación consiste en auditar las secciones que la componen y sus interrelaciones.

Las Básicas son la planificación de la producción y la producción misma de resultados informáticos. El auditor informático debe tener muy en cuenta que toda la organización informática está superditada a la obtención de resultados en plazo y calidad, siendo subsidiario a corto plazo cualquier otro objetivo.

Se quiere insistir nuevamente en que la Operatividad es prioritaria, al igual que el plan crítico diario de producción que debe ser protegido a toda costa.

Tipos y Clases de Auditoria

El departamento de Informática posee una actividad proyectada al exterior, al usuario,

aunque el "exterior" siga siendo la misma empresa. He aquí, la Auditoria Informática de

Usuario. Se hace esta distinción para contraponerla a la informática interna, en donde se

hace la informática cotidiana y real. En consecuencia, existe una Auditoria Informática

de Actividades Internas.

El control del funcionamiento del departamento de informática con el exterior, con el

usuario se realiza por medio de la Dirección. Su figura es importante, en tanto en cuanto

es capaz de interpretar las necesidades de la Compañía. Una informática eficiente y

eficaz requiere el apoyo continuado de su Dirección frente al "exterior". Revisar estas

interrelaciones constituye el objeto de la Auditoria Informática de Dirección. Estas tres

Auditorias, mas la Auditoria de Seguridad, son las cuatro Areas Generales de la

Auditoria Informática más importantes.

Dentro de las áreas generales, se establecen las siguientes divisiones de Auditoria

Informática: 

• de Explotación, 
• de Desarrollo de Proyectos,
• de Sistemas, 
• de Comunicaciones y Redes,
• de Seguridad Informática.

Alcance de la Auditoria Informática

Introducción

La auditoría informática es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para determinar si un sistema de información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización, utiliza eficientemente los recursos, y cumple con las leyes y regulaciones establecidas. Permiten detectar de forma sistemática el uso de los recursos y los flujos de información dentro de una organización y determinar qué información es crítica para el cumplimiento de su misión y objetivos, identificando necesidades, duplicidades, costes, valor y barreras, que obstaculizan flujos de información eficientes.


Auditar consiste principalmente en estudiar los mecanismos de control que están implantados en una empresa u organización, determinando si los mismos son adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se deberían realizar para la consecución de los mismos. Los mecanismos de control pueden ser directivos, preventivos, de detección, correctivos o de recuperación ante una contingencia.


Los objetivos de la auditoría Informática son:

• El control de la función informática
• El análisis de la eficiencia de los Sistemas Informáticos
• La verificación del cumplimiento de la Normativa en este ámbito
• La revisión de la eficaz gestión de los recursos informáticos.

La auditoría informática sirve para mejorar ciertas características en la empresa como:

• Desempeño 
• Fiabilidad 
• Eficacia
• Rentabilidad 
• Seguridad 
• Privacidad
  
  
  Generalmente se puede desarrollar en alguna o combinación de las siguientes areas:

• Gobierno corporativo
• Administración del Ciclo de vida de los sistemas
• Servicios de Entrega y Soporte
• Protección y Seguridad
• Planes de continuidad y Recuperación de desastres

Actualmente la certificación de ISACA para ser CISA Certified Information Systems Auditor es una de las más reconocidas y avaladas por los estándares internacionales ya que el proceso de selección consta de un examen inicial bastante extenso y la necesidad de mantenerse actualizado acumulando horas (puntos) para no perder la certificación.

Alcance

El alcance ha de definir con precisión el entorno y los límites en que va a desarrollarse la auditoría informática, se complementa con los objetivos de ésta. El alcance ha de figurar expresamente en el Informe Final, de modo que quede perfectamente determinado no solamente hasta que puntos se ha llegado, sino cuales materias fronterizas han sido omitidas. 

Ejemplo: 

¿Se someterán los registros grabados a un control de integridad exhaustivo*? 

¿Se comprobará que los controles de validación de errores son adecuados y suficientes*?

 La indefinición de los alcances de la auditoría compromete el éxito de la misma.

*Control de integridad de registros: Hay Aplicaciones que comparten registros, son registros comunes.

 Si una Aplicación no tiene integrado un registro común, cuando lo necesite utilizar no lo va encontrar y, por lo tanto, la aplicación no funcionaría como debería.

*Control de validación de errores: Se corrobora que el sistema que se aplica para detectar y corregir errores sea eficiente.

Los principales objetivos    que constituyen a la auditoría Informática son:

• el control de la función informática,
• el análisis de la eficacia del Sistema Informático,
• la verificación de la implantación de la Normativa,
• y la revisión de la gestión de los recursos informáticos.

Carcateristicas

• Síntomas de descoordinación y desorganización:

- No coinciden los objetivos de la Informática de la Compañía y de la propia Compañía.- Los estándares de productividad se desvían sensiblemente de los promedios conseguidos habitualmente.

[Puede ocurrir con algún cambio masivo de personal, o en una reestructuración fallida de alguna área o en la modificación de alguna Norma importante]

• Síntomas de mala imagen e insatisfacción de los usuarios:

- No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de Software en los terminales de usuario, refrescamiento de paneles, variación de los ficheros que deben ponerse diariamente a su disposición, etc.- No se reparan las averías de Hardware ni se resuelven incidencias en plazos razonables. El usuario percibe que está abandonado y desatendido permanentemente.

- No se cumplen en todos los casos los plazos de entrega de resultados periódicos. Pequeñas desviaciones pueden causar importantes desajustes en la actividad del usuario, en especial en los resultados de Aplicaciones críticas y sensibles.

• Síntomas de debilidades económico-financiero:

- Incremento desmesurado de costes.- Necesidad de justificación de Inversiones Informáticas (la empresa no está absolutamente convencida de tal necesidad y decide contrastar opiniones).- Desviaciones Presupuestarias significativas.

- Costes y plazos de nuevos proyectos (deben auditarse simultáneamente a Desarrollo de Proyectos y al órgano que realizó la petición).

• Síntomas de Inseguridad: Evaluación de nivel de riesgos

- Seguridad Lógica- Seguridad Física - Confidencialidad[Los datos son propiedad inicialmente de la organización que los genera. Los datos de personal son especialmente confidenciales]- Continuidad del Servicio. Es un concepto aún más importante que la Seguridad. Establece las estrategias de continuidad entre fallos mediante Planes de Contingencia* Totales y Locales.

- Centro de Proceso de Datos fuera de control. Si tal situación llegara a percibirse, sería prácticamente inútil la auditoría. Esa es la razón por la cual, en este caso, el síntoma debe ser sustituido por el mínimo indicio.

Auditoria Interna y Externa

• La Auditoria interna es la realizada con recursos materiales y personas que pertenecen a la empresa auditada. Los empleados que realizan esta tarea son remunerados económicamente. La Auditoria interna existe por expresa decisión de la Empresa, o sea,que puede optar por su disolución en cualquier momento.

• Por otro lado, la Auditoria externa es realizada por personas afines a la empresa auditada; es siempre remunerada. Se presupone una mayor objetividad que en la Auditoria Interna, debido al mayor distanciamiento entre auditores y auditados.

• La Auditoria informática interna cuenta con algunas ventajas adicionales muy importantes respecto de la Auditoria externa, las cuales no son tan perceptibles como en las Auditorias convencionales. La Auditoria interna tiene la ventaja de que puede actuar periódicamente realizando Revisiones globales, como parte de su Plan Anual y de su actividad normal. Los auditados conocen estos planes y se habitúan a las Auditorias,especialmente cuando las consecuencias de las Recomendaciones habidas benefician su trabajo.

• En una empresa, los responsables de Informática escuchan, orientan e informan sobre las posibilidades técnicas y los costes de tal Sistema. Con voz, pero a menudo sin voto, Informática trata de satisfacer lo más adecuadamente posible aquellas necesidades. 

• La empresa necesita controlar su Informática y ésta necesita que su propia gestión esté sometida a los mismos Procedimientos y estándares que el resto de aquella. La conjunción de ambas necesidades cristaliza en la figura del auditor interno informático.

• En cuanto a empresas se refiere, solamente las más grandes pueden poseer una Auditoria propia y permanente, mientras que el resto acuden a las Auditorias externas.

Puede ser que algún profesional informático sea trasladado desde su puesto de trabajo a la Auditoria Interna de la empresa cuando ésta existe. 

• Finalmente, la propia Informática requiere de su propio grupo de Control Interno, con implantación física en su estructura, puesto que si se ubicase dentro de la estructura Informática ya no sería independiente.

Hoy, ya existen varias organizaciones Informáticas dentro de la misma empresa, y con diverso grado de autonomía, que son coordinadas por órganos corporativos de Sistemas de Información de las Empresas.

Una Empresa o Institución que posee Auditoria interna puede y debe en ocasiones contratar servicios de Auditoria externa. 

Las razones para hacerlo suelen ser: 

• Necesidad de auditar una materia de gran especialización, para la cual los servicios propios no están suficientemente capacitados.

• Contrastar algún Informe interno con el que resulte del externo, en aquellos supuestos de emisión interna de graves recomendaciones que chocan con la opinión generalizada de la propia empresa.

• Servir como mecanismo protector de posibles Auditorias informáticas externas decretadas por la misma empresa.

Aunque la Auditoria interna sea independiente del Departamento de Sistemas, sigue siendo la misma empresa, por lo tanto, es necesario que se le realicen Auditorias externas como para tener una visión desde afuera de la empresa.

La Auditoria informática, tanto externa como interna, debe ser una actividad exenta de cualquier contenido o matiz "político" ajeno a la propia estrategia y política general de la empresa. La función auditora puede actuar de oficio, por iniciativa del propio órgano, o a instancias de parte, esto es, por encargo de la dirección o cliente.

Concejos para realizar auditorías internas

AUDITORIA EXTERNA AUDITOOL

Notas: Auditoria Interna ISO 9001-2000, ISO 1400

Notas: Herramientas de Software para auditoria Interna

Auditoria

Un poco de Historia

La auditoria es una de las aplicaciones de los principios científicos de la contabilidad, basada en la verificación de los registros patrimoniales de las haciendas, para observar su exactitud; no obstante, este no es su único objetivo.

            Su importancia es reconocida desde los tiempos más remotos, teniéndose conocimientos de su existencia  ya en las lejanas épocas de la civilización sumeria.

            Acreditase, todavía, que el termino auditor evidenciando el titulo del que practica esta técnica, apareció a finales del siglo XVIII, en Inglaterra durante el reinado de Eduardo I.

            En diversos países de Europa, durante la edad media, muchas eran las asociaciones profesionales, que se encargaban de ejecuta funciones de auditorias, destacándose entre ellas los consejos Londineses (Inglaterra), en 1.310, el Colegio de Contadores, de Venecia (Italia), 1.581.

            La revolución industrial llevada a cabo en la segunda mitad del siglo XVIII, imprimió nuevas direcciones a las técnicas contables, especialmente a la auditoria, pasando a atender las necesidades creadas por la aparición de las grandes empresas ( donde la naturaleza es el servicio es prácticamente obligatorio).

            Se preanuncio en 1.845 o sea, poco después de penetrar la contabilidad de los dominios científicos y ya el  “Railway Companies Consolidation Act” obligada la verificación anual de los balances que debían hacer los auditores.

            También en los Estados Unidos de Norteamérica, una importante asociación cuida las normas de auditoria, la cual publicó diversos reglamentos, de los cuales el primero que conocemos data de octubre de 1.939, en tanto otros consolidaron las diversas normas en diciembre de 1.939, marzo de 1.941, junio de 1942 y diciembre de 1.943.

            El futuro de nuestro país se prevé  para la profesión contable en el sector auditoria es realmente muy grande, razón por la cual deben crearse, en nuestro circulo de enseñanza cátedra para el estudio de la materia, incentivando el aprendizaje y asimismo organizarse cursos similares a los que en otros países se realizan.

Definiciones

• La Auditoría es una función de dirección cuya finalidad es analizar y apreciar, con vistas alas eventuales las acciones correctivas, el control interno de las organizaciones para garantizar la integridad de su patrimonio, la veracidad de su información y el mantenimiento de la eficacia de sus sistemas de gestión.

• Es un examen comprensivo de la estructura de una empresa, en cuanto a los planes y objetivos, métodos y controles, su forma de operación y sus equipos humanos y físicos.
• "Una visión formal y sistemática para determinar hasta qué punto una organización está cumpliendo los objetivos establecidos por la gerencia, así como para identificar los que requieren mejorarse”.

Introducción

Para todos los negocios de XXXXXhidc2_0p2/c2_3_p2/c2_7p1- , la información es un activo esencial. Es crucial que toda la información sensible sea mantenida de manera confidencial, sea precisa y esté disponible, de la manera apropiada para cubrir las necesidades de los negocios. Será responsabilidad de cada individuo dentro del Grupo proteger adecuadamente la información que maneje durante el desempeño de sus tareas

c2_6p1- Cada empleado de XXXXX será, consecuentemente, consciente de la necesidad de  asegurar la información y actuará para preservar la misma.

Esta Política dicta los estándares que serán cumplidos por los empleados y las Compañías que integran el  Grupo, para lograr la seguridad de la información. Los terceros involucrados (proveedores, clientes, etc) serán incluídos en los requerimientos de esta Política de manera voluntaria o contractual.

Cada Unidad Operativa c2_6p3- (UO) de XXXXX es responsable de la seguridad de la información utilizada dentro de sus negocios. Implementarán y mantendrán medidas adecuadas, basadas en el valor de la información y en el riesgo del negocio.  Como mínimo, los objetivos de esas medidas c3_2p27- serán asegurar los niveles apropiados de confidencialidad, integridad y disponibilidad para toda la información usada en los negocios.

Esta c2_3p8/c2_3p9/c3_6_0p2s1/c1p16/c8_0p3s4- Política provee un marco de trabajo para todos los procesos estándares y  sus mecanismos de seguridad. Define los objetivos de seguridad, clasifica la información, responsabilidades y principios fundamentales para asegurarla  de acuerdo con los objetivos del negocio. La Política, en consecuencia, define los mínimos requerimientos para todas las UOs. Estas son libres de definir e implementar requerimientos y mecanismos de seguridad más fuertes, siempre que no contradigan esta Política. Cuando la política se vea afectada por leyes y/o regulaciones locales habrá que compatibilizarla para que cumpla  con las exigencias del Grupo.

Esta Políticac1p15-  estará sujeta a revisión regularmente, con la frecuencia que defina la Norma. El período de validez será especificado en cada norma.

La responsabilidad del cumplimiento de esta Política c1p17- y las específicas de cada UO recae en cada gerencia general. El Comitéc3_2p28/c3_3_0p3-  de Seguridad de la Información es responsable de liderar la definición, implementación y mantenimiento de la misma.

Dentro del alcance de esta Política, se implementará un adecuado c2_9p2/c2_5p2- monitoreo para asegurar que todos los eventos relacionados con la seguridad sean identificados y corregidos. Todas estas actividades de monitoreo serán consistentes con las regulaciones y legislación de privacidad vigentes.

Esta Política determina requerimientos mínimos para el gerenciamiento de la Información, Control de Accesos, Seguridad Física, Comunicaciones, Operaciones y Desarrollo de Sistemas.

La misma será accesible para todo el personal y para los terceros involucrados.c8_1p3-

El marco de seguridad definido por esta Política, provee una arquitectura de tres niveles de documentos: Política de seguridad, Normas, Procedimientos y Guías.

Auditoria Informática

Damos la más cordial bienvenida a los participantes de la asignatura de "Auditoria Informática" que se inicia hoy 29 de Octubre del 2011.

El propósito principal de este proceso de capacitación es dar a los participantes las posibilidades para que se involucren en la dirección de Auditorias informáticas. 

Les deseamos a todos, éxito en este proceso de educación continua.

Cordialmente,

Ing. Clay Guadalupe.