2. Introducción
• Una auditoria se hace a base de
reglas, directrices y buenas practicas de
seguridad.
• Dentro de las directrices y practicas que
podemos recordar en auditoria están el
Control Interno Informático y los procesos de
planificación, ejecución y dictamen.
• Existen estándares orientados a servir como
base a estándares para auditorias de
informática.
3. Estándares
• COBIT: significa ‘Objetivos de control de las
tecnologías de la información’ tiene una serie de
recursos que pueden servir de modelo de
referencia para la gestión de TI, incluyendo un
resumen ejecutivo, un framework, objetivos de
control, mapas de auditoría, herramientas para
su implementación y principalmente, una guía de
técnicas de gestión.
• COBIT 5 se lanzó el 10 de abril del 2012 y esta
enfocado en la generación de valor, calidad y
manejo de riesgos.
4. Estándares
• ISO27001
• Especifica los requisitos necesarios para
establecer, implantar, mantener y mejorar un
Sistema de Gestión de la Seguridad de la
Información (SGSI) según el conocido “Ciclo de
Deming”: PDCA - acrónimo de
Plan, Do, Check, Act
(Planificar, Hacer, Verificar, Actuar).
5. Estándares
• Beneficios del ISO27001
• Proporciona una ventaja competitiva al cumplir los
requisitos contractuales y demostrar a los clientes que la
seguridad de su información es primordial.
• Verifica independientemente que los riesgos de la
organización estén correctamente identificados, evaluados
y gestionados al tiempo que formaliza unos
procesos, procedimientos y documentación de protección
de la información.
• Demuestra el compromiso de la cúpula directiva de su
organización con la seguridad de la información.
• El proceso de evaluaciones periódicas ayuda a supervisar
continuamente el rendimiento y la mejora.
6. Estándares
• ISO27002
• Es la revisión de los estándares publicados en
la ISO27001 que se basaban en la calidad de
los procesos de control interno y la
organización de departamento de
informática, el nuevo estándar agrega la parte
de seguridad y la disponibilidad de la
información.
7. Estándares
• Directrices de ISO27002
• La seguridad de la información se define en el
estándar como:
• La preservación de la confidencialidad
(asegurando que sólo quienes estén autorizados
pueden acceder a la información).
• Integridad (asegurando que la información y sus
métodos de proceso son exactos y completos) y
• Disponibilidad (asegurando que los usuarios
autorizados tienen acceso a la información y a sus
activos asociados cuando lo requieran).
9. Introducción
• Las certificaciones son garantías sobre
conocimientos técnicos que un profesional ha
adquirido y lo acredita ante el manejo de una
tecnología o proceso en especifico.
• Hace mas fácil que un profesional informático se
introduzca al mercado laboral ya que puede
compensar en cierta medida la falta de
experiencia.
• Una persona certificada puede ganar entre un
10% a 20% mas que si no la tuviera.
• Tiene mas posibilidades de ascender de puesto
10. Certificaciones Importantes
• CISSP Certified Information System Security
Professional
• CompTIA+ Security Professional
• CISA Certified Information System Auditor
• CCSP Cisco Certified Security Professional
• CIA Certified Internal Auditor
• PMP Project Management Professional
11. CISSP
• La certificación de seguridad mas demandada
y reconocida internacionalmente.
• Se apoyan en la normas del instituto ISO.
• Se basa en estándares CBK que incluyen:
– Controles de acceso y metodología
– Plan de recuperación ante desastres
• Tener un titulo universitario relacionado a la
informática y aprobar un examen de $499 son
necesarios para obtener el certificado.
12. CISA
• Es otro de los certificados de seguridad mas
reconocidos internacionalmente.
• Solo personas con 1 año experiencia
profesional o un titulo universitario en CC o
auditoria pueden optar al certificado.
• Se enfoca al control interno y propio proceso
de la auditoria.
• El certificado es valido solo si se siguen los
procesos de educación continua.
13. CIA
• Es una certificación que garantiza que una
persona es experta en hacer auditoria internas, el
reconocimiento es global.
• La auditoria interna no solo se refiere a al control
informático, sino de todas las áreas de la
empresa.
• Se refiere a la capacidad de identificar riesgos y
proponer controles correctivos.
• No existe ningún programa de formación, solo las
guías de estudio, no hay requisitos para realizar el
examen.
14. PMP
• Es una certificación ofrecida por el Project
Management Institute (PMI) y garantiza que la persona
que lo posea es capaz da gestionar grandes
proyectos, cumplir con la calidad deseada y entregarlos
en el tiempo negociado.
• La credencial se obtiene mediante la documentación
de 3 a 5 años de experiencia en gestión de
proyectos, completar 35 horas de formación
relacionadas con la gestión de proyectos, y obteniendo
un determinado porcentaje de las preguntas en un
examen escrito de opción múltiple.