2. 1. ¿Cómojustificaríaante undirectivode empresalainversiónnecesariaencontrol yauditoría
informática? Asumiendo su rol de auditor.
Los directivos debenconocer que loscontroles son necesariosya que nos permiten prevenir y
corregir errores o irregularidades que puedanafectar a la empresa en el cumplimiento de sus
objetivos.Bajoesteprecepto,elControl Informáticopermitecontrolarque todaslasactividades
del sistema de información sean realizadas cumpliendo los procedimientos, estándares y
normas, asegurándose que losmecanismoimplantadosporcada responsable seancorrectosy
válidos. Este control va de la mano con la Auditoría Informática, la cual nos permite recoger,
agrupar y evaluarevidenciasparadeterminarsi unsistemainformático protege losactivosyla
integridadde losdatos,yllevaacabolosobjetivosde eficaciayeficienciade losfinesyrecursos
de la organización.
Con estos antecedentes es claro que no tener un control y auditoría informáticos adecuados
acarrearía una serie de amenazas latentes que podrían resultar en pérdidas económicas. La
tecnología ha traído muchos beneficios pero es importante salvaguardar la integridad de la
empresa y contribuir al sistema de gestiónde la misma,para lo cual es indiscutible un sistema
de control y auditoría informático.
2. ¿Qué norma de seguridadutilizaría para establecerunSistemade Gestiónde la Seguridad
de la Informaciónen una organización? ¿Por qué usaría esa norma?
Utilizaría la norma internacional ISO 27001 (anteriormente conocida como ISO 17799), ya que
esun estándaractualizadoyvigenteparalaseguridadde información.Ademáséste estásiendo
usado en empresas tanto en grandes corporaciones como también en PYMES. Una de las
ventajasmásdestacablesque ayudaa cumpliresta normaes la verificaciónindependienteque
los riesgos de la organización estén correctamente identificados, evaluados y gestionados al
tiempo que formaliza los procesos, procedimientos y documentación de protección de la
información.
3. ¿Qué plan de contingencias propondría, si la organización donde trabaja se encuentra
ubicada enunaciudad de altoriesgosísmico?Propongapor lomenoslasfasesque se llevarían
a cabo.
Las fases que propondría serían las siguientes:
FASE I. ANÁLISISY DISEÑO: En esta fase de identificarálosentornosamenazadosenel caso de
unsismo,losservicioscríticosafectados,el impactoeconómicoporparalizaciónopérdidade un
servicio, y la selección y diseño de estrategias globales de respaldo.
FASEII.DESARROLLODEL PLAN:Enestafase se desarrollarálaestrategiaseleccionadacontodas
las acciones previstas. Aquí se definirán los estados de emergencia y se generará la
documentación del plan.
FASEIII.PRUEBAS Y MANTENIMIENTO: Esta es laúltimafase yaquí se definiránlaspruebas,sus
características, sus ciclos, estrategias de mantenimiento, y se realizará la primera prueba de
simulacro que servirá para comprobar la correcta ejecución del plan de contingencia.
3. 4. Definauna estrategiapara establecerel universode TI de la organizaciónen donde trabaja.
En mi caso, al ser una organización pequeña no podría utilizar una estrategia demasiado
elaborada,sinomásbienempezaríapor lo básicodesglosandoel sistema informáticopresente
en los procesos operativos, para lo cual necesitaría identificar los datos, el software, la
tecnología, las instalaciones, y las personas con sus respectivos niveles de acceso y
responsabilidades.