La ISO 27000 es la norma que explica cómo implantar un Sistema de Gestión de Seguridad de la Información en una empresa. La implantación de una ISO 27000 en una organización permite proteger la información de ésta de la forma más fiable posible. Se persiguen 3 objetivos:
- Preservar la confidencialidad de los datos de la empresa
- Conservar la integridad de estos datos
- Hacer que la información protegida se encuentre disponible
Una empresa que tiene implantada la ISO 27000 garantiza, tanto de manera interna como al resto de las empresas, que los riesgos de la seguridad de la información son controlados por la organización de una forma eficiente.
El estándar ISO 27000 es totalmente compatible con otras normas de sistemas de gestión (ISO 9001, ISO 14001, OHSAS 18001, …) y puede ser implantado de forma integrada con estas.
Estándares y leyes del Control Interno
CONTROL INTERNO:
Es un instrumento
para asegurar la gestión administrativa de las entidades y el logro de la
misión y los objetivos institucionales
con eficiencia y eficacia, en
concordancia con las normas y las
políticas de Estado.
Ley 87 de 1993
Establece el
sistema de control interno en las entidades del Estado, se define, se fijan los
objetivos, se establecen los elementos y campo de aplicación.
Decreto Reglamentario 1826 de 1994
Difunde la organización
o estructura del departamento del control interno, dependencias y afines.
Funciones comité del CI
·
Recomendar
pautas para el mejoramiento permanente del Sistema de control Interno, de
acuerdo a las normas vigentes
·
Gestionar
el cumplimiento de metas y objetivos.
·
Definición
de planes estratégicos.
·
Priorizar
sistemas para el mejoramiento continuo de los departamentos funcionales de la organización.
Ley 489 de 1998
Establece
principios generales sobre la organización y funcionamiento de todas las
entidades públicas en Colombia, y otorga facultades especiales al Presidente de
la República en el sentido de modificar, suprimir y establecer la estructura de
las entidades del sector público; esta ley es considerado la más importante en su
categoría por cuanto establece la estructura básica de entidades como la
presidencia, vicepresidencia, superintendencias, etc.
Decreto Reglamentario 2145 de 1999
Se dictan normas
sobre el Sistema Nacional de Control Interno de las entidades y organismos de
la Administración Pública del orden nacional y territorial.
Ver estándares aqui
Ver estándares aqui
Investigado por: Carlos Siabato - Carlos Pérez.
Cibergrafía:
DR 1826 de 1994: http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=4576
DR 2145 de 1999: http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=1209
AUDITORIA ERGONÓMICA DE SISTEMAS COMPUTACIONALES
La ergonómica se define como la interacción entre humanos y los elementos de un sistema, a su vez esta es la una investigación metódica del lugar de trabajo, organización y tareas que muy probablemente mejore el desempeño humano y reduzca los errores. El principal objetivo de este ámbito son los consumidores y usuarios. El cual busca crear o adaptar productos y elementos de uso cotidiano para el manejo del personal, con el fin de optimizar la productividad del trabajador y del sistema de producción garantizando la satisfacción , la seguridad y salud de los trabajadores. En conclusión la auditoria ergonómica se encarga de adaptar el medio al hombre conforme al puesto de trabajo.
 |
| Red de conceptos Jhon Rojas - Carlos Pérez |
Auditoria en sistemas computacionales – Carlos Muñoz Razo
http://prezi.com/nghdfthb-2st/auditoria-ergonomica/
AUDITORÍA A LOS SISTEMAS DE REDES
Es una serie de de mecanismos mediante los cuales se pone a prueba una red informática, para evaluar su desempeño y seguridad, a fin de tener un mejor rendimiento ser mas eficiente y hacer mas segura la información, por medio de metodologías para identificar estructuras físicas y lógicas. La auditoria de redes maneja etapas claves para su desarrollo. Análisis de vulnerabilidad , estrategia de saneamiento , plan de contingencia ante posibles incidentes y un seguimiento continuo del desempeño del sistema. Se utiliza principalmente en auditoria de red lógica y red física.
 |
| Red de conceptos Jhon Rojas - Carlos Pérez |
Auditoria en sistemas computacionales – Carlos Muñoz
Razo
DIFICULTADES DURANTE LA AUDITORÍA DE SISTEMAS
El proceso de auditoría puede conllevar factores que causen dificultades en producir resultados o durante el proceso, algunas de estas son:
- Los reportes del auditor son negativos.
- El auditor es la policía.
- Los requerimientos de control no son realistas.
- El auditor carece de experiencia.
- El auditor es demasiado simplista, todo es fácil para él.
- Cuesta entablar una comunicación adecuada.
- Los controles propuestos son costosos.
- Documentación inadecuada de los sistemas y programas.
- Falta de procedimientos.
- Ausencia de conceptos de seguridad y/o control de información.
- Asignación de recursos y presupuesto restringido.
- Problemas técnicos en el CPD.
- Planificación inadecuada.
- Apoyo poco comprometido de los niveles gerenciales.
- Técnicas y herramientas inadecuadas para efectuar auditoría.
- Problemas internos entre auditoría tradicional y auditoría computacional.
- El nivel técnico del auditor es a veces insuficiente, dada la gran complejidad de los Sistemas.
- Las Check List tienen que ser comprendidas por el auditor al pie de la letra, ya que si son mal redactadas y aplicadas se puede llegar a obtener resultados distintos a los esperados por la empresa auditora.
- El cuestionario debe estar subordinado a la regla , a la norma , al método.
Ing. Teresa Cossio; SISE Peru.
| AUDITORÍA | VENTAJAS | DESVENTAJAS |
| INTERNA | Se realiza dentro de la propia empresa. | Los ejecutores pueden usarla como medio de poder. |
| Es ejecutada por personal interno. | No hay independencia profesional. | |
| Acceso a toda la documentación e información. |
Propenso a medios coercitivos. | |
| Corrección de fallos de forma inmediata. | ||
| EXTERNA | Existe independencia profesional | Contratación por un valor y tiempo. |
| Analizar lo procesos de aplicación de forma general. |
El tiempo actua como presion. | |
| Las sugerencias se encuentran estandari- zadas. |
Restricción a la información. | |
| Estudio de la motivación de los empleados. | Los resultados pueden ser alterados por la empresa. |
