Introducción a ISO 17799

Surgida de la norma británica BS 7799, la norma ISO 17799 ofrece instrucciones y

recomendaciones para la administración de la seguridad.
La norma 17799 también ofrece una estructura para identificar e implementar
soluciones para los siguientes riesgos:
 Política de seguridad: escribir y comunicar la política de seguridad de la compañía
 Organización de seguridad: definir los roles y las responsabilidades. Monitorear a los
socios y a las empresas tercerizadas
 Clasificación y control de activos: llevar un inventario de los bienes de la compañía y
definir cuán críticos son así como sus riesgos asociados
 Seguridad del personal: contratación, capacitación y aumento de concientización
relacionadas a la seguridad
 Seguridad física y del entorno: área de seguridad, inventarios del equipamiento de
seguridad
 Comunicación / Administración de operaciones: procedimientos en caso de
accidente, plan de recuperación, definición de niveles de servicio y tiempo de
recuperación, protección contra programas ilegales, etc.
 Control de acceso: establecimiento de controles de acceso a diferentes niveles
(sistemas, redes, edificios, etc.)
 Desarrollo y mantenimiento del sistema: consideración de la seguridad en sistemas
desde el diseño hasta el mantenimiento
 Plan de continuidad empresarial: definición de necesidades en términos de
disponibilidad, recuperación de tiempo y establecimiento de ejercicios de
emergencia
 Contratación: respeto por la propiedad intelectual, las leyes y las reglamentaciones
de la compañía

3 elementos en la auditoria:

Seguridad: La seguridad informática, también conocida como ciberseguridad o

seguridad de tecnologías de la información, es el área relacionada con la informática y
la telemática que se enfoca en la protección de la infraestructura computacional y todo
lo relacionado con esta y, especialmente, la información contenida en una computadora
o circulante a través de las redes de computadoras
Auditoria: La auditoría es un Conjunto de procedimientos y técnicas para
evaluar y controlar total o parcialmente un sistema informático con el fin de
proteger sus activos y recursos, verificar si sus actividades se desarrollan
eficientemente de acuerdo con las normas informáticas y generales existentes
en cada empresa y para conseguir la eficacia exigida en el marco de la
organización correspondiente.
Forense: El cómputo forense, también llamado informática forense, computación
forense, análisis forense digital o examinación forense digital es la aplicación de
técnicas científicas y analíticas especializadas a infraestructura tecnológica que
permiten identificar, preservar, analizar y presentar datos que sean válidos dentro de un
proceso legal.

Dichas técnicas incluyen reconstruir el bien informático, examinar datos residuales,

autenticar datos y explicar las características técnicas del uso aplicado a los datos y
bienes informáticos.

Como la definición anterior lo indica, esta disciplina hace uso no solo de tecnologías de
punta para poder mantener la integridad de los datos y del procesamiento de los
mismos; sino que también requiere de una especialización y conocimientos avanzados
en materia de informática y sistemas para poder detectar dentro de cualquier dispositivo
electrónico lo que ha sucedido. El conocimiento del informático forense abarca el
conocimiento no solamente del software si no también de hardware, redes, seguridad,
hacking, cracking y recuperación de información.

Plan de auditoría
Definición: Plan de Auditoría Actividades de Auditoría que a lo largo del
Año serán desarrolladas por las diferentes Unidades o Comités de Auditoría, en
coordinación con la Oficina de Gestión de la Calidad del establecimiento o sus
equivalentes.

Preparación del plan de auditoría

El plan de auditoría debería incluir lo siguiente:
A. los objetivos de la auditoría;
B. los criterios de auditoría y los documentos de referencia;
C. el alcance de la auditoría, incluyendo la identificación de
D. las unidades de la organización y unidades funcionales y los
E. procesos que van a auditarse.
F. las fechas y lugares donde se van a realizar las
G. actividades de la auditoría in situ;
H. la hora y la duración estimadas de las actividades de la
I. auditoría in situ, incluyendo las reuniones con la dirección del
J. auditado y las reuniones del equipo auditor;
K. las funciones y responsabilidades de los miembros del
L. equipo auditor y de los acompañantes;
M. la asignación de los recursos necesarios a las áreas
N. críticas de la auditoría

O. Además, el plan de auditoría debería incluir lo siguiente,

cuando sea apropiado:
P. la identificación del representante del auditado en la
Q. auditoría;
R. el idioma de trabajo y del informe de la auditoría, cuando
S. sea diferente del idioma del auditor y/o del auditado;
T. los temas del informe de la auditoría;
U. preparativos logísticos (viajes, recursos disponibles in
V. situ, etc.); l) asuntos relacionados con la confidencialidad;
W. cualquier acción de seguimiento de la auditoría.

Preparación del plan de auditoría

El plan debería ser revisado y aceptado por el cliente de la

Auditoría y presentado al auditado antes de que comiencen las actividades de la
auditoría in situ. Cualquier objeción del auditado debería ser resuelta entre el líder del
equipo auditor, el auditado y el cliente de la auditoría. Cualquier revisión al plan de
auditoría debería será cordada entre las partes interesadas antes de continuar la
Auditoría.

Plan de Auditoría de la Calidad de Atención

 Incluir los servicios de mayor riesgo

 Seleccionar total o muestra
 Modelo establecido por Comité Auditor
 Acorde a la complejidad del EESS
 Modelos detallados según el área
 Reporte de Auditoría

Elementos De Una Auditoria:

Los elementos que deben constituir una auditoría de información son:

Identificación de los recursos y los flujos de información.

Valoración del uso efectivo que se hace de las tecnologías de la
información disponibles.
Control y racionalización de costes.
Marketing de la unidad y de sus productos informativos.
Diseño de las tareas de las personas que trabajan con información
dentro de la unidad
¿Para qué sirve un DNS?

Su sitio web se encuentra en un servidor identificado por una dirección IP. Para obtener
los datos de su sitio, los visitantes deben obtener dicha dirección. O bien es el nombre
de dominio que conocen. El objetivo del DNS es traducir este nombre en una dirección
IP: es la resolución de DNS.

Cuando un visitante introduce el nombre de dominio en su navegador, una petición se

envía al servidor DNS, que reenvía la dirección IP del servidor.

El navegador se dirige a continuación directamente al servidor para repartir los datos de

la página.

Cual es la finalidad de un servidor DHCP?

El servidor DHCP asigna la configuracion IP a aquellos equipos que estén configurados para
obtener dicha configuracion automaticamente mediante este tipo de servidor. Esto no afecta
en lo mas minimo en la velocidad de la red o la conexion a internet. El objetivo de este tipo de
servidor es facilitar el uso de una conexion, en pequeñas redes o en aquellas que no requieran
que algun equipo tenga una configuracion especia