Respuesta 1.

Buenas Tardes:

Estimada Profesora y compañeros, esperando que tengan una buena semana, conforme a
las preguntas planteadas en el foro correspondiente a esta semana respecto a la siguiente
pregunta puedo plantear lo siguiente:

1. Una empresa de tecnología necesita mejorar su posición en el mercado, y para ello

establece como objetivo estratégico para este año definir objetivos de control en sus
procesos, de tal forma de mejorar la gestión y el gobierno TI de la empresa.

Usted como auditor informático, ¿qué marco de trabajo o estándar recomendaría

adherir? Justifique su respuesta.

Considerando el planteamiento anterior y lo estudiado en la presente semana, una de las

principales recomendaciones que debe tomar la empresa para mejorar, seria definir las
necesidades de la estructura que deben ser identificadas por medio de la auditoría, como
asimismo las debilidades de la propia empresa.
De igual modo, se debe buscar incorporar un proceso de comunicación interna que
permita informar lo efectuado, lo planeado y las mejoras obtenidas.
Recomendaría incorporar recursos de tecnología informática al proceso de auditorías,
privilegiando la eficacia, eficiencia y simplicidad en los resultados de las revisiones.
Otra recomendación seria mantener relaciones profesionales con otras gerencias de
auditoría, con la finalidad de intercambiar estrategias, criterios y resultados, maximizando
el alcance que podemos tener en las mejoras planteadas.
Ahora, dentro del marco de trabajo, recomendaría suministrar las bases necesarias para
posicionar a la auditoría como un agente de cambio en la organización, implementando su
auto evaluación del control.
Respuesta 2:

Una empresa de telecomunicaciones ofrece a través de su Datacenter los servicios de hosting,

housing, y servidor dedicado virtual. El gerente de la empresa desea hacer una auditoría
informática, pero no tiene claro qué norma de trabajo/estándar debe utilizar.

¿Qué le recomendaría usted, ITIL o 27001?

Fundamente su respuesta considerando una comparación entre las características de cada norma.

Buenas tardes estimada profesora y compañeros,

Continuando con las preguntas planteadas en el foro de la presente semana, respecto a la

pregunta planteada puedo exponer lo siguiente:

En el caso planteado la empresa está buscando mejorar la prestación de sus servicios y prácticas
de gestión.

ISO 27001

Esta norma permite tramitar la seguridad de la información y de ITIL, en un marco público-privado

que se centra en los servicios TI de gestión. Por lo tanto, se explicará mediante una comparación
cuál podría ser la norma útil para la auditoria de dicha empresa.

Norma ISO 27001 Norma ITIL

• Modelo internacional.
• Precisa los requisitos para establecer,
implementar, mantener y mejorar de forma
continua el SGSTI.
• Se consigue aplicar en cualquier tipo de
organización.
• El establecimiento y certificación son
opcionales.
• Marco de mejores prácticas.
• Es un conjunto de mejores prácticas para
gestionar los servicios de TI.
• Ofrece la orientación sobre la presentación
de servicios de calidad de TI y procesos
funciones y otras capacidades especiales.
• Se puede aplicar en casi todos los entornos
TI.
• La implementación no está sujeta a
certificación.

La norma ISO 27001 tiene una aplicación en cuanto a la protección de la información, en tanto que
ITIL es más indirecto. No obstante, a partir la seguridad de la información existe un aspecto crítico
en cuanto a la gestión de servicios y la calidad de estos servicios de TI. Por lo tanto, ITIL cubre la
seguridad de la información como uno de los procesos de apoyo y se integra la seguridad de la
información en la mayoría de procesos.

Finalmente propongo utilizar ambas normas en conjunto, aplicando el método para iniciar la
implantación de la norma ISO 27001, que abarca el trabajo general de la seguridad de la
información, pasando posteriormente a ITIL, que suministra más detalles de implantación.