Vous êtes sur la page 1sur 37

Auditoria Informática

Auditoría
Informática

TAREA # 1 Resumen de CNBS

Docente:
Ing. Juan Carlos Inestroza Lozano

Estudiante:
xxxxxxxx

Campus: CEUTEC Próceres

Fecha: 05 de abril de 2018

Fecha: 27 de abril de 2018


Auditoria Informática

Contenido de Contenido

Introducción........................................................................................................... 3

Objetivos ................................................................................................................ 4

Objetivo General .................................................................................................. 4

Objetivos Específicos .......................................................................................... 4

Marco Teórico ........................................................................................................ 5

Resumen CNBS .................................................................................................. 5

Hacer un Comentario en una Tabla de Cada Artículo ......................................... 7

Analizar la Diferencia Entre ISO 17799 e ISO 27001 ........................................ 24

Analizar la Diferencia Entre COBIT 4.1 y COBIT 5 ............................................ 24

Verificar la Diferencia Entre BS 25999 e ISO 22301 ......................................... 25

Investigación de los Controles de COSO........................................................... 27

Norma ISO 27032 de Ciberseguridad. ............................................................... 28

Partes Interesadas en el Ciberespacio........................................................... 29

Activos en el Ciberespacio ............................................................................. 29

Protección de los activos en el Ciberespacio ................................................. 30

Validar la diferencia entre iso 31000 e ISO 27005 ............................................. 30

Mejores prácticas de gestión de riesgos para ISO 31000 .............................. 31

Mejores prácticas de gestión de riesgos para ISO 27005 .............................. 32

La Importancia Actual de GDPR ........................................................................ 32

Link video en youtube......................................................................................... 34

Conclusiones ....................................................................................................... 35

Recomendaciones............................................................................................... 36

Bibliografía........................................................................................................... 37
Auditoria Informática

Introducción
El objetivo perseguido por las normas ISO es asegurar que los productos y/o
servicios alcancen la calidad deseada. Para las organizaciones son instrumentos
que permiten minimizar los costos, ya que hacen posible la reducción de errores y
sobre todo favorecen el incremento de la productividad. Los estándares
internacionales ISO son clave para acceder a mercados nacionales e
internacionales y de este modo, estandarizar el comercio en todos los países
favoreciendo a los propios organismos públicos.

En el presente documento se analizan una variedad de normas ISO, además se


conoció sobre las normativas CNBS las cuales tienen como propósitos brindar
normas para regular la administración de las tecnologías de información y
comunicaciones en las instituciones del sistema financiero que se deberán cumplir
las mismas, basándose en la legislación vigente y en los acuerdos y prácticas
internacionales, refiriéndonos a aquellas conductas que tienen como instrumento o
fin computadoras u otros bienes informáticos, lesionan o dañan bienes, intereses o
derechos de personas físicas o morales.
Auditoria Informática

Objetivos

Objetivo General
Conocer y analizar las Normativas Nacionales e internacionales, y destacando su
trascendencia para asegurar que los productos y/o servicios alcancen la calidad
deseada.

Objetivos Específicos
 Comprender y hacer un análisis de las Normativas de Banca y Seguros de
Honduras.
 Conocer y hacer un análisis comparativo de las normativas ISO 17799 e
ISO 27001, COBIT 4.1 y COBIT 5, BS 25999 e ISO 22301, 31000 e ISO
27005.
 Investigar y profundizar sobre Controles COSO, ISO 27032 de
Ciberseguridad. GDPR.
Auditoria Informática

Marco Teórico

Resumen CNBS
Normas para Regular la Administración de las Tecnologías de Información y
Comunicaciones en las Instituciones del Sistema Financiero

En el Capítulo I, sobre Disposiciones Generales, se detallan los Artículos del 1 al


3, que tratan sobre el Objeto de la Normativa, su Alcance y las Definiciones que se
deben considerar.

Para el Capítulo II, de Supervisión y Administración Sección I de la Administración,


conteniendo los artículos del 4 al 19, se puntualiza en su Sección I sobre; las
Políticas de Administración, Políticas de las Tecnologías de Información y
Comunicaciones, Nombramiento de Ejecutivo Especializado, Unidad Responsable,
Establecimiento de Políticas y Estrategias. En la Sección II; Procedimientos
Formales. En la Sección III de Historial y Monitoreo; Mantenimiento de Registros,
Período de Resguardo, Mantenimiento de Bitácoras. En la Sección IV de Auditoría
Interna; Auditoría de Sistemas, Responsabilidad del Auditor Interno. En la Sección
V de Administración de Riesgos; Factores de Riesgo, Proceso de Auditoría
Basada en Riesgos. Sección VI de Seguridad de la Información; Administrador de
Seguridad Informática, Perfil de Responsabilidades, Separación de Ambientes.

El Capítulo III, en sus artículos del 20 al 23, trata sobre la Investigación de


Seguridad; Evaluaciones de Seguridad, Informe de Seguridad, Otras Pruebas de
Seguridad, Implementación de Cambios.

El Capítulo IV, en sus artículos del 24 al 35, detalla el tema de Control de Acceso,
Encriptación y Seguridad en la Red; Encriptación de Información, Certificación de
la Identidad del Sitio de Internet, Conexión de Internet, Operaciones Autorizadas,
Requisitos de Conexión de Internet, Resguardo de la Conexión de Internet,
Contraseñas de Acceso.
Auditoria Informática

En el Capítulo V, Plan de Continuidad del Negocio, en sus artículos del 36 al 37;


Plan de Contingencias, Principios de Respaldo y Recuperación.

Capítulo VI, en sus artículos 38 y 39 específica sobre el tema de La Tercerización;


Tercerización, Contrato Escrito de Tercerización.

En su Capítulo VII; Servicios Financieros por Medios Electrónicos, contemplan los


artículos 40 al 67; en su Sección I, Servicios y Operaciones de Banca Electrónica;
Servicios y Operaciones de Banca Electrónica, Niveles de Servicios. Sección II,
Contratación para Proveer los Servicios de Banca Electrónica; Contrato de
Prestación de Servicios. Sección III, Revelación de Información; Revelación de
Información. Sección IV, Medios de Identificación y Autorización; Medios de
Identificación, Definición del Perfil de Usuario de Banca Electrónica. Sección V,
Administración de las Contraseñas; Asignación de Contraseña de Acceso,
Cambios de Contraseñas, Cancelación de Contraseñas de Acceso. Sección VI,
Medidas de Control; Aplicación de Medidas de Control de Banca Electrónica,
Validaciones, Proceso de Encriptación, Implementación de Controles, Separación
de Servidores, Proceso de Autenticación de Usuario, Medidas de Resguardo para
Información Útil, Acceso Restringido, Acceso al Sistema de Banca Electrónica,
Impresión y/o Resguardo de Instrucciones, Medidas para Evitar Accesos no
Autorizados. Sección VII, Operaciones de Banca Electrónica a Favor de Terceros,
por Medio de una Lista de Beneficiarios; Transacciones de Banca Electrónica a
Favor de Terceros, Transmisión de Datos, Establecimiento de Techos para las
Operaciones Autorizadas, Lista de Beneficiarios, Actualización de Lista de
Beneficiarios. Sección VIII, Correo Electrónico; Correo Electrónico, Procedimiento
Formalizado, Envío de Normas de Revelación de Información.

El Capítulo VIII, Operaciones Especiales, en sus capítulos del 68 y 69, detalla la


Remisión de Información y el Programa de Reporte de Eventos.

En el Capítulo IX, Banca del Exterior y Medidas de Seguridad, en los artículos 70


al 72, en su Sección I, Banca del Exterior; Aplicación Especial, Banca del Exterior.
Sección II, Medidas de Seguridad; Controles de Seguridad.
Auditoria Informática

En su último Capítulo; Capítulo X, sobre Disposiciones Finales y Transitorias,


artículos 73 al 75 detallan; Plazo de Adecuación, Continuidad de Contratos,
Vigencia.

Hacer un Comentario en una Tabla de Cada Artículo

Articulo Comentario
ARTÍCULO 1.- Objeto
Las presentes normas, tienen por objeto
El objetivo de las normas son las
regular la administración de las tecnologías
regulaciones de las tecnologías de
de información y comunicaciones utilizadas
la información y los servicios
por las instituciones del sistema financiero;
utilizadas por las instituciones
asimismo, regular los servicios financieros
financieras del país.
y operaciones realizadas por medio de
redes electrónicas de uso externo e interno.
ARTÍCULO 2.- Alcance
Las presentes normas están en
concordancia con los principios del Comité
de Basilea y el estándar internacional Estas normas son de obligatorio
ISO/IEC 17799:2000, emitidos en materia de cumplimiento para todas
banca electrónica y administración de la instituciones supervisadas por la
Seguridad Informática y constituyen una Comisión. Y son normativas
guía general para la documentación formal establecidas en ISO/IEC
e implementación de la seguridad en las 17799:2000
tecnologías de información y
comunicaciones de las instituciones del
sistema financiero.
ARTÍCULO 3.- Definiciones En este artículo de definen toda la
Para los efectos de aplicación de la nomenclatura utilizada en las
presente normativa y bajo la perspectiva de tecnologías de la información. De
la tecnología de información, deberán manera que las instituciones
Auditoria Informática

considerarse las siguientes definiciones: tengan un conocimiento exacto de


1) Ataques de Denegación de Servicio: cada una de sus definiciones.
Envío de solicitudes a servidores o equipos
de comunicación que provoquen
saturación en …
ARTÍCULO 4.- Políticas de Administración
La Junta o Consejo deberá tener como
mínimo una reunión anual para establecer o
revisar las políticas y procedimientos sobre Se establecen reuniones
la administración tecnológica y seguridad periódicas para establecer o
de la información, que conlleven a la revisar las políticas y
correcta toma de decisiones. Asimismo, procedimientos y deberán quedar
deberá conocer y discutir, por lo menos registradas en un libro de actas.
cuatro (4) veces al año, los informes que
sobre este particular le presente la
Gerencia General.
ARTÍCULO 5.- Políticas de las Tecnologías
de Información y Comunicaciones

Las políticas mencionadas en el


Artículo anterior deberán incluir al
menos temas como:
En este artículo se definen los
a) Seguridad de la información
incluyendo: temas que se deben incluir en el
Artículo 4.
· Uso de Internet;

· Uso del Correo Electrónico;

ARTÍCULO 6.- Nombramiento de Ejecutivo Este Articulo especifica el perfil


Especializado profesional y conocimientos que
La Gerencia General deberá nombrar un debe de tener el Ejecutivo
Auditoria Informática

ejecutivo especializado, responsable de Especializado para su


todos los asuntos relacionados con las nombramiento.
tecnologías de la información. Este
ejecutivo deberá tener al menos formación
profesional sobre la administración de las
tecnologías de información en materia de
comunicaciones, sistemas operativos,
desarrollo de software
ARTÍCULO 7.- Unidad Responsable
Los responsables de los aspectos
Dentro de la estructura organizacional, la
tecnológicos y de seguridad de la
unidad responsable de administrar los
información deben de especificar
aspectos tecnológicos y de seguridad de la
los perfiles de puestos y la
información deberá contar con el manual
segregación de funciones y de
de puestos para el personal de TIC, que
autoridad para los puestos del
deberá incluir los perfiles de puestos y la
personal de TIC.
segregación de funciones y de autoridad.
ARTÍCULO 8.- Establecimiento de Políticas
y Estrategias
Se establece definir y proponer
La Gerencia General deberá definir y
políticas y mecanismos de difusión
proponer a la Junta o Consejo, los
a la unta o consejo. En el caso que
procesos críticos para los cuales es
se cometiera una falta se
necesario establecer las políticas y
comunicara a la Gerencia General
estrategias de tal forma que se asegure la
para su respectivo análisis y tomar
integridad y continuidad de las
las medidas correctivas
operaciones. Asimismo, las medidas y
necesarias.
mecanismos para la difusión óptima de
dichas políticas.
ARTÍCULO 9.- Procedimientos Formales La institución estará obligada a
La institución deberá desarrollar, implementar, actualizar y
implementar, actualizar y documentar documentar procedimientos
procedimientos formales en relación a la formales y deberá ser pronta en su
Auditoria Informática

planeación, organización, adquisición, ejecución y divulgación.


implementación, entrega de servicios por
medios tecnológicos, soporte y monitoreo;
y deberá ser diligente en su ejecución y
divulgación…
ARTÍCULO 10.- Mantenimiento de Registros
La institución deberá mantener registros de
las auditorías a los sistemas La Instituciones deberán mantener
automatizados, basados en un análisis de un registro completo y detallado de
riesgos, en bitácoras automatizadas las transacciones e información
registrando los accesos, transacciones y general de los sistemas.
consultas realizadas tanto a los sistemas
de información como a los dispositivos
ARTÍCULO 11.- Período de Resguardo
La institución deberá resguardar los Se establece un periodo donde las
registros previstos en el Artículo anterior. institución deberá tener
El periodo de resguardo será de 5 años resguardados los registros de las
para las transacciones y 6 meses para la transacciones y de las consultas.
consulta.
ARTÍCULO 12.- Mantenimiento de Bitácoras
La institución se reserva el
La institución, si así lo determina, podrá
derecho de informar a sus clientes
mantener informados a sus clientes y
y empleados sobre las bitácoras
empleados de la existencia del
que registrarán todas las
mantenimiento de bitácoras que registrarán
actividades con los sistemas de
todas las actividades con los sistemas de
información de la institución.
información de la institución.
ARTÍCULO 13.- Auditoría de Sistemas La institución deberá proveerle a la
La Auditoría Interna de la institución deberá Auditoría Interna las herramientas
auditar la Tecnología de Información y para la realización de la auditoria
Comunicación (TIC) a fin de verificar la interna. Además, la persona
Auditoria Informática

integridad, disponibilidad y encargada de auditar las TIC


confidencialidad de la información. La deberá contar con experiencia y
persona(s) encargada(s) de auditar las TIC entrenamiento calificado basadas
en las mejores prácticas como
COBIT e ISO-17799.
ARTÍCULO 14.- Responsabilidad del
Auditor Interno
El Auditor Interno será responsable de que,
Se debe de conocer y cumplir con
aun en el caso de que la Auditoría de
las normativas del CNBS en caso
Sistemas sea llevada a cabo por medio de
de tercerización de la Auditoria.
la Tercerización (outsourcing) se cumplan
las disposiciones contenidas en las
Normas Mínimas para el Funcionamiento de
ARTÍCULO 15.- Factores de Riesgo
La institución deberá realizar sus auditorías
de sistemas basadas en un análisis de
riesgos y cumpliendo las normativas Se detallan los factores que se
existentes. Esta auditoría deberá incluir deben incluir para las auditorias de
todos los riesgos potenciales en la sistemas respecto a riesgos
administración de las Tecnologías de potenciales en la administración de
Información y Comunicaciones, incluyendo las Tecnologías de Información.
al menos los factores siguientes:
Los usuarios externos e internos del
sistema
ARTÍCULO 16.- Proceso de Auditoría Las auditorias basadas en riesgos
Basada en Riesgos serán permanentes y la institución
El proceso de auditoría basada en riesgos deberá tomar las medidas
deberá ser permanente y se revisará de necesarias para minimizar los
acuerdo a los cambios en los factores de impactos negativos en toda su
riesgos… infraestructura de Tecnologías de
Información.
Auditoria Informática

ARTÍCULO 17.- Administrador de Seguridad


Se nombrará Administrador de
Informática
Seguridad Informática con
La Junta o Consejo deberá nombrar a un
funciones definidas e
Administrador de Seguridad Informática, el
independientes del ejecutivo
cual deberá estar subordinado a la
especializado.
Gerencia General de la institución…
ARTÍCULO 18.- Perfil de Responsabilidades
La Gerencia General de la institución
Se definen las funciones y las
deberá definir las funciones y las
responsabilidades del
responsabilidades del Administrador de
Administrador de Seguridad
Seguridad Informática. Dichas funciones y
Informática.
responsabilidades comprenderán como
mínimo las siguientes:
ARTÍCULO 19.- Separación de Ambientes
La institución deberá procurar separar Se obliga la separación de
físicamente y lógicamente los ambientes de ambientes a las instituciones..
producción, desarrollo y pruebas.
ARTÍCULO 20.- Evaluaciones de Seguridad
Las evaluaciones de seguridad deberán
medir la eficiencia de los medios de Se presentaran a la Gerencia
protección e incluir propuestas para General un reporte con
corregir las vulnerabilidades. Sus recomendaciones, con los
resultados deberán presentarse a la principales hallazgos. E incluirá
Gerencia General en un reporte detallado propuestas para corregir las
con recomendaciones, que incluya un vulnerabilidades.
sumario ejecutivo con los principales
hallazgos.
ARTÍCULO 21.- Implementación de Se deberá realizarse una
Cambios evaluación de seguridad cuando
Previo a la implantación de cambios en: el ocurran cambios en el ambiente
ambiente de producción; los sistemas de tecnológico o se implementen
Auditoria Informática

alto riesgo definidos por la administración; nuevos sistemas.


y los servicios financieros por medios
electrónicos, deberá realizarse una
evaluación de seguridad. Asimismo,
cuando ocurran cambios…
ARTÍCULO 22.- Otras Pruebas de Seguridad
Para evitar conflictos de interés y poder
La institución tiene el derecho de
tomar las medidas cautelares
realizar sus propias pruebas por
correspondientes, las instituciones podrán
entes externos.
realizar otras pruebas por entes o
profesionales externos.
ARTÍCULO 23.- Informe de Seguridad
La Gerencia General, para minimizar los La institución implementará las
riesgos, deberá implementar las recomendaciones contenidas en el
recomendaciones contenidas en el informe informe de seguridad conforme a
de seguridad, y establecer un cronograma un cronograma de actividades.
de actividades a realizar.
ARTÍCULO 24.- Identificación de Acceso
La institución deberá asignar una
La Institución deberá asignar una
identificación única y personal de cualquier
Identificación única para el acceso
usuario con acceso al sistema de
de los empleados a los sistemas.
información, como una condición previa a
la autorización de acceso.
ARTÍCULO 25.- Reglas y Procedimientos
para Acceso
La institución deberá determinar las reglas La institución deberá implementar
y el procedimiento para dicha reglas, mecanismos y
identificación, así como para el procedimientos para el acceso de
otorgamiento de autorizaciones a terceros los sistemas de información.
que accedan a los componentes de la
tecnología de información. Estas reglas
Auditoria Informática

deberán tomar en cuenta…


ARTÍCULO 26.- Clasificación de Grupos y
Asignación de Perfiles de Usuarios
Se debe generar un forma de
Las instituciones deberán adoptar una
clasificar a los usuarios que tengan
clasificación de grupos y asignación de
acceso a los componentes de la
perfiles de usuarios internos y externos
tecnología de información.
atendiendo su relación con las unidades
internas, procesos y servicios…
ARTÍCULO 27.- Control de Acceso Las instituciones deberán utilizar
Las políticas de control de acceso a los tecnologías para la identificación y
sistemas de información deberán la autenticación del usuario de
establecerse cumpliendo con las acuerdo con las disposiciones
disposiciones vigentes y las mejores vigentes y las mejores prácticas
prácticas internacionales… internacionales.
ARTÍCULO 28.- Tiempo de Expiración
La institución deberá fijar el tiempo de
expiración de una sesión, cuando iniciada Se deberá establecer un tiempo de
la misma no se hayan ejecutado expiración para cada sesión.
actividades después de cierto período de
tiempo, determinado…

ARTÍCULO 29.- Encriptación de Información Las instituciones pueden optar por


La institución deberá determinar, de utilizar procedimientos para que
acuerdo a un análisis de riesgos, la los datos transmitidos y
necesidad de encriptar la información a ser almacenados sean solo legibles
transmitida y almacenada. por la misma institución.
ARTÍCULO 30.- Certificación de la Identidad
Destaca la obligación de la
del Sitio de Internet
institución para certificar la
La institución deberá tomar las medidas
identidad de su página web y no
necesarias para certificar la identidad del
ser víctima de suplantación.
sitio de Internet y evitar posibles
Auditoria Informática

imitaciones. Asimismo, deberá proveer y


capacitar a sus clientes…
ARTÍCULO 31.- Conexión de Internet
La conexión de Internet de la institución se
realizará en los siguientes casos: Se establecen los casos en que se
1) Conexión al Internet por parte de realizaran las conexiones a
empleados, con sujeción a lo internet.
establecido en los artículos 32 y 33
de estas normas;…
ARTÍCULO 32.- Operaciones Autorizadas
La Gerencia General de la institución
deberá determinar las operaciones que sus Determina las operaciones que
empleados podrán realizar para la sus empleados podrán realizar
utilización del Internet, así como cumplir para la utilización del Internet.
con los requerimientos del siguiente
Artículo
ARTÍCULO 33.- Requisitos de Conexión de
Internet
Para que las estaciones de trabajo de los
La conexión a Internet deberá
empleados tengan acceso al Internet
estar controlada.
deberán estar conectadas únicamente al
Internet, o a una red que esté conectada
exclusivamente…
ARTÍCULO 34.- Resguardo de la Conexión
de Internet
La conexión de la red de la institución hacia Se establecen recomendaciones
Internet deberá encontrarse asegurada por para salvaguardar la red interna de
lo menos con: un antivirus, un filtro de la institución.
contenido, un Sistema de Detección de
Intrusos (IDS) a nivel de red y un firewall.
ARTÍCULO 35.- Contraseñas de Acceso Las instituciones están obligadas a
Auditoria Informática

Las instituciones del sistema financiero otorgar a los auditores de sistemas


deberán otorgar a los auditores de de la Comisión contraseñas que
sistemas de esta Comisión, contraseñas de no deberán tener fecha de
acceso irrestricto a todas las caducidad.
aplicaciones…
ARTÍCULO 36.- Plan de Contingencias Las instituciones deberán contar
La institución deberá mantener un plan de con un plan de contingencias en
contingencias detallado para recuperar y caso de casos de mal
operar su tecnología de información en los funcionamiento y desastres.
casos de mal funcionamiento y desastres. Debiendo tener los equipos de
Dicho plan deberá … respaldos de información en un
lugar distante y distinto en donde
se generó.
ARTÍCULO 37.- Principios de Respaldo y
Se deberán realizar reuniones
Recuperación
periódicas para definir planes de
La administración de la institución deberá
contingencia y situaciones de mal
reunirse anualmente para discutir los
funcionamiento y respaldo de los
principios de respaldo y recuperación, así
equipos informáticos.
como tomar decisiones y documentar
ARTÍCULO 38.- Tercerización Para las actividades de la
La institución podrá contratar con una administración, procesamiento y
entidad externa, la realización de las resguardo de las operaciones de
siguientes actividades: la administración, información la institución podrá
procesamiento y resguardo de las tercerizar debiendo informar
operaciones anteriormente a la Comisión.
ARTÍCULO 39.- Contrato Escrito de
En este artículo se establece los
Tercerización
temas que contendrá el contrato
La Tercerización deberá realizarse por
para la tercerización. Destacando
medio de un contrato escrito.
las responsabilidades y
Con respecto a la Tercerización
obligaciones.
Significativa, el contrato deberá
Auditoria Informática

ARTÍCULO 40.- Servicios y Operaciones de


Banca Electrónica
Los servicios y operaciones de banca Las instituciones deberán permitir
electrónica, permitirán a los clientes a los clientes obtener información
obtener información de sus cuentas, de sus cuentas y transacciones.
realizar operaciones o dar instrucciones
para realizar transacciones
ARTÍCULO 41.- Niveles de Servicios
En este artículo se establecen los
Los servicios de banca electrónica se
tipos de servicios que las
categorizarán en distintos niveles, e
instituciones deben de incluir en
incluirán los servicios de los niveles que
los servicios de banca electrónica.
les preceden.
ARTÍCULO 42.- Contrato de Prestación de
Servicios La institución deberá ofrecer
El contrato de servicios de banca servicios de banca electrónica a
electrónica, deberá ser firmado por el sus clientes por medio de un
cliente permitiéndole seleccionar el nivel contrato y especificando el nivel de
de servicio que requiera. La institución le servicio.
otorgará
ARTÍCULO 43.- Revelación de Información Detalla el contenido del contrato
El contrato de servicio deberá contener las que firma el cliente, destacando
condiciones, responsabilidades, las condiciones,
excepciones y riesgos de la utilización de responsabilidades, excepciones y
los servicios que la institución provee a riesgos de la utilización de los
través de su banca electrónica… servicios que la institución provee
a través de su banca electrónica.
ARTÍCULO 44.- Medios de Identificación
La institución deberá contar con
En cumplimiento a las disposiciones
mecanismos de identificación de
establecidas en el Artículo 24, la institución
acceso para la Red de Cajeros
deberá determinar los medios de
Automáticos (ATMs)
identificación para cada cliente que tenga
Auditoria Informática

autorización…
ARTÍCULO 45.- Definición del Perfil de
Usuario de Banca Electrónica
Los permisos y accesos del
El perfil del usuario de banca electrónica
usuario se definirán conforme
deberá definirse con los permisos y
establecido en el contrato.
accesos conforme lo establecido en el
contrato de servicios…
ARTÍCULO 46.- Asignación de Contraseña
de Acceso La institución otorgará la
La contraseña inicial se le otorgará al contraseña inicial de acceso al
cliente en forma personal y ésta será cliente en forma personal.
confidencial para terceros….
ARTÍCULO 47.- Cambios de Contraseñas
La institución deberá realizar los cambios
Describe los casos en las que la
de las contraseñas de los usuarios en los
institución deberá realizar cambios
casos siguientes:
de las contraseñas
(1) Inmediatamente después de la primera
conexión. El programa deberá
ARTÍCULO 48.- Cancelación de
Contraseñas de Acceso
Describe los casos en las que la
La institución deberá cancelar las
institución deberá realizar cancelar
contraseñas de sus usuarios cuando
las contraseñas y durante que
ocurra alguno de los siguientes casos:
periodo de tiempo.
(1) Si pasa un período de tiempo, el cual
no debe ser supe…
ARTÍCULO 49.- Aplicación de Medidas de
Control de Banca Electrónica La institución debe de aplicar de
Las disposiciones de esta sección aplican medidas de control cuando el
al software de banca electrónica software de banca electrónica sea
desarrollado por terceros (outsourcing) o desarrollado por terceros.
internamente por la institución.
Auditoria Informática

.- Proceso de Encriptación
El proceso de encriptación de las
contraseñas debe realizarse a través de Se deberán utilizar algoritmos de
algoritmos de encriptación mundialmente encriptación para las contraseñas.
aceptados y que no se hayan descifrado;
también debe incluir un Valor SALT…
ARTÍCULO 52.- Implementación de
Controles La aplicación debe de ejercer
La aplicación debe implantar controles que control de las sesiones y eliminar
minimicen el riesgo que la sesión de un las sesiones inactivas después de
usuario pueda ser obtenida o interceptada determinado período de tiempo.
por un tercero para obtener acceso…
ARTÍCULO 53.- Separación de Servidores La base de datos de la institución
La base de datos de la institución debe debe estar en un servidor
estar en un servidor separado del servidor separado del servidor de Internet o
de Internet o servidor de aplicaciones. servidor de aplicaciones.
ARTÍCULO 54.- Proceso de Autenticación
de Usuario
Para el acceso de los usuarios se
Para autenticar a un usuario la aplicación
deberá solicitar un nombre de
deberá en la medida de lo posible solicitar
usuario y una contraseña.
además del usuario y la contraseña, un
campo de control con letras y números
ARTÍCULO 55.- Medidas de Resguardo para Las aplicaciones deben asegurar
Información Útil que ningún parámetro con
Las aplicaciones deben asegurar que información útil para un posible
ningún parámetro con información útil para atacante viaje a través del
un posible atacante viaje … navegador del cliente.
ARTÍCULO 56.- Acceso Restringido El acceso contendrá un
La aplicación debe asegurar que los mecanismo para otorgar permisos
usuarios de la misma tengan acceso a funciones y recursos
solamente a las funciones, recursos y autorizados.
Auditoria Informática

datos que están específicamente…


ARTÍCULO 57.- Acceso al Sistema de Banca
Electrónica En cada acceso al sistema de
En cada acceso al sistema de banca banca electrónica, el cliente podrá
electrónica, la pantalla deberá mostrar al ver información referente a la
cliente, detalles del tiempo de su última sesión y sus datos de usuario.
conexión y la dirección…
ARTÍCULO 58.- Impresión y/o Resguardo de
En este artículo de talla que el
Instrucciones
usuario podrá, guardar y/o imprimir
El usuario podrá, hasta donde sea posible,
en tiempo real, todos los por
guardar y/o imprimir en tiempo real, todos
menores de la instrucción que fue
los por menores de la instrucción que fue
dada.
dada.
ARTÍCULO 59.- Medidas para Evitar
Accesos no Autorizados La institución deberá tomar las
La institución deberá tomar las medidas medidas para evitar el acceso no
que estén dentro de su control para evitar autorizado, protegerá la exposición
el acceso no autorizado. También deberá de información del cliente.
proteger la exposición…
ARTÍCULO 60.- Transacciones de Banca
Electrónica a Favor de Terceros
La institución define un máximo o
Las transacciones a favor de terceros, que
límite para las transacciones a
realice un cliente por medios electrónicos
favor de terceros.
deberán sujetarse a techos o topes que
deberán ser definidos en la
ARTÍCULO 61.- Transmisión de Datos La institución deberá solicitar al
Cuando el cliente imparta una instrucción cliente que especifique las
para efectuar un pago a un tercero a través particularidades del beneficiario y
del servicio de banca electrónica, la la naturaleza y frecuencia de pago
institución deberá requerirle que al efectuar pagos a terceros.
ARTÍCULO 62.- Establecimiento de Techos Los montos máximos de las
Auditoria Informática

para las Operaciones Autorizadas transacciones para acreditar a


Los montos máximos de las transacciones otras cuentas, serán
para acreditar a otras cuentas… determinados para cada cliente
por la institución, y deberán ser
respetados tanto por el cliente
como por la institución.
ARTÍCULO 63.- Lista de Beneficiarios La institución deberá mantener
La institución deberá mantener almacenada almacenada una lista de
en medios electrónicos, una lista de beneficiarios por cada cliente que
beneficiarios por cada cliente que use el use el servicio de banca
servicio de banca electrónica, la cual electrónica.
ARTÍCULO 64.- Actualización de Lista de El cliente deberá mantener
Beneficiarios actualizada su lista de
El cliente deberá mantener actualizada su beneficiarios y todas sus
lista de beneficiarios y todas sus particularidades, incluyendo los
particularidades, incluyendo … techos o topes de los pagos a
favor de cada beneficiario.
ARTÍCULO 65.- Correo Electrónico
La institución deberá tomar en cuenta el La institución determinará las
grado de necesidad de inequívoca operaciones que sus clientes
identificación de un cliente enviando correo podrán realizar por medio de
electrónico, de autenticación y de correo electrónico.
aseguramiento de los …
ARTÍCULO 66.- Procedimiento Formalizado
La institución deberá contar con un Se establece la forma en que la
procedimiento formalizado para mantener institución mantendrá
comunicaciones electrónicas con los comunicación con cada cliente.
clientes….
ARTÍCULO 67.- Envío de Normas de La institución podrá hacer uso del
Revelación de Información correo electrónico para las
La institución podrá hacer llegar a sus notificaciones de sus políticas o
Auditoria Informática

clientes, por medio de correo electrónico o normas de revelación de


por su sitio de Internet… información, así como cualquier
otra información relacionada a las
obligaciones de confidencialidad.
ARTÍCULO 68.- Remisión de Información
La institución deberá llevar un
La institución deberá llevar registros,
registro de cada intento de ataque
estadísticas y a la vez comunicar a la
y penetración. Así como de la
Comisión, los siguientes temas y
suspensión de algún servicio.
eventos:…
ARTÍCULO 69.- Programa de Reporte de Los reportes deberán ser
Eventos registrados por medio de un
Los reportes señalados en los numerales 1) programa a disposición de las
y 2) del Artículo anterior, deberán ser instituciones por la CNBS y
registrados utilizando el Programa de deberán ser enviados con 70 días
Reporte de Eventos que está a… de anticipación.
ARTÍCULO 70.- Aplicación Especial
Para instituciones extranjeras,
La aplicación de las presentes normas a las
podrán adaptarse a sus
instituciones subsidiarias de instituciones
necesidades particulares previa
extranjeras o miembros de Grupos
comunicación a la Comisión.
Financieros extranjeros…
ARTÍCULO 71.- Banca del Exterior
En este artículo se trata sobre
Cuando las presentes normas se apliquen a
modificaciones al texto de algunos
las instituciones subsidiarias de
artículos contenidos en la
instituciones extranjeras o miembros de
normativa.
Grupos Financieros extranjeros
ARTÍCULO 72.- Controles de Seguridad Se define la utilización de
Para proteger sus sistemas las controles de seguridad para la
instituciones deberán incorporar como detección de software malicioso y
mínimo en todas sus redes los controles de la actualización de los sistemas
Seguridad operativos y otros programas.
ARTÍCULO 73.- Plazo de Adecuación Las instituciones tendrán un año a
Auditoria Informática

Las instituciones del sistema financiero partir de la vigencia de la


tendrán un plazo de un (1) año, contado a normativa para cumplir con cada
partir de la entrada en… uno de los artículos antes
expuestos.
ARTÍCULO 74.- Continuidad de Contratos Las instituciones están obligadas a
Las instituciones del sistema financiero continuar con las términos
deberán darle continuidad hasta su pactados actividades contratadas
vencimiento de conformidad con los antes de la entrada en vigencia de
términos pactados las presentes normas.
ARTÍCULO 75.- Vigencia
La vigencia de la normativa se
Las presentes normas entrarán en vigencia
hará a partir de su publicación en
a partir de la fecha de su publicación en el
el Diario La Gaceta.
diario oficial “La Gaceta”.
Auditoria Informática

Analizar la Diferencia Entre ISO 17799 e ISO 27001


En general, la ISO 27001 es la especificación del sistema de gestión de la
seguridad de la información (SGSI). Esta norma será certificable bajo los
esquemas nacionales de cada país. Y la ISO 27002, actualmente la ISO 17799,
que describe el Código de buenas prácticas para la gestión de la seguridad de la
información.

La ISO 27002 es una guía para, en distintos ámbitos, conocer qué se puede hacer
para mejorar la seguridad de la información. Expone, en distintos campos, una
serie de apartados a tratar en relación a la seguridad. Los objetivos de seguridad a
perseguir, una serie de consideraciones o controles a tener en cuenta para cada
objetivo y un conjunto de sugerencias para cada uno de esos controles. Por su
parte, la ISO 27001 habla de los controles de forma residual. El núcleo de la
norma anterior queda reducido a un listado de objetivos de control y controles
incluidos en un anexo. Porque lo que importa en esta norma es la gestión de la
seguridad, en forma de SISTEMA DE GESTIÓN. Lo importante en la ISO 27001
es que los riesgos se analicen y se gestionen, que la seguridad se planifique, se
implemente y, sobre todo, se revise, se corrija y mejore.

Analizar la Diferencia Entre COBIT 4.1 y COBIT 5


COBIT 4.1 Usa un modelo de madurez para la mejora de procesos, evaluar la
madurez de un proceso, definir nivel objetivo de madurez e identificar las
deficiencias. Estos modelos se utilizan para evaluar la madurez actual o en el
estado en que se encuentran los procesos relacionados con las TI de una
empresa, para definir un estado de madurez demandado, y para determinar la
brecha entre ellos y la forma de optimizar el proceso para alcanzar el nivel de
madurez deseado.

COBIT 5 incluye un modelo de capacidad de procesos, basado en la norma


internacionalmente reconocida ISO / IEC 15504 de Ingeniería de Software-
Auditoria Informática

Evaluación de Procesos. Este modelo alcanzará los mismos objetivos generales


de evaluación de procesos y apoyo a la mejora de procesos, es decir, que
proporcionará un medio para medir el desempeño de cualquiera de los procesos
de gobierno (basado en EDM) o de gestión (basado en PBRM), y permitirá
identificar áreas de mejora.

Las diferencias más importantes COBIT 4.1 y COBIT 5 se pueden resumir en:

 La nomenclatura y significado de los niveles definidos en la ISO/IEC 15504


son muy diferentes de aquellos de COBIT 4.1.
 En la norma ISO/IEC 15504 los niveles de capacidad se definen por un
conjunto de nueve atributos de proceso. Estos atributos cubren algo del
terreno cubierto por los atributos de madurez COBIT 4.1 y/o los controles
de proceso, pero solo en cierta medida y de forma distinta.
 Los resultados de la evaluación serán menores al usar el modelo de
capacidad de procesos de COBIT 5. En el modelo de madurez de COBIT
4.1, un proceso podía alcanzar un nivel 1 ó 2 sin alcanzar completamente
todos los objetivos del proceso; con los niveles de la capacidad de procesos
de COBIT 5, esto implicaría un resultado inferior, entre 0 y 1.
 El modelo de madurez de COBIT 4.1 producía un perfil de madurez de la
empresa que identifica en qué dimensión o para qué atributos había
debilidades específicas que necesitaban mejoras. En COBIT 5 el modelo de
evaluación proporciona una escala de medida para cada atributo de
capacidad y guía sobre cómo aplicarlo, por lo que por cada proceso se
puede hacer un análisis para cada uno de los nueve atributos de capacidad

Verificar la Diferencia Entre BS 25999 e ISO 22301


La diferencia entre BS 25999 e ISO 22301 radica en los siguientes puntos;

Conocimiento de la Organización: Planificación; Las referencias a la necesidad


de una correcta planificación aportan una fundamental diferencia y aporte de la
norma sobre sus antecesoras. Podemos decir que el éxito de un sistema de
Auditoria Informática

Gestión de Continuidad del Negocio se basa en una eficaz definición de Objetivos


apoyados en una adecuada asignación de recursos tanto materiales como
humanos.

Las Partes Interesadas: Otro enfoque novedoso es el mayor énfasis en la:

 Identificación de las partes interesadas, sus necesidades y objetivos


 Desarrollo de una comunicación fluida y eficaz entre las partes interesadas.
 Todo lo anterior debe ser demostrable.

Liderazgo de la Dirección: Como queda claro en el punto anterior, la necesidad


de evidencias que demuestren el compromiso de la alta dirección en el
desempeño del Sistema de Continuidad del negocio, son apoyadas por una
constante referencia a la necesidad de un verdadero Liderazgo de la dirección en
el control, apoyo y revisión del funcionamiento del sistema.

El liderazgo por tanto de la dirección de la empresa significa una implicación


directa en la:

 Responsabilidad global por la eficacia del SGCN en la Supervisión.


 Medición, análisis y evaluación del sistema.

Comunicación: Las comunicaciones toman un protagonismo especial en este


sistema, donde aparecen nuevos requisitos en:

 Comunicaciones sobre incidentes (Antes, Después y Durante su aparición)


 Control de la gestión adecuada de las comunicaciones (Oportunidad) tanto
internas como externas a terceras partes.
 Análisis de los métodos utilizados para las comunicaciones (capacidad,
disponibilidad, métodos alternativos) incluyendo pruebas ante posibles
incidentes perturbadores

Análisis y Evaluación del Desempeño: Este es otro de los aspectos novedosos


sobre la norma BS 25999, estableciéndose nuevos requisitos de medición,
Auditoria Informática

evaluación y análisis de la eficacia del Sistema de Continuidad del Negocio.

En resumen, aunque los aspectos más importantes de la continuidad del negocio


son comunes a ambas normas, la Norma ISO 22301 pone mayor énfasis en la
comprensión de los requisitos, el Liderazgo de la dirección y en el establecimiento
de Objetivos medibles y en el control de su desempeño.

Investigación de los Controles de COSO


Para comenzar, el control Interno en el ámbito del COSO es un sistema el cual
está ubicado en el más alto nivel organizacional, con direccionamiento estratégico
y una clara precisión que combina objetivos, componentes y niveles. Es una
herramienta extremadamente útil para el diseño, la implementación, el
mejoramiento y evaluación del control interno, sin embargo, en un escalafón más
alto tenemos la ley SOX, la cual califica y de cierta forma certifica todo la
metodología de COSO (en este caso, evalúa todos los controles implementados
dentro de una organización).

En la evaluación de los controles de COSO, existen dos clases de evaluaciones


que a continuación se mencionaran según la norma:

Evaluación de los Controles Informales

En la cual indica que para aplicar esta metodología, es necesario identificar los
controles informales dentro del componente ambiente de control. Esta evaluación,
realizada por profesionales de auditoría interna mediante talleres y análisis, se
enfoca en el grupo de personal operativo (sin la gerencia de estos) evaluando
unidades de trabajo o funciones específicas. En este la gerencia es la responsable
de definir los objetivos de trabajo, como también los controles necesarios
apoyando estos objetivos.
Auditoria Informática

Dentro de esta metodología se utilizan plantillas para evaluación de riesgo de


auditoría y fijación de prioridades, previstas en el modelo C.O.S.O. Los
colaboradores votan para definir la importancia de cada aspecto y para evaluar la
eficacia. Este procedimiento se automatiza proporcionando de esta manera los
resultados de los talleres que son presentados en forma adecuada para su
posterior análisis.

Evaluación de Controles Formales

Esta metodología analiza las actividades de control que se relacionan con los
objetivos específicos de los trabajos que se realizan en cada área de la
organización. En este se evalúan los controles específicos de los otros cuatro
componentes de COSO:

 Evaluación de riesgos.
 Actividades de control.
 Información y comunicación.
 Monitoreo o supervisión.

Dentro de esta segunda metodología se trata con la gerencia sobre la importancia


y la eficacia de los controles propuestos a fin de que ayuden a concretar los
objetivos y con la información obtenida se elaboran las plantillas para la
evaluación y votación por los colaboradores afectados a dichas tareas.

Norma ISO 27032 de Ciberseguridad.


La norma ISO/IEC 27032:2012 "Tecnología de la información - Técnicas de
seguridad - Directrices para la Ciberseguridad" (publicada en julio del 2012). Se
trata de un estándar que garantiza directrices de seguridad que desde la
organización han asegurado que “proporcionará una colaboración general entre
las múltiples partes interesadas para reducir riesgos en Internet”. Más
concretamente, ISO/IEC 27032 proporciona un marco seguro para el intercambio
Auditoria Informática

de información, el manejo de incidentes y la coordinación para hacer más seguros


los procesos.

“La norma (ISO/IEC 27032) facilita la colaboración segura y fiable para proteger la
privacidad de las personas en todo el mundo. De esta manera, puede ayudar a
prepararse, detectar, monitorizar y responder a los ataques”, han explicado desde
ISO. La organización espera que ISO/IEC 27032 permita luchar contra ataques de
ingeniería social, hackers, malware, spyware y otros tipos de software no deseado.
Proporciona un marco de orientación para mejorar el estado de la Ciberseguridad,
usando para ello los aspectos estratégicos y técnicos relevantes para esa
actividad, y sus dependencias con otros dominios de seguridad, en particular:

 Seguridad de la información (considerando que la información es el activo


más relevante de cualquier organización),
 Seguridad en redes,
 Seguridad en el Internet, y
 La protección de infraestructuras críticas de información.

Partes Interesadas en el Ciberespacio


El Ciberespacio no pertenece a ninguna persona o empresa, todo el mundo
participa y tiene participación en él, para los fines del ISO 27032, las partes
interesadas en el Ciberespacio se clasifican en los siguientes grupos:

 Los consumidores, incluyendo personas; y organizaciones privadas y


públicas;
 Los proveedores, incluyendo, pero sin limitarse a los proveedores de
servicios de Internet, y los proveedores de servicio de aplicaciones

Activos en el Ciberespacio
Un activo se define como algo que tiene valor para la organización. Hay muchos
tipos de activos, incluyendo los siguientes:

 la información;
 software, como un programa o software;
Auditoria Informática

 hardware, tal como un computador;


 servicios, como la electricidad;
 las personas, sus habilidades y experiencia, y
 los activos intangibles, como la reputación y la imagen ante los clientes.

Protección de los activos en el Ciberespacio


En sus marcos de ciberseguridad, tanto el Instituto Nacional de Estándares y
Tecnología (NIST), la Agencia Europea de Red y Seguridad de la Información
(ENISA) e ISO han identificado cinco funciones clave necesarias para la
protección de los activos digitales. Estas funciones coinciden con las metodologías
de gestión de incidentes e incluyen las siguientes actividades:

 Identificar: Utilice la comprensión de la organización para minimizar el


riesgo de los sistemas, activos, datos y capacidades.
 Proteger: Diseño salvaguardias para limitar el impacto de los eventos
potenciales sobre los servicios y las infraestructuras críticas.
 Detectar: Ejecutar actividades para identificar la ocurrencia de un evento de
ciberseguridad.
 Responder: Tomar las medidas apropiadas después de enterarse de un
evento de seguridad.
 Recuperar: Planificar la capacidad de recuperación y la reparación
oportuna de capacidades y servicios comprometidos.

Validar la diferencia entre iso 31000 e ISO 27005


El primero de ellos es ISO 31000, proporciona directrices generales para cualquier
área de gestión de riesgos (es decir, finanzas, ingeniería, seguridad, entre otros).
Aunque la mayoría de las organizaciones ya cuentan con una metodología
definida para administrar los riesgos, esta nueva norma define un conjunto de
Auditoria Informática

principios que se deben seguir para garantizar la efectividad de la gestión de


riesgos. Sugiere que las empresas deben desarrollar, implementar y mejorar
continuamente un marco cuyo objetivo sea integrar el proceso para gestionar los
riesgos asociados con la gobernanza , la estrategia y la planificación, así como la
gestión, el informe de datos y resultados, políticas, valores y cultura en toda la
organización.

El otro es ISO 27005. Parte de la ISO 27000 desde 2008, esta norma establece
las mejores prácticas de gestión de riesgos específicamente orientadas a la
gestión de riesgos para la seguridad de la información, particularmente en lo que
respecta al cumplimiento de los requisitos de un Sistema de gestión de la
seguridad de la información (SGSI) por ABNT NBR ISO / IEC 27001. Establece
que las mejores prácticas de gestión de riesgos deben definirse de acuerdo con
las características de la organización, teniendo en cuenta el alcance de su SGSI,
el contexto de gestión de riesgos, así como su industria. De acuerdo con el marco
descrito en esta norma para implementar los requisitos del SGSI, se pueden
utilizar varias metodologías diferentes y se pueden introducir diferentes enfoques
para la gestión del riesgo en lo que se refiere a la seguridad de la información en
el apéndice del documento. Veamos las diferencias;

Mejores prácticas de gestión de riesgos para ISO 31000


Aunque ISO 31000 representa el proceso de gestión más a fondo, y tiene
diferentes términos y expresiones, ambos estándares abordan el proceso de
gestión de riesgos de manera similar.

Según ISO 31000 , las organizaciones típicamente determinan el contexto y


gestionan el riesgo identificándolo, analizándolo y posteriormente evaluando si el
riesgo debe ser modificado por un enfoque estratégico para cumplir con sus
criterios de riesgo. A lo largo de todo este proceso, estas organizaciones deben
comunicarse y consultar con las partes interesadas, mientras monitorean y
analizan críticamente el riesgo y los controles que lo modifican, para garantizar
que no se requiera un enfoque de gestión de riesgos adicional.
Auditoria Informática

Mejores prácticas de gestión de riesgos para ISO 27005


En cuanto a ISO 27005, la gestión de riesgos en lo que se refiere a la seguridad
de la información debe definir el contexto, evaluar los riesgos y abordarlos a través
de un plan, con el fin de implementar las recomendaciones y decisiones. La
gestión de riesgos analiza los eventos potenciales y sus consecuencias antes de
decidir qué hacer y cuándo hacerlo, a fin de reducir los riesgos a un nivel
aceptable. Además, el estándar incluye decisiones sobre el análisis y tratamiento
de riesgos, ya que las actividades de aceptación de riesgos garantizarán que los
riesgos residuales sean explícitamente aceptados por la administración de la
compañía. Esto es particularmente importante en situaciones donde la
implementación del control se omite o se pospone, por ejemplo, debido al costo.

Aunque las mejores prácticas de gestión de riesgos se han desarrollado a lo largo


del tiempo para satisfacer necesidades específicas en muchas áreas e industrias
mediante el uso de distintas metodologías, la adopción de procesos coherentes
dentro de una estructura global puede ayudar a garantizar que los riesgos se
gestionen de manera eficiente, efectiva y coherente. en toda la organización. ISO
31000 es el estándar principal, que proporciona las directrices y principios
generales para gestionar cualquier tipo de riesgo de forma sistémica, transparente
y confiable, dentro de cualquier ámbito y contexto; mientras que, ISO270005 es el
estándar especializado que complementa a la matriz al proporcionar las mejores
prácticas para gestionar los riesgos relacionados con la seguridad de la
información.

La Importancia Actual de GDPR


GDPR es la nueva iniciativa de la Unión Europea que amplía los derechos
individuales de los ciudadanos reforzando, armonizando y modernizando las leyes
de protección de datos. Son las siglas de General Data Protection Regulation
(Reglamento General de Protección de Datos o RGPD). La norma supone unas
Auditoria Informática

nuevas e importantes obligaciones para las empresas que traten con datos
personales de ciudadanos de la Unión Europea. Desde el primer minuto en que se
ponga en marcha un servicio o un producto, las compañías estarán obligadas a
establecer la privacidad por defecto de dichos datos.

Entre los cambios que implica, GDPR amplía y mejora la definición de información
personal: datos como las direcciones IP, la información cultural, económica o
social, nombres de usuario y pseudónimos, registros de proveedores y de
personal, entre otros, están cubiertos por esta ley y son considerados personales.

Otra las principales restricciones es que se necesitará consentimiento por parte de


los usuarios quienes, a su vez, podrán revocarlo. Además, éstos tendrán derecho
a saber cómo, dónde y con qué finalidad se procesan sus datos personales.

Derechos incluidos en GDPR

Los derechos que el GDPR reconoce a los ciudadanos son;

 Tienen derecho a saber quién y para qué utilizan nuestros datos, durante
cuánto tiempo se van a conservar y si en su tratamiento va ha haber
elaboración de perfiles y decisiones automatizadas, sobre todo si tienen
consecuencias legales como en el cálculo de un seguro. Por supuesto,
tenemos el derecho de presentar denuncias ante la autoridad competente,
la AGPD en España, si las empresas no atienden nuestras reclamaciones.
 Todas las organizaciones públicas o privadas que traten nuestros datos
deben identificar quién es el Responsable del tratamiento y cómo podemos
solicitar el ejercicio de nuestros derechos, por ejemplo la suspensión del
tratamiento, la conservación de nuestros datos pero sin tratarlos, o la
portabilidad de los mismos en un formato que otros Responsables puedan
tratar.
 Tienen el derecho de rectificar nuestros datos cuando sean inexactos o
estén incompletos. Para ello el Responsable del tratamiento deberá
facilitarnos un procedimiento sencillo, preferiblemente un formulario web.
Auditoria Informática

 Se podrá pedir que supriman nuestros datos si se ha producido un


tratamiento ilícito, o si ha desaparecido la finalidad que motivó su recogida.
Podemos hacerlo en cualquier momento si revocamos nuestro
consentimiento o por simple oposición a que sean tratados.
 También tienen derecho a oponernos al tratamiento de nuestros datos por
motivos personales y cuando el tratamiento tenga por objeto el marketing
directo masivo. Sin embargo, el Responsable puede acreditar interés
legítimo, como la emisión de facturas o la comunicación de boletines de
seguridad.

Link video en Youtube.


https://youtu.be/fQyooYbgYxM
Auditoria Informática

Conclusiones
Las normativas tienen como propósito que las evaluaciones sean lo más objetivas
y uniformes posibles, existiendo estándares homogéneos para el cumplimiento de
los Principios Básicos. Para las organizaciones son instrumentos que permiten
minimizar los costos, ya que hacen posible la reducción de errores y sobre todo
favorecen el incremento de la productividad. Los estándares internacionales ISO
son clave para acceder a mercados nacionales e internacionales y de este modo,
estandarizar el comercio en todos los países favoreciendo a los propios
organismos públicos.
Auditoria Informática

Recomendaciones
 Es de suma importancia para las empresas, conocer e implementar las
normativas Nacionales e Internacionales.

 Para los profesionales de IT, capacitarse constantemente y aplicar todas las


recomendaciones de buenas prácticas detalladas en estas normativas.
Auditoria Informática

Bibliografía

 Anon, (2018). [online] Available at:


https://es.linkedin.com/pulse/gesti%C3%B3n-de-la-ciberseguridad-
seg%C3%BAn-el-isoiec-gianncarlo-g%C3%B3mez-morales [Accessed 5
May 2018].
 Theriskacademy.org. (2018). The Risk Management Academy | Comparing
ISO 31000 and ISO 27005. [online] Available at:
http://theriskacademy.org/is0-31000-iso-27005/ [Accessed 5 May 2018].
 Software ISO. (2018). Normas ISO. [online] Available at:
https://www.isotools.org/normas/ [Accessed 5 May 2018].
 GDPR, 5. (2018). 5 grandes razones para aplaudir el GDPR. [online]
Asociacionmicroempresas.com. Available at:
http://www.asociacionmicroempresas.com/index.php/blog/entry/5-grandes-
razones-para-aplaudir-el-gdpr [Accessed 5 May 2018].
 Cnbs.gob.hn. (2018). CNBS - Circular CNBS No.119/2005. [online]
Available at: http://www.cnbs.gob.hn/files/circulares/2005/C1192005.htm
[Accessed 5 May 2018].