Actividad III NORMAS ISO 27001

 

República Bolivariana de Venezuela

Ministerio del Poder Popular para la Educación Universitaria

Universidad Nacional Experimental de la Gran Caracas

Vicerrectorado de Investigación y Postgrado

Núcleo la Floresta

Postgrado: Auditoría de Tecnologías de la Información Financiera de Seguridad de Datos Unidad Curricular: Seguridad de la Información

 

Actividad III

NORMAS ISO 27001

 

Integrante:

Soto, Yelitza V- 10.099.075

 

Junio 2025

 

 

 Contenido

Actividad III

NORMAS ISO 27001

Resumen de las Normas ISO 27000

Las Normas ISO 27000 son un conjunto de estándares internacionales diseñados para garantizar la seguridad de la información en organizaciones de cualquier sector. Su propósito es establecer un Sistema de Gestión de Seguridad de la Información (SGSI) que proteja los datos contra accesos no autorizados, alteraciones y pérdidas.

¿Para qué sirven?

Protegen la información sensible de empresas y entidades gubernamentales.

Garantizan la confidencialidad, integridad y disponibilidad de los datos.

Reducen riesgos de ciberataques y fraudes mediante controles de seguridad.

  Facilitan el cumplimiento normativo en auditorías y regulaciones internacionales.

Importancia de ISO 27000

Estandarización global → Permite que las organizaciones adopten prácticas seguras reconocidas internacionalmente.

Mejora la confianza → Empresas certificadas en ISO 27001 demuestran compromiso con la seguridad de la información.

Optimiza procesos internos → Reduce errores en la gestión de datos y mejora la eficiencia operativa.

¿Cuáles son las normas ISO 27000?

La serie ISO 27000 incluye varias normas, entre ellas:

ISO 27001 → Define los requisitos para implementar un SGSI y es la única certificable.

ISO 27002 → Proporciona directrices sobre controles de seguridad de la información. 

ISO 27005 → Se enfoca en la gestión de riesgos de seguridad informática.

ISO 27701 → Extiende ISO 27001 para la protección de datos personales.

¿Por qué se aplican y para qué?

Las normas ISO 27000 se aplican para fortalecer la seguridad de la información en sectores como finanzas, salud, tecnología y administración pública. En el caso de tu tesis, su aplicación en la auditoría y control de información financiera permitirá mejorar la gestión de estimación de costos, asegurando que los datos sean seguros, trazables y confiables.

La Actividad No.03, Trata de Donde se puede aplicar la Norma ISO 27000, al Proyecto en curso.?

Expuesto a lo anterior, se menciona una breve, descripción del Preliminar del Proyecto en investigación.

Titulo:

Aplicación de la Norma ISO 27000 en la Auditoría y Control de Información Financiera: Modelo para la Gestión de Estimación de Costos, perteneciente a la Empresa PDVSA Gas, S.A.

Cada día, son mayores las inversiones en tecnologías de información y mayor la dependencia del negocio de las estructuras informáticas; los sistemas de control y seguridad de la información exigen mayor rigurosidad en áreas tan diversas como la planificación de proyectos, la organización de la unidad de informática, la dirección y gestión de los recursos informáticos, la administración y control de infraestructuras e instalaciones, el desarrollo y mantenimiento de aplicaciones, la explotación de los sistemas de información, las bases de datos, las comunicaciones y redes, la ofimática, la seguridad general y particular, los recursos humanos y la calidad.

La globalización ha impuesto nuevos retos de competencia, las organizaciones se deben reestructurar hacia operaciones cada vez más competitivas y, como consecuencia deben aprovechar los avances de las tecnologías de los sistemas de información para mejorar su situación competitiva.

Hoy en día se habla de reingeniería de negocios y de procesos, de calidad total, de procesos distribuidos, de organizaciones planas, de múltiples tipos de sistemas de información: MIS (Management Information System), EIS/DSS (Executive Information System)/Decision Support Systems), ERP (Entreprise Resource Planning), CRM (Customer Relation ship Management) y otros, como cambios que generan un impacto en la manera en que operan las organizaciones privadas y públicas. Estos cambios están teniendo y continuaran teniendo implicaciones profundas para la gestión y para las estructuras de control en todas las organizaciones.

La ausencia de controles sólidos en el manejo de la información financiera dentro del proceso de estimación de costos puede generar riesgos de seguridad, pérdidas económicas y baja trazabilidad en la toma de decisiones. Aplicar la Norma ISO 27000 permitirá establecer un modelo estructurado, automatizado y cuantificable para la auditoría y control de estos procesos.

En el contexto empresarial actual, la seguridad de la información juega un papel fundamental en la gestión financiera y operativa, especialmente en departamentos estratégicos como la gerencia de estimación de costos, donde se generan presupuestos base que sirven como referencia para la solicitud de fondos y la toma de decisiones de compra. Sin embargo, la ausencia de controles eficientes en la administración de estos procesos puede derivar en riesgos de seguridad, falta de trazabilidad de los datos y vulnerabilidades operativas que afectan la estabilidad financiera de la organización.

La Norma ISO 27000 establece principios y mecanismos para garantizar la seguridad de la información, asegurando su confidencialidad, integridad y disponibilidad. Aplicar este estándar dentro de la gestión de estimación de costos permitirá estructurar un modelo metodológico de auditoría y control, optimizando la protección de los datos financieros y fortaleciendo la eficiencia del proceso presupuestario.

La problemática identificada radica en que actualmente no existe un control sistemático y auditable para la seguridad de los datos en la estimación de costos. Esto genera incertidumbre sobre la fiabilidad de la información, riesgos operacionales y posibles pérdidas económicas, al no contar con mecanismos de auditoría que validen la integridad de los presupuestos utilizados en la planificación financiera.

Marco Conceptual

El marco conceptual proporciona las definiciones clave y los fundamentos teóricos que sustentan la investigación. A continuación, se presentan los conceptos más relevantes para comprender el estudio.

1. Seguridad de la Información

La seguridad de la información se refiere a la protección de los datos contra accesos no autorizados, alteraciones o pérdidas. Se basa en tres principios fundamentales:

·                    Confidencialidad: Garantiza que la información solo sea accesible por personas autorizadas.

·                    Integridad: Asegura que los datos no sean modificados sin autorización.

·                    Disponibilidad: Permite que la información esté accesible cuando se necesite.

Referencia: ISO/IEC 27000 establece que la seguridad de la información debe ser gestionada mediante un enfoque sistemático y basado en riesgos.

2. Norma ISO 27000 y su Aplicación

La serie de normas ISO 27000 proporciona estándares internacionales para la gestión de seguridad de la información. La más relevante es ISO 27001, que define los requisitos para establecer un Sistema de Gestión de Seguridad de la Información (SGSI).

Referencia: Según la Universidad Nacional Abierta y a Distancia (UNAD), la implementación de ISO 27001 permite mejorar la seguridad de los datos en entornos corporativos.

3. Auditoría de Seguridad de la Información

La auditoría de seguridad de la información es el proceso de evaluación de los controles implementados para proteger los datos. Se enfoca en:

· Evaluación de riesgos: Identificación de amenazas y vulnerabilidades.

· Cumplimiento normativo: Verificación del cumplimiento de estándares como ISO 27000.

· Control de acceso: Revisión de permisos y autenticación de usuarios.

Referencia: La Universidad Laica Eloy Alfaro de Manabí destaca que la auditoría de seguridad es clave para garantizar la protección de la información en instituciones financieras.

4. Gestión de Estimación de Costos y Seguridad de la Información

La gestión de estimación de costos implica la elaboración de presupuestos base para procesos de compra. La seguridad de la información en este contexto es crucial para:

· Evitar fraudes y errores en presupuestos.

· Garantizar la trazabilidad de los datos financieros.

· Optimizar la toma de decisiones basada en información confiable.

Todo lo anterior deriva en qué la previsión, el control, la seguridad, y la reducción de costos, implicados en los sistemas de información mecanizados son una estrategia fundamental de las organizaciones actuales. La automatización de las funciones y procesos de la organización, por su propia naturaleza, genera una mayor dependencia de mecanismos de control en las computadoras y redes desde el punto de vista del hardware y del software.

 La aplicación de la informática al proceso del negocio crea o genera unos riesgos informáticos de los que hay que proteger y preservar a la organización con un conjunto de controles, y la calidad y eficacia de estos controles objetivo central a evaluar para poder identificar los puntos débiles y mejorarlos. Esta es una de las funciones de las Auditoría Informática.

Para estar a la altura de las circunstancias, es necesario que los usuarios se pongan al día en cuanto a la tecnología y entorno de la Auditoría Informática, y para acceder a este nuevo paradigma debe tratarse el problema de minimizarla complejidad de los procesos de evaluación y control de los entornos de aplicación de las tecnologías de la información. En tal sentido, un modelo de registro de planes, recursos, procesos, riesgos, controles y guías de evaluación y control de los sistemas de información y sus tecnologías, favorecerá y facilitará la función de Evaluación y Auditoría Informática en la Organización.

En resumen, se plantean entonces los siguientes interrogantes:

¿Conocen los usuarios del Sistema de Información de estimación de costos los elementos involucrados en el control y seguridad de la información financiera bajo ISO 27000?

¿Existen registros sobre planes de aplicación de TI en el proceso de gestión de costos y estimación presupuestaria?

¿Las soluciones de información para la estimación de costos se adquieren e implementan en función de los objetivos del negocio y los requisitos de seguridad de la información según ISO 27000?

¿Está controlada la seguridad del servicio de información en la estimación de costos para garantizar la ejecución eficiente de las operaciones financieras del negocio?

¿Existen mecanismos de registro y evaluación para los procesos de auditoría de TI en la estimación de costos bajo la Norma ISO 27000?

¿Cómo acceder de manera sistemática y sencilla al conocimiento y aplicación de la auditoría de TI en estimación de costos, de acuerdo con la Norma ISO 27000, para ejecutivos de negocios, profesionales de TI y auditores de sistemas?

¿Cómo medir el nivel de control que posee la organización respecto a la planificación, desarrollo, uso y evaluación de TI en la gestión de costos?

 

 

 

Comentarios

Publicar un comentario

Entradas populares de este blog

Imagen
                                                            Conclusión  
Leer más

Lo Virtual Bajo La Mirada Del Derecho

    República Bolivariana de Venezuela Ministerio del Poder Popular para la Educación Universitaria Universidad Nacional Experimental de la Gran Caracas Postgrado: Auditoría de Tecnologías de la Información Financiera y Seguridad de Datos Unidad Curricular: Seguridad de la Información Profesor: Miguel Angel Martínez                                                 Lo Virtual Bajo La Mirada Del Derecho Actividad II               Elaborado por:   Soto, Yelitza C.I. V- 10.099.075   Caracas, Mayo 2025 Contenido Actividad II Lo Virtual bajo la Mirada del Derecho. Para la presente actividad se tomo en cuenta el Preliminar del proyecto en curso. Definitivo como título presentado: Aplicación de la Norma ISO 27000 en la Auditoría y Control de...
Leer más