viernes, 9 de marzo de 2012

NORMAS Y PROCEDIMIENTOS DE AUDITORIA (3RA PARTE)

10.EXPLICA CON TUS PROPIAS PALABRAS LOS BENEFICIOS DE UTILIZAR NORMAS INTERNACIONALES.

En mi opinion personal este tipo de normas son de gran importancia ya que ayudan a estandarizar el trabajo, es decir unificando los procesos y los hacen internacionales para la participacion empresarial
y esto mejora la calidad de todas las actictiviades que se realizan dentro de una empresa, asi como tambien te hacen saber el uso correcto de las operaciones,finanzas de la empresa, etc.
Todo esto nos ayuda de tal manera , para que reconoscamos que se debe mejorar la calidad, de servicio o mejor dicho mejora de la eficiencia y eficacia para lograr la calidad organizacional.


11.EXPLICA BREVEMENTE EL PROCESO DE ADAPTACION

Desde siempre se ve reflejado en la sociedad ala resistencia al cambio ya que son cosas nuevas y nuestro comportamiento nos lo indica "tener miedo" a hacer las nuevas cosas es uno de las grandes incognitas que presenta el ser humano ya que si no lo intentamos no sabremos como sera funcionamiento y es por ello que es importante arriesgar y equivocarse una vez que equivocarse  mil veces y generar numerosas perdidas dentro de una organizacion.

El proceso de adaptacion consiste en poner a prueba el nuevo sistema o el nuevo cambio que se esta llevando a cabo  muchas empresas realizan capacitaciones para que el personal conosca detalladamente el nuevo proceso y lo ayude a mejorar o eficientizar sus actividades , una vez que pasa el tiempo el personal ya toma experiencia en el ambito y tal vez se haga un ezperto manejando ese nuevo proceso pero siempre hay alguna inovacion que ayude a mejorarlo.

12. ESCRIBE UNA REFLEXION ACERCA DEL USO DE LAS NORMAS Y LAS VENTAJAS DE UTILIZARLAS

Las normas son las reglas establecidas para que se logre cumplir objetivos y metas planteados por la empresa, es decir muchas de ellas manejan la calidad, seguridad en produccion, seguridad informatica,higiene y seguridad del personal, etc,.

Es por ello que los objetivos deben ser cumplidos y mejorados para que los beneficios pala las empresas sea favorables, un claro ejemplo pudiera ser seguir la norma de calidad y que con esta se logre la mejor y mayor satisfaccion de los clientes por ende se logran las certificaciones a nivel mundial.

viernes, 2 de marzo de 2012

ISO 27001

A.ORIGEN Y ACTUALIZACIONES

Publicada el 15 de Octubre de 2005.

 Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información.

 Tiene su origen en la BS 7799-2:2002 (que ya quedó anulada) y es la norma con arreglo a la cual se certifican por auditores externos los SGSIs de las organizaciones.

 En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005, para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI(Sistema de Gestio de Seguridad Informatica); a pesar de no ser obligatoria la implementación de todos los controles enumerados en dicho anexo, la organización deberá argumentar sólidamente la no aplicabilidad de los controles no implementados.

 Desde el 28 de Noviembre de 2007, esta norma está publicada en España como UNE-ISO/IEC 27001:2007 y puede adquirirse online en AENOR (también en lengua gallega).


B.CARACTERISTICAS DE LA NORMA

 Tiene que ver con:
  1. Activos(Norma ISO/IEC 133335:2004).cualquier cosa que tenga valor para la org.
  2. Disponibilidad (ISO/IEC 133335-1:2004).la propiedad de estar disponible y utilizable cuando lo reequiera una entidad autorizada
  3.  Confidencialidad (ISO/IEC 13335-1:2004). la propiedad que esa informacion este disponible y no sea divulgada a personas, entidades o procesos no-autorizados
  4. Seguridad de Informacion(ISO/IEC 17799:2005)preservacion de la confidencialidad,integridad y disponiblidad de la informacion: ademas, tambien pueden estar involucradas otras porpiedades como la autenticidad, responsabilidad, no-repudio y confibialidad
  5. Evento de Seguridad de informacion((ISO TR 18044:2004)Una ocurrencia identificada del estado de un sistema de servico de red indicando una posible violacion de la politica de seguridad de la informacion o falla en las salvaguardas, o una situacion previamente desconocida quie puede ser relevante para la seguridad.
  6. Incidente de seguridad de la informacion(ISO TR 18044:2004)
  7.  Inciddente de seguridad de la informacion (ISO TR 18044:2004)
  8. Sistema de gestion de seguridad de la informacion SGSI
  9. Integridad(ISO/IEC 13335-1:2004)
  10. Riesgo residual(ISO/IEC guia 73:2002)
  11. Aceptacion de riesgo(ISO/IEC 73:2002)
  12. Valuacion del riesgo(ISO/IEC Guia:2002)
  13. Gestion de riesgo(ISO/IEC Guia:2002)
  14. Tratamiento del riesgo(ISO/IEC Guia:2002) 
  15. Enunciando de aplicabilidad 


C.CAMPO DE APLICACION(EN DONDE SE PUEDE APLICAR)

En cualquier campo organizacional ,sin importar su tipo, tamaño y naturaleza.

Si la empresa ya cuenra con un sistema de gestion de procesos comerciales operativos(por ejemplo , en relacion con iso 9001 o ISO 14001), en la mayoria de los casos es preferible satisfacer los requerimientos de este Estandar Internacional dentro de este sistema de gestión existente.


D.REFERENCIAS(EJEMPLO)

Este tipo de Estándar o norma la podemos aplicar en alguna empresa que maneje alguna base de datos por mas pequeña que esta sea, es por ello que se menciona que no importa tamaño,giro y naturaleza de la misma organización.


un ejemplo claro de ello podría ser aplicado a la empresa mayormente conocida como Coca-Cola.
Esta empresa es reconocida  a nivel mundial y por ende sus bases de datos tienen que cubrir con este estándar ya que es tanta la informacion que ellas manejan por ser una empresa muy internacional.

FUENTE:
http://www.iso27000.es/iso27000.html#section3b
***http://www.wepapers.com/Papers/137736/Norma_ISO/IEC_27001-2005_Spanish

QUE ES Y PARA QUE SIRVE EL ISO 27000?

QUE ES EL  ISO 27000?

ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.

PARA QUE SIRVE EL ISO 27000?


• Establecimiento de una metodología de gestión de la seguridad clara y estructurada.
• Reducción del riesgo de pérdida, robo o corrupción de información.
• Los clientes tienen acceso a la información a través medidas de seguridad.
• Los riesgos y sus controles son continuamente revisados.
• Confianza de clientes y socios estratégicos por la garantía de calidad y confidencialidad comercial.
• Las auditorías externas ayudan cíclicamente a identificar las debilidades del sistema y las áreas a mejorar.
• Posibilidad de integrarse con otros sistemas de gestión (ISO 9001, ISO 14001, OHSAS 18001…).
• Continuidad de las operaciones necesarias de negocio tras incidentes de gravedad.
• Conformidad con la legislación vigente sobre información personal, propiedad intelectual y otras.
• Imagen de empresa a nivel internacional y elemento diferenciador de la competencia.
• Confianza y reglas claras para las personas de la organización.
• Reducción de costes y mejora de los procesos y servicio.
• Aumento de la motivación y satisfacción del personal.
• Aumento de la seguridad en base a la gestión de procesos en vez de en la compra sistemática de productos y tecnologías.

FUENTE:
http://www.iso27000.es/iso27000.html


QUE ES EL ISO Y PARA QUE SIRVE?

QUE ES EL ISO?

La Organización Internacional para la Estandarización, ISO por sus siglas en inglés (International Organization for Standardization), es una federación mundial que agrupa a representantes de cada uno de los organismos nacionales de estandarización (como lo es el IRAM en la Argentina), y que tiene como objeto desarrollar estándares internacionales que faciliten el comercio internacional. 

PARA QUE SIRVE? 

 La finalidad principal de las normas ISO es orientar, coordinar, simplificar y unificar los usos para conseguir menores costes y efectividad. 

Existen varios tipos  de estandares que se enfocan a diferentes cosas deacuerdo a su produccion o sentido de ser de la empresa y por lo general  manejan diferentes tipos: algunas son  de Calidad , otras son de seguridad, etc.

un ejemplo de ISO tenemos las siguientes:

Familia de ISO 9000, Familia ISO14000, Familia ISO 27000.

Con ellas podremos obtener las siguientes ventajas:



FUENTES:
http://www.unlu.edu.ar/~ope20156/normasiso.htm 
http://www.ub.edu/geocrit/b3w-129.htm

QUE ES EL MONITOREO? Y ESCRIBE LOS 4 TIPOS BREVEMENTE

QUE ES MONITOREO?

"Monitoreo es un término no incluido en el diccionario de la Real Academia Española (RAE). Su origen se encuentra en monitor, que es un aparato que toma imágenes de instalaciones filmadoras o sensores y que permite visualizar algo en una pantalla. El monitor, por lo tanto, ayuda a controlar o supervisar una situación."

consiste en la observación del curso de uno o más parámetros para detectar eventuales anomalías.

En informatica :

» Qué es el monitoreo (o monitorización) informático ?
Monitoreo informático (o monitorización), refiere al flujo de información que se genera desde y hacia la estructura informática (en sentido amplio, contemplando hardware, software e infraestructura), con el objeto de relevar el estado en el que se encuentran los distintos parámetros operativos, con la intención de alimentar diversos procesos IT. Fundamentalmente:
    • » Gestión de fallas (o Fault Management)
      » Gestión de incidentes (o Incident Management)
      » Gestión de performance (o Performance Management)
      » Gestión de capacidad (o Capacity Management, o Capacity Planning)
       
       EXISTEN 4 TIPOS DE MONITOREO:
    Manual vs Automático
  •  
  • El monitoreo manual es más frecuente de lo que podría pensarse. De hecho, es el mecanísmo más habitual. En este, uno o varios operadores, revisan parámetros que consideran relevantes de la estructura IT, e intentan detectar condiciones no deseadas para luego poder proceder a la toma de acción.
    Habitualmente este modelo es extremadamente costoso en términos de esfuerzo (horas-hombre), ya que el tiempo insumido se repite ad-infinitum, en la medida que no se tomen acciones para automatizarlo.

    En el monitoreo automático, se elaboran instrumentos informáticos para efectuar el control, que deben considerar básicamente 3 aspectos:
    • » Como ejecutar el control (puede ser en forma manual, o automática mediante schedulers)
      » Como obtendrá el control la información deseada (una vez disparado)
      » Como reportará los resultados
  • El segundo de estos puntos es el que habitualmente recibe una mayor atención. Si bien es seguramente el más importante de los tres (sin él los otros dos no tienen sentido), es de suma importacia conseguir respuestas efectivas para los otros aspectos.
    En el monitoreo automático, por estar estrechamente ligado a la noción de repetición del control, es fundamental la revisión y ajuste de las herramientas utilizadas para asegurar la efectividad a lo largo del tiempo.

    Local vs Remoto


    El monitoreo remoto ocurre cuando para el control de un determinado servicio IT, toda la ejecución del software de control ocurre sin utilizar recursos del equipamiento monitoreado.
    Como ejemplo puede pensarse en el control de un web server. Si desde un equipo "cliente" se realiza un requerimiento http hacia el servidor web, y según su respuesta (o falta de ella) se llega a una cierta conclusión sobre su estado, podemos decir que todo el software de control se ha ejecutado fuera del web server, y por lo tanto estamos en presencia de monitoreo remoto.

    En el monitoreo local, se involucran recursos del equipo a monitorear para la ejecución de software de control.

    Activos vs pasivos


    Este aspecto refiere básicamente a la respuesta a la pregunta: quien "dispara" la ejecución del control. No ya quien la ejecuta, sino quien la dispara.

    ***Invasivos vs no-invasivos


    Esta distinción es más sutil, y busca encontrar un punto de equilibrio entre proveer al control de todo lo necesario para que la información que este releva sea suficiente y significativa; y diseñarlo de tal modo que su propia ejecución no resulte disruptiva del servicio que pretende controlar. Puede tomarse como ejemplo una medición sobre la performance de un servidor de base de datos. Si deseamos conocer que tan bien está desempeñandose el servidor frente a las consultas que recibe, y para ello medimos la ejecución de una consulta ad-hoc, incluida en el propio control, de naturaleza particularmente compleja y de costoso procesamiento, seguramente estaremos afectando significativamente con la propia medición, la performance que deseamos controlar. Es por esto que se considera deseable balancear estos aspectos de cualquier control, para acercarse lo más posible al óptimo.

     fuentes:
    http://www.noxglobe.com/modules/articles/strategies/