UNIVERSIDAD AUTONOMA GABRIEL RENE MORENO

FACULTAD DE CIENCIAS CONTABLES AUDITORIA

SISTEMAS DE CONTROL DE GESTION Y FINANZAS

INVESTIGACION 2

AUDITORIA Y CONTROL DE SISTEMA DE INFORMACIÓN

DOCENTE: LIC. MARIO GERARDO PINTO VIRHUEZ

ESTUDIANTE: CINDY KAREN AQUINO BEJARANO

NUMERO DE REGISTRO: 220043371

SANTA CRUZ – BOLIVIA

CPA-510-M LIC. MARIO GERARDO PINTO VIRHUEZ
LAS NIAS 401

La Norma Internacional de Auditoría (NIA) 401 "Auditoría de un ambiente de sistemas de

información por computadora", establece que "el auditor debería tener suficiente
conocimiento de los sistemas de información computarizada para planear, dirigir,
supervisar y revisar el trabajo desarrollado, también establece que el auditor debería
considerar si se necesitan habilidades especializadas en sistemas de información
computarizado y que en caso de la necesidad de habilidades especializadas, el auditor
buscaría la ayuda de un profesional con dichas habilidades, quien puede pertenecer al
personal del auditor o ser un profesional externo"

Objetivos

Los principales objetivos a los que se pretende llegar son:

• Resaltar lo establecido por las normas internacionales de auditoria sobre la
exigencia de que el auditor debe contar con conocimientos suficientes.
• Aclarar la importancia de contar con habilidades y competencias sobre tecnología
de la información para cualquier tipo de auditoría.
• Identificar las temáticas en TI que el auditor debe tomar en cuenta para mejorar sus
habilidades y competencias.
• Impulsar al auditor a obtener conocimientos sobre tecnología para desempeñarse
como un auditor competitivo.
• Analizar si las mallas curriculares para la carrera de contaduría pública o auditoría,
contienen asignaturas relacionadas a tecnologías sobre la información y si estos son
suficientes.
Marco conceptual

- Enfoques de auditoría "tradicional" y "basado en riesgos"

A medida que los negocios iban evolucionando, el volumen de información y de las

transacciones se incrementaban, por lo que las organizaciones tuvieron la necesidad de
recurrir a la automatización de sus sistemas de información, por ej emplo, tuvieron que
automatizar los registros contables y varios procesos operativos, los cuales tenían que ser
soportados por activos de tecnología como servidores, redes, software y hardware
especializado.

Fraudes y delitos informáticos

• Delito contra la intimidad de menores y acoso.

• Descubrimiento y revelación de secretos.
• Amenazas y coacciones.
• Falsificación documental.
• Daños y sabotaje informático.
• Suplantación de identidad.
• Incumplimiento de contrato
• Delitos contra la propiedad intelectual
• Descargas ilegales
- Problemas a los que se enfrenta el auditor
El auditor debe llegar a comprender su funcionamiento y no solo confiar "ciegamente" en
los datos que arroja el "sistema" y enfocar su revisión solo en documentación física, ya
que los riesgos podrían estar en el procesamiento "caja negra" de dicha información, caso
contrario el auditor se enfrentaría a los siguientes problemas:

• Limitaciones en el diseño de pruebas de auditoría.

• Aumenta el riesgo de auditoria al no contar con un buen entendimiento del riesgo
tecnológico.
• Enfoque de confianza en controles no sería posible al existir controles de
tecnología de la información que no fueron probados.
• Imposibilidad de evaluar las bases de datos, redes, seguridad de la información y
física.
• Mayor cantidad de horas para la ejecución de pruebas sustantivas (al no confiar en
controles)
• Mayor presupuesto para la contratación de un especialista en ingeniería de
sistemas.

- Entonces: ¿Qué conocimientos suficientes debe tener el auditor?

Es necesario analizar cuáles serían los "conocimientos suficientes" debe tener el auditor
de los riesgos, controles, técnicas de auditoría disponibles basadas en tecnología, y otras
técnicas de análisis de datos, que le permitan al auditor, cuya responsabilidad
fundamental no son las tecnologías de lainformación,desempeñar eficientemente el
trabajo.
- HABILIDADES Y COMPETENCIAS REQUERIDAS POR EL AUDITOR
Estas áreas implican conocer las siguientes temáticas:
- Seguridad de TI. • Desarrollo de aplicaciones
• Seguridad física y seguridad de Desarrollo de sistemas de información
sistemas
• Protección de la información
• Autenticación y encriptación
- Desarrollo de aplicaciones.
• Informática de usuario final
• Control sobre los cambios de
programa
• Metodología de desarrollo de
sistemas
- Infraestructura del sistema
• Estaciones de trabajo
• Bases de datos
• Marcos de control de TI (eSAC, COBIT)
• Áreas funcionales de operaciones de TI (operaciones de centro de datos)
• Software de planificación de recursos empresariales (ERP) (SAP R/3)
• Datos, voz, y comunicaciones/conexiones de red (LAN, VAN, yWAN
• Servidor
• Licencias de software
• Ordenador central
• Sistemas operativos
• Infraestructura de la Web

- Continuidad del negocio

• Planeación de contingencias de TI

Conclusiones
Actualmente una de las grandes debilidades, por no decir que es la mayor de todas, de
los auditores que no tienen formación en ingeniería de sistemas y que seguramente de
muchas otras profesiones que realizan las labores de fiscalización control y supervisión,
es la carencia de entendimiento de las tecnologías de la información dentro de las
organizaciones a un nivel de controles y riesgos de TI.

Las normas internacionales de auditoría establecen que el auditor debe contar con
conocimientos suficientes, dentro lo que comprende el enfoque moderno de auditoria
basada en riesgos, estos conocimientos se refieren principalmente a que el auditor debe
contar con habilidades y competencias para el examen de los controles de aplicación que
están directamente relacionados a los procesos del negocio, pero también llegar a
comprender los controles generales de TI, ya que a través de la comprensión e
identificación de los probables riesgos y de los controles clave en TI pueda planificar,
dirigir, supervisar y revisar el trabajo.

Ante diversos fraudes de toda índole ocurridos a través del uso de la tecnología cada vez
más sofisticada, se ha convertido en un gran reto para el auditor en el campo el cual se
desempeña, exigiéndole a contar con mayores habilidades y competencias en este
campo, para dar un valor agregado a las organizaciones inclusive en tiempo real y
minimizando el riesgo de auditoría.
LAS NIAS 402

La NIA 402 hace referencia a la responsabilidad que tiene el auditor a la hora de

conseguir evidencias suficientes y adecuadas, incluyendo el control interno, que permitan
evaluar e identificar los riesgos de incorrección material y diseñar y aplicar procedimientos
de auditoría que hagan frente a dichos riesgos en los supuestos de entidades que utilizan
los servicios de una o más organizaciones de servicios.

Hay que tener en cuenta que una entidad puede querer realizar tareas o servicios a través
de otras organizaciones de servicios, y dichas actividades son parte de las actividades de
la entidad matriz o usuaria, y pueden ser relevantes en algunos casos a la hora de llevar a
cabo auditorías.

Entre ellos puede mencionarse:

• Las transacciones dentro de las operaciones de la entidad usuaria que sean

significativas.

• Las operaciones y registros contables para el registro y procesamiento de las

transacciones al libro mayor.

• Modo en el que el sistema de información capta hechos y condiciones significativas; el

proceso de información financiera utilizado para la preparación de los estados financieros.

• Los controles sobre asientos en el libro diario que se utilizan para registrar ajustes
o transacciones inusuales.

Los objetivos del auditor de la entidad usuaria, en el marco de esta norma, y por tanto
referente a los servicios de otra organización de servicios, serán la obtención de un
conocimiento de la naturaleza y significatividad de los servicios que dicha organización
presta y su repercusión en la entidad usuaria que puedan ser de relevancia, con el fin de
poder valorar la existencia de riesgos de incorrección material, así como diseñar
procedimientos para hacer frente a dichos posibles riesgos.

El auditor de la entidad usuaria podrá expresar su opinión con salvedades o denegar la

opinión según su evaluación y conocimiento de los efectos sobre los estados financieros
pudiendo ser materiales o generalizados.

Hay que indicar que en algunos casos puede ser necesario hacer referencia en el informe
del auditor de la entidad usuaria al trabajo en general del auditor de la entidad prestadora
del servicio para lo cual será necesario contar con el consentimiento previo del mismo.
DIA 1001, 1002, 1003, 1008

Normas Internacionales de Auditoría *

Declaraciones Internacionales de Auditoría

1001. AMBIENTES DE CIS – MICROCOMPUTADORAS INDEPENDIENTES

El Comité Internacional de Prácticas de Auditoría (“IAPC”) de la Federación

Internacional de Contadores emite las declaraciones internacionales de prácticas de
auditoría (IAPS) (“Declaraciones”) para proporcionar ayuda práctica a los auditores, con
el fin de adaptar y usar las normas Internacionales de Auditoría (“NIAs)” o para
promover una buena práctica. Las declaraciones no tienen la autoridad de las NIAs.

Esta declaración no establece nuevas normas básicas o procedimientos esenciales; su

propósito es ayudar a los auditores así como al desarrollo de una buena práctica. El
auditor ejerce su juicio profesional para determinar el alcance en que pueden ser
apropiados cuales quiera de los procedimientos de auditoría descritos en esta
declaración, a la luz de los requerimientos de las NIAs y de las circunstancias
particulares de la entidad.

El auditor comprende y considera las características de un ambiente de sistema de

información de cómputo (tecnología de la información) porque afectan al diseño del
sistema de contabilidad y a los controles internos relacionados.
Esta declaración describe los efectos que tienen las microcomputadoras independientes
sobre el sistema de contabilidad y controles internos relacionados y sobre los
procedimientos de auditoría.

La declaración incluye definiciones y comentarios sobre los siguientes temas:

Microcomputadoras independientes
Control interno en ambientes de microcomputadoras independientes

· Políticas organizacionales y procedimientos

· Protección física – equipo
· Protección física – medios removibles y no removibles
· Seguridad de programas y datos
· Continuidad de operaciones

El efecto de microcomputadoras independientes sobre el sistema de contabilidad

y los controles internos relacionados

· Controles generales – segregación de funciones

· Controles de aplicación

El efecto de un ambiente de microcomputadoras independientes sobre los

procedimientos de auditoría
* Los principios básicos y procedimientos esenciales de las Normas
Internacionales de Auditoría se identifican en negrilla
 Normas Internacionales de Auditoría *
Declaraciones Internacionales de Auditoría

1002. AMBIENTES DE CIS – SISTEMA DE COMPUTADORAS EN LÍNEA

El comité Internacional de Prácticas de Auditoría (“IAPC”) de la Federación

Internacional de Contadores emite las declaraciones internacionales de prácticas de
auditoría (IAPS) (“Declaraciones”) para proporcionar ayuda prácticas a los contadores
públicos que practican la auditoría, con el fin de adaptar y usar las normas
Internacionales de Auditoría (“NIAS)” o para promover una buena práctica. Las
declaraciones no tienen la autoridad de las NIAS.

Esta declaración no establece nuevas normas básicas o procedimientos esenciales; su

propósito es ayudar a los auditores así como al desarrollo de una buena práctica,
proporcionando lineamientos sobre la aplicación de las NIAS cuando se usen
microcomputadoras independientes en la producción de información que sea importante
para los estados financieros de la entidad. El auditor ejerce su juicio profesional para
determinar el alcance en que pueden ser apropiados cuales quiera de los
procedimientos de auditoría descritos en esta declaración, a la luz de los requerimientos
de las NIAS y de las circunstancias particulares de la entidad.

El auditor comprende y considera las características de un ambiente de sistema de

información de cómputo (CIS “Computer Information System”) porque afectan al diseño
del sistema de contabilidad y a los controles internos relacionados. Consecuentemente,
un ambiente de CIS puede afectar al plan general de auditoría, incluyendo la selección
de los controles internos en que el auditor tiene la intención de apoyarse y la
naturaleza, oportunidad y alcance de los procedimientos de auditoría.

La declaración define e incluye comentarios sobre los siguientes asuntos:

Sistemas de computadoras en línea

Tipos de sistemas de computadoras en línea

· Procesamiento en línea/tiempo real

· Procesamiento en línea/por lote
· Actualización en línea/memo (y procesamiento posterior)
· Consultas en línea; y
· Procesamiento de descarga/carga en línea

Características de los sistemas de computadoras en línea

Control interno en un sistema de computadoras en línea

Efecto de los sistemas de computadoras en línea sobre el sistema de contabilidad y los

controles internos relacionados

Efecto de los sistemas de computadoras en línea sobre los procedimientos de auditoría

* Los principios básicos y procedimientos esenciales de las Normas

Internacionales de Auditoría se identifican en negrilla
 Normas Internacionales de Auditoría *
Declaraciones Internacionales de Auditoría
1003. AMBIENTES DE CIS – SISTEMAS DE BASE DE DATOS
El Comité Internacional de Prácticas de Auditoría (“IAPC”) de la Federación
Internacional de Contadores emite las declaraciones internacionales de prácticas de
auditoría (IAPS) (“Declaraciones”) para proporcionar ayuda práctica a los Contadores
Públicos que practican la auditoría

Esta declaración no establece normas básicas nuevas o procedimientos esenciales; su

propósito es ayudar a los auditores, así como al desarrollo de una buena práctica,
proporcionando lineamientos sobre la aplicación de las NIAs cuando se usen sistemas
de bases de datos en la preparación de información que sea de importancia relativa
para los estados financieros de la entidad.

El auditor comprende y considera las características de un ambiente de Sistema de

Información de Cómputo (CIS) porque afectan al diseño del sistema de contabilidad y a
los controles internos relacionados
Esta declaración describe los efectos de un sistema de base de datos sobre el sistema
de contabilidad y los controles internos relativos y sobre los procedimientos de
auditoría.

. Cada usuario puede no estar necesariamente enterado de todos los datos

almacenados en la base de datos, o de las maneras en que pueden usarse los datos
para fines múltiples. Generalmente, los usuarios individuales conocen sólo los datos
que usan y pueden considerar los datos como archivos de computadora utilizados para
sus aplicaciones.

Cuando una entidad usa un sistema de bases de datos, es probable que la tecnología
sea compleja y pueda estar ligada con los planes estratégicos de negocios de la entidad
La declaración define e incluye comentarios sobre los siguientes asuntos:

Sistemas de bases de datos

Características del sistema de base de datos

· Datos compartidos
· Independencia de datos respecto de los programas de aplicación

Diccionario de datos
· Administración de recursos de datos
· Administración de datos
· Administración de la base de datos

Control interno en un ambiente de base de datos

· Enfoque estándar para desarrollo y mantenimiento de programas de aplicació
· Modelo de datos y propiedad de datos
· Acceso a la base de datos
· Segregación de funciones
· Seguridad de los datos y recuperación de la base de datos

1008. EVALUACIÓN DEL RIESGO Y EL CONTROL INTERNO — CARACTERÍSTICAS

Y CONSIDERACIONES DEL CIS
Introducción

Un entorno de sistema de información de cómputo (CIS) se define en la Norma

Internacional de Auditoría (NIA) 401 “Auditoría en un Entorno de Sistemas de Información
por Computadora,” como sigue:

Para los fines de las Normas Internacionales de Auditoría, existe un entorno de CIS
cuando hay implicada una computadora de cualquier tipo o tamaño en el procesamiento
por parte de la entidad de información financiera de importancia para la auditoría, ya sea
que la computadora sea operada por la entidad o por un tercero.

La introducción de todos los controles deseados de CIS puede no ser factible cuando el
tamaño del negocio es pequeño o cuando se usan microcomputadoras
independientemente del tamaño del negocio.
Estructura organizacional

En un entorno de CIS, una entidad establecerá una estructura organizacional y

procedimientos para administrar las actividades de CIS. Las características de una
estructura organizacional de CIS incluyen:

a. Concentración de funciones y conocimiento— aunque la mayoría de los sistemas que

emplean métodos de CIS incluye ciertas operaciones manuales, generalmente el número
de personas involucradas en el procesamiento de información financiera es
significativamente reducido. Más aún, cierto personal de procesamiento de datos pueden
ser los únicos con un conocimiento detallado de la interrelación entre las fuente de datos,
cómo se procesan, y la distribución y uso de los datos de salida.
b. concentración de programas y datos—a menudo están concentrados los datos por
transacción y del archivo maestro, generalmente en forma legible por la máquina, ya sea
en una instalación de computadora localizada centralmente o en un número de
instalaciones distribuidas por toda una entidad. Es probable que los programas de
computadora que dan la capacidad de obtener acceso a, y de alterar dichos datos estén
almacenados en la misma locación que los datos.

Naturaleza del procesamiento

El uso de computadoras puede dar como resultado el diseño de sistemas que
proporcionen menos evidencia que aquellos que usen procedimientos manuales. Además,
estos sistemas pueden ser accesibles a un mayor número de personas. Las
características del sistema que pueden ser resultado de la naturaleza del procesamiento
CIS incluyen:

a. Ausencia de documentos de entrada—los datos pueden ser alimentados directamente

al sistema por computadora sin documentos que los soporten. En algunos sistemas de
transacción en línea, la evidencia por escrito de la autorización de alimentación de datos
individuales (por ej., aprobación para entrada de pedidos) puede ser reemplazada por
otros procedimientos, como controles de autorización contenidos en los programas de
computadora (por ej., aprobación del límite de crédito).

b. Falta de rastro visible de transacciones—ciertos datos pueden mantenerse en archivos

de computadora solamente. En un sistema manual, normalmente es posible seguir una
transacción a través del sistema examinando los documentos fuente, libros de cuentas,
registros, archivos y reportes.
c. Falta de datos de salida visibles—ciertas transacciones o resultados del procesamiento
pueden no imprimirse. En un sistema manual, y en algunos sistemas de CIS, es posible
normalmente examinar en forma visual los resultados del procesamiento

d. Facilidad de acceso a datos y programas de computadora—se puede tener acceso a

los datos y los programas de computadora, y pueden ser alterados, en la computadora o
por medio del uso de equipo de computación en locaciones remotas.
Aspectos de diseño y de procedimiento

El desarrollo de sistemas de CIS generalmente dará como resultado el diseño y

características de procedimientos que son diferentes de los que se encuentran en los
sistemas manuales. Estos aspectos diferentes de diseño y de procedimiento de los
sistemas de CIS incluyen:

a. Consistencia de funcionamiento— los sistemas de CIS desempeñan funciones

exactamente como se les programe y son potencialmente más confiables que los
sistemas manuales, previsto que todos los tipos de transacción y todas las condiciones
que puedan ocurrir se anticipen e incorporen en el sistema.
b. Procedimientos de control programados— la naturaleza del procesamiento por
computadora permite el diseño de procedimientos de control interno en los programas de
computadora. Estos procedimientos pueden ser diseñados para proporcionar controles
con visibilidad limitada (por ej., se puede dar protección de datos contra acceso no
autorizado mediante el uso de palabras clave
e. Actualización sencilla de una transacción en archivos múltiples o de base datos—una
entrada sencilla al sistema de contabilidad puede automáticamente actualizar todos los
registros asociados con la transacción (por ej., los documentos de embarque de
mercancías pueden actualizar las ventas y los archivos de cuentas por cobrar a clientes,
así como el archivo de inventario).
d. Transacciones generadas por sistemas— ciertas transacciones pueden iniciarse por el
sistema de CIS mismo sin necesidad de un documento de entrada. La autorización de
dichas transacciones puede no ser evidenciada con documentos de entrada visibles ni
documentada en las misma forma que las transacciones que se inician fuera del sistema
de CIS (por ej., el interés puede ser calculado y cargado automáticamente a los saldos de
cuentas de clientes con base en términos previamente autorizados contenidos en un
programa de computadora)

e. Vulnerabilidad de datos y medios de almacenamiento de programas— grandes

volúmenes de datos y los programas de computadora usados para procesar dichos datos
pueden almacenarse en medios de almacenamiento portátil o fijo, como discos y cintas
magnéticos. Estos medios son vulnerables al robo, pérdida, o destrucción intencional o
accidental.

Los controles internos sobre el procesamiento por computadora, que ayudan a lograr los
objetivos globales del control interno, incluyen tanto procedimientos manuales como
procedimientos integrados en programas de computadora.

Controles generales de CIS

El propósito de los controles generales de CIS es establecer un marco de referencia de
control global sobre las actividades de CIS y proporcionar un nivel razonable de certeza
de que se logran los objetivos globales del control interno. Los controles generales de CIS
pueden incluir:

a. Controles de organización y administración—diseñados para establecer un marco de

referencia organizacional sobre las actividades de CIS, incluyendo:

• Políticas y procedimientos relativos a funciones de control.

• Segregación apropiada de funciones incompatibles (por ej., preparación de
transacciones de entrada, programación y operaciones de computadora).

b. Desarrollo de sistemas de aplicación y controles de mantenimiento— diseñados para

proporcionar certeza razonable de que los sistemas se desarrollan y mantienen de
manera eficiente y autorizada. También están diseñados típicamente para establecer
control sobre:

• Pruebas, conversión, implementación y documentación de sistemas nuevos o

revisados.
• Cambios a sistemas de aplicación.
• Acceso a documentación de sistemas.
• Adquisición de sistemas de aplicación con terceros.

c. Controles de operación de computadoras—diseñados

QUÉ ES LA NORMA ISO 20000

Cuando nos referimos a la Norma ISO 2000 lo hacemos sobre la norma internacional
de gestión de servicios TI. Esta norma ha sido publicada por la Organización Internacional
de Normalización (ISO) y la Comisión Electrotécnica Internacional (ICE), por lo que es
aceptada en la mayoría de países del mundo.

La norma ISO 20000 recoge un conjunto de procesos eficientes de gestión sobre servicios
TI, de aplicación, tanto en el ámbito interno de una empresa, como en el externo. Se trata
de una mejora y reorganización de contenidos de la norma BS15000, dándole carácter
internacional y convirtiéndola en un estándar de calidad en servicios de gestión y soporte
TI.

Cuál es el objetivo de la Norma ISO 20000

El objetivo de la norma ISO es ofrecer a las empresas una certificación que garantiza que
la metodología y buenas prácticas están correctamente establecidas en sus procesos de
gestión de la información.

Cómo se divide la norma ISO 20000

Parte 1 - ISO 20000-1:2011
Recoge un conjunto de especificaciones para la gestión eficiente del suministro de
servicios de tecnologías de la información.
Parte 2 - ISO 20000-2:2012
Recoge una serie de buenas prácticas que son aceptadas por la industria en cuanto a
la gestión de servicio TI.

Esta certificación puede ser obtenida por empresas o personas.

Las empresas deben ser evaluadas en la gestión de sus servicios TI por una empresa
acreditada, mientras que una persona debe superar un examen entre las distintas
modalidades que se ofrecen (fundamentos ISO 20000, auditor principal en ISO 20000
o implementador principal en ISO 20000).

Para cumplir con los requisitos necesarios y poder pasar el proceso de certificación ISO
20000 es fundamental que todos los miembros de la empresa se impliquen con los
objetivos y el proceso de cambio y mejora. Es probable que se
necesite formación específica para el personal para poder afrontar esta acreditación.

¿QUÉ ES ITIL?
Las siglas ITIL significan Information Technology Infrastructure Library, que
traduciríamos literalmente como Biblioteca de Infraestructura de Tecnologías de
Información. ITIL es una guía de buenas prácticas para la gestión de servicios de
tecnologías de la información (TI).

Los pilares de ITIL son los siguientes principios:

 Procesos, necesarios para la gestión de TI de acuerdo a la alineación de los

mismos dentro de la organización.
 Calidad, entendida como la entrega a cliente del producto o servicio óptimos, es
decir, incluyendo las características acordadas.
 Cliente, su satisfacción es el objetivo de la mejora de los servicios, siendo, por lo
tanto el beneficiario directo de la implantación de las buenas prácticas de ITIL.
 Independencia, siempre deben mantenerse buenas prácticas a pesar de los
métodos establecidos para cada proceso y de los proveedores existentes.

Cabe destacar que, para enfocar ese camino hacia la calidad del servicio, es necesario
contar con información fiable y segura, ya que es imprescindible que ésta sea completa y
precisa para la toma de decisiones
ITIL v4

ITIL ha sido considerado durante mucho tiempo como la “biblia del Service Management”,
es decir uno de los marcos de referencia más utilizados del mundo.

Ha sido a principios de 2019 cuando se actualizó a la versión 4 de ITIL. Su lanzamiento

ha sido necesario para la actualización de la Gestión de Servicios de TI, dado que la era
tecnológica y de transformación digital en la que vivimos convierte la gestión de TI en un
desafío cada vez más grande para adaptarse a las nuevas necesidades de las
organizaciones.

LA NORMA ISO 22301

 Es un estándar internacional que establece los requisitos para los sistemas de gestión de
la continuidad del negocio.

La ISO 22301 se aplica a cualquier tipo de organización, independientemente de su

tamaño o sector. Los sistemas de gestión de la continuidad del negocio pueden ser
implementados por empresas públicas o privadas, organizaciones sin fines de lucro,
instituciones gubernamentales, entre otros.

Estructura de la norma ISO 22301

La norma ISO 22301 se compone de 10 secciones, que establecen los requisitos para los
Sistemas de Gestión de la Continuidad del Negocio (SGCN) de las organizaciones. A
continuación, se detallan las secciones de la norma ISO 22301:

1. Objeto Aquí se define el alcance del SGCN de la organización, especificando los

procesos, actividades y áreas que se incluyen en el sistema.
2. Referencias normativas: En este apartado se incluye una norma adicional y
documentos relacionados que son aplicables al SGCN.
3. Términos y definiciones: Se desglosan los términos y definiciones utilizados en
la norma ISO 22301, lo que garantiza que todas las partes involucradas en el
SGCN utilicen el mismo lenguaje y comprendan los mismos conceptos.
4. Contexto de la organización: En esta sección se establece los requisitos para
que la organización comprenda el contexto en el que opera el SGCN, incluyendo
los requisitos legales, regulatorios y contractuales, las partes interesadas y el
alcance del SGCN.
5. Liderazgo: Aquí se listan los requisitos para que la alta dirección de la
organización asuma la responsabilidad de la implementación y mantenimiento del
SGCN
6. Planificación: Esta sección establece los requisitos para la planificación del
SGCN, incluyendo la identificación de los riesgos y oportunidades del SGCN y la
definición de objetivos.
7. Soporte: En este apartado de la norma se exponen los requisitos para el soporte
del SGCN, incluyendo la provisión de recursos, la comunicación, la
documentación, el conocimiento y la competencia.
8. Operación: Aquí se desarrollan los requerimientos para la implementación y
operación del SGCN, incluyendo la realización del Business Impact Analysis (BIA),
análisis de riesgos, medidas de mitigación, gestión de crisis y planes y pruebas.
9. Evaluación del desempeño: Este apartado indica los requisitos para la
evaluación del desempeño del SGCN, incluyendo la medición, el análisis y la
evaluación de la eficacia del sistema y, por último, la realización de auditoría
interna y revisión del sistema por dirección.
10. Mejora: Por último, aquí se listan los pasos a seguir para la mejora continua del
SGCN, incluyendo la toma de acciones para abordar las no conformidades, la
evaluación de la eficacia de las medidas tomadas y la actualización del SGCN.

Beneficios de la implantación de ISO 22301 en las compañías

La implementación de un sistema de gestión de la continuidad del negocio basado en la
norma ISO 22301 ofrece varios beneficios para las compañías, entre los que se incluyen:

 Identificación y evaluación de riesgos: La norma proporciona un marco para la

identificación y evaluación de los riesgos que pueden afectar la continuidad del
negocio de una organización. Esto incluye riesgos físicos, como terremotos o
incendios, así como riesgos cibernéticos o riesgos relacionados con la cadena de
suministro.
 Planificación de la respuesta ante situaciones de crisis: Podrás establecer los
requisitos para desarrollar planes de respuesta ante situaciones de crisis que
permitan a la organización responder de manera rápida y efectiva en caso de
emergencias.
 Implementación de medidas de mitigación: Derivado de la realización del
Análisis de riesgos del primer punto. Se implementarán medidas de mitigación
para minimizar el impacto de las situaciones de crisis y mejorar su capacidad de
recuperación.
 Mantenimiento de la continuidad del negocio: La norma ISO 22301 establece
los requisitos para mantener la continuidad del negocio durante y después de
situaciones de crisis. Esto incluye la implementación de sistemas de respaldo y
planes de recuperación para asegurar que las operaciones de la organización
puedan continuar en un entorno degradado.
 Pruebas periódicas: Una de las claves cuando tienes el SGCN implantado son
los planes de pruebas planificados para comprobar que todos los planes de
continuidad funcionan correctamente en los tiempos esperados.
 Mejora continua: Otro de los beneficios por su implantación es que la norma ISO
22301 también establece los requisitos para evaluar y mejorar continuamente el
sistema de gestión de la continuidad del negocio. Esto ayuda a las organizaciones
a adaptarse a los cambios en su entorno y a mejorar su capacidad de
recuperación.

¿Por qué implantar la norma con un software?

La implementación de un sistema de gestión de la continuidad del negocio

(SGCN) basado en la norma ISO 22301 puede ser un proceso complejo y desafiante. No
obstante, una herramienta de software diseñada específicamente para el SGCN puede
simplificar y agilizar el proceso de implementación, mejorando la eficacia y eficiencia del
sistema de una forma rápida y pensando en el usuario.

Aquí hay algunas razones por las que es recomendable implantar la norma ISO 22301
con un software:

 Automatización de procesos: Un software especializado para el SGCN puede

automatizar muchos de los procesos que se requieren para la implementación y
mantenimiento del sistema. Esto incluye automatizar la documentación, la gestión
de riesgos, la gestión de incidentes y los planes de continuidad del negocio.
 Mejora de la eficiencia: La automatización de los procesos puede mejorar la
eficiencia de la implementación del SGCN, permitiendo que los recursos se
centren en otras tareas importantes.
  Mayor precisión: La automatización de los procesos puede mejorar la precisión
de la información que se maneja en el SGCN, lo que permite una mejor toma de
decisiones.
 Mayor seguridad: Un software especializado para el SGCN puede mejorar la
seguridad de la información, evitando que datos confidenciales y sensibles se
extravíen o sean comprometidos.
 Mejora de la colaboración: Un software especializado para el SGCN puede
mejorar la colaboración entre los diferentes departamentos de la organización,
facilitando el intercambio de información y la toma de decisiones.
 Completa trazabilidad: La herramienta dispone un seguimiento entre procesos,
activos, BIA, Análisis de riesgos, estrategias, planes y pruebas para tener la
confianza que todo está completamente considerado en el SGCN.
 Facilidad en la auditoría: El uso de un software especializado para el SGCN
puede facilitar la auditoría del sistema, permitiendo una mejor documentación y
seguimiento de las medidas tomadas.
Mejora tu capacidad para enfrentar situaciones de crisis y minimiza los riesgos de
interrupción de tus actividades implementando la norma ISO 22301 con GlobalSuite
Solutions. Automatiza procesos, mejora la precisión y colabora en la toma de decisiones
con nuestro software especializado en continuidad de negocio.

ISO 27000

ISO 27000 es un conjunto de estándares internacionales sobre la Seguridad de la

Información. La familia ISO 27000 contiene un conjunto de buenas prácticas para el
establecimiento, implementación, mantenimiento y mejora de Sistemas de Gestión de la
Seguridad de la Información.

Asimismo, los pilares principales de la familia 27000 son las normas 27001 y 27002. La
principal diferencia entre estas dos normas, es que 27001 se basa en una gestión de la
seguridad de forma continuada apoyada en la identificación de los riesgos de forma
continuada en el tiempo. En cambio, 27002, es una mera guía de buenas prácticas que
describe una serie de objetivos de control y gestión que deberían ser perseguidos por las
organizaciones.

Un Sistema de Gestión de la Seguridad de la Información es un conjunto de políticas y

procedimientos que sirven para estandarizar la gestión de la Seguridad de la Información.
A continuación les dejamos algunos detalles de cada uno de los estándares que están
incluidos en la familia de ISO 27000.

 ISO 27000: contiene el vocabulario en el que se apoyan el resto de normas. Es

similar a una guía/diccionario que describe los términos de todas las normas de la
familia.
 ISO 27001: es el conjunto de requisitos para implementar un SGSI. Es la única
norma certificable de las que se incluyen en la lista y consta de una parte principal
basada en el ciclo de mejora continua y un Anexo A, en el que se detallan las
líneas generales de los controles propuestos por el estándar.
 ISO 27002: se trata de una recopilación de buenas prácticas para la Seguridad de
la Información que describe los controles y objetivos de control. Actualmente
cuentan con 14 dominios, 35 objetivos de control y 114 controles.
 ISO 27003: es una guía de ayuda en la implementación de un SGSI. Sirve como
apoyo a la norma 27001, indicando las directivas generales necesarias para la
correcta implementación de un SGSI. Incluye instrucciones sobre cómo lograr la
implementación de un SGSI con éxito.
 ISO 27004: describe una serie de recomendaciones sobre cómo realizar
mediciones para la gestión de la Seguridad de la Información. Especifica cómo
configurar métricas, qué medir, con qué frecuencia, cómo medirlo y la forma de
conseguir objetivos.
 ISO 27005: es una guía de recomendaciones sobre cómo abordar la gestión de
riesgos de seguridad de la información que puedan comprometer a las
organizaciones. No especifica ninguna metodología de análisis y gestión de
riesgos concreta, pero incluye ejemplos de posibles amenazas, vulnerabilidades e
impactos.

SEGURIDAD DE LA INFORMACION LEYES DE BOLIVIA

Decreto Supremo 1793 de reglamentación a la Ley 164

Artículo 3, Párrafo VI

1. Seguridad informática: Es el conjunto de normas, procedimientos y

herramientas, las cuales se enfocan en la protección de la infraestructura
computacional y todo lo relacionado con ésta y, especialmente, la información
contenida o circulante;
2. Seguridad de la información: La seguridad de la información es la preservación
de la confidencialidad, integridad y disponibilidad de la información; además,
también pueden estar involucradas otras propiedades como la autenticidad,
responsabilidad, no repudio y confiabilidad;
3. Plan de contingencia: Es un instrumento que comprende métodos y el conjunto
de acciones para el buen gobierno de las Tecnologías de la Información y
Comunicación en el dominio del soporte y el desempeño, contiene las medidas
técnicas, humanas y organizativas necesarias para garantizar la continuidad del
servicio y las operaciones de una entidad, en circunstancias de riesgo, crisis y
otras situaciones anómalas.

Artículo 4 Párrafo II, Inciso d)

Seguridad: Se debe implementar los controles técnicos y administrativos que se

requieran para preservar la confidencialidad, integridad, disponibilidad, autenticidad, no
repudio y confiabilidad de la información, brindando seguridad a los registros, evitando su
falsificación, extravío, utilización y acceso no autorizado o fraudulento.

Artículo 8

Las entidades públicas promoverán la seguridad informática para la protección de datos

en sus sistemas informáticos, a través de planes de contingencia desarrollados e
implementados en cada entidad.

CLASIFICACIÓN DE LOS USUARIOS

Continuando con nuestro programa de empezar de cero, por donde empiezo vamos a
tratar de definir tres tipos de usuario para que te coloques en uno de los tres y tu elección
sea más fácil.

Primero decir que nos vamos a centrar en ordenadores de sobremesa como si portátiles,
tabletas, ultrabook, móviles etc… no existiesen para intentar que la cosa sea sencilla y
piensa que todo de lo que hablamos es igual para cualquier tipo de ordenador y para
cualquier sistema operativo Windows, Apple o Linux.

Dividimos en tres tipos de usuarios dependiendo del uso que se le vaya a dar al
ordenador en relación a los documentos o ficheros con los que trata, les podemos llamar
de distinta manera pero la clasificación típica es:

 Usuario básico
 Usuario Intermedio
 Usuario avanzado.

El usuario básico o usuario de ofimática o de oficina es el usuario típico de una

oficina que se dedica a la gestión de documentos con hojas de cálculo o procesadores de
texto, que navega por internet y se comunica por correo con los clientes. Por supuesto
hace fotos con su cámara o móvil y las quiere ver en su ordenador

Usuario intermedio o usuario de ofimática con multimedia es el usuario que trabaja

haciendo las mismas funciones que los usuarios de administración pero tiene que trabajar
con ficheros de audio o vídeo, imágenes no de gran tamaño pero si con frecuencia
normalmente técnicos o profesionales que se apoyan en imágenes o audios.

El usuario avanzado o usuario profesional son los usuarios que se dedican al

tratamiento de imágenes o vídeos, como son los diseñadores, arquitectos, fotógrafos o
edición de vídeo y a los que les gusta jugar o gaming.