ISO 17799/27001

A continuación se presenta una imagen dónde se especifican los dominios que contiene la ISO 27001:

MAGERIT

MAGERIT

(Metodología de análisis y gestión de riesgos en los sistemas de información)

A CONTINUACIÓN SE PRESENTA UN MAPA CONCEPTUAL DONDE SE BUSCA EXPLICAR LO QUE ES MAGERIT, DETERMINANDO SUS OBJETIVOS, ELEMENTOS Y FUNCIONES.

A CONTINUACIÓN DE PRESENTA LA METODOLOGÍA DE MAGERIT EN UNA IMAGEN, DONDE SE INCLUYEN LOS ELEMENTOS MENCIONADOS EN EL MAPA Y LOS OBJETIVOS DE REDUCCIÓN DE RIESGO LÓGICO Y ACTIVO

POR ÚLTIMO SE PRESENTA EL MARCO PARA LA GESTIÓN DEL RIESGO DE MAGERIT

COBIT (Objetivos de Control para la Información y Tecnología Relacionada)

COBIT, que por sus siglas en español significa Objetivos de Control para la Información y Tecnología Relacionada, es un marco de Referencia aplicado para las buenas prácticas de control y gobierno de tecnologías de la información a través de la empresa.

Su misión, tomada de la página de COBIT es “Investigar, desarrollar, hacer público y promover un marco de control de gobierno de TI autorizado, actualizado, aceptado internacionalmente para la adopción por parte de las empresas y el uso diario por parte de gerentes de negocio, profesionales de TI y profesionales de aseguramiento”.

COBIT busca alcanzar objetivos de control en tecnología, flujo de información y riesgo.

Su función es ser una guía integral, oriendata a los procesos,  basado en controles impulsados por mediciones, dirigido a los siguientes usuarios: Proveedores, Usuarios, Auditores de IT, Gerencia y Dueños de los procesos.

Fue desarrollado por ISACA (Information System Audit and Control Association) en 1996, quien es una asociación internacional que apoya y financia  el desarrollo de metodologías y certificaciones para la realización de actividades de auditoría y control en sistemas.

Dentro de la certificaciones que ofrece podemos encontrar:

·      CISA (Certified Information System Auditor).

·      CISM (Certified Information Security Manager).

·      CGEIT (Certified in the Governance of Enterprise Information Tecnology)

·      CRISC (Certified in Risk and Information System Control)

COBIT, en su versión 4.1 y 5 maneja 34 procesos que cubren 210 objetivos de control, clasificados en 4 dominios (o procesos de tecnología de la información):

·   Planificación y organización (PO, que contiene 10 procesos): : Proporciona dirección para la entrega de soluciones en la adquisición e implementación de los controles y la entrega de servicio .

·   Adquisición e implementación (AI, que contiene 7 procesos): Proporciona las soluciones (a las cuales se llega por el proceso anterior) y las pasa para convertirlas en servicios.

·   Entrega y soporte (DS, que contiene 13 procesos): Recibe las soluciones y las hace utilizables por los usuarios finales.

·   Supervisión/Monitoreo y evaluación (ME, que contiene 4 procesos): : Monitorear     todos los procesos para asegurar que están cumpliendo con su objetivo y están siguiendo la dirección prevista.

Para llevar a cabo dichos procesos, es necesario que la empresa cuente con unos requerimientos para la información del negocio, y unos recursos que soporten la tecnología de información necesaria para desarrollar COBIT y brienden capacidad técnica, de soporte, genere resultados deseados y ayude al cumplimiento de objetivos del negocio.

Estos dos elementos se muestran de forma mas clara en el denominado Cubo de COBIT.

Es importante aclara que antes que nada la empresa debe entender el estado de sus Sistemas de Información y de todos sus componentes, determinar si esta cumpliendo con su objetivo y determinar cual sería el nivel de administración y control que se debe proporcionar para que este empiece a funcionar de forma eficiente. La concepción que debe tener el empresa antes de adaptar COBIT es la de costo-beneficio.

Es por esto, que existen 3 métodos para medir el desempeño de los sistemas de información con el fin de determinar si es necesario o no la implementación del marco de COBIT.

Modelo de madurez

Consiste en un método de asignación de puntos para que una organización pueda calificarse desde inexistente hasta optimizada (0 a 5). Se basa en el Modelo de Madurez que el Software Engineering Institute definió para la madurez de la capacidad de desarrollo de software.

La siguiente imagen presenta la clasificación de la empresa de acuerdo a su nivel de control sobre su IT.

Las escalas del Modelo de Madurez ayudarán a la gerencia de usuarios a explicar a los administradores dónde existen deficiencias en la administración de TI y a fijarse objetivos para donde necesitan estar comparando las prácticas de control de su organización con los ejemplos de la mejor práctica. El nivel correcto de madurez estará influenciado por los objetivos de negocio y el entorno operativo de la empresa. 

Metas y medición del desempeño para los procesos de TI

EL siguiente modelo se explica en la siguiente imagen, y lo que busca es determinar si el sistema de información y los procesos de TI están cumpliendo con sus objetivos, y lo más importante, están ayudando a cumplir los objetivos de la empresa.

Metas de actividades

Las metas de actividades del negocio, específicamente de la TI, se puede establecer por medio de la matriz raci.

La matriz raci busca determinar, según las actividades de la TI, quienes son:

·  Responsables

·  Rinden cuentas

·  Consultados

·  Informados

En el lado izquierdo de la matriz se encuentran las actividades relacionadas con la TI, y el en lado derecho superior se encuentra el personal de la compañía, con lo cual se busca determinar quien es responsable de que.

El siguiente gráfico ilustra la matriz raci.

Por último, la aplicación de COBIT dentro de la organización trae consigo 3 ventajas, como lo son: Mejora la toma de decisiones al asegurarse de hacerlo bajo información libre de errores, mejora la comunicación con los clientes y permite el aseguramiento de la información.

Además de esto, permite a la compañía obtener las siguientes ventajas competitivas:

·   Identificar oportunidades

·   Ayudar al cumplimiento de objetivos

·   Reducir riesgo

Aspectos importantes del modelo COSO

COSO

(Committe of Sponsoring Of The Treadway Commission)

DEFINICIÓN: Es un comité fundado en 1985 por 5 organizaciones del sector privado (AICPA, AAA, FEI, IIIA, IMA) dedicado a proporcionar liderazgo de pensamiento a través de la creación de marcos y orientación sobre:

1.  Gestión de riesgos empresariales (ERM)
2. Control Interno
3. Disuasión del fraude
4. Ética de negocios
5.   Informes Financieros.

El COSO es un proceso ejecutado por la dirección y el resto del personal de una organización, con el fin de proporcionar un grado de seguridad razonable para la consecución de los objetivos de la entidad. Serie de acciones aplicadas a todas las actividades y procesos básicos de la administración (Planificación, organización, dirección y control).

CATEGORÍAS DE OBJETIVOS:

1. .       Eficacia y eficiencia de las operaciones
2.        Confiabilidad de la información
3.         Cumplimiento de las leyes, reglamentos y normas.

CONCEPTOS BÁSICOS:

 CONTROL INTERNO: Proceso efectuado por todo el personal en todos los niveles de la organización (junta directiva, dirección y otro personal), diseñado para proveer seguridad razonable en la consecución de los objetivos de la organización (efectividad y eficiencia operacional, confiabilidad en los reportes financieros, cumplimiento de las leyes y regulaciones y la protección de los activos). Acción humana por lo tanto es susceptible de errores de procesamiento o juicio, colisión de empleados o coacción por la alta gerencia.

MARCO INTEGRAL DE CONTROL INTERNO:

COMPONENTES DEL MARCO DE CI:

1. Ambiente de Control: Proporciona disciplina y estructura (integridad, valores éticos, delegación y ejecución de funciones, autoridad).

2. Evaluación de riesgo: (mediante fuentes internas y externas) establecer objetivos para después identificar y analizar los riesgos potenciales que pueden afectar la consecución de los objetivos y así más adelante administrar tales riesgos.

3. Actividades de control: Políticas y procedimientos para enfrentar los riesgos, aplicadas en todos los niveles y funciones de la organización (aprobaciones, autorizaciones, verificaciones, conciliaciones, revisiones de desempeño operacional, protección de activos y de funciones).

4. Información y Comunicación: sistemas de información de control interno, que producen los informes (financieros, operativos) de acuerdo con la normatividad, que permitan ejecutar y controlar el negocio. Comunicación efectiva hacia abajo (comunicación interna y externa).

5. Monitoreo: Supervisión y evaluación permanente o independiente del desempeño de los sistemas de control interno. Detección y reporte de deficiencias para tomar decisiones correctivas para asegurar una mejora continua.

MARCO INTEGRAL DE GESTIÓN DE RIESGO EMPRESARIAL (ERM):

Se relaciona con el Control Interno, para la gestión de riesgos empresariales que pueden afectar la consecución de los objetivos del negocio.

1.   Estratégicos: (Relacionados con la misión).
2. Operacionales: (Uso eficaz y eficiente de los recursos).
3.  De reportes: (Confiablidad de la información).
4. Cumplimiento: (De acuerdo a la normatividad).

COMPONENTES DEL MARCO ERM:

      1. Ambiente de Control: (Filosofía de gestión de riesgo y apetito de riesgo, la integridad, los valores y el entorno)

2. Establecimiento de Objetivos: (Fijar objetivos relacionados con la misión y el apetito de riesgo propuesto por la entidad).

3. Identificación de eventos: (riesgos y oportunidades internas/externas).

4. Evaluación del Riesgo: (probabilidad/impacto, inherente/residual).

5. Respuesta al Riesgo: (Evitar, aceptar, reducir o compartir los riesgos).

6. Actividades de Control: (Políticas y procedimientos).

7. Información y Comunicación: (Sistema de Control Interno, producción de informes, comunicación efectiva interna y externa).

   8. Monitoreo: (evaluación del desempeño del sistema de CI, detección y reporte de deficiencias, mejora continua).

LEY SOX RELACIÓN CON EL CI Y LA TI: 

Para proteger a los usuarios (accionistas e inversores) de las compañías de interés público contra el fraude y las malas prácticas se creó la ley SOX en EEUU donde se propició la adquisición de tecnologías de vanguardia para el control interno, se exigió: la creación de comités de auditoria dentro de las organizaciones, responsabilidad de la compañía (ejecutivos) por los informes financieros, evaluación de la gerencia de los controles internos, tiempo real de revelación del emisor, negación de préstamos a los ejecutivos de la compañía, etc.

ACTIVIDADES DE CONTROL DE LA TI: 

Cumplimento de la regulación, gestión de amenazas (virus), protección de privacidad, supervisión, auditoria, aseguramiento continuo, seguridad de redes inalámbricas, protección contra intrusos, tercerización de TI, Medidas de seguridad empresarial, Gestión de identidad, Adquisiciones y ventas, impacto en la gestión de sistemas.

CLASIFICACIÓN DE ACTIVIDADES DE CONTROL DE TI:

(Actividades de control general y actividades de control de aplicación). De gobierno: Políticas y procedimientos. De gestión: normas de organización y de gestión, controles físicos y del entorno. Técnico: Controles de software de sistemas, de desarrollo de sistemas, basados en aplicaciones.

CATEGORÍAS FUNDAMENTALES DE CONTROL GENERAL DE TI:

-          -Seguridad física y de la información.

-          -Gestión de cambio

-          -Continuidad del negocio y recuperación de desastres.

Panorama sobre la evolución de las prácticas de auditoría

LECTURA: http://www.javeriana.edu.co/fcea/cuadernos_contab/vol3_n_13/vol3_13_3.pdf

Control Interno

LECTURA: http://www.javeriana.edu.co/fcea/cuadernos_contab/vol1_n_7/vol1_7_6.pdf

Introducción a la arquitectura computacional - Hardware y Software

Ahora que nos adentramos a la era de la Tecnología de la Información es de vital importancia conocer los componentes básicos de un sistema de computo y como es el funcionamiento de este. 

• 
  
• Los sistemas de cómputo se pueden dividir en dos partes; Hardware y Software.
  
  
  HARDWARE: Se describe como la parte física del computador, es decir, lo que se puede tocar. El hardware a su vez se clasifica en:
  1.  Hardware externo (Periféricos): En esta clasificación se incluyen los elementos de entrada y salida (input y output), donde podemos encontrar como ejemplos el monitor, el mouse y el teclado.
  2.  Hardware interno (Componentes): En esta clasificación encontramos la CPU, la memoria RAM, y el disco duro, los cuales explicaremos a continuación.
  
  
  CPU: Microchip que recibe y decodifica cualquier instrucción o código de la memoria. Dentro de la CPU se encuentran:
  ·Unidad lógica: Aquella encargada de realizar operaciones con números.
  ·Unidad de control: Aquella que regula el flujo de instrucciones o datos a través del procesador.
  
  
  Memoria RAM: Se utiliza para llevar a cabo las instrucciones en el momento de uso, es decir, al instante. Esto quiere decir que es un sistema volátil, que necesita de electricidad para funcionar, por ende cuando el PC de apaga deja de funcionar y no almacena datos o información.
  Se puede concebir como una secuencia de celdas que están vacías o contienen instrucciones o datos, donde cada celda tiene su propia dirección.
  
  
  Disco duro: Es el dispositivo en el cual se almacena toda la información del PC, esto quiere decir que no es volátil, y así se apague el PC, almacena la información utilizada.
  
  
  Bit: Derivado de la frase dígito binario, es la unidad más pequeña de información que utiliza un ordenador, que puede estar encendida (1) o apagada (0), dependiendo el patrón o estado que quiera representar.
  
  
  SOFTWARE: Se define como el conjunto de instrucciones necesarias para hacer diferentes tareas a través de:
  1. Sistema Operativo (Software de sistemas): Controla la entrada de acceso e interacción entre los componentes del software y el hardware. Como ejemplos encontramos WINDOWS 7, WINDOWS XP y WINDOWS VISTA entre otros.
  2. Programas y aplicaciones (Software y aplicaciones): Como ejemplos podemos encontrar Office 2010, Skype y Google Chrome.
  
  
  
  Existen sistemas de información dedicados al software y hardware de una compañía, dentro de estos encontramos Network Inventory Advisor, el cual posee las siguientes funciones:
  

  ·         Realiza un inventario profesional de la red.

  

  ·         Asegura una gestión eficaz de la red.

  ·         Gestión simplificada de los activos.

  ·         Software de inventario de computadores.

  ·         Inventario del software correctamente realizado.

  ·         Inventario del hardware.

  ·         Auditoría y cumplimiento de las licencias.

  ·         Base de conocimiento del inventario de la red.