13 abril 2016
04 abril 2016
MAGERIT
MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información)
Fuente: https://www.youtube.com/watch?v=K9VxSSL45xY
Creado en 1997 por el Consejo Superior de Administración Electrónica, su tercera versión corresponde al 2012. Fue creada con la finalidad de dar protección a los usuarios de los sistemas de información (SI) por medio de analizar la existencia de los riesgos en los SI y de minimizarlos a tiempo, mediante la planificación de controles efectivos contra estos. De esta manera los usuarios aprovechan os beneficios de los SI y a su vez se encuentran alertados sobre los riesgos del mismo.
Objetivos
- Concientizar a los responsables de la informacion sobre los riesgos y la necesidad y gestionarlos
- Ofrece un método para analizar los riesgos
- Planifica oportunamente para controlar los riesgos
- Prepara a la organización para procesos de evaluación, auditoría, acreditación, entre otras.
Fuente: http://calidadtic.blogspot.com.co/2014/02/gestion-del-riesgo.html
*Modelo de valor: valor de los activos en la organización
*Mapa de riesgos: amenazas a las que están expuestos los activos
*Evaluación de salvaguardas: evalúa las salvaguardas según el riesgo de los activos
*Estado de riesgo: riesgo residual de los activos
*Informe de insuficiencias: salvaguardas insuficientes
*Plan de seguridad: plan general sobre la gestión del riesgo
Dimensiones de seguridad
*Disponibilidad: de los servicios para ser utilizados y así mejorar la productividad de la organización
*Integridad: información completa y veraz
*Confidencialidad: la información solo puede llegar a las personas autorizadas
*Autenticidad: quien utiliza los datos
*Riesgo: exposición a que una amenaza se materialice
*Análisis de riesgo: proceso para estimar la magnitud de los riesgos
*Gestión de riesgo: salvaguardas para minimizar los riesgos
28 marzo 2016
COBIT
ISACA
- Information Systems Audit and Control Association
- ISACA fue creada en 1969
- Ofrece estándares, certificaciones, acreditación y desarrollo de carrera en toda la temática relacionada con la auditoría en sistemas de información, seguridad de la Información y Gestión y Gobierno de la Tecnologías de la Información (TI)
- ISACA conjuntamente con la ITGI (IT Governance Institute) son precursores en la creación del COBIT. LA ITGI es una institución que ayuda a la compañías para maximizar la inversión y cumplir con los objetivos del negocio, mediante la apropiada gestión a los riesgos y oportunidades que brinda la TI.
Certificaciones de ISACA:
· CISA Certified Information Systems
Auditor
· CISM Certified Information Security
Manager
· CGEIT Certified in the Governance
of Enterprise IT
· CRISC Certified in Risk and
Information Systems Control
Requisitos para
acceder a las certificaciones:
- Aprobar el examen
- Tener experiencia suficiente
- Mantener una educación profesional continua
- Apegarse al Código de Ética de ISACA
- Cumplir con los estándares de ISACA
COBIT
(Control objetives for Information and related Technology)
El
COBIT es un marco aplicable para las buenas prácticas de control,
seguridad y gobierno de la TI. Se utiliza en la implementación del gobierno de TI y para mejorar los controles de TI.- Ayuda a las organizaciones a lograr sus metas
- Crea valor en la organización
- Administración de TI de manera holística en toda la empresa
Hechos históricos relevantes:
- En 1992 la dependencia de las compañías en la TI aumentó, por ello este tema tomo relevancia en el gobierno corporativo.
- En 1995 inició el proyecto COBIT
- Primera edición COBIT 1996 creada por ISACA
- Segunda edición 1998 creada por ISACA
- Tercera edición 2000 creada por ITGI
- Cuarta edición 2005
- Quinta versión 2012
Fuente: https://chauditoriaudecaldas.wordpress.com/2014/02/04/evolucion-del-cobit-1996-2012/
GOBIERNO DE TI
El Gobierno de TI son las acciones de la gerencia con relación a la TI para:
- Maximizar valor
- Identificar riesgos y minimizarlos
- Asignar responsabilidades
- Alinear los objetivos de la TI con los objetivos organizacionales
Fuente: http://www.bitcompany.biz/que-es-cobit/#.Vx_bHfnhCM8
·
Alineación estratégica: alineación de TI con la estrategia de la compañía
·
Entrega de valor: optimizar
costos y dar valor a TI
·
Administración de recursos: optimizan conocimiento e infraestructura
· Administración de riesgos: conocimiento
de los riesgos y su administración
· Medición
de desempeño: monitorea
GOBIERNO DE TI Y COBIT
Cuando COBIT se aplica en un marco de gobierno de TI brinda a la compañía:
- Organiza las actividades de TI en un proceso empresarial
- Identifica recursos de TI necesarios
- Define los principales objetivos de Control Interno (CI)
- Contribuye al cumplimiento de los objetivos organizacionales
BENEFICIOS DE COBIT
- Brinda soporte para el cumplimiento de la herramienta de control interno COSO
- Lenguaje empresarial común, tanto para toda la entidad como para los terceros y reguladores
- Orientado hacia procesos
NIVELES DE COBIT
- Estratégico: nivel gerencial, desde ahí se crea la idea de la creación de un gobierno de TI
- Táctico: administración del negocio y de la tecnología de información, mediante actividades como benchmark.
- Operativo: implementa los controles para minimizar riesgos, asegurar información y brindar seguridad.
Fuente: http://www.javeriana.edu.co/personales/hbermude/Audire/jarb.pdf
PRINCIPIOS DE COBIT
- Satisfacer las necesidades de las partes interesadas
- Cubrir a la compañía en forma integral: el sistema de Gobierno de TI fluye en toda la organización
- Aplicar un marco integrado: como lo pueden ser COSO, COSO ERM, los estándares ISO
- Enfoque holístico
- Separar el gobierno de la administración: puesto que cumplen funciones diferentes, por un lado el gobierno evalúa las necesidades de los stakeholders y la administración planifica, organiza, direcciona y monitorea actividades.
CUBO COBIT
Fuente: http://laimportanciadelaauditoria2014.blogspot.com.co/
- Procesos de TI: la primera cara del cubo se divide en dominios, procesos y actividades.
- Dominios: son 34 procesos que se agrupan en cuatro categorías de dominios:
- Planear y Organizar (PO): integra los objetivos de TI con la consecución de los objetivos organizcionales
- Adquirir e Implementar (AI) modifica y mejora los SI
- Entregar y Dar Soporte (ES):administra los servicios y da soporte a los usuarios
- Monitorear y Evaluar (ME): verifica si está funcionando correctamente el CI
- Procesos: conjunto de actividades definidas por corte de control
- Actividades: tareas con un resultado medible.
2. Requerimientos del negocio son vitales para poder cumplir con los objetivos empresariales, para ello la información necesita cumplir con los siguientes requerimientos de control:
Fuente:http://www.javeriana.edu.co/personales/hbermude/Audire/jarb.pdf
3. Recursos de TI se dividen en las categorías de: aplicaciones, información, personas e infraestructura:
Fuente: http://www.javeriana.edu.co/personales/hbermude/Audire/jarb.pdf
COBIT 4,1
- Los objetivos de TI se alinean con los del negocio
- Enfocado en procesos
- Lenguaje común
- Alineación con diversos estándares (COSO)
- Maximiza los recursos de TI
- Administra los riesgos de TI
COBIT 5,0
- Busca integrar varios marcos en uno solo
- Aquellas empresas que ya han implementado COBIT 4,1 el cambio a COBIT 5,0 no implica mayores costos, puesto que solo es una mejora al programa existente
- Enfocado en ser un sistema completo y sencillo de usar.
14 marzo 2016
COSO
COSO: Committee of Sponsoring Organizations
Fue creado en 1992 como un manual de control interno, el cual tiene como ventajas brindar a la compañía una visión global del riesgo, puesto que se logra una alineación de los objetivos empresariales con los riesgos y los controles, de esta manera la dirección puede tomar decisiones de una forma más segura.Control interno
El control interno es un proceso que se integra con los demás procesos organizacionales, efectuados por la administración, dirección y toda la compañía en general. Mediante este se busca cumplir con los objetivos de la organización para lo cual esta herramienta brinda una seguridad razonable más no absoluta.Componentes de COSO
Fuente http://nahunfrett.blogspot.com.co/2012_01_01_archive.html
Ambiente de control
El ambiente de control es un entorno el cual busca influenciar a toda la organización para que se integren en la filosofía de control interno.
Valoración del riesgo
- Se identifican y analizan los riesgos relevantes que afecten el cumplimiento de los objetivos empresariales.
- Los riesgos pueden ser factores internos o externos a la organización.
- Los objetivos pueden ser: operativos, financieros o de cumplimiento
Actividades de control
Son actividades orientadas hacia tratar los riesgos que afectan la consecución de los objetivos
Información y comunicación
La información relevante debe identificada, capturada y comunicada mediante un sistema de información desde el cual se producen informes sobre la gestión de la organización, los cuales deben ser enviados al recurso humano de forma oportuna para que todas las personas puedan aportar y mejorar el sistema de control
Monitoreo
Una vez el sistema de control interno está funcionando plenamente, es necesario vigilar que efectivamente este funcionando y en caso dado de encontrar falencias poder ser corregidas a tiempo. El monitoreo debe ser una actividad constante mediante evaluaciones periódicas de los riesgos y de la eficacia de la supervisión.
Ley SOX
La Ley Sarbanes-Oxley fue aprobada en Estados Unidos en 2002 con la finalidad de proteger a los inversionistas con base a unos requerimientos que buscan brindar confiabilidad en la información financiera de las empresas. Esta Ley en su sección 404 trata el tema de la evaluación de la gerencia de los controles internos, para cumplir con este punto de la Ley el mejor marco de control interno es el COSO.
COSO II o COSO ERM
Fuente: http://qtec.pe/aulavirtual/course/index.php
- El COSO ERM tiene un enfoque de mitigar el riesgo, este proyecto se finalizó en 2014
- La diferencia entre COSO I y COSO II es que el segundo incorpora la nueva categoría de objetivos estratégicos y tres componentes adicionales: identificación de eventos, respuesta al riesgo y establecimiento de objetivos.
- El objetivo del COSO II es ayudar a los gerentes y empleados a gestionar el riesgo con la finalidad de cumplir los objetivos organizacionales.
Identificación de eventos
Identifica los eventos que pueden afectar el logro de la estrategia, estos eventos pueden ser tanto positivos (oportunidades) como negativos (riesgos)
Respuesta al riesgo
Se pueden dar las siguientes respuestas al riesgo:
- Evitarlo
- Reducirlo
- Compartirlo
- Aceptarlo
Establecimiento de objetivos
Los objetivos estratégicos con aquellos que se encuentran alineados con las metas de la organización. La empresa debe establecer un nivel de riesgo aceptable con el cual se puedan cumplir los objetivos.
22 febrero 2016
Contrapartidas
CONTRAPARTIDA 430 Buena implementación de un sistema de información contable
Los sistemas de información contable no son solamente para las grandes compañías, puesto que las Pymes también pueden obtener los beneficios de estas practicas. Dentro de los cuales se encuentran: integrar los procesos de la compañía, corregir los errores en el momento oportuno, evalúa el impacto gracias a indicadores, mejora la comunicación y finalmente ayuda a obtener ventajas competitivas. Para obtener todos estos beneficios la información financiera debe tener cualidades como confiable, oportuna y útil.
CONTRAPARTIDA 431 Mala implementación de un sistema de información contable
Una mala implementación puede traer consigo:
*Ciberfobia: el usuario tiene resistencia al cambio y por tanto no acepta el nuevo sistema de información
*GIGO (Garbage in, garbage out): la información que requiere ser manipulada por una persona y que no se maneja automáticamente por el sistema, es propensa a errores humanos y por ende si se introducen datos incorrectos salen salen datos incorrectos.
*Only virtual: los sistemas de información nos brindan un almacenamiento virtual en la "nube", pero se incurre en el error de utilizar únicamente este y no guardar los documentos en físico.
*Information overload: grandes cantidades de información pasan por el sistema, por ello se pierden o no se procesa parte de esta
*Paradoja de la productividad: un sistema mal implementado conlleva a una baja en la productividad de la empresa
Para evitar estos problemas se requiere que en la implementación de cualquier sistema de información (computarizado o no) se realice una adecuada capacitación, generando confianza en los empleados
Los sistemas de información contable no son solamente para las grandes compañías, puesto que las Pymes también pueden obtener los beneficios de estas practicas. Dentro de los cuales se encuentran: integrar los procesos de la compañía, corregir los errores en el momento oportuno, evalúa el impacto gracias a indicadores, mejora la comunicación y finalmente ayuda a obtener ventajas competitivas. Para obtener todos estos beneficios la información financiera debe tener cualidades como confiable, oportuna y útil.
CONTRAPARTIDA 431 Mala implementación de un sistema de información contable
*Ciberfobia: el usuario tiene resistencia al cambio y por tanto no acepta el nuevo sistema de información
*GIGO (Garbage in, garbage out): la información que requiere ser manipulada por una persona y que no se maneja automáticamente por el sistema, es propensa a errores humanos y por ende si se introducen datos incorrectos salen salen datos incorrectos.
*Only virtual: los sistemas de información nos brindan un almacenamiento virtual en la "nube", pero se incurre en el error de utilizar únicamente este y no guardar los documentos en físico.
*Information overload: grandes cantidades de información pasan por el sistema, por ello se pierden o no se procesa parte de esta
*Paradoja de la productividad: un sistema mal implementado conlleva a una baja en la productividad de la empresa
Para evitar estos problemas se requiere que en la implementación de cualquier sistema de información (computarizado o no) se realice una adecuada capacitación, generando confianza en los empleados
Suscribirse a:
Comentarios (Atom)