ISO 27001

ISO 27001

MAGERIT

MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información)

Fuente: https://www.youtube.com/watch?v=K9VxSSL45xY

Creado en 1997 por el Consejo Superior de Administración Electrónica, su tercera versión corresponde al 2012. Fue creada con la finalidad de dar protección a los usuarios de los sistemas de información (SI) por medio de analizar la existencia de los riesgos en los SI y de minimizarlos a tiempo, mediante la planificación de controles efectivos contra estos. De esta manera los usuarios aprovechan os beneficios de los SI y a su vez se encuentran alertados sobre los riesgos del mismo.

Objetivos

• Concientizar a los responsables de la informacion sobre los riesgos y la necesidad y gestionarlos
• Ofrece un método para analizar los riesgos
• Planifica oportunamente para controlar los riesgos
• Prepara a la organización para procesos de evaluación, auditoría, acreditación, entre otras.

Fuente: http://calidadtic.blogspot.com.co/2014/02/gestion-del-riesgo.html

*Modelo de valor: valor de los activos en la organización

*Mapa de riesgos: amenazas a las que están expuestos los activos

*Evaluación de salvaguardas: evalúa las salvaguardas según el riesgo de los activos

*Estado de riesgo: riesgo residual de los activos

*Informe de insuficiencias: salvaguardas insuficientes

*Plan de seguridad: plan general sobre la gestión del riesgo

Dimensiones de seguridad

*Disponibilidad: de los servicios para ser utilizados y así mejorar la productividad de la organización

*Integridad: información completa y veraz

*Confidencialidad: la información solo puede llegar a las personas autorizadas

*Autenticidad: quien utiliza los datos 

*Riesgo: exposición a que una amenaza se materialice

*Análisis de riesgo: proceso para estimar la magnitud de los riesgos

*Gestión de riesgo: salvaguardas para minimizar los riesgos

COBIT

 ISACA 

• Information Systems Audit and Control Association
• ISACA fue creada en 1969
• Ofrece estándares, certificaciones, acreditación y desarrollo de carrera en toda la temática relacionada con la auditoría en sistemas de información, seguridad de la Información y Gestión y Gobierno de la Tecnologías de la Información (TI)
• ISACA conjuntamente con la ITGI (IT Governance Institute) son precursores en la creación del COBIT. LA ITGI es una institución  que ayuda a la compañías para maximizar la inversión y cumplir con los objetivos del negocio, mediante  la apropiada gestión a los riesgos y oportunidades que brinda la TI.

Certificaciones de ISACA:

·       CISA Certified Information Systems Auditor

·       CISM Certified Information Security Manager

·       CGEIT Certified in the Governance of Enterprise IT

·       CRISC  Certified in Risk and Information Systems Control

Requisitos para acceder a las certificaciones:

• Aprobar el examen
• Tener experiencia suficiente
• Mantener una educación profesional continua 
• Apegarse al Código de Ética de ISACA
• Cumplir con los estándares de ISACA

COBIT 

(Control objetives for Information and related Technology)

El COBIT es un marco aplicable para las buenas prácticas de control, seguridad y gobierno de la TI. Se utiliza en la implementación del gobierno de TI y para mejorar los controles de TI.

• Ayuda a las organizaciones a lograr sus metas
• Crea valor en la organización
• Administración de TI de manera holística en toda la empresa

Hechos históricos relevantes:

• En 1992 la dependencia de las compañías en la TI aumentó, por ello este tema tomo relevancia en el gobierno corporativo.
• En 1995 inició el proyecto COBIT
• Primera edición COBIT 1996 creada por ISACA
• Segunda edición 1998 creada por ISACA
• Tercera edición 2000 creada por ITGI
• Cuarta edición 2005
• Quinta versión 2012

Fuente: https://chauditoriaudecaldas.wordpress.com/2014/02/04/evolucion-del-cobit-1996-2012/

GOBIERNO DE TI

El Gobierno de TI son las acciones de la gerencia con relación a la TI para:

• Maximizar valor
• Identificar riesgos y minimizarlos
• Asignar responsabilidades
• Alinear los objetivos de la TI con los objetivos organizacionales

Fuente: http://www.bitcompany.biz/que-es-cobit/#.Vx_bHfnhCM8

·         Alineación estratégica:  alineación de TI con la estrategia de la compañía

·         Entrega de valor: optimizar costos y dar valor a TI

·         Administración de recursos: optimizan conocimiento e infraestructura

·       Administración de riesgos: conocimiento de los riesgos y su administración

·      Medición de desempeño: monitorea

GOBIERNO DE TI Y COBIT

Cuando COBIT se aplica en un marco de gobierno de TI brinda a la compañía:

• Organiza las actividades de TI en un proceso empresarial
• Identifica recursos de TI necesarios
• Define los principales objetivos de Control Interno (CI)
• Contribuye al cumplimiento de los objetivos organizacionales

BENEFICIOS DE COBIT

• Brinda soporte para el cumplimiento de la herramienta de control interno COSO
• Lenguaje empresarial común, tanto para toda la entidad como para los terceros y reguladores
• Orientado hacia procesos 

NIVELES DE COBIT

• Estratégico: nivel gerencial, desde ahí se crea la idea de la creación de un gobierno de TI
• Táctico: administración del negocio y de la tecnología de información, mediante actividades como benchmark.
• Operativo: implementa los controles para minimizar riesgos, asegurar información y brindar seguridad.

Fuente: http://www.javeriana.edu.co/personales/hbermude/Audire/jarb.pdf

PRINCIPIOS DE COBIT

• Satisfacer las necesidades de las partes interesadas
• Cubrir a la compañía en forma integral: el sistema de Gobierno de TI fluye en toda la organización
• Aplicar un marco integrado: como lo pueden ser COSO, COSO ERM, los estándares ISO
• Enfoque holístico
• Separar el gobierno de la administración: puesto que cumplen funciones diferentes, por un lado el gobierno evalúa las necesidades de los stakeholders y la administración planifica, organiza, direcciona y monitorea actividades.

CUBO COBIT

Fuente: http://laimportanciadelaauditoria2014.blogspot.com.co/

1.  Procesos de TI: la primera cara del cubo se divide en dominios, procesos y actividades.

• Dominios: son 34 procesos que se agrupan en cuatro categorías de dominios:
• Planear y Organizar (PO): integra los objetivos de TI con la consecución de los objetivos organizcionales
• Adquirir e Implementar (AI) modifica y mejora los SI
• Entregar y Dar Soporte (ES):administra los servicios y da soporte a los usuarios
• Monitorear y Evaluar (ME): verifica si está funcionando correctamente el CI
• Procesos: conjunto de actividades definidas por corte de control
• Actividades: tareas con un resultado medible.

      2. Requerimientos del negocio son vitales para poder cumplir con los objetivos empresariales, para ello la información necesita cumplir con los siguientes requerimientos de control:

Fuente:http://www.javeriana.edu.co/personales/hbermude/Audire/jarb.pdf


3. Recursos de TI se dividen en las categorías de: aplicaciones, información, personas e infraestructura:

Fuente: http://www.javeriana.edu.co/personales/hbermude/Audire/jarb.pdf

COBIT 4,1

• Los objetivos de TI se alinean con los del negocio
• Enfocado en procesos
• Lenguaje común
• Alineación con diversos estándares (COSO)
• Maximiza los recursos de TI
• Administra los riesgos de TI

COBIT 5,0

• Busca integrar varios marcos  en uno solo
• Aquellas empresas que ya han implementado COBIT 4,1 el cambio a COBIT 5,0 no implica mayores costos, puesto que solo es una mejora al programa existente
• Enfocado en ser un sistema completo y sencillo de usar.

COSO

COSO: Committee of Sponsoring Organizations 

Fue creado en 1992 como un manual de control interno, el cual tiene como ventajas  brindar a la compañía una visión global del riesgo, puesto que se logra una alineación de los objetivos empresariales con los riesgos y los controles, de esta manera la dirección puede tomar decisiones de una forma más segura.

Control interno 

El control interno es un proceso que se integra con los demás procesos organizacionales, efectuados por la administración, dirección y toda la compañía en general. Mediante este se busca cumplir con los objetivos de la organización para lo cual esta herramienta brinda una seguridad razonable más no absoluta.

Componentes de COSO 

Fuente http://nahunfrett.blogspot.com.co/2012_01_01_archive.html

Ambiente de control 

El ambiente de control es un entorno el cual busca influenciar a toda la organización para que se integren en la filosofía de control interno. 

Valoración del riesgo

• Se identifican y analizan los riesgos relevantes que afecten el cumplimiento de los objetivos empresariales. 
• Los riesgos pueden ser factores internos o externos a la organización.
• Los objetivos pueden ser: operativos, financieros o de cumplimiento

Actividades de control

Son actividades orientadas hacia tratar los riesgos que afectan la consecución de los objetivos 

Información y comunicación 

La información relevante debe identificada, capturada y comunicada mediante un sistema de información desde el cual se producen informes sobre la gestión de la organización, los cuales deben ser enviados al recurso humano de forma oportuna para que todas las personas puedan aportar y mejorar el sistema de control

Monitoreo

Una vez el sistema de control interno está funcionando plenamente, es necesario vigilar que efectivamente este funcionando y en caso dado de encontrar falencias poder ser corregidas a tiempo. El monitoreo debe ser una actividad constante mediante evaluaciones periódicas de los riesgos y de la eficacia de la supervisión.

Ley SOX

La Ley Sarbanes-Oxley fue aprobada en Estados Unidos en 2002 con la finalidad de proteger a los inversionistas con base a unos requerimientos que buscan brindar confiabilidad en la información financiera de las empresas. Esta Ley en su sección 404 trata el tema de la evaluación de la gerencia de los controles internos, para cumplir con este punto de la Ley el mejor marco de control interno es el COSO. 

COSO II o COSO ERM

Fuente: http://qtec.pe/aulavirtual/course/index.php

• El COSO ERM tiene un enfoque de mitigar el riesgo, este proyecto se finalizó en 2014
• La diferencia entre COSO I y COSO II es que el segundo incorpora la nueva categoría de objetivos estratégicos y tres componentes adicionales: identificación de eventos, respuesta al riesgo y establecimiento de objetivos.
• El objetivo del COSO II es ayudar a los gerentes y empleados a gestionar el riesgo con la finalidad de cumplir los objetivos organizacionales.

Identificación de eventos

Identifica los eventos que pueden afectar el logro de la estrategia, estos eventos pueden ser tanto positivos (oportunidades) como negativos (riesgos) 

Respuesta al riesgo 

Se pueden dar las siguientes respuestas al riesgo:

• Evitarlo
• Reducirlo
• Compartirlo
• Aceptarlo

Establecimiento de objetivos 

Los objetivos estratégicos con aquellos que se encuentran alineados con las metas de la organización. La empresa debe establecer un nivel de riesgo aceptable con el cual se puedan cumplir los objetivos.

Contrapartidas

CONTRAPARTIDA 430 Buena implementación de un sistema de información contable


Los sistemas de información contable no son solamente para las grandes compañías, puesto que las Pymes también pueden obtener los beneficios de estas practicas. Dentro de los cuales se encuentran: integrar los procesos de la compañía, corregir los errores en el momento oportuno, evalúa el impacto gracias a indicadores, mejora la comunicación y finalmente ayuda a obtener ventajas competitivas. Para obtener todos estos beneficios la información financiera debe tener cualidades como confiable, oportuna y útil.


CONTRAPARTIDA 431 Mala implementación de un sistema de información contable

Una mala implementación puede traer consigo:

*Ciberfobia: el usuario tiene resistencia al cambio y por tanto no acepta el nuevo sistema de información
*GIGO (Garbage in, garbage out): la información que requiere ser manipulada por una persona y que no se maneja automáticamente por el sistema, es propensa a errores humanos y por ende si se introducen datos incorrectos salen salen datos incorrectos.
*Only virtual: los sistemas de información nos brindan un almacenamiento virtual en la "nube", pero se incurre en el error de utilizar únicamente este y no guardar los documentos en físico.
*Information overload: grandes cantidades de información pasan por el sistema, por ello se pierden o no se procesa parte de esta
*Paradoja de la productividad: un sistema mal implementado conlleva a una baja en la productividad de la empresa 

Para evitar estos problemas se requiere que en la implementación de cualquier sistema de información (computarizado o no) se realice una adecuada capacitación, generando confianza en los empleados 

Mapa conceptual sobre control interno

Control Interno

Mapa conceptual sobre una línea del tiempo de la auditoría

Línea de tiempo de auditoría

Información básica sobre los computadores

En un equipo de cómputo encontramos dos partes:

Hardware: son aquellas partes físicas, estas a su vez se califican en dos:

·         Externo/periférico:  monitor, tecleado, mouse

·         Interno/componentes:

·         Disco duro: almacenamiento de la información

·         RAM: velocidad en los archivos del disco duro

·         CPU: procesador de instrucciones

Software: conjunto de instrucciones necesarias para realizar las tareas, este a su vez se clasifica en dos:

·         Sistema operativo: Windows XP, Windows Vista. Este interactua con el hardware y también con las aplicaciones de software, es un punto medio.

·         Aplicaciones: Internet Explorer, Microsoft office, entre otras

Núcleo/CORE de la CPU

Es un chip que trabaja como unidad de proceso separado, estas varian en la cantidad de unidades que la componen. Por ejemplo cuando se divide en cuatro se llama quad-core y estas copias del mismo transistor de circuitos trabajan en una instrucción simultáneamente.

Tipos de memoria:

·         Memoria volátil: la información se pierde cuando se interrumpe el flujo de electricidad. Ej RAM

·         Memoria no volátil: la información queda guardada en un almacenamiento secundario, por lo cual no necesita de un flujo eléctrico. Ej: CD y DVD.

Información: en la memoria principal la información se maneja mediante celdas ya sea que estén vacías o que contengan instrucciones. Cada una de estas representa una dirección única, y mediante ellas se envían señales eléctricas de encendido y apagado. Esto se realiza gracias a la codificación del sistema binario, mediante 1 y 0.

Ejemplo: para sintetizar todos los conceptos anteriormente mencionados se realiza un breve ejemplo con una cocina: donde el hardware son todos los implementos necesarios para la receta, el software es la receta como tal, puesto que la información puede ser replicada cuantas veces se requiera. Finalmente obtenemos unos inputs (ingredientes)  y unos outputs (galletas).

Network Inventory Advisor: es un sistema desde el cual se maneja tanto el inventario como la auditoría de equipos dentro de una red empresarial. Por el lado del inventario el sistema brinda un amplio resumen sobre el hardware y software instalado en todas mas máquinas de la red. Por el otro lado de auditoría, el programa muestra todos los cambios recientes en los equipos. Este software posee herramientas de programación de tareas automatizadas para mantener el inventario y la auditoría al día, además de poder ingresar manualmente cualquier a cualquier equipo que no se encuentre dentro de la red. Finalmente este sistema ofrece múltiples reportes para analizar la información de acuerdo a las necesidades del usuario.