domingo, 4 de junio de 2017

ESTÁNDARES Y METODOLOGÍAS INTERNACIONALES
Metodología:
Un grupo de etapas que pueden adaptarse a empresas pequeñas, medianas y grandes de cualquier giro para planear y desarrollar proyectos de auditoría en informática.

Metodología y estándares:
  • Utilización de metodologías, instrumentos y procedimientos operativos propios. 
  • En la planificación de las auditorías informáticas Empleo de marcos referenciales para la declaración de los objetivos del control. 
  • En el desarrollo de las auditorías informáticas empleo de herramientas de auditoría específicas. 
Los organismos internacionales que se ocupan del control y de la auditoría de SI son fuente de fuente de estándares: 
  • ISACA - Asociación de Auditoría y Control de Sistemas de Información 
  • ISO – Organización Internacional para la estandarización. 
  • NIST – Instituto Nacional de Estándares y Tecnología de los Estados Unidos.

COSO:
Es una organización voluntaria del sector privado, establecida en los EEUU, dedicada a proporcionar orientación a la gestión ejecutiva y las entidades de gobierno sobre los aspectos fundamentales de organización de este, la ética empresarial, control interno, gestión del riesgo empresarial, el fraude, y la presentación de informes financieros. COSO ha establecido un modelo común de control interno contra el cual las empresas y organizaciones pueden evaluar sus sistemas de control.


Hace más de una década el Committee of Sponsoring Organizations of the Treadway Commission, conocido como COSO, publicó el Internal Control - Integrated Framework (COSO I) para facilitar a las empresas a evaluar y mejorar sus sistemas de control interno. Desde entonces ésta metodología se incorporó en las políticas, reglas y regulaciones y ha sido utilizada por muchas compañías para mejorar sus actividades de control hacia el logro de sus objetivos.

Hacia fines de Septiembre de 2004, como respuesta a una serie de escándalos, e irregularidades que provocaron pérdidas importante a inversionistas, empleados y otros grupos de interés, nuevamente el Committee of Sponsoring Organizations of the Treadway Commission, publicó el Enterprise Risk Management - Integrated Framework (COSO II) y sus Aplicaciones técnicas asociadas, el cual amplía el concepto de control interno, proporcionando un foco más robusto y extenso sobre la identificación, evaluación y gestión integral de riesgo.

Este nuevo enfoque no sustituye el marco de control interno, sino que lo incorpora como parte de él, permitiendo a las compañías mejorar sus prácticas de control interno o decidir encaminarse hacia un proceso más completo de gestión de riesgo.

COSO I

Componentes del Control Interno.
Ambiente de Control:Es el fundamento de todos los demás componentes del control interno, proporcionando disciplina y estructura.
Valoración de Riesgos:Identificación y análisis de los riesgos relevantes para la consecución de los objetivos, constituyendo una base para determinar cómo se deben administrar los riesgos. 

Actividades de Control:Políticas y procedimientos que ayudan a segurar que las directivas administrativas se lleven a cabo.
Información y Comunicación. 
Identificación, obtención y comunicación de información pertinente en una forma y en un tiempo que le permita a los empleados cumplir con sus responsabilidades. 

Monitoreo
Proceso que valora el desempeño de sistema en el tiempo.

Definición de Riesgo
  • Es la probabilidad que ocurra un determinado evento que puede tener efectos negativos para la institución. 
  • Riesgos es uno de los cinco componentes del Marco de Control Interno COSO.

Gestion de Riesgo.

  • Todas las organizaciones independientemente de su tamaño, naturaleza o estructura, enfrentan riesgos 
  • LOS OBJETIVOS DE LA GESTIÓN DE RIESGO SON IDENTIFICAR, CONTROLAR Y ELIMINAR LAS FUENTES DE RIESGOS.

COSO II-Internal Control Integrated Framework

  • Los 8 componentes del coso II están interrelacionados entre si. Estos procesos debe ser efectuados por el director, la gerencia y los demás miembros del personal de la empresa a lo largo de su organización
  • Los 8 componentes están alineados con los 4 objetivos.
  • Donde se consideran las actividades en todos los niveles de la organización 
La administración de riesgos de la empresa (ERM) COSO describe en su marco basado en principios tales como:
  • La definición de administración de riesgos de la empresa 
  • Los principios críticos y componentes de un proceso de administración de riesgo corporativo efectivo. 
  • Pautas para las empresa, para que ellas sean capaces de administrar sus riesgos. 
  • Criterios para determinar si la administración de riesgo de la empresa es efectiva 
Conceptos claves de el COSO II
  • Administración del riesgo en la determinación de la estrategia 
  • Eventos y riesgo 
  • Apetito de riesgo 
  • Tolerancia al riesgo 
  • Visión de portafolio de riesgo
Descripción de Componente del COSO II.
Ambiente interno
  • Sirve como la base fundamental para los otros componentes del ERM, dandole disciplina y estructura. 
  • Dentro de la empresa sirve para que los empleados creen conciencia de los riesgos que se pueden presentar en la empresa
Actividades de control
  • Son las políticas y procedimientos para asegurar que las respuesta al riesgo se lleve de manera adecuada y oportuna. 
  • Tipo de actividades de control: 
  • Preventiva, detectivas, manuales, computarizadas o controles gerenciales.
Respuesta al riesgo
  • Una vez evaluado el riesgo la gerencia identifica y evalúa posibles repuestas al riesgo en relación al las necesidades de la empresa. 
  • Las respuestas al riesgo pueden ser: 
    • Evitarlo: se discontinúan las actividades que generan riesgo. 
    • Reducirlo: se reduce el impacto o la probabilidad de ocurrencia o ambas 
    • Compartirlo: se reduce el impacto o la probabilidad de ocurrencia al transferir o compartir una porción del riesgo. 
    • Aceptarlo: no se toman acciones que afecten el impacto y probabilidad de ocurrencia del riesgo.
Información y comunicación
  • La información es necesaria en todos los niveles de la organización para hacer frente a los riesgos identificando, evaluando y dando respuesta a los riesgos. 
  • La comunicación se debe realizar en sentido amplio y fluir por toda la organización en todo los sentidos. 
  • Debe existir una buena comunicación con los clientes, proveedores, reguladores y accionistas.
Monitoreo
  • Sirve para monitorear que el proceso de administración de los riesgos sea efectivo a lo largo del tiempo y que todos los componentes del marco ERM funcionen adecuadamente. 
  • El monitoreo se puede medir a través de: 
  • Actividades de monitoreo continuo 
  • Evaluaciones puntuales 
  • Una combinación de ambas formas
Relación entre COSO I y COSO II.

COSO III- Marco Integrado de Control Interno

El modelo de control interno COSO 2013 actualizado está compuesto por los cinco componentes, establecidos en el Marco anterior y 17 principios que la administración de toda organización debería implementar.

Entorno de control

Principio 1: Demuestra compromiso con la integridad y los valores éticos
Principio 2: Ejerce responsabilidad de supervisión
Principio 3: Establece estructura, autoridad, y responsabilidad
Principio 4: Demuestra compromiso para la competencia
Principio 5: Hace cumplir con la responsabilidad

Evaluación de riesgos

Principio 6: Especifica objetivos relevantes
Principio 7: Identifica y analiza los riesgos
Principio 8: Evalúa el riesgo de fraude
Principio 9: Identifica y analiza cambios importantes

Actividades de control

Principio 10: Selecciona y desarrolla actividades de control
Principio 11: Selecciona y desarrolla controles generales sobre tecnología
Principio 12: Se implementa a través de políticas y procedimientos
Principio 13: Usa información Relevante

Sistemas de información

Principio 14: Comunica internamente
Principio 15: Comunica externamente

Supervisión del sistema de control - Monitoreo

Principio 16: Conduce evaluaciones continuas y/o independientes
Principio 17: Evalúa y comunica deficiencias

COBIT

El Marco de COBIT 5
  • Dicho en pocas palabras, COBIT 5 ayuda a las Organizaciones a crear un valor óptimo a partir de la TI, al mantener un equilibrio entre la realización de beneficios y la optimización de los niveles de riesgo y utilización de los recursos. 
  • COBIT 5 permite que las tecnologías de la información y relacionadas se gobiernen y administren de una manera holística a nivel de toda la Organización, incluyendo el alcance completo de todas las áreas de responsabilidad funcionales y de negocios, considerando los intereses relacionados con la TI de las partes interesadas internas y externas. 
  • Los principios y habilitadores de COBIT 5 son genéricos y útiles para las Organizaciones de cualquier tamaño, bien sean comerciales, sin fines de lucro o en el sector público.

Principios de Cobit

COBIT 5 une los cinco principios que permiten a la Organización construir un marco efectivo de Gobierno y Administración basado en una serie holística de siete habilitadores, que optimizan la inversión en tecnología e información así como su uso en beneficio de las partes interesadas.

1. Satisfacer las Necesidades de las Partes Interesadas
  • Las Compañías existen para crear valor para sus partes interesadas.  
  • Las Organizaciones tienen muchas partes interesadas y “crear valor” significa cosas diferentes – a veces conflictivas – para cada una de ellas. 
  • En el Gobierno se trata de negociar y decidir entre los diversos intereses de beneficio de las diferentes partes interesadas. 
  • El sistema de Gobierno deberá considerar a todas las partes interesadas al tomar decisiones con respecto a la evaluación de riesgos, los beneficios y el manejo de recursos. 
  • Para cada decisión se puede, y se debe, hacer las siguientes preguntas: 
  • ¿Quién recibe los beneficios? 
  • ¿Quién asume el riesgo? 
  • ¿Qué recursos se necesitan?




2. Cubrir la Compañía de Forma Integral
  • COBIT 5 se concentra en el gobierno y la administración de la tecnología de la información y relacionadas desde una perspectiva integral a nivel de toda la Organización. 
  • Esto significa que COBIT 5: 
  • Integra el gobierno de la TI corporativa en el gobierno corporativo, o sea, el sistema de gobierno para la TI corporativa propuesto por COBIT 5 se integra, de una manera fluida, en cualquier sistema de gobierno, toda vez que COBIT 5 está alineado a los últimos desarrollos en gobierno corporativo. 
  • Cubre todas las funciones y los procesos dentro de la Organización; COBIT 5 no solamente se concentra en la “Función de la TI”, sino trata la tecnología de la información y relacionadas como activos que necesitan ser manejados como cualquier otro activo, por todos en la Organización.

3. Aplicar un único Marco Integrado
  • COBIT 5 está alineado con los últimos marcos y normas relevantes usados por las organizaciones: 
  • Corporativo: COSO, COSO ERM, ISO/IEC 9000, ISO/IEC 31000 
  • Relacionado con TI: ISO/IEC 38500, ITIL, la serie ISO/IEC 27000, TOGAF, PMBOK/PRINCE2, CMMI, Etc. 
  • Así se permite a la Organización utilizar COBIT 5 como integrador macro en el marco de gobierno y administración. 
  • ISACA está desarrollando el modelo de capacidad de los procesos para facilitar al usuario de COBIT el mapeo de las prácticas y actividades contra los marcos y normas de terceros.

4. Habilitar un Enfoque Holístico

Los Habilitadores de COBIT 5 son: 
  • Factores que, individual y colectivamente, influyen sobre si algo funcionará – en el caso de COBIT, Gobierno y Administración sobre la TI corporativa. 
  • Impulsados por las metas en cascada, o sea: las metas de alto nivel relacionadas con la TI definen qué deberían lograr los diferentes habilitadores. 
  • Descritos por el marco de COBIT 5 en siete categorías.

Principio 4. Habilitar un Enfoque Holístico:

1.Procesos – Describen una serie organizada de prácticas y actividades para lograr determinados objetivos y producir una serie de resultados como apoyo al logro de las metas globales relacionadas con la TI.

2.Estructuras Organizacionales – Constituyen las entidades claves para la toma de decisiones en una organización.
3.Cultura, Ética y Comportamiento – De los individuos así como de la organización; se subestima frecuentemente como factor de éxito en las actividades de gobierno y administración.
4.Principios, Políticas y Marcos – Son los vehículos para traducir el comportamiento deseado en una orientación práctica para la administración diaria.
5.Información – Se encuentra presente en todo el ambiente de cualquier organización; o sea se trata de toda la información producida y usada por la Organización. La información es requerida para mantener la organización andando y bien gobernada, pero a nivel operativo, la información frecuentemente es el producto clave de la organización en si.
6.Servicios, Infraestructura y Aplicaciones – Incluyen la infraestructura, la tecnología y las aplicaciones que proporcionan servicios y procesamiento de tecnología de la información a la organización.
7.Personas, Habilidades y Competencias – Están vinculadas con las personas y son requeridas para completar exitosamente todas las actividades y para tomar las decisiones correctas, así como para llevar a cabo las acciones correctivas.


Las Dimensiones Habilitadores de COBIT 5: 
  • Todos los habilitadores tienen una serie de dimensiones comunes. Dicha serie de dimensiones comunes: 
  • Proporciona una manera común, sencilla y estructurada para tratar los habilitadores 
  • Permite a una entidad manejar sus interacciones complejas 
  • Facilita resultados exitosos de los habilitadores


5. Separar el Gobierno de la Administración


  • El marco de COBIT 5 plasma una distinción muy clara entre el Gobierno y la Administración. 
  • Dichas dos disciplinas: 
  • Comprenden diferentes tipos de actividades 
  • Requieren diferentes estructuras organizacionales 
  • Cumplen diferentes propósitos 
  • Gobierno— En la mayoría de las organizaciones el Gobierno es responsabilidad de la Junta Directiva bajo el liderazgo de su Presidente. 
  • Administración— En la mayoría de las organizaciones, la Administración es responsabilidad de la Gerencia Ejecutiva, bajo el liderazgo del Gerente General (CEO).
  • El Gobierno asegura que se evalúen las necesidades de las partes interesadas, así como las condiciones y opciones, para determinar los objetivos corporativos balanceados acordados a lograr; fijando directivas al establecer prioridades y tomar decisiones; así como monitorear el desempeño, cumplimiento y progreso comparándolos contra las directivas y objetivos fijados (EDM). 
  • La Administración planifica, construye, ejecuta y monitorea las actividades conforme a las directivas fijadas por el ente de Gobierno para lograr los objetivos de la Compañía (PBRM por su sigla en inglés – PCEM).

    COBIT 5 no es obligatorio, pero propone que las organizaciones implementen los procesos de gobierno y administración de tal manera que las áreas claves queden cubiertas, tal como se muestra a continuación:

Sistema de Gestión de la Seguridad de la Información

El SGSI (Sistema de Gestión de Seguridad de la Información) es el concepto central sobre el que se construye ISO 27001. La gestión de la seguridad de la información debe realizarse mediante un proceso sistemático, documentado y conocido por toda la organización. 

Este proceso es el que constituye un SGSI, que podría considerarse, por analogía con una norma tan conocida como ISO 9001, como el sistema de calidad para la seguridad de la información. Garantizar un nivel de protección total es virtualmente imposible, incluso en el caso de disponer de un presupuesto ilimitado. 

El propósito de un sistema de gestión de la seguridad de la información es, por tanto, garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías.  

La seguridad de la información, según ISO 27001, consiste en la preservación de su confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su tratamiento, dentro de una organización. Así pues, estos tres términos constituyen la base sobre la que se cimienta todo el edificio de la seguridad de la información: 
Confidencialidad: la información no se pone a disposición ni se revela a individuos, entidades o procesos no autorizados. 
Integridad: mantenimiento de la exactitud y completitud de la información y sus métodos de proceso. 
Disponibilidad: acceso y utilización de la información y los sistemas de tratamiento de la misma por parte de los individuos, entidades o procesos autorizados cuando lo requieran. Para garantizar que la seguridad de la información es gestionada correctamente, se debe hacer uso de un proceso sistemático, documentado y conocido por toda la organización, desde un enfoque de riesgo empresarial. Este proceso es el que constituye un SGSI.


 ¿Cómo se implementa un SGSI? 
Para establecer y gestionar un Sistema de Gestión de la Seguridad de la Información en base a ISO 27001, se utiliza el ciclo continuo PDCA, tradicional en los sistemas de gestión de la calidad. 

  •  Plan (planificar): establecer el SGSI. 
  •  Do (hacer): implementar y utilizar el SGSI. 
  •  Check (verificar): monitorizar y revisar el SGSI. 
  •  Act (actuar): mantener y mejorar el SGSI. 


Plan: Establecer el SGSI

Definir el alcance del SGSI en términos del negocio, la organización, su localización, activos y tecnologías, incluyendo detalles y justificación de cualquier exclusión. 

Definir una política de seguridad que: – incluya el marco general y los objetivos de seguridad de la información de la organización; – considere requerimientos legales o contractuales relativos a la seguridad de la información; – esté alineada con el contexto estratégico de gestión de riesgos de la organización en el que se establecerá y mantendrá el SGSI; – establezca los criterios con los que se va a evaluar el riesgo; – esté aprobada por la dirección. 

Definir una metodología de evaluación del riesgo apropiada para el SGSI y los requerimientos del negocio, además de establecer los criterios de aceptación del riesgo y especificar los niveles de riesgo aceptable. Lo primordial de esta metodología es que los resultados obtenidos sean comparables y repetibles (existen numerosas metodologías estandarizadas para la evaluación de riesgos, aunque es perfectamente aceptable definir una propia). 

Identificar los riesgos: – identificar los activos que están dentro del alcance del SGSI y a sus responsables directos, denominados propietarios;  

Do: Implementar y utilizar el SGSI

• Definir un plan de tratamiento de riesgos que identifique las acciones, recursos, responsabilidades y prioridades en la gestión de los riesgos de seguridad de la información. 

• Implantar el plan de tratamiento de riesgos, con el fin de alcanzar los objetivos de control identificados, incluyendo la asignación de recursos, responsabilidades y prioridades. 

• Implementar los controles anteriormente seleccionados que lleven a los objetivos de control. 

• Definir un sistema de métricas que permita obtener resultados reproducibles y comparables para medir la eficacia de los controles o grupos de controles. 

• Procurar programas de formación y concienciación en relación a la seguridad de la información a todo el personal. 

• Gestionar las operaciones del SGSI. • Gestionar los recursos necesarios asignados al SGSI para el mantenimiento de la seguridad de la información. 

• Implantar procedimientos y controles que permitan una rápida detección y respuesta a los incidentes de seguridad.  

Act: Mantener y mejorar el SGSI

La organización deberá regularmente:

• Implantar en el SGSI las mejoras identificadas. 

• Realizar las acciones preventivas y correctivas adecuadas en relación a la claúsula 8 de ISO 27001 y a las lecciones aprendidas de las experiencias propias y de otras organizaciones. 

• Comunicar las acciones y mejoras a todas las partes interesadas con el nivel de detalle adecuado y acordar, si es pertinente, la forma de proceder. 

• Asegurarse que las mejoras introducidas alcanzan los objetivos previstos. 

PDCA es un ciclo de vida continuo, lo cual quiere decir que la fase de Act lleva de nuevo a la fase de Plan para iniciar un nuevo ciclo de las cuatro fases. Téngase en cuenta que no tiene que haber una secuencia estricta de las fases, sino que, p. ej., puede haber actividades de implantación que ya se lleven a cabo cuando otras de planificación aún no han finalizado; o que se monitoricen controles que aún no están implantados en su totalidad. 




No hay comentarios.:

Publicar un comentario