domingo, 4 de junio de 2017

ESTÁNDARES Y METODOLOGÍAS INTERNACIONALES
Metodología:
Un grupo de etapas que pueden adaptarse a empresas pequeñas, medianas y grandes de cualquier giro para planear y desarrollar proyectos de auditoría en informática.

Metodología y estándares:
  • Utilización de metodologías, instrumentos y procedimientos operativos propios. 
  • En la planificación de las auditorías informáticas Empleo de marcos referenciales para la declaración de los objetivos del control. 
  • En el desarrollo de las auditorías informáticas empleo de herramientas de auditoría específicas. 
Los organismos internacionales que se ocupan del control y de la auditoría de SI son fuente de fuente de estándares: 
  • ISACA - Asociación de Auditoría y Control de Sistemas de Información 
  • ISO – Organización Internacional para la estandarización. 
  • NIST – Instituto Nacional de Estándares y Tecnología de los Estados Unidos.

COSO:
Es una organización voluntaria del sector privado, establecida en los EEUU, dedicada a proporcionar orientación a la gestión ejecutiva y las entidades de gobierno sobre los aspectos fundamentales de organización de este, la ética empresarial, control interno, gestión del riesgo empresarial, el fraude, y la presentación de informes financieros. COSO ha establecido un modelo común de control interno contra el cual las empresas y organizaciones pueden evaluar sus sistemas de control.


Hace más de una década el Committee of Sponsoring Organizations of the Treadway Commission, conocido como COSO, publicó el Internal Control - Integrated Framework (COSO I) para facilitar a las empresas a evaluar y mejorar sus sistemas de control interno. Desde entonces ésta metodología se incorporó en las políticas, reglas y regulaciones y ha sido utilizada por muchas compañías para mejorar sus actividades de control hacia el logro de sus objetivos.

Hacia fines de Septiembre de 2004, como respuesta a una serie de escándalos, e irregularidades que provocaron pérdidas importante a inversionistas, empleados y otros grupos de interés, nuevamente el Committee of Sponsoring Organizations of the Treadway Commission, publicó el Enterprise Risk Management - Integrated Framework (COSO II) y sus Aplicaciones técnicas asociadas, el cual amplía el concepto de control interno, proporcionando un foco más robusto y extenso sobre la identificación, evaluación y gestión integral de riesgo.

Este nuevo enfoque no sustituye el marco de control interno, sino que lo incorpora como parte de él, permitiendo a las compañías mejorar sus prácticas de control interno o decidir encaminarse hacia un proceso más completo de gestión de riesgo.

COSO I

Componentes del Control Interno.
Ambiente de Control:Es el fundamento de todos los demás componentes del control interno, proporcionando disciplina y estructura.
Valoración de Riesgos:Identificación y análisis de los riesgos relevantes para la consecución de los objetivos, constituyendo una base para determinar cómo se deben administrar los riesgos. 

Actividades de Control:Políticas y procedimientos que ayudan a segurar que las directivas administrativas se lleven a cabo.
Información y Comunicación. 
Identificación, obtención y comunicación de información pertinente en una forma y en un tiempo que le permita a los empleados cumplir con sus responsabilidades. 

Monitoreo
Proceso que valora el desempeño de sistema en el tiempo.

Definición de Riesgo
  • Es la probabilidad que ocurra un determinado evento que puede tener efectos negativos para la institución. 
  • Riesgos es uno de los cinco componentes del Marco de Control Interno COSO.

Gestion de Riesgo.

  • Todas las organizaciones independientemente de su tamaño, naturaleza o estructura, enfrentan riesgos 
  • LOS OBJETIVOS DE LA GESTIÓN DE RIESGO SON IDENTIFICAR, CONTROLAR Y ELIMINAR LAS FUENTES DE RIESGOS.

COSO II-Internal Control Integrated Framework

  • Los 8 componentes del coso II están interrelacionados entre si. Estos procesos debe ser efectuados por el director, la gerencia y los demás miembros del personal de la empresa a lo largo de su organización
  • Los 8 componentes están alineados con los 4 objetivos.
  • Donde se consideran las actividades en todos los niveles de la organización 
La administración de riesgos de la empresa (ERM) COSO describe en su marco basado en principios tales como:
  • La definición de administración de riesgos de la empresa 
  • Los principios críticos y componentes de un proceso de administración de riesgo corporativo efectivo. 
  • Pautas para las empresa, para que ellas sean capaces de administrar sus riesgos. 
  • Criterios para determinar si la administración de riesgo de la empresa es efectiva 
Conceptos claves de el COSO II
  • Administración del riesgo en la determinación de la estrategia 
  • Eventos y riesgo 
  • Apetito de riesgo 
  • Tolerancia al riesgo 
  • Visión de portafolio de riesgo
Descripción de Componente del COSO II.
Ambiente interno
  • Sirve como la base fundamental para los otros componentes del ERM, dandole disciplina y estructura. 
  • Dentro de la empresa sirve para que los empleados creen conciencia de los riesgos que se pueden presentar en la empresa
Actividades de control
  • Son las políticas y procedimientos para asegurar que las respuesta al riesgo se lleve de manera adecuada y oportuna. 
  • Tipo de actividades de control: 
  • Preventiva, detectivas, manuales, computarizadas o controles gerenciales.
Respuesta al riesgo
  • Una vez evaluado el riesgo la gerencia identifica y evalúa posibles repuestas al riesgo en relación al las necesidades de la empresa. 
  • Las respuestas al riesgo pueden ser: 
    • Evitarlo: se discontinúan las actividades que generan riesgo. 
    • Reducirlo: se reduce el impacto o la probabilidad de ocurrencia o ambas 
    • Compartirlo: se reduce el impacto o la probabilidad de ocurrencia al transferir o compartir una porción del riesgo. 
    • Aceptarlo: no se toman acciones que afecten el impacto y probabilidad de ocurrencia del riesgo.
Información y comunicación
  • La información es necesaria en todos los niveles de la organización para hacer frente a los riesgos identificando, evaluando y dando respuesta a los riesgos. 
  • La comunicación se debe realizar en sentido amplio y fluir por toda la organización en todo los sentidos. 
  • Debe existir una buena comunicación con los clientes, proveedores, reguladores y accionistas.
Monitoreo
  • Sirve para monitorear que el proceso de administración de los riesgos sea efectivo a lo largo del tiempo y que todos los componentes del marco ERM funcionen adecuadamente. 
  • El monitoreo se puede medir a través de: 
  • Actividades de monitoreo continuo 
  • Evaluaciones puntuales 
  • Una combinación de ambas formas
Relación entre COSO I y COSO II.

COSO III- Marco Integrado de Control Interno

El modelo de control interno COSO 2013 actualizado está compuesto por los cinco componentes, establecidos en el Marco anterior y 17 principios que la administración de toda organización debería implementar.

Entorno de control

Principio 1: Demuestra compromiso con la integridad y los valores éticos
Principio 2: Ejerce responsabilidad de supervisión
Principio 3: Establece estructura, autoridad, y responsabilidad
Principio 4: Demuestra compromiso para la competencia
Principio 5: Hace cumplir con la responsabilidad

Evaluación de riesgos

Principio 6: Especifica objetivos relevantes
Principio 7: Identifica y analiza los riesgos
Principio 8: Evalúa el riesgo de fraude
Principio 9: Identifica y analiza cambios importantes

Actividades de control

Principio 10: Selecciona y desarrolla actividades de control
Principio 11: Selecciona y desarrolla controles generales sobre tecnología
Principio 12: Se implementa a través de políticas y procedimientos
Principio 13: Usa información Relevante

Sistemas de información

Principio 14: Comunica internamente
Principio 15: Comunica externamente

Supervisión del sistema de control - Monitoreo

Principio 16: Conduce evaluaciones continuas y/o independientes
Principio 17: Evalúa y comunica deficiencias

COBIT

El Marco de COBIT 5
  • Dicho en pocas palabras, COBIT 5 ayuda a las Organizaciones a crear un valor óptimo a partir de la TI, al mantener un equilibrio entre la realización de beneficios y la optimización de los niveles de riesgo y utilización de los recursos. 
  • COBIT 5 permite que las tecnologías de la información y relacionadas se gobiernen y administren de una manera holística a nivel de toda la Organización, incluyendo el alcance completo de todas las áreas de responsabilidad funcionales y de negocios, considerando los intereses relacionados con la TI de las partes interesadas internas y externas. 
  • Los principios y habilitadores de COBIT 5 son genéricos y útiles para las Organizaciones de cualquier tamaño, bien sean comerciales, sin fines de lucro o en el sector público.

Principios de Cobit

COBIT 5 une los cinco principios que permiten a la Organización construir un marco efectivo de Gobierno y Administración basado en una serie holística de siete habilitadores, que optimizan la inversión en tecnología e información así como su uso en beneficio de las partes interesadas.

1. Satisfacer las Necesidades de las Partes Interesadas
  • Las Compañías existen para crear valor para sus partes interesadas.  
  • Las Organizaciones tienen muchas partes interesadas y “crear valor” significa cosas diferentes – a veces conflictivas – para cada una de ellas. 
  • En el Gobierno se trata de negociar y decidir entre los diversos intereses de beneficio de las diferentes partes interesadas. 
  • El sistema de Gobierno deberá considerar a todas las partes interesadas al tomar decisiones con respecto a la evaluación de riesgos, los beneficios y el manejo de recursos. 
  • Para cada decisión se puede, y se debe, hacer las siguientes preguntas: 
  • ¿Quién recibe los beneficios? 
  • ¿Quién asume el riesgo? 
  • ¿Qué recursos se necesitan?




2. Cubrir la Compañía de Forma Integral
  • COBIT 5 se concentra en el gobierno y la administración de la tecnología de la información y relacionadas desde una perspectiva integral a nivel de toda la Organización. 
  • Esto significa que COBIT 5: 
  • Integra el gobierno de la TI corporativa en el gobierno corporativo, o sea, el sistema de gobierno para la TI corporativa propuesto por COBIT 5 se integra, de una manera fluida, en cualquier sistema de gobierno, toda vez que COBIT 5 está alineado a los últimos desarrollos en gobierno corporativo. 
  • Cubre todas las funciones y los procesos dentro de la Organización; COBIT 5 no solamente se concentra en la “Función de la TI”, sino trata la tecnología de la información y relacionadas como activos que necesitan ser manejados como cualquier otro activo, por todos en la Organización.

3. Aplicar un único Marco Integrado
  • COBIT 5 está alineado con los últimos marcos y normas relevantes usados por las organizaciones: 
  • Corporativo: COSO, COSO ERM, ISO/IEC 9000, ISO/IEC 31000 
  • Relacionado con TI: ISO/IEC 38500, ITIL, la serie ISO/IEC 27000, TOGAF, PMBOK/PRINCE2, CMMI, Etc. 
  • Así se permite a la Organización utilizar COBIT 5 como integrador macro en el marco de gobierno y administración. 
  • ISACA está desarrollando el modelo de capacidad de los procesos para facilitar al usuario de COBIT el mapeo de las prácticas y actividades contra los marcos y normas de terceros.

4. Habilitar un Enfoque Holístico

Los Habilitadores de COBIT 5 son: 
  • Factores que, individual y colectivamente, influyen sobre si algo funcionará – en el caso de COBIT, Gobierno y Administración sobre la TI corporativa. 
  • Impulsados por las metas en cascada, o sea: las metas de alto nivel relacionadas con la TI definen qué deberían lograr los diferentes habilitadores. 
  • Descritos por el marco de COBIT 5 en siete categorías.

Principio 4. Habilitar un Enfoque Holístico:

1.Procesos – Describen una serie organizada de prácticas y actividades para lograr determinados objetivos y producir una serie de resultados como apoyo al logro de las metas globales relacionadas con la TI.

2.Estructuras Organizacionales – Constituyen las entidades claves para la toma de decisiones en una organización.
3.Cultura, Ética y Comportamiento – De los individuos así como de la organización; se subestima frecuentemente como factor de éxito en las actividades de gobierno y administración.
4.Principios, Políticas y Marcos – Son los vehículos para traducir el comportamiento deseado en una orientación práctica para la administración diaria.
5.Información – Se encuentra presente en todo el ambiente de cualquier organización; o sea se trata de toda la información producida y usada por la Organización. La información es requerida para mantener la organización andando y bien gobernada, pero a nivel operativo, la información frecuentemente es el producto clave de la organización en si.
6.Servicios, Infraestructura y Aplicaciones – Incluyen la infraestructura, la tecnología y las aplicaciones que proporcionan servicios y procesamiento de tecnología de la información a la organización.
7.Personas, Habilidades y Competencias – Están vinculadas con las personas y son requeridas para completar exitosamente todas las actividades y para tomar las decisiones correctas, así como para llevar a cabo las acciones correctivas.


Las Dimensiones Habilitadores de COBIT 5: 
  • Todos los habilitadores tienen una serie de dimensiones comunes. Dicha serie de dimensiones comunes: 
  • Proporciona una manera común, sencilla y estructurada para tratar los habilitadores 
  • Permite a una entidad manejar sus interacciones complejas 
  • Facilita resultados exitosos de los habilitadores


5. Separar el Gobierno de la Administración


  • El marco de COBIT 5 plasma una distinción muy clara entre el Gobierno y la Administración. 
  • Dichas dos disciplinas: 
  • Comprenden diferentes tipos de actividades 
  • Requieren diferentes estructuras organizacionales 
  • Cumplen diferentes propósitos 
  • Gobierno— En la mayoría de las organizaciones el Gobierno es responsabilidad de la Junta Directiva bajo el liderazgo de su Presidente. 
  • Administración— En la mayoría de las organizaciones, la Administración es responsabilidad de la Gerencia Ejecutiva, bajo el liderazgo del Gerente General (CEO).
  • El Gobierno asegura que se evalúen las necesidades de las partes interesadas, así como las condiciones y opciones, para determinar los objetivos corporativos balanceados acordados a lograr; fijando directivas al establecer prioridades y tomar decisiones; así como monitorear el desempeño, cumplimiento y progreso comparándolos contra las directivas y objetivos fijados (EDM). 
  • La Administración planifica, construye, ejecuta y monitorea las actividades conforme a las directivas fijadas por el ente de Gobierno para lograr los objetivos de la Compañía (PBRM por su sigla en inglés – PCEM).

    COBIT 5 no es obligatorio, pero propone que las organizaciones implementen los procesos de gobierno y administración de tal manera que las áreas claves queden cubiertas, tal como se muestra a continuación:

Sistema de Gestión de la Seguridad de la Información

El SGSI (Sistema de Gestión de Seguridad de la Información) es el concepto central sobre el que se construye ISO 27001. La gestión de la seguridad de la información debe realizarse mediante un proceso sistemático, documentado y conocido por toda la organización. 

Este proceso es el que constituye un SGSI, que podría considerarse, por analogía con una norma tan conocida como ISO 9001, como el sistema de calidad para la seguridad de la información. Garantizar un nivel de protección total es virtualmente imposible, incluso en el caso de disponer de un presupuesto ilimitado. 

El propósito de un sistema de gestión de la seguridad de la información es, por tanto, garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías.  

La seguridad de la información, según ISO 27001, consiste en la preservación de su confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su tratamiento, dentro de una organización. Así pues, estos tres términos constituyen la base sobre la que se cimienta todo el edificio de la seguridad de la información: 
Confidencialidad: la información no se pone a disposición ni se revela a individuos, entidades o procesos no autorizados. 
Integridad: mantenimiento de la exactitud y completitud de la información y sus métodos de proceso. 
Disponibilidad: acceso y utilización de la información y los sistemas de tratamiento de la misma por parte de los individuos, entidades o procesos autorizados cuando lo requieran. Para garantizar que la seguridad de la información es gestionada correctamente, se debe hacer uso de un proceso sistemático, documentado y conocido por toda la organización, desde un enfoque de riesgo empresarial. Este proceso es el que constituye un SGSI.


 ¿Cómo se implementa un SGSI? 
Para establecer y gestionar un Sistema de Gestión de la Seguridad de la Información en base a ISO 27001, se utiliza el ciclo continuo PDCA, tradicional en los sistemas de gestión de la calidad. 

  •  Plan (planificar): establecer el SGSI. 
  •  Do (hacer): implementar y utilizar el SGSI. 
  •  Check (verificar): monitorizar y revisar el SGSI. 
  •  Act (actuar): mantener y mejorar el SGSI. 


Plan: Establecer el SGSI

Definir el alcance del SGSI en términos del negocio, la organización, su localización, activos y tecnologías, incluyendo detalles y justificación de cualquier exclusión. 

Definir una política de seguridad que: – incluya el marco general y los objetivos de seguridad de la información de la organización; – considere requerimientos legales o contractuales relativos a la seguridad de la información; – esté alineada con el contexto estratégico de gestión de riesgos de la organización en el que se establecerá y mantendrá el SGSI; – establezca los criterios con los que se va a evaluar el riesgo; – esté aprobada por la dirección. 

Definir una metodología de evaluación del riesgo apropiada para el SGSI y los requerimientos del negocio, además de establecer los criterios de aceptación del riesgo y especificar los niveles de riesgo aceptable. Lo primordial de esta metodología es que los resultados obtenidos sean comparables y repetibles (existen numerosas metodologías estandarizadas para la evaluación de riesgos, aunque es perfectamente aceptable definir una propia). 

Identificar los riesgos: – identificar los activos que están dentro del alcance del SGSI y a sus responsables directos, denominados propietarios;  

Do: Implementar y utilizar el SGSI

• Definir un plan de tratamiento de riesgos que identifique las acciones, recursos, responsabilidades y prioridades en la gestión de los riesgos de seguridad de la información. 

• Implantar el plan de tratamiento de riesgos, con el fin de alcanzar los objetivos de control identificados, incluyendo la asignación de recursos, responsabilidades y prioridades. 

• Implementar los controles anteriormente seleccionados que lleven a los objetivos de control. 

• Definir un sistema de métricas que permita obtener resultados reproducibles y comparables para medir la eficacia de los controles o grupos de controles. 

• Procurar programas de formación y concienciación en relación a la seguridad de la información a todo el personal. 

• Gestionar las operaciones del SGSI. • Gestionar los recursos necesarios asignados al SGSI para el mantenimiento de la seguridad de la información. 

• Implantar procedimientos y controles que permitan una rápida detección y respuesta a los incidentes de seguridad.  

Act: Mantener y mejorar el SGSI

La organización deberá regularmente:

• Implantar en el SGSI las mejoras identificadas. 

• Realizar las acciones preventivas y correctivas adecuadas en relación a la claúsula 8 de ISO 27001 y a las lecciones aprendidas de las experiencias propias y de otras organizaciones. 

• Comunicar las acciones y mejoras a todas las partes interesadas con el nivel de detalle adecuado y acordar, si es pertinente, la forma de proceder. 

• Asegurarse que las mejoras introducidas alcanzan los objetivos previstos. 

PDCA es un ciclo de vida continuo, lo cual quiere decir que la fase de Act lleva de nuevo a la fase de Plan para iniciar un nuevo ciclo de las cuatro fases. Téngase en cuenta que no tiene que haber una secuencia estricta de las fases, sino que, p. ej., puede haber actividades de implantación que ya se lleven a cabo cuando otras de planificación aún no han finalizado; o que se monitoricen controles que aún no están implantados en su totalidad. 




Publicadas por a la/s No hay comentarios.:
SEGURIDAD INFORMÁTICA

La seguridad informática, también conocida como ciberseguridad o seguridad de tecnologías de la información, es el área relacionada con la informática y la telemática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta y, especialmente, la información contenida en una computadora o circulante a través de las redes de computadoras.


La seguridad informática está concebida para proteger los activos informáticos, entre los que se encuentran los siguientes:

  • La infraestructura computacional: es una parte fundamental para el almacenamiento y gestión de la información, así como para el funcionamiento mismo de la organización. La función de la seguridad informática en este área es velar por que los equipos funcionen adecuadamente y anticiparse en caso de fallos, robos, incendios, sabotajes, desastres naturales, fallos en el suministro eléctrico y cualquier otro factor que atente contra la infraestructura informática.
  • Los usuarios: son las personas que utilizan la estructura tecnológica, zona de comunicaciones y que gestionan la información. Debe protegerse el sistema en general para que el uso por parte de ellos no pueda poner en entredicho la seguridad de la información y tampoco que la información que manejan o almacenan sea vulnerable.
  • La información: esta es el principal activo. Utiliza y reside en la infraestructura computacional y es utilizada por los usuarios.
Amenazas

Las amenazas pueden ser causadas por:
  • Usuarios: causa del mayor problema ligado a la seguridad de un sistema informático. En algunos casos sus acciones causan problemas de seguridad, si bien en la mayoría de los casos es porque tienen permisos sobredimensionados, no se les han restringido acciones innecesarias, etc.
  • Programas maliciosos: programas destinados a perjudicar o a hacer un uso ilícito de los recursos del sistema. Es instalado en el ordenador, abriendo una puerta a intrusos o bien modificando los datos. Estos programas pueden ser un virus informático, un gusano informático, un troyano, una bomba lógica, un programa espía o spyware, en general conocidos como malware.
  • Errores de programación: la mayoría de los errores de programación que se pueden considerar como una amenaza informática es por su condición de poder ser usados como exploits por los crackers, aunque se dan casos donde el mal desarrollo es, en sí mismo, una amenaza. La actualización de parches de los sistemas operativos y aplicaciones permite evitar este tipo de amenazas.
  • Intrusos: personas que consiguen acceder a los datos o programas a los cuales no están autorizados (crackers, defacers, hackers, script kiddie o script boy, viruxers, etc.).
  • Un siniestro (robo, incendio, inundación): una mala manipulación o mala intención derivan en la pérdida del material o de los archivos.
  • Personal técnico interno: técnicos de sistemas, administradores de bases de datos, técnicos de desarrollo, etc. Los motivos que se encuentran entre los habituales son: disputas internas, problemas laborales, despidos, fines lucrativos, espionaje, etc.
  • Fallos electrónicos o lógicos de los sistemas informáticos en general.
  • Catástrofes naturales: rayos, terremotos, inundaciones, rayos cósmicos, etc.
Esquema de la Seguridad Informática


Políticas y Nomativa de Seguridad

POLÍTICA DE SEGURIDAD INFORMÁTICA

 SEGURIDAD ORGANIZATIVA
  •  El Lider de proceso de cada unidad organizativa dentro de la red institucional es el único responsable de las actividades procedentes de sus acciones.
  • El administrador de sistemas es el encargado de mantener en buen estado los servidores dentro de la red institucional.
  • Los usuarios tendrán el acceso a Internet, siempre y cuando se cumplan los requisitos mínimos de seguridad para acceder a este servicio y se acaten las disposiciones de conectividad de la unidad de informática.
 SEGURIDAD LÓGICA 
  • Control de accesos.
  • Administración del acceso de usuarios.
  • Uso de correo electrónico
  • Seguridad de acceso en terceros
  • Monitoreo del uso del acceso y sistema operativo.
SEGURIDAD FISICA
  • Seguridad de los equipos.
  • Controles generales
SEGURIDAD LEGAL 
  • Cumplimiento de requisitos legales
  • Revisiòn de politicas de seguridad y cumplimiento tècnico.
algunas politicas:
  • Se debe efectuar una auditoria de seguridad a los sistemas de acceso a la red, semestral, enmarcada en pruebas de acceso tanto internas como externas, desarrolladas por personal tècnico especializado o en su defecto personal capacitado en el ·rea de seguridad. 
  • Toda auditoria a los sistemas, estarà debidamente aprobada, y tendrà el sello y firma de la gerencia.
  • Cualquier acciòn que amerite la ejecuciòn de una auditoria a los sistemas informàticos deberà ser documentada y establecida su aplicabilidad y objetivos de la misma, asì como razones para su ejecuciòn, personal involucrada en la misma y sistemas implicados. 
  • La auditoria no deberà modificar en ningùn momento el sistema de archivos de los sistemas implicados, en caso de haber necesidad de modificar algunos, se deber· hacer un respaldo formal del sistema o sus archivos. 
  • Las herramientas utilizadas para la auditoria deberàn estar separadas de los sistemas de producciòn y en ningùn momento estas se quedaran al alcance de personal ajeno a la elaboraciòn de la auditoria. 

NORMATIVA DE LA SEGURIDAD

  • La ejecución de una auditoria a los sistemas informáticos, ameritarà la planificación de la misma, herramientas a utilizar en la auditoria, objetivos de la auditoria, implicaciones legales, contractuales, requisitos y conformidad con la gerencia. 
  • De no existir personal técnicamente preparado para efectuar auditorias a la seguridad de la información, estos deberán ser capacitados por personal especializado en el àrea. 
  • Salvo casos especiales toda auditoria, deber· estar respaldada por la gerencia. 
  • La implicación de casos especiales, en los cuales sea necesario de inmediato, amerita realizar auditorias sin una fecha planificada. 
  • Sin importar la razón de la auditoria, se llevara un control exhaustivo, se tomarà registro de cada actividad relaciona con esta, quienes la realizan, fechas, horas y todo lo que tenga que ver con la auditoria en si. 
  • El personal de auditoria no esta facultado a realizar cambios en los sistemas informáticos, ya sea de los archivos que integran el sistema o de la información que en ellos se procesa. 
  • Salvo caso especial, cualquier cambio efectuado al sistema de archivos, será motivo de sanción. 
  • Las auditorias a los sistemas, serán realizadas con equipos móviles (Laptops) conectados a la red, en ningún momento el sistema de producción mantendrá instalado software para auditoria en su disco duro. 
  • Toda aplicación para la auditoria será instalado correctamente y supervisado su uso, desde las terminales remotas en el mismo segmento de red. 



Publicadas por a la/s 1 comentario:

SOFTWARE ESPECIAL PARA AUDITORIA


  • ManagePC 2.5.0.18
ManagePC es un programa para hacer inventarios de todos los aspectos de las máquinas que pertenecen a un mismo dominio.

Con ManagePC puedes conocer el hardware disponible en cada uno de las máquinas, los servicios operativos, el software instalado, los procesos activos en cada momento y administrar los usuarios y los grupos habilitados en el dominio.

“Entorno para hace inventarios de redes Windows convencionales o Active Directory”

  • WinAudit 2.28.2
WinAudit te inventariará toda la información. Se trata de un programa totalmente gratuito que analiza tu PC y en pocos segundos te muestra toda la información referente a programas instalados, sistema operativo, procesador, memoria, discos duros, etc.
  • iInventory 7.0.1.12
Inventory es una utilidad que te permitirá realizar audiciones o inventarios de los programas y el hardware instalado en una red de ordenadores.


Con Inventory puedes averiguar, para cada uno de los terminales de una misma red, las versiones y programas que tienen instalados, los respectivos números de serie y las características técnicas de cada máquina.
  • EZSBenford
Esta herramienta toma como base la ley de Benford, de allí su funcionalidad, se basa en determinar la correlación de cifras en un documento buscando repeticiones, ósea que busca la frecuencia de repeticiones para así encontrar anomalías esto se hace comparando los datos de resultado con los teóricos esperados. La herramienta recibe un archivo a analizar y este se puede evaluar por distintos tipos de análisis que se pueden seleccionar por el usuario, dando así flexibilidad a el tipo de búsqueda según las necesidades o preferencias de cada auditor. 
  • AUDAP / AUDIRISK 
Software de Auditoría Basada en Riesgos para Procesos de Negocio, Sistemas de Información y la Infraestructura de TI El software AUDAP (AUDIRISK, a partir del año 2010) es una herramienta para apoyar a auditores internos, externos y de sistemas en el desarrollo de "AUDITORÍAS BASADAS EN RIESGOS" a los procesos del modelo de operación de la Empresa (estratégicos, misionales, de apoyo y de evaluación), procesos de tecnología de información (modelos COBIT, ITIL), Aplicaciones de Computador (o módulos de ERPs) y el seguimiento a los planes de mejoramiento institucional que surgen de auditorías internas y externas realizadas en la organización. El software AUDAP consta de 5 módulos:
1) Planeación Anual de la Auditoria; 
2) Auditorías Basadas en Riesgos; 
3) Seguimiento a Auditorías efectuadas por terceros; 
4) Gestión de la Auditoría 
5) Administración y Seguridad del software. 

  • InvGate Assets
La función de Gestión de Activos de TI de InvGate incluye todo lo que se puede esperar de una herramienta ITAM y SAM (Gestión de Activos de Software) orientada al cumplimiento de objetivos, incluyendo una integración perfecta con InvGate Service Desk para una mejor resolución de problemas.

Publicadas por a la/s 1 comentario:
Suscribirse a: Entradas (Atom)