jueves, 1 de diciembre de 2016

Adquirir e Implementar

AI6.2 Evaluación de Impacto, Priorización y Autorización 

Garantizar que todas las solicitudes de cambio se evalúan de una estructurada manera en cuanto a impactos en el sistema operacional y su funcionalidad. Esta evaluación deberá incluir categorización y priorización de los cambios. Previo a la migración hacia producción, los interesados correspondientes autorizan los cambios.


Que satisface el requerimiento del negocio de TI para Responder a los requerimientos del negocio de acuerdo con la estrategia de negocio, mientras se reducen los defectos y la repetición de trabajos en la prestación del servicio y en la solución. Enfocándose en Controlar la evaluación de impacto, autorización e implantación de todos los cambios a la infraestructura de TI, aplicaciones y soluciones técnicas, minimizando errores que se deben a especificaciones incompletas de la solicitud y detener la implantación de cambios no autorizados 
Se logra con 
• La definición y comunicación de los procedimientos de cambio, que incluyen cambios de emergencia 
• La evaluación, la asignación de prioridad y autorización de cambios 
• Seguimiento del estatus y reporte de los cambios Y se mide con 
• El número de interrupciones o errores de datos provocados por especificaciones inexactas o una evaluación de impacto incompleta 
• La repetición de aplicaciones o infraestructura debida a especificaciones de cambio inadecuadas 
• El porcentaje de cambios que siguen procesos de control de cambio formales 

miércoles, 30 de noviembre de 2016

COBIT, Control Objectives for Information and related Technology

Es una guía de mejores prácticas presentada como framework, dirigida al control y supervisión de tecnología de la información (TI). Mantenida por ISACA y el IT GI, tiene una serie de recursos que pueden servir de modelo de referencia para la gestión de TI, incluyendo un resumen ejecutivo, un framework, objetivos de control, mapas de auditoría, herramientas para su implementación y principalmente, una guía de técnicas de gestión.

Ediciones

COBIT 4.1
En su cuarta edición, COBIT tiene 34 procesos que cubren 210 objetivos de control clasificados en cuatro dominios:

  • Planificación y Organización (Plan and Organize))
  • Adquisición e Implantación (Acquire and Implement)
  • Entrega y Soporte (Deliver and Support)
  • Supervisión y Evaluación (Monitor and Evaluate)


COBIT 5
ISACA lanzó el 10 de abril de 2012 la nueva edición de este marco de referencia. COBIT 5 es la última edición del framework mundialmente aceptado, el cual proporciona una visión empresarial del Gobierno de TI que tiene a la tecnología y a la información como protagonistas en la creación de valor para las empresas.

COBIT 5 se basa en COBIT 4.1, y a su vez lo amplía mediante la integración de otros importantes marcos y normas como Val IT y Risk IT, Information Technology Infrastructure Library (ITIL ®) y las normas ISO relacionadas en esta norma.

Beneficios

COBIT 5 ayuda a empresas de todos los tamaños a:


  • Optimizar los servicios el coste de las TI y la tecnología
  • Apoyar el cumplimiento de las leyes, reglamentos, acuerdos contractuales y las políticas
  • Gestión de nuevas tecnologías de información
  • Seguridad de la información

Tomado de: https://es.wikipedia.org/wiki/Objetivos_de_control_para_la_informaci%C3%B3n_y_tecnolog%C3%ADas_relacionadas

ISACA - Information Systems Audit and Control Association (Asociación de Auditoría y Control de Sistemas de Información)



ISACA fue fundada en el año 1967 cuando un grupo de auditores en sistemas informáticos percibieron la necesidad de centralizar la fuente de información y metodología para el área de operación. Fue en 1969 que el grupo se formalizó a asociación, originalmente incorporada como EDP Auditors Association.

En 1976 el nombre pasó a ser ISACA, por el que es actualmente conocida, y se estableció la primera certificación profesional de auditoría de sistemas de información, o CISA.

Actualmente ISACA atiende a unos 95.000 electores (miembros y profesionales con certificaciones ISACA) en unos 160 países.[cita requerida] Los cargos de los miembros son tales como auditor, consultor, educador, profesional de seguridad, regulador, director ejecutivo de información y auditor interno. Trabajan en casi todas las categorías de la industria. Hay una red de capítulos de ISACA con 170 capítulos establecidos en 160 países.

Los capítulos proporcionan educación y formación constante, recursos compartidos, promoción, creación de redes y otros Elvis.

  • Son los custodios del framework COBIT;
  • Son los creadores del ITGI (IT Governance Institute);
  • Desarrollaron cuatro certificaciones profesionales:

- CISA - Certified Information Systems Auditor, certificación de auditores de sistemas de información. Existen cerca de 90.000 personas certificadas (2012);
- CISM - Certified Information Security Manager, certificación de gestores de seguridad. Existen cerca de 16.000 personas certificadas;
- CGEIT - Certified in the Governance of Enterprise IT, certificación de gestores de la gobernanza empresarial TI. Existen cerca de 4.600 personas certificadas (2007);
- CRISC - Certified in Risk and Information Systems Control, certificación de gestores de control de riesgos en sistemas de información. Existen cerca de 15.000 personas certificadas (2010).

Tomado de:
https://www.isaca.org/Pages/default.aspx
https://es.wikipedia.org/wiki/ISACA

miércoles, 23 de noviembre de 2016

Informe de Auditoría

El informe de auditoria es el resultados de la información, estudio, investigación y análisis efectuado por los auditores durante la realización
de una auditoria, que de forma normalizada expresa por escrito su opinión sobre el área o actividad auditada en la relación con los objetivos fijados,
señalando así las debilidades de control interno, si las ha habidos, y formula recomendaciones pertinentes para eliminar las causas de tales deficiencias y
establecer las medidas correctas adecuadas.

El Informe de Auditoría es el producto terminado del Auditor Interno. La importancia del mismo se mide por la calidad de sus observaciones, recomendaciones y conclusiones e indirectamente por el logro de que las primeras sean subsanadas y generen la correspondiente modificación de conductas. Los contenidos del informe deben tener suficiente importancia para justificar su inclusión y atención de los funcionarios a los que va dirigido, debiendo evitarse los temas de importancia menor. El informe de auditoría interna se realizará con el formato establecido en el que se señalarán las no conformidades, las observaciones y las oportunidades de mejora para dar respuestas a los requisitos ISO, los legales, ambientales, los de la propia organización. El informe deberá mostrar las conclusiones del diagnóstico realizado, valoración del nivel de riesgo y las propuestas de mejora para incorporar en el sistema.

MODELOS DE INFORMES 

Informe Breve – Configuración:
Es el relato conciso del alcance del trabajo y de las principales observaciones, recomendaciones y conclusiones.
Informe Extenso – Configuración: Es el resultado de la tarea de control realizada.

El Informe de Auditoría debe contener los siguientes aspectos:
• Comunicación de presentación del auditor.
• Ficha de identificación del auditor.
• Contenido.
• Resumen ejecutivo.
• Informe.
• Introducción.
• Antecedentes (si es auditoría de seguimiento y/o quedan pendientes por resolver hallazgos de auditorías anteriores).
• Objetivo especifico.
• Objetivos generales.
• Alcance.
• Criterios de revisión.
• Análisis situacional.
• Observaciones.
• Conclusiones y recomendaciones.
• Observaciones finales.
• Anexos.

Tomado de: http://es.slideshare.net/ManuxxD1/elaboracin-de-un-informe-de-auditoria

viernes, 14 de octubre de 2016

Visita preliminar

Después de enviar una respuesta satisfactoria a la carta de solicitud de auditoría a la empresa solicitante, el organismo certificador se debe preparar la visita preliminar a la empresa para conocerla. Ésto conlleva:

  • Identificar a cada uno de los integrantes del grupo auditor.
  • Programar una fecha en común.
  • Solicitar al cliente disponibilidad del personal involucrado
  • Programar una reunión, incluyendo una minuta de la misma para documentar todas los acuerdos.
  • En la minuta se acuerdan detalles como la fecha de la visita preliminar, los miembros que van a acudir, la duración, tiempos, programas, etc.
  • Firmar un acuerdo de confidencialidad entre empresa(cliente)-auditores. Por lo general, el que lleva la delantera en la auditoría por parte de la empresa es el jefe de esta.


Objetivos de la visita preliminar:

  • Conocer a la empresa
  • Definir qué tipo de auditoría requiere el cliente
  • Determinar los recursos necesarios para llevar a cabo la auditoría
  • Es necesario entregar un Plan de Trabajo, el cual debe incluir varias fechas posibles para la realización de la auditoría, quiénes van a ir a realizarla, a quien en específico van a auditar e incluso a que hora se realizará.

Existen algunas herramientas que los auditores pueden utilizar para conocer mejor a la empresa, como son:


  • Investigación documental: Ésta implica requerir a la empresa documentos que muestren información relevante de la empresa, como son: misión, visión, planes de trabajo, descripción de puestos, organigrama, procedimientos ISO, etc.
  • Entrevista formal: Se utiliza un guión de preguntas con respuestas cerradas o de opción múltiple.
  • Entrevista no guiada: Se realizan preguntas mas generales donde la persona puede ser muy amplia en su respuesta, siendo éstas grabadas y después transcritas.
  • Encuesta: Es un cuestionario que se aplica a todos o parte de los empleados de la empresa.
  • Observación en sitio: Implica que un miembro del equipo auditor sea observador de alguna actividad o procedimiento de la empresa, tomando nota de como se realizan y sin interactuar con el personal laborando.

jueves, 13 de octubre de 2016

ISO 27001


ISO 27001 es una norma internacional emitida por la Organización Internacional de Normalización (ISO) y describe cómo gestionar la seguridad de la información en una empresa. La revisión más reciente de esta norma fue publicada en 2013 y ahora su nombre completo es ISO/IEC 27001:2013. La primera revisión se publicó en 2005 y fue desarrollada en base a la norma británica BS 7799-2.


ISO 27001 puede ser implementada en cualquier tipo de organización, con o sin fines de lucro, privada o pública, pequeña o grande. Está redactada por los mejores especialistas del mundo en el tema y proporciona una metodología para implementar la gestión de la seguridad de la información en una organización. También permite que una empresa sea certificada; esto significa que una entidad de certificación independiente confirma que la seguridad de la información ha sido implementada en esa organización en cumplimiento con la norma ISO 27001.

El eje central de ISO 27001 es proteger la confidencialidad, integridad y disponibilidad de la información en una empresa. Esto lo hace investigando cuáles son los potenciales problemas que podrían afectar la información (es decir, la evaluación de riesgos) y luego definiendo lo que es necesario hacer para evitar que estos problemas se produzcan (es decir, mitigación o tratamiento del riesgo).

Por lo tanto, la filosofía principal de la norma ISO 27001 se basa en la gestión de riesgos: investigar dónde están los riesgos y luego tratarlos sistemáticamente.
Hay 4 ventajas comerciales esenciales que una empresa puede obtener con la implementación de esta norma para la seguridad de la información:

  • Cumplir con los requerimientos legales  – cada vez hay más y más leyes, normativas y requerimientos contractuales relacionados con la seguridad de la información. La buena noticia es que la mayoría de ellos se pueden resolver implementando ISO 27001 ya que esta norma le proporciona una metodología perfecta para cumplir con todos ellos.
  • Obtener una ventaja comercial – si su empresa obtiene la certificación y sus competidores no, es posible que usted obtenga una ventaja sobre ellos ante los ojos de los clientes a los que les interesa mantener en forma segura su información.
  • Menores costos – la filosofía principal de ISO 27001 es evitar que se produzcan incidentes de seguridad, y cada incidente, ya sea grande o pequeño, cuesta dinero; por lo tanto, evitándolos su empresa va a ahorrar mucho dinero. Y lo mejor de todo es que la inversión en ISO 27001 es mucho menor que el ahorro que obtendrá.
  • Una mejor organización – en general, las empresas de rápido crecimiento no tienen tiempo para hacer una pausa y definir sus procesos y procedimientos; como consecuencia, muchas veces los empleados no saben qué hay que hacer, cuándo y quién debe hacerlo. La implementación de ISO 27001 ayuda a resolver este tipo de situaciones ya que alienta a las empresas a escribir sus principales procesos (incluso los que no están relacionados con la seguridad), lo que les permite reducir el tiempo perdido de sus empleados.
Tomado de: http://advisera.com/27001academy/es/que-es-iso-27001/