Estandares auditoria
Upcoming SlideShare
Loading in...5
×
 

Like this? Share it with your network

Share

Estandares auditoria

on

  • 9,633 views

Documento resumen de los estandares mas reconocidos en la auditoria de sistemas de informacion.

Documento resumen de los estandares mas reconocidos en la auditoria de sistemas de informacion.

Statistics

Views

Total Views
9,633
Views on SlideShare
9,524
Embed Views
109

Actions

Likes
0
Downloads
254
Comments
0

5 Embeds 109

http://ticalcanze.blogspot.com 72
http://aulavirtual.diplomados.com 23
http://www.ticalcanze.blogspot.com 9
http://ticalcanze.blogspot.mx 4
http://ticalcanze.blogspot.de 1

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

CC Attribution License

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Estandares auditoria Document Transcript

  • 1. ESTÁNDARES APLICABLES A LA www.ticalcanze.tk AUDITORIA EN SISTEMAS DE INFORMACION
  • 2. www.ticalcanze.tk INTRODUCCIÓN La naturaleza especial de la Auditoría de Sistemas de Información, y las capacidades necesarias para la realización de dichas auditorías, requieren estándares de aplicación específica a la auditoría de sistemas. Por lo mismo que la información es un activo vital para el éxito y la continuidad en el mercado de cualquier organización. El aseguramiento de dicha información y de los sistemas que la procesan es, por tanto, un objetivo de primer nivel para la organización. Para la adecuada gestión de la seguridad de la información, es necesario implantar un sistema que aborde esta tarea de una forma metódica, documentada y basada en unos objetivos claros de seguridad y una evaluación de los riesgos a los que está sometida la información de la organización. Para fines de orden mostramos los Organismos de Normalización de auditoria de sistemas de información: Internacionales: ISO/IEC/UIT-T Europeos: CEN/CENELEC/ETSI Americano: COPANT Español: AENOR www.ticalcanze.tk Página 1
  • 3. www.ticalcanze.tk ESTANDARES APLICABLES A LA AUDITORIA DE SISTEMAS DE INFORMACION A continuación una serie de estándares generales que guían el desarrollo de proyectos de SI: A. Directrices Gerenciales de COBIT, desarrollado por la Information Systems Audit and Control Association (ISACA):  Las Directrices Gerenciales son un marco internacional de referencias que abordan las mejores prácticas de auditoría y control de sistemas de información. Permiten que la gerencia incluya, comprenda y administre los riesgos relacionados con la tecnología de información y establezca el enlace entre los procesos de administración, aspectos técnicos, la necesidad de controles y los riesgos asociados. B. The Management of the Control of data Information Technology, desarrollado por el Instituto Canadiense de Contadores Certificados (CICA):  Este modelo está basado en el concepto de roles y establece responsabilidades relacionadas con seguridad y los controles correspondientes. Dichos roles están clasificados con base en siete grupos: administración general, gerentes de sistemas, dueños, agentes, usuarios de sistemas de información, así como proveedores de servicios, desarrollo y operaciones de servicios y soporte de sistemas. Además, hace distinción entre los conceptos de autoridad, responsabilidad y responsabilidad respecto a control y riesgo previo al establecimiento del control, en términos de objetivos, estándares y técnicas mínimas a considerar. C. Estándares de administración de calidad y aseguramiento de calidad ISO 9000, desarrollados por la Organización Internacional de Estándares (ISO):  La colección ISO 9000 es un conjunto de estándares y directrices que apoyan a las organizaciones a implementar sistemas de calidad efectivos, para el tipo de trabajo que ellos realizan. D. SysTrust – Principios y criterios de confiabilidad de Sistemas, desarrollados por la Asociación de Contadores Públicos (AICPA) y el CICA:  Este servicio pretende incrementar la confianza de la alta gerencia, clientes y socios, con respecto a la confiabilidad en los sistemas por una empresa o actividad en particular. Este modelo incluye elementos como: infraestructura, software de cualquier naturaleza, personal especializado y usuarios, procesos manuales y automatizados, y datos. El modelo persigue determinar si un sistema de www.ticalcanze.tk Página 2
  • 4. www.ticalcanze.tk información es confiable, (i.e. si un sistema funciona sin errores significativos, o fallas durante un periodo de tiempo determinado bajo un ambiente dado). E. Modelo de Evolución de Capacidades de software (CMM), desarrollado por el Instituto de Ingeniería de Software (SEI):  Este modelo hace posible evaluar las capacidades o habilidades para ejecutar, de una organización, con respecto al desarrollo y mantenimiento de sistemas de información. Consiste en 18 sectores clave, agrupados alrededor de cinco niveles de madurez. Se puede considerar que CMM es la base de los principios de evaluación recomendados por COBIT, así como para algunos de los procesos de administración de COBIT. F. Administración de sistemas de información: Una herramienta de evaluación práctica, desarrollado por la Directiva de Recursos de Tecnología de Información (ITRB):  Este es una herramienta de evaluación que permite a entidades gubernamentales, comprender la implementación estratégica de tecnología de información y comunicación electrónica que puede apoyar su misión e incrementar sus productos y servicios. G. Ingeniería de seguridad de sistemas – Modelo de madurez de capacidades (SSE – CMM), desarrollado por la agencia de seguridad nacional (NSA) con el apoyo de la Universidad de Carnegie Mellon:  Este modelo describe las características esenciales de una arquitectura de seguridad organizacional para tecnología de información y comunicación electrónica, de acuerdo con las prácticas generalmente aceptadas observadas en las organizaciones. www.ticalcanze.tk Página 3
  • 5. www.ticalcanze.tk ESTÁNDARES ESPECIFICOS 1. ISO 27001: Esta norma contiene los requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se certifican por auditores externos los SGSI de las organizaciones. Enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002. Esta norma internacional (27001) especifica los requisitos para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar un SGSI documentado dentro del contexto global de los riesgos de negocio de la organización. Especifica los requisitos para la implantación de los controles de seguridad hechos a medida de las necesidades de organizaciones individuales o partes de las mismas 2. ISO 15504 (Spice): Sistema de calidad de productos software, combina ideas de CMM e ISO 9000. Sus derivados: ISO 15504-2, modelo de madurez ISO 15504-3, requisitos para evaluación de procesos ISO 15504-6, competencia, formación, etc.  Propósito Evaluación del proceso de Ingeniería Mejora de proceso de ingeniería Determinación de capacidades (madurez)  Dirigida a: Adquiridores Suministradores Evaluadores Permite la evaluación de procesos software en organizaciones que realicen alguna de las actividades del ciclo de vida del software: Adquisición Suministro Desarrollo Operación Mantenimiento Evolución Soporte www.ticalcanze.tk Página 4
  • 6. www.ticalcanze.tk ¿Qué ventajas aporta esta norma a las empresas de desarrollo y mantenimiento software? Pueden contar con una norma ISO, internacional y abierta. Integración más fácil con otras normas ISO del sector TIC, como son: ISO 27000 de seguridad, ISO 20000 de servicios de IT e ISO 9000. Evalúa por niveles de madurez, la evaluación más extendida entre los modelos de mejora. Normalmente, tiene un menor coste de certificación que otros modelos similares. Existen certificaciones de prestigio, como por ejemplo la otorgada por AENOR. Facilita auto evaluación. Toma en cuenta el contexto del proceso que se evalúa. Entregar una nota del perfil del proceso Se ocupa de qué tan adecuadas son las prácticas, en relación al propósito del proceso. Es aplicable para todos los dominios y tamaños de organizaciones. 3. ISO 12207: Este estándar "establece un marco de referencia común para los procesos del ciclo de vida software, con una terminología bien definida, que puede ser referenciada por la industria del software” Tiene como objetivo principal proporcionar una estructura común para que compradores, proveedores, desarrolladores, personal de mantenimiento, operadores, gestores y técnicos involucrados en el desarrollo de software usen un lenguaje común. Contiene procesos, actividades y tareas para aplicar durante la adquisición de un sistema que contiene software, un producto software puro o un servicio software, y durante el suministro, desarrollo, operación y mantenimiento de productos software. 4. ISO/IEC 17799 (denominada también como ISO 27002) es un estándar para la seguridad de la información. Este estándar internacional de alto nivel para la administración de la seguridad de la información, fue publicado por la ISO en diciembre de 2000 con el objeto de desarrollar un marco de seguridad sobre el cual trabajen las organizaciones. Se define como una guía en la implementación del sistema de administración de la seguridad de la información, se orienta a preservar los siguientes principios de la seguridad informática: Confidencialidad. Asegurar que únicamente personal autorizado tenga acceso a la información. Integridad. Garantizar que la información no será alterada, eliminada o destruida por entidades no autorizadas. www.ticalcanze.tk Página 5
  • 7. www.ticalcanze.tk Disponibilidad. Asegurar que los usuarios autorizados tendrán acceso a la información cuando la requieran.TENDENCIAS DE LOS ESTÁNDARES Y DE LAS MEJORES PRÁCTICAS. Es importante considerar la forma en que los estándares y las mejores prácticas van evolucionando, además de conocer qué tanto ha cambiado su uso por parte de las organizaciones. Se ha visto que existen procesos de evolución como a continuación se menciona: Evolución en los estándares y marcos referenciales de la madurez de procesos. Evolución de estándares de administración de proyectos y de desarrollo de software comercial. Evolución de estándares de software militar.CONCLUSIÓN Las tendencias de estándares que van surgiendo, van paralelas con lo que ha sucedido aceleradamente en el sector privado, esto es, dado que se han gestado numerosos proyectos de sistemas de información que han fracasado, y la dura realidad del incumplimiento de los mismos con las necesidades propias de los clientes y del negocio en sí, ha habido un incremento dramático en el número de organizaciones en el sector privado que están persiguiendo agresivamente el uso de estándares y mejores prácticas, como su estrategia primordial de supervivencia en el mercado. www.ticalcanze.tk Página 6