COBIT

COBIT 5 es el marco de gestión y de negocio global para el gobierno y la gestión de las TI de la empresa. Este documento contiene los 5 principios de COBIT 5 y define los 7 catalizadores que componen el marco.

Marco de COBIT 5

COBIT 5 ayuda a las Organizaciones a crear un valor óptimo a partir de la TI, al mantener un equilibrio entre la realización de beneficios y la optimización de los niveles de riesgo y utilización de los recursos.

• Permite que las tecnologías de la información y relacionadas se gobiernen y administren de una manera holística a nivel de toda la Organización, incluyendo el alcance completo de todas las áreas de responsabilidad funcionales y de negocios, considerando los intereses relacionados con la TI de las partes interesadas internas y externas.
• Los principios y habilitadores de COBIT 5 son genéricos y útiles para las Organizaciones de cualquier tamaño, bien sean comerciales, sin fines de lucro o en el sector público.

Principios de COBIT 5

  Principio 1: Satisfacer las Necesidades de las Partes Interesadas

• Las Organizaciones tienen muchas partes interesadas y “crear valor” significa cosas diferentes a veces conflictivas para cada una de ellas.
• En el Gobierno se trata de negociar y decidir entre los diversos intereses de beneficio de las diferentes partes interesadas.
• El sistema de Gobierno deberá considerar a todas las partes interesadas al tomar decisiones con respecto a la evaluación de riesgos, los beneficios y el manejo de
  recursos.

Principio 2: Cubrir la Compañía de Forma Integral

• COBIT 5 se concentra en el gobierno y la administración de la tecnología de la información y relacionadas desde una perspectiva integral a nivel de toda la Organización. 
• Esto significa que COBIT 5: Integra el gobierno de la TI corporativa en el gobierno corporativo, o sea, el sistema de gobierno para la TI corporativa propuesto por COBIT 5 se integra, de una manera fluida, en cualquier sistema de gobierno, toda vez que COBIT 5 está alineado a los últimos desarrollos en gobierno corporativo.

Principio 3. Aplicar un único Marco Integrado

COBIT 5 está alineado con los últimos marcos y normas relevantes usados por las organizaciones: 

Corporativo: COSO, COSO ERM, ISO/IEC 9000, ISO/IEC 31000 

Relacionado con TI: ISO/IEC 38500, ITIL, la serie ISO/IEC 27000, TOGAF, PMBOK/PRINCE2, CMMI.

Principio 4. Habilitar un Enfoque Holístico

Los Habilitadores de COBIT 5 son:

Factores que, individual y colectivamente, influyen sobre si algo funcionará – en el caso de COBIT, Gobierno y Administración sobre la TI corporativa.
Impulsados por las metas en cascada, o sea: las metas de alto nivel relacionadas con la TI definen qué deberían lograr los diferentes habilitadores.

Descritos por el marco de COBIT 5 en siete categorías:

Principio 5. Separar el Gobierno de la Administración

El marco de COBIT 5 plasma una distinción muy clara entre el Gobierno y la Administración. 

Dichas dos disciplinas: 

• Comprenden diferentes tipos de actividades 
• Requieren diferentes estructuras organizacionales 
• Cumplen diferentes propósitos

Gobierno:

En la mayoría de las organizaciones el Gobierno es responsabilidad de la Junta Directiva bajo el liderazgo de su Presidente. 

Administración:

En la mayoría de las organizaciones, la Administración es responsabilidad de la Gerencia Ejecutiva, bajo el liderazgo del Gerente General (CEO).

ISO TI

Las ISO son normas o estándares de seguridad establecidas por la Organización Internacional para la Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC) que se encargan de establecer estándares y guías relacionados con sistemas de gestión y aplicables a cualquier tipo de organización internacionales y mundiales, con el propósito de facilitar el comercio, facilitar el intercambio de información y contribuir a la transferencia de tecnologías.

ISO Aplicadas Auditoria de Sistemas (Algunas)

ISO 27001

ISO 27001 es una norma internacional emitida por la Organización Internacional de Normalización (ISO) y describe cómo gestionar la seguridad de la información en una empresa. La revisión más reciente de esta norma fue publicada en 2013 y ahora su nombre completo es ISO/IEC 27001:2013. La primera revisión se publicó en 2005 y fue desarrollada en base a la norma británica BS 7799-2.

ISO 27001 puede ser implementada en cualquier tipo de organización, con o sin fines de lucro, privada o pública, pequeña o grande. Está redactada por los mejores especialistas del mundo en el tema y proporciona una metodología para implementar la gestión de la seguridad de la información en una organización. También permite que una empresa sea certificada; esto significa que una entidad de certificación independiente confirma que la seguridad de la información ha sido implementada en esa organización en cumplimiento con la norma ISO 27001.

ISO 27002

ISO/IEC 27002 proporciona recomendaciones de las mejores prácticas en la gestión de la seguridad de la información a todos los interesados y responsables en iniciar, implantar o mantener sistemas de gestión de la seguridad de la información. La seguridad de la información se define en el estándar como "la preservación de la confidencialidad (asegurando que sólo quienes estén autorizados pueden acceder a la información), integridad (asegurando que la información y sus métodos de proceso son exactos y completos) y disponibilidad (asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran)".

ISO 27003- Guía para la complementación de un Sistema de Gestión de Seguridad de la Infomacion

El Sistema de Gestión de Seguridad de la Información es la parte del sistema integral de gestión, basado en un enfoque del riesgo de la información para establecer , implementar , operar, monitorear, revisar, mantener y mejorar la seguridad de la información.

El Objetivo del ISO 27003 es proporcionar orientación práctica en el desarrollo del plan de implementación para un Sistema de Gestión de Seguridad de Información.

ISO/IEC 20000-Gestión de servicios de TI

Una entrega efectiva de los servicios de TI es crucial para las empresas. Hay una percepción de que estos servicios no están alineados con las necesidades y requisitos del negocio. Esto es especialmente importante tanto si se proporciona servicios internamente a clientes como si se está subcontratando proveedores. Una manera de demostrar que los servicios de TI están cumpliendo con las necesidades del negocio es implantar un Sistema de Gestión de Servicios de TI (SGSTI) basado en los requisitos de la norma ISO/IEC 20000. La certificación en esta norma internacional permite demostrar de manera independiente que los servicios ofrecidos cumplen con las mejores prácticas.

ISO/IEC 20000 está basada y reemplaza a la BS 15000, la norma reconocida internacionalmente como una British Standard (BS), y que está disponible en dos partes: una especificación auditable y un código de buenas prácticas.

La ISO/IEC 20000 es totalmente compatible con la ITIL (IT Infrastructure Library), o guía de mejores prácticas para el proceso de GSTI. La diferencia es que el ITIL no es medible y puede ser implantado de muchas maneras, mientras que en la ISO/IEC 20000, las organizaciones deben ser auditadas y medidas frente a un conjunto establecido de requisitos.

La ISO/IEC 20000 es aplicable a cualquier organización, pequeña o grande, en cualquier sector o parte del mundo donde confían en los servicios de TI. La norma es particularmente aplicable para proveedores de servicios internos de TI, tales como departamentos de Información Tecnológica, proveedores externos de TI o incluso organizaciones subcontratadas. La norma está impactando positivamente en algunos de los sectores que necesitan TI tales como subcontratación de negocios, Telecomunicaciones, Finanzas y el Sector Público.

Informe COSO

Generalidades

El “Informe C.O.S.O.” es un documento que especifica un modelo común de control interno con el cual las organizaciones pueden implantar, gestionar y evaluar sus sistemas de control interno para asegurar que éstos se mantengan funcionales, eficaces y eficientes. 

Ambiente de control

Este es consecuencia de la actitud asumida por la alta dirección, la gerencia, y por representación instintiva, los demás agentes con relación a la importancia del control interno y su incidencia sobre las actividades y resultados de la organización. Los valores éticos son esenciales para el ambiente de control.

Evaluación de riesgos

Todas las entidades, omitiendo el tamaño, estructura, naturaleza o clase de industria, enfrentan riesgos en todos los niveles de sus organizaciones. No existe una manera práctica para reducir los riesgos a cero. La definición de objetivos es una condición previa para la valoración de riesgos. Primero que todo, deben definirse los objetivos a fin de que la administración pueda identificar los riesgos y tomar las acciones necesarias para administrarlos. Los objetivos globales deben dividirse en sub.-objetivos, consistentes con la estrategia global, y vinculados con las actividades a través de la organización.

Actividades de control

Las actividades de control se dan a todo lo largo y ancho de la organización, en todos los niveles y en todas las funciones. Incluyen un rango de actividades tan diversas como aprobaciones, autorizaciones, verificaciones, reconciliaciones, revisión del desempeño de operaciones, seguridad de activos y segregación de responsabilidades. Las actividades de control se pueden dividir en tres categorías, basadas en la naturaleza de los objetivos de la entidad con los cuales se relaciona: operaciones, información financiera, o cumplimiento.

Información y comunicación

Informacion

La información es identificada, capturada, procesada y reportada mediante sistemas de información; que pueden ser computarizados, manuales o combinación de ellos. Los sistemas de información operan algunas veces en una forma de monitoreo, realizando captura rutinaria de datos específicos. En otros casos, se realizan acciones especiales para obtener la información requerida. Los sistemas de información pueden ser formales o informales. Las conversaciones con clientes, proveedores, reguladores y empleados proveen a menudo de la información más crítica requerida para identificar riesgos y oportunidades, de manera similar, la asistencia a seminarios profesionales o industriales y la participación como miembros de asociaciones de comercio u otras pueden proporcionar información valiosa.

Supervisión o monitoreo

El monitoreo asegura que el control interno continúa operando efectivamente. Este proceso implica la valoración, por parte del personal apropiado, del diseño y de la operación de los controles en una adecuada base de tiempo, y realizando las acciones necesarias. Se aplica para todas las actividades en una organización. El monitoreo puede hacerse de dos maneras: mediante actividades en tiempo real o mediante evaluaciones separadas.

Beneficios del modelo coso II

Permite a la Dirección de la empresa poseer una visión global del riesgo y accionar los planes para su correcta gestión.

Posibilita el establecimiento de los objetivos de acuerdo a las prioridades, riesgos clave del negocio, y de los controles implantados, lo que permite su adecuada gestión. Toma de decisiones más segura, facilitando la asignación del capital.

Alinea los objetivos del grupo con los objetivos de las diferentes unidades de negocio, así como los riesgos asumidos y los controles puestos en acción.

Permite dar soporte a las actividades de planificación estratégica y control interno.

Permite cumplir con los nuevos marcos regulatorios y demanda de nuevas prácticas.

Fomenta que la gestión de riesgos pase a formar parte de la cultura de la organización.

Seguridad Informática (Continuación)

Políticas de Seguridad Informática

El objetivo de la Política de Seguridad de Información de una organización es, por un lado, mostrar el posicionamiento de la organización con relación a la seguridad, y por otro lado servir de base para desarrollar los procedimientos concretos de seguridad.

La empresa debe disponer de un documento formalmente elaborado sobre el tema y que debe ser divulgado entre todos los empleados.

No es necesario un gran nivel de detalle, pero tampoco ha de quedar como una declaración de intenciones. Lo más importante para que estas surtan efecto es lograr la concienciación, entendimiento y compromiso de todos los involucrados.

Las políticas deben contener claramente las practicas que serán adoptadas por la compañía. Y estas políticas deben ser revisadas, y si es necesario actualizadas, periódicamente.

Las políticas deben:

· Definir qué es seguridad de la información, cuáles son sus objetivos principales y su importancia dentro de la organización

· Mostrar el compromiso de sus altos cargos con la misma

· Definir la filosofía respecto al acceso a los datos

· Establecer responsabilidades inherentes al tema

· Establecer la base para poder diseñar normas y procedimientos referidos a

• Organización de la seguridad
• Clasificación y control de los datos
• Seguridad de las personas
• Seguridad física y ambiental
• Plan de contingencia
• Prevención y detección de virus
• Administración de los computadores

A partir de las políticas se podrá comenzar a desarrollar, primero las normas, y luego los procedimientos de seguridad que serán la guía para la realización de las actividades.

Criptografía

¿Para qué sirve la criptografía?

Los seres humanos siempre han sentido la necesidad de ocultar información, mucho antes de que existieran los primeros equipos informáticos y calculadoras.

Desde su creación, Internet ha evolucionado hasta convertirse en una herramienta esencial de la comunicación. Sin embargo, esta comunicación implica un número creciente de problemas estratégicos relacionados con las actividades de las empresas en la Web. Las transacciones que se realizan a través de la red pueden ser interceptadas y, sobretodo, porque actualmente resulta difícil establecer una legislación sobre Internet. La seguridad de esta información debe garantizarse: éste es el papel de la criptografía.

¿Qué es la criptografía?

La palabra criptografía es un término genérico que describe todas las técnicas que permiten cifrar mensajes o hacerlos ininteligibles sin recurrir a una acción específica. El verbo asociado es cifrar.

La criptografía se basa en la aritmética: En el caso de un texto, consiste en transformar las letras que conforman el mensaje en una serie de números (en forma de bits ya que los equipos informáticos usan el sistema binario) y luego realizar cálculos con estos números para:

Modificarlos y hacerlos incomprensibles. El resultado de esta modificación (el mensaje cifrado) se llama texto cifrado, en contraste con el mensaje inicial, llamado texto simple.

Asegurarse de que el receptor pueda descifrarlos.

El hecho de codificar un mensaje para que sea secreto se llama cifrado. El método inverso, que consiste en recuperar el mensaje original, se llama descifrado.

El cifrado normalmente se realiza mediante una clave de cifrado y el descifrado requiere una clave de descifrado. Las claves generalmente se dividen en dos tipos:

Las claves simétricas: son las claves que se usan tanto para el cifrado como para el descifrado. En este caso hablamos de cifrado simétrico o cifrado con clave secreta.

Las claves asimétricas: son las claves que se usan en el caso del cifrado asimétrico (también llamado cifrado con clave pública). En este caso, se usa una clave para el cifrado y otra para el descifrado.

Seguridad Informatica

Definición

Se entiende por seguridad informática al conjunto de normas, procedimientos y herramientas, que tienen como objetivo garantizar la disponibilidad, integridad, confidencialidad y buen uso 

de la información que reside en un sistema de información.

Un sistema informático puede ser protegido desde un punto de vista lógico (con el desarrollo de software) o físico (vinculado al mantenimiento eléctrico, por ejemplo). Por otra parte, las amenazas pueden proceder desde programas dañinos que se instalan en la computadora del usuario (como un virus) o llegar por vía remota (los delincuentes que se conectan a Internet e ingresan a distintos sistemas).

En el caso de los virus hay que subrayar que en la actualidad es amplísima la lista de ellos que existen y que pueden vulnerar de manera palpable cualquier equipo o sistema informático. Así, por ejemplo, nos encontramos con los llamados virus residentes que son aquellos que se caracterizan por el hecho de que se hallan ocultos en lo que es la memoria RAM y eso les da la oportunidad de interceptar y de controlar las distintas operaciones que se realizan en el ordenador en cuestión llevando a cabo la infección de programas o carpetas que formen parte fundamental de aquellas.

Principios de Seguridad Informática

Para lograr sus objetivos la seguridad informática se fundamenta en tres principios, que debe cumplir todo sistema informático.

Confidencialidad: Se refiere a la privacidad de los elementos de información almacenados y procesados en un sistema informático, Basándose en este principio, las herramientas de seguridad informática deben proteger el sistema de invasiones y accesos por parte de personas o programas no autorizados. 

Integridad: Se refiere a la validez y consistencia de los elementos de información almacenados y procesador en un sistema informático. Basándose en este principio, las herramientas de seguridad informática deben asegurar que los procesos de actualización estén bien sincronizados y no se dupliquen, de forma que todos los elementos del sistema manipulen adecuadamente los mismos datos. 

Disponibilidad: Se refiere a la continuidad de acceso a los elementos de información almacenados y procesados en un sistema informático. 

Factores de Riego

Ambientales/Físicos: Factores externos, lluvias, inundaciones, terremotos, tormentas, rayos, humedad, calor entre otros.

Tecnológicos: Fallas de hardware y/o software, fallas en el aire acondicionado, falla en el servicio eléctrico, ataque por virus informático, etc.

Humanos: Hurto, adulteración, fraude, modificación, revelación, pérdida, sabotaje, vandalismo, crackers, hackers, falsificación, robo de contraseñas, alteraciones etc.

Mecanismos de Seguridad

Un mecanismo de seguridad informática es una técnica o herramienta que se utiliza para fortalecer la confidencialidad, la integridad y/o la disponibilidad de un sistema informático.

Clasificación según su función

Preventivos: Actúan antes de que un hecho ocurra y su función es detener agentes no deseados.

Detectivos: Actúan antes de que un hecho ocurra y su función es revelar la presencia de agentes no deseados en algún componente del sistema. Se caracterizan por enviar un aviso y registrar la incidencia.

Correctivos: Actúan luego de ocurrido el hecho y su función es corregir la consecuencias.

Software de Auditoria de Sistemas

Definición

Según la RAE, el software es un conjunto de programas, instrucciones y reglas informáticas que permiten ejecutar distintas tareas en una computadora.

Se considera que el software es el equipamiento lógico e intangible de un ordenador. En otras palabras, el concepto de software abarca a todas las aplicaciones informáticas, como los procesadores de textos, las planillas de cálculo y los editores de imágenes.

Funciones del software

1. Administrar los recursos de computacionales
2. Proporcionar las herramientas para optimizar estos recursos.
3. Actuar como intermediario entre el usuario y la información almacenada.

Software de auditoria

Son programas utilizados para procesar grandes cantidades de datos generados por la contabilidad de una organización, puede ser: programas en paquete, programas escritos para un propósito específico y programas de utilería.

El Software de Auditoria de Sistemas tiene como propósito y objetivo principal identificar las tendencias, señalar excepciones y áreas que requieren atención localiza errores y posibles irregularidades, comparando y analizando los archivos según los criterios especificados por los usuarios. Además permiten extraer información para su revisión, comparación y así obtener resultados previos al análisis realizado; estos productos utilizados habitualmente por los auditores operativos o financieros, permiten extraer datos concretos o en base a muestras estadísticas.

Permiten al auditor obtener información de los sistemas automatizados como evidencias de las pruebas que se diseñen y planeen antes de ejecutar el software de auditoria.

Tipos de Software de Auditoria

1- Planificación de la auditoria

2- Ejecución- Supervisión

3- Análisis de Riesgo

4- Análisis y evaluación de base de datos

5- Herramientas Integradas

6- Programas para Propósitos Específicos.

Algunos Software de Auditoria de Sistemas

AudtoAudit: es un sistema completo para la automatización de la función de Auditoría, soportando todo el proceso y flujo de trabajo, desde la fase de planificación, pasando por el trabajo de campo, hasta la preparación del informe final. Además del manejo de documentos y papeles de trabajo en forma electrónica, permite seguir la metodología de evaluación de riesgos a nivel de entidad o de proceso, la planificación de auditorías y recursos, seguimiento de hallazgos, reportes de gastos y de tiempo, control de calidad, y cuenta con la flexibilidad de un módulo de reportes. Todos estos módulos están completamente integrados y los datos fluyen de uno a otro automáticamente.

IDEA: es una herramienta de análisis completa, potente y fácil de usar que analiza rápidamente el 100% de sus datos, garantizando su integridad, acelera su trabajo y prepara el terreno para auditorías más rápidas y efectivas. IDEA ofrece más de 100 tareas relacionadas con la auditoría y una amplia gama de nuevas características que simplifican el trabajo del auditor y responden a todas sus necesidades analíticas, desde la importación de datos y su análisis, hasta la presentación de los resultados. Con unos cuantos clics puede ver varios grupos datos a la vez, lo cual le permite obtener una visión de conjunto y centrar su búsqueda en la identificación de relaciones, patrones, valores atípicos y anomalías en sus datos.

Planning Advisor. La Herramienta de Planeamiento de Auditoría Basada en Riesgos: Este programa ayuda a automatizar el proceso de planeación de la auditoria. Utilizando este programa se puede identificar y clasificar las áreas de mayor exposición mediante criterios de evaluación basados en riesgos. Esta herramienta se puede utilizar en combinación con el Pro audit. Advisor como herramienta de ejecución de la planeación. Diseñada para auditores, departamentos de auditoría y unidades de negocio que aplican un enfoque de riesgo a su actividad de auditoría.

http://www.casewareanalytics.com/es/products/an%C3%A1lisis-de-datos-idea

http://naizona.blogspot.com/2009/08/v-behaviorurldefaultvml-o.html

Herramientas de Auditoria de Sistemas

Se puede definir a las Herramientas como un conjunto de programas y ayudas que dan asistencia a los analistas, ingenieros de software y desarrolladores, durante todos los pasos del Ciclo de Vida de desarrollo de un Software. Como es sabido, los estados en el Ciclo de Vida de desarrollo de un Software son: Investigación Preliminar, Análisis, Diseño, Implementación e Instalación.

Ventajas que aportan las herramientas informáticas de apoyo al auditor

Auditoría Financiera

·         Facilidad de manejo de grandes volúmenes de datos

·         Aprovechamiento de la informatización de datos de las empresas

·         Fiabilidad de los datos obtenidos

·         Manejabilidad de los datos

·         Rapidez en el procesamiento de los datos

Auditoría Informática

·         Detección de vulnerabilidades en los diferentes sistemas

·         Fácil inventariado de los equipos y licencias de software

·         Verificación una correcta segregación de funciones

Herramientas para la realización de auditorías informáticas en las diferentes áreas de ITCG

El nivel de dependencia en las tecnologías de la información, hace necesario la revisión de los sistemas (ITGC – Information Technology General Controls) que soportan la actividad de la Compañía, identificando los posibles riesgos existentes en los sistemas de información claves y evaluando los controles que los mitigan.

El uso de herramientas de auditoría se basa en la información extraída directamente de los sistemas de la Compañía, e incluso, los datos contables provienen de aplicativos o servidores de información, lo que hace necesario asegurar su:

• Fiabilidad

• Calidad

• Disponibilidad

• Integridad

La revisión de los ITGC tiene como objetivo evaluar la existencia de un ambiente de control razonable en el área de Sistemas de Información y así poder dar confort a la información extraída de los sistemas.

Herramientas para la realización de auditorías informáticas en las diferentes áreas de ITCG

Áreas a tratar en una revisión de sistemas (ITGC):

1.       Organización y dirección del departamento de IT

·         Revisión del proceso de desarrollo y modificación de aplicaciones

·         Solicitud de cambios

·         Proceso de desarrollo

·         Pruebas y validaciones realizadas

2.       Operaciones

·         Generación de copias de seguridad

·         Plan de recuperación ante desastres

·         Análisis de las redes y comunicaciones

·         Gestión de incidencias

·         Comunicación y resolución de las mismas

·         Seguimiento

·         Incidencias de seguridad

3.       Seguridad lógica

·         Control de accesos y Perfiles de usuarios

4.       Seguridad física

Herramientas para la realización de auditorías informáticas en las diferentes áreas de ITCG

Esta revisión de sistemas se realiza a alto nivel, existiendo herramientas de auditoría informática que posibilitan un análisis más eficiente y rápido de los aspectos más críticos;

·         Auditoria de seguridad de la red

·         Auditoría de seguridad lógica

·         Auditoria de desarrollo y explotación

·         Auditoría en los diferentes entornos (BD, SO y Aplicación)

·         Auditoría licencias