Informe COSO

Generalidades

El “Informe C.O.S.O.” es un documento que especifica un modelo común de control interno con el cual las organizaciones pueden implantar, gestionar y evaluar sus sistemas de control interno para asegurar que éstos se mantengan funcionales, eficaces y eficientes. 

Ambiente de control

Este es consecuencia de la actitud asumida por la alta dirección, la gerencia, y por representación instintiva, los demás agentes con relación a la importancia del control interno y su incidencia sobre las actividades y resultados de la organización. Los valores éticos son esenciales para el ambiente de control.

Evaluación de riesgos

Todas las entidades, omitiendo el tamaño, estructura, naturaleza o clase de industria, enfrentan riesgos en todos los niveles de sus organizaciones. No existe una manera práctica para reducir los riesgos a cero. La definición de objetivos es una condición previa para la valoración de riesgos. Primero que todo, deben definirse los objetivos a fin de que la administración pueda identificar los riesgos y tomar las acciones necesarias para administrarlos. Los objetivos globales deben dividirse en sub.-objetivos, consistentes con la estrategia global, y vinculados con las actividades a través de la organización.

Actividades de control

Las actividades de control se dan a todo lo largo y ancho de la organización, en todos los niveles y en todas las funciones. Incluyen un rango de actividades tan diversas como aprobaciones, autorizaciones, verificaciones, reconciliaciones, revisión del desempeño de operaciones, seguridad de activos y segregación de responsabilidades. Las actividades de control se pueden dividir en tres categorías, basadas en la naturaleza de los objetivos de la entidad con los cuales se relaciona: operaciones, información financiera, o cumplimiento.

Información y comunicación

Informacion

La información es identificada, capturada, procesada y reportada mediante sistemas de información; que pueden ser computarizados, manuales o combinación de ellos. Los sistemas de información operan algunas veces en una forma de monitoreo, realizando captura rutinaria de datos específicos. En otros casos, se realizan acciones especiales para obtener la información requerida. Los sistemas de información pueden ser formales o informales. Las conversaciones con clientes, proveedores, reguladores y empleados proveen a menudo de la información más crítica requerida para identificar riesgos y oportunidades, de manera similar, la asistencia a seminarios profesionales o industriales y la participación como miembros de asociaciones de comercio u otras pueden proporcionar información valiosa.

Supervisión o monitoreo

El monitoreo asegura que el control interno continúa operando efectivamente. Este proceso implica la valoración, por parte del personal apropiado, del diseño y de la operación de los controles en una adecuada base de tiempo, y realizando las acciones necesarias. Se aplica para todas las actividades en una organización. El monitoreo puede hacerse de dos maneras: mediante actividades en tiempo real o mediante evaluaciones separadas.

Beneficios del modelo coso II

Permite a la Dirección de la empresa poseer una visión global del riesgo y accionar los planes para su correcta gestión.

Posibilita el establecimiento de los objetivos de acuerdo a las prioridades, riesgos clave del negocio, y de los controles implantados, lo que permite su adecuada gestión. Toma de decisiones más segura, facilitando la asignación del capital.

Alinea los objetivos del grupo con los objetivos de las diferentes unidades de negocio, así como los riesgos asumidos y los controles puestos en acción.

Permite dar soporte a las actividades de planificación estratégica y control interno.

Permite cumplir con los nuevos marcos regulatorios y demanda de nuevas prácticas.

Fomenta que la gestión de riesgos pase a formar parte de la cultura de la organización.

Seguridad Informática (Continuación)

Políticas de Seguridad Informática

El objetivo de la Política de Seguridad de Información de una organización es, por un lado, mostrar el posicionamiento de la organización con relación a la seguridad, y por otro lado servir de base para desarrollar los procedimientos concretos de seguridad.

La empresa debe disponer de un documento formalmente elaborado sobre el tema y que debe ser divulgado entre todos los empleados.

No es necesario un gran nivel de detalle, pero tampoco ha de quedar como una declaración de intenciones. Lo más importante para que estas surtan efecto es lograr la concienciación, entendimiento y compromiso de todos los involucrados.

Las políticas deben contener claramente las practicas que serán adoptadas por la compañía. Y estas políticas deben ser revisadas, y si es necesario actualizadas, periódicamente.

Las políticas deben:

· Definir qué es seguridad de la información, cuáles son sus objetivos principales y su importancia dentro de la organización

· Mostrar el compromiso de sus altos cargos con la misma

· Definir la filosofía respecto al acceso a los datos

· Establecer responsabilidades inherentes al tema

· Establecer la base para poder diseñar normas y procedimientos referidos a

• Organización de la seguridad
• Clasificación y control de los datos
• Seguridad de las personas
• Seguridad física y ambiental
• Plan de contingencia
• Prevención y detección de virus
• Administración de los computadores

A partir de las políticas se podrá comenzar a desarrollar, primero las normas, y luego los procedimientos de seguridad que serán la guía para la realización de las actividades.

Criptografía

¿Para qué sirve la criptografía?

Los seres humanos siempre han sentido la necesidad de ocultar información, mucho antes de que existieran los primeros equipos informáticos y calculadoras.

Desde su creación, Internet ha evolucionado hasta convertirse en una herramienta esencial de la comunicación. Sin embargo, esta comunicación implica un número creciente de problemas estratégicos relacionados con las actividades de las empresas en la Web. Las transacciones que se realizan a través de la red pueden ser interceptadas y, sobretodo, porque actualmente resulta difícil establecer una legislación sobre Internet. La seguridad de esta información debe garantizarse: éste es el papel de la criptografía.

¿Qué es la criptografía?

La palabra criptografía es un término genérico que describe todas las técnicas que permiten cifrar mensajes o hacerlos ininteligibles sin recurrir a una acción específica. El verbo asociado es cifrar.

La criptografía se basa en la aritmética: En el caso de un texto, consiste en transformar las letras que conforman el mensaje en una serie de números (en forma de bits ya que los equipos informáticos usan el sistema binario) y luego realizar cálculos con estos números para:

Modificarlos y hacerlos incomprensibles. El resultado de esta modificación (el mensaje cifrado) se llama texto cifrado, en contraste con el mensaje inicial, llamado texto simple.

Asegurarse de que el receptor pueda descifrarlos.

El hecho de codificar un mensaje para que sea secreto se llama cifrado. El método inverso, que consiste en recuperar el mensaje original, se llama descifrado.

El cifrado normalmente se realiza mediante una clave de cifrado y el descifrado requiere una clave de descifrado. Las claves generalmente se dividen en dos tipos:

Las claves simétricas: son las claves que se usan tanto para el cifrado como para el descifrado. En este caso hablamos de cifrado simétrico o cifrado con clave secreta.

Las claves asimétricas: son las claves que se usan en el caso del cifrado asimétrico (también llamado cifrado con clave pública). En este caso, se usa una clave para el cifrado y otra para el descifrado.

Seguridad Informatica

Definición

Se entiende por seguridad informática al conjunto de normas, procedimientos y herramientas, que tienen como objetivo garantizar la disponibilidad, integridad, confidencialidad y buen uso 

de la información que reside en un sistema de información.

Un sistema informático puede ser protegido desde un punto de vista lógico (con el desarrollo de software) o físico (vinculado al mantenimiento eléctrico, por ejemplo). Por otra parte, las amenazas pueden proceder desde programas dañinos que se instalan en la computadora del usuario (como un virus) o llegar por vía remota (los delincuentes que se conectan a Internet e ingresan a distintos sistemas).

En el caso de los virus hay que subrayar que en la actualidad es amplísima la lista de ellos que existen y que pueden vulnerar de manera palpable cualquier equipo o sistema informático. Así, por ejemplo, nos encontramos con los llamados virus residentes que son aquellos que se caracterizan por el hecho de que se hallan ocultos en lo que es la memoria RAM y eso les da la oportunidad de interceptar y de controlar las distintas operaciones que se realizan en el ordenador en cuestión llevando a cabo la infección de programas o carpetas que formen parte fundamental de aquellas.

Principios de Seguridad Informática

Para lograr sus objetivos la seguridad informática se fundamenta en tres principios, que debe cumplir todo sistema informático.

Confidencialidad: Se refiere a la privacidad de los elementos de información almacenados y procesados en un sistema informático, Basándose en este principio, las herramientas de seguridad informática deben proteger el sistema de invasiones y accesos por parte de personas o programas no autorizados. 

Integridad: Se refiere a la validez y consistencia de los elementos de información almacenados y procesador en un sistema informático. Basándose en este principio, las herramientas de seguridad informática deben asegurar que los procesos de actualización estén bien sincronizados y no se dupliquen, de forma que todos los elementos del sistema manipulen adecuadamente los mismos datos. 

Disponibilidad: Se refiere a la continuidad de acceso a los elementos de información almacenados y procesados en un sistema informático. 

Factores de Riego

Ambientales/Físicos: Factores externos, lluvias, inundaciones, terremotos, tormentas, rayos, humedad, calor entre otros.

Tecnológicos: Fallas de hardware y/o software, fallas en el aire acondicionado, falla en el servicio eléctrico, ataque por virus informático, etc.

Humanos: Hurto, adulteración, fraude, modificación, revelación, pérdida, sabotaje, vandalismo, crackers, hackers, falsificación, robo de contraseñas, alteraciones etc.

Mecanismos de Seguridad

Un mecanismo de seguridad informática es una técnica o herramienta que se utiliza para fortalecer la confidencialidad, la integridad y/o la disponibilidad de un sistema informático.

Clasificación según su función

Preventivos: Actúan antes de que un hecho ocurra y su función es detener agentes no deseados.

Detectivos: Actúan antes de que un hecho ocurra y su función es revelar la presencia de agentes no deseados en algún componente del sistema. Se caracterizan por enviar un aviso y registrar la incidencia.

Correctivos: Actúan luego de ocurrido el hecho y su función es corregir la consecuencias.