Proyecto Integrador Etapa I

-251874-43729400left25000Proyecto Integrador Etapa 1900007300Proyecto Integrador Etapa 1righttop2010CINDER[Escribir el nombre de la compañía]28/03/2010400001000002010CINDER[Escribir el nombre de la compañía]28/03/2010rightcenter Investigar y plasmar en la red social el concepto de estándar, estándar de seguridad informática, modelo y estrategia de seguridad informática Estándar De acuerdo con la definición de la Real Academia Española, “estándar es aquello que sirve como tipo, modelo, norma, patrón o referencia”. Estándar de seguridad informática Mejora la seguridad de los sistemas de procesamiento de datos y la transferencia de información en las organizaciones. Los Estándares de seguridad están diseñados para contrarrestar los ataques a la seguridad y hacen uso de uno o más mecanismos de seguridad para proporcionar los servicios, asegurando la continuidad de las empresas. Existen varios estándares internacionales relacionados con seguridad informática que se consideran importantes en la actualidad o que deben ser referenciados por su importancia histórica. En este sentido, están clasificados en seis (6) clases de estándares como son: para la administración de seguridad de la información, para evaluación de seguridad en sistemas, para desarrollo de aplicaciones, para servicios financieros, para riesgos y para autenticación. Modelos de seguridad informática Los Modelos de seguridad informática comprenden las vulnerabilidades no como fenómenos puntuales sino sistémicos, es decir relacionales, que son resultado de la interacción de múltiples elementos y cuya explicación no se encuentra en uno en particular sino en la riqueza de las relaciones que se hagan explícitas. Un modelo de seguridad resistente, comprende los riesgos de manera interdependiente y reconoce que debe estar preparado ante un inesperado giro de las vulnerabilidades. Aún cuando el modelo sea retado por la materialización de la falla, éste puede continuar sus operaciones; por un lado atendiendo la situación fuera de control y por otro manteniendo la funcionalidad del sistema. Lograr un modelo de seguridad, es comprender la complementariedad entre la seguridad y la inseguridad de la información; es apostar a las probabilidades para aprender, más que a los pronósticos de éxito de una vulnerabilidad. La resistencia de un modelo de seguridad, es directamente proporcional a su capacidad y habilidad para enfrentar una discontinuidad generada por la materialización de la inseguridad. Es tiempo de volver a repensar nuestros modelos de seguridad de la información, más allá de los escenarios tradicionales de continuidad y contingencia, para hacer de los riesgos fuentes de ventaja competitiva y diferenciadores estratégicos para la organización y sus clientes. El desarrollador, concepto y cómo está dividido cada uno de los siguientes estándares COSO-SOX, COBIT, ISO 27001, CMM, ISO 2000, ITIL, Orange Book ,ISACA y Common Criteria. COSO-SOX Autor Dwayne Jorgersen Es el Director de servicios de Sarbanes-Oxley para CTG, una compañía internacional de tecnología de la información y empleos. Ha servido como Director de Servicios de Auditoría para una firma de servicios Norteamericana; como principal de una larga lista de consultoras, donde encabezó la práctica del outsourcing de procesos de negocio; y como Director de Auditoría Interna y Secretario del Comité de Auditoría de un holding. Es miembro de The Institute of Intenal Auditors y de la Asociación de Examinadores Certificados de Fraude. Desde su publicación en el 2002, la Ley Sarbanes-Oxley (SOX) ha enfatizado el propósito de la gobernabilidad de las empresas en lo concerniente al cumplimiento de las leyes y regulaciones. Las empresas han invertido miles de horas en la preparación de sus primeros intentos para obtener certificaciones quot;
no calificadasquot;
de sus contadores públicos. Estas certificaciones son requeridas para sustentar las declaraciones del directorio referidas a la efectividad general de la estructura de control interno, de acuerdo a lo regulado en la sección 404 de la Ley.Dado que la primer fecha límite es Diciembre 2004, muchos CEOs y CFOs creen haber transitado adecuadamente el curso que la ley les ha propuesto. Pero, los esfuerzos corporativos para cumplir con las regulaciones de la sección 404, ¿proveen suficiente información para evitar imprevistas complicaciones debidas a eventos de incumplimiento? ¿O han tratado únicamente con la punta del iceberg del cumplimiento? El marco COSO de Control interno El Informe titulado quot;
Internal Control-Integrated Frameworkquot;
(Control Interno-Estructura Integrada), fue encomendado por el Committee on Sponsoring Organizations of the Treadway Commission (COSO). Estableció una definición común de control interno que cubre las necesidades de varios interesados, no solamente por evaluar los sistemas de control, sino también para determinar cómo se puede mejorarlos. Figura 2: El impacto de Sarbanes-Oxley en el Modelo COSO Tal como fuera originalmente publicado, el Informe COSO fue considerado como un enfoque voluntario para implementar las mejores prácticas dado que se refieren a un ambiente de control sano. Sin embargo, con el surgimiento de la ley SOX y la mayor clarificación provista por la SEC y el PCAOB, el Informe COSO se ha establecido como el parámetro de comparación para determinar el cumplimiento con la ley. Y más importante aún, dado que otros aspectos de la ley son definidos más claramente o se convierten en aplicables, los componentes del Informe COSO tomaron aún más importancia. Los mismos cubren, no solamente los controles necesarios para adecuarse a las regulaciones para los informes económico-financieros, sino que, además claramente identifican los controles operativos, que se transformaran en críticos para la evaluación precisa y la exposición de todos los temas sujetos a análisis de acuerdo a las normas, ya sean de naturaleza económico-financieros como operacionales. El aspecto más pertinente del Informe COSO es su establecimiento, por primera vez, de una definición universal de control interno: Control Interno es ampliamente definido como un proceso desarrollado por el Directorio de una entidad, por su gerencia y demás personal, designado para proveer razonable aseguramiento relacionado con el logro de objetivos en las siguientes categorías: Efectividad y Eficiencia de las operaciones Confiabilidad en la Información Económico-Financiera Adecuado cumplimiento de las leyes y regulaciones aplicablesEl control interno consiste en cinco componentes interrelacionados. Los mismos son derivados de la modalidad en la que la administración maneja su negocio, y están integrados con los procesos administrativos. Los componentes son: Ambiente de Control, Evaluación de Riesgos, Actividades de Control, Información y Comunicación y Monitoreo Las siguientes secciones brindan una breve visión de la naturaleza, la importancia y los conductores primarios de cada componente de control citados en el informe. Cómo está constituido COSO-SOX Ambiente de Control El ambiente de control establece el tono de la organización, influencia la conciencia del control de su gente, y sirve como fundamento disciplinario y estructural para todos los otros componentes del control interno. Los factores claves en ese ambiente incluyen la integridad, los valores éticos, y la competencia de sus empleados; la filosofía de la gerencia y su estilo operativo; la manera en que la gerencia asigna la autoridad y las responsabilidades y organiza y desarrolla a su gente; y la atención y dirección que les brinda el Directorio. ¿Qué significa esto para una organización? El ambiente de control es el punto de partida para determinar si la decisión de la gerencia ejecutiva de cumplir con la Ley Sarbanes-Oxley será percibida como un ejercicio del “espíritu” o de la “letra” de la ley. Las organizaciones que decidan establecer el cumplimiento sólo con la letra de la ley, pueden razonablemente quedar cortos con las expectativas de la SEC y la PCAOB en algún punto futuro, y deberán afrontar las posibles consecuencias negativas de esa actitud. Dada esta probabilidad, un enfoque mucho más prudente sería reconocer que, dado que el control interno es responsabilidad del management, debe ser activamente ejercido por todas las personas relacionadas con la organización. Este tono debería ser reflejado en las declaraciones de la misión, las políticas de ética, las pautas para la revelación de eventos, y para la mesa directiva, los comités de auditoría y los estatutos de auditoría interna.Los conductores principales de este componente incluyen al Directorio, al CEO y al CFO. Evaluación de Riesgos Cada entidad enfrenta riesgos internos y externos que deben ser cuidadosamente investigados. Una precondición para una evaluación de riesgos efectiva, es establecer objetivos que estén relacionados en los diferentes niveles, y que sean internamente consistentes. La evaluación de riesgos identifica y analiza riesgos que pueden afectar el logro de dichos objetivos. También provee una base para determinar cómo los riesgos deben ser manejados. Debido a que las condiciones económicas, industriales, legales y operativas están siempre sujetas a cambios constantes, se necesitan mecanismos para identificar y manejar los riesgos especiales asociados con esos cambios. Lo que esto significa para una organización es que el manejo del riesgo, primariamente exclusivo de los auditores internos y agentes de seguros, ha tomado un rol clave en la Dirección. En efecto, más y más corporaciones están tomando conciencia de su importancia estratégica a través de la designación de un Ejecutivo de Manejo de Riesgos (CRO – Chief Risk Officer) para dar a este componente del COSO la atención que merece. Irónicamente, muchos gerentes operacionales se han enfrentado por primera vez a políticas de evaluación de riesgos, y rápidamente descubren lo poco que queda de sus responsabilidades previas, involucrando la consideración del componente “qué pasa si”. Y aún, como muchos inmediatamente reconocen, sólo una evaluación realista del potencial impacto de un resultado negativo puede llevar a un claro entendimiento de los pasos necesarios para mitigar ese riesgo. Las condiciones siempre cambiantes del mundo de los negocios hacen de la evaluación de riesgos una actividad dinámica y permanente. Requiere de la implementación de un proceso definido para guiar a la organización a través de la definición de áreas claves de riesgo, puntualizar riesgos específicos en esas áreas, evaluar la probabilidad y severidad de cada riesgo, e identificar los recursos que se requieren para mitigarlos a un nivel aceptable. Ahora más que nunca, las realidades de una comunidad de negocios global generan la habilidad para controlar todos los riesgos significativos, esencial para el éxito de una organización. Los conductores principales de este componente incluyen al CEO, al CFO, CRO, COO, gerencia operativa y al auditor interno. Actividades de Control Las actividades de control son las políticas y procedimientos que expresan las directivas de la gerencia. Ellos aseguran que se tomen las acciones necesarias para mitigar los riesgos que amenazan el cumplimiento de los objetivos de la organización. Las actividades de control ocurren en toda la organización, en todos los niveles y en todas las funciones. Ellos son tan diversos como aprobaciones, autorizaciones, verificaciones, reconciliaciones, revisiones de los resultados operativos, seguridad de activos, y segregación de funciones.La importancia organizacional de las actividades de control se relaciona con el hecho de que muchos de los esfuerzos (y gastos) que las corporaciones han dedicado para lograr el cumplimiento de la sección 404, hasta ahora han sido para identificar y documentar estos componentes del COSO. Más aún, muchos –si no todos-- de esos esfuerzos han estado limitados a los controles financieros, ya que pertenecen a la producción de los estados financieros. Como se demostró en la Figura 1, será evidente para muchos gerentes que la siguiente tarea monumental requerida por la ley será la inclusión de las otras dos áreas de control: operaciones de negocio y cumplimiento de las normativas. El esfuerzo requerido para lograr una adecuada documentación en estas áreas adicionales dependerá de la madurez que se haya alcanzado previamente en los controles generales. Los conductores principales de este componente incluyen al CFO, CRO, COO, y la gerencia operativa. Información y Comunicación La información pertinente debe ser identificada, capturada, y comunicada en una forma y dentro de un plazo que anime a la gente a llevar a cabo sus responsabilidades. Los sistemas de información generan reportes sobre temas operacionales, financieros y relacionados con el proceso de cumplimiento, que hacen posible tener en marcha y controlar al negocio. Ellos proveen no solo datos generados internamente, sino también información sobre eventos externos, actividades y condiciones necesarias para una toma de decisiones bien informada y para el reporte externo. La comunicación efectiva también debe ocurrir en un sentido amplio, fluyendo hacia abajo, a lo ancho y hacia arriba en la organización. Todo el personal debe recibir un mensaje claro de la alta gerencia que las responsabilidades de control deben ser tomadas seriamente. Los trabajadores deben entender no sólo su propio rol en el sistema de control interno, sino cómo las actividades individuales se relacionan con el trabajo de los otros. Ellos deben tener un medio para comunicar información significativa hacia arriba. También necesitan ser efectivos en la comunicación con terceros como clientes, proveedores, entes regulatorios y accionistas.Lo que esto significa para una organización es que no es suficiente con sólo documentar las actividades de control identificadas en el ejercicio de cumplimiento de la sección 404. Estas deben ser efectivamente comunicadas a las bases, junto con un “tono en la cúpula” que refuerce el hecho de que el control es un trabajo de todos. Adicionalmente, mientras toma efecto la sección 409 (oportunidad de los reportes) muchas organizaciones serán forzadas a evaluar nuevamente la efectividad de sus sistemas de comunicación internos, con un énfasis en cómo estos sistemas aseguran que la información es comunicada, procesada y transmitida en una forma eficiente y oportuna. Los conductores principales de este componente incluyen al CFO, CIO, así como a la gerencia operativa. MonitoreoLos sistemas de control interno necesitan ser monitoreados a través de un proceso que asegure la calidad de cada sistema a lo largo del tiempo. El proceso debe incorporar actividades de monitoreo constantes, evaluaciones independientes, o una combinación de ambas. El monitoreo constante ocurre en el curso de las operaciones. Incluye actividades regulares de supervisión y management, junto con otras acciones que el personal toma mientras desarrolla sus tareas. El alcance y la frecuencia de las evaluaciones independientes dependerán primariamente de la evaluación de riesgos y de la efectividad de los procedimientos de monitoreo. Las deficiencias de control interno deberán ser reportadas inmediatamente, y los problemas serios reportados a la alta gerencia y a la Mesa Directiva. Lo que esto significa para una organización es que, el factor de éxito más significativo para lograr el cumplimiento con un marco de control COSO, es la habilidad para medir la profundidad y consistencia del cumplimiento con los controles individuales de la organización. Como cualquier auditor interno puede testificar, hay tres estadios que definen las actividades típicas de una organización: La visión del equipo de dirección La forma en que esa visión es traducida en políticas y procedimientos Qué es lo que hacen realmente en el día a día los trabajadores Generalmente, estos tres estados –que deberían ser idénticos—reflejan grados variables de consistencia dentro de la organización. Esta consistencia puede estar típicamente atada al componente más pasado por alto y menos utilizado del marco COSO: la función de monitoreo. Más importante, en un ambiente que aún arrastra declaraciones de la naturaleza de Enron y WorldCom, la evaluación independiente mencionada anteriormente ha asumido un rol de creciente importancia en el aseguramiento por parte de la organización a sus inversores, de que se toma el concepto de gobernabilidad seriamente. Por ello, y en oposición al monitoreo estático y esporádico que se hacía en el pasado, es necesario que los sistemas provean a la gerencia la confianza en que el monitoreo en tiempo real está ocurriendo en todos los controles claves de cada proceso – financiero, operacional y regulatorio.Los marineros ansiosos deben confiar en los sistemas manuales para medir la profundidad de un iceberg. Con la aparición de las sondas de navegación, o SONAR, la tecnología ha provisto medidas confiables y en tiempo real. Haciendo un paralelo con la navegación, la tecnología puede mejorar significativamente la habilidad de la organización para medir tanto la profundidad como la consistencia del cumplimiento de los controles. Evaluando el retorno de la inversión en mejoras tecnológicas, la gerencia debe comparar los costos de esa tecnología contra los costos de mano de obra requerida para llevar a cabo las mediciones manualmente, y los riesgos asociados con los controles inadecuados que no están funcionando en forma continua. Figura 3: Modelo de Madurez del Control Interno COBIT El COBIT es un modelo para auditar la gestión y control de los sistemas de información y tecnología, orientado a todos los sectores de una organización, es decir, administradores IT, usuarios y por supuesto, los auditores involucrados en el proceso. Las siglas COBIT significan Objetivos de Control para Tecnología de Información y Tecnologías relacionadas (Control Objectives for Information Systems and related Technology). El modelo es el resultado de una investigación con expertos de varios países, desarrollado por ISACA (Information Systems Audit and Control Association). La estructura del modelo COBIT propone un marco de acción donde se evalúan los criterios de información, como por ejemplo la seguridad y calidad, se auditan los recursos que comprenden la tecnología de información, como por ejemplo el recurso humano, instalaciones, sistemas, entre otros, y finalmente se realiza una evaluación sobre los procesos involucrados en la organización. El COBIT es un modelo de evaluación y monitoreo que enfatiza en el control de negocios y la seguridad IT y que abarca controles específicos de IT desde una perspectiva de negocios. “La adecuada implementación de un modelo COBIT en una organización, provee una herramienta automatizada, para evaluar de manera ágil y consistente el cumplimiento de los objetivos de control y controles detallados, que aseguran que los procesos y recursos de información y tecnología contribuyen al logro de los objetivos del negocio en un mercado cada vez más exigente, complejo y diversificado”, señaló un informe de ETEK. Análisis de Contexto La COBIT la desarrollo y mantiene el IT Governance Institute (ITGI) [2]desde 1998 con el objetivo de crear estándares internacionales para la Gobernabilidad TI en las empresas. Un impulso importante ha tenido la COBIT debido al Acta Sarbanes-Oxley [3], vigente desde el 2002, y que obliga a las empresas que tranzan sus acciones en USA a controlar exhaustivamente la generación de sus estados financieros. De modo que hoy observamos que en las grandes empresas que se tranzan en bolsa existe una preocupación mayor por controlar sus sistemas informáticos, es más este tema ya es parte, al menos, del quehacer de los Auditores y en muchos caso es también parte de la agenda de los directorios. A que obedece toda esta preocupación por el control – gobernabilidad- de las TI, en mi opinión, al simple reconocimiento que los negocios sin TI no operan, por tanto parte del riesgo del negocio está en los sistemas informáticos y de ahí la necesidad imperiosa de controlar dichos riesgos. Pues bien, sabemos de la Teoría de Sistemas que para controlar cualquier proceso es necesario contar con un mecanismo de medición, uno de detección de desviaciones y otro de rectificación de las desviaciones. Naturalmente la Gobernabilidad TI plantea estos mecanismos y en concreto la COBIT plantea un modelo al respecto. Pero, no debemos olvidar que todo mecanismo de control tiene su costo, requiere personal entrenado en el área de informática, auditores, consultores externos y nuevos elementos a considerar en los diseños e implementación del procedimientos y software, también implica un plan de transición desde la situación actual a la deseada. En resumen, la COBIT es técnicamente posible de aplicar en toda área de Informática de cualquier empresa mediana hacia arriba, pero su costo de implementación solo se justifica si el directorio tiene poderosas razones para ello: por ejemplo la Sarbanes – Oxley, acuerdos de accionistas, regulaciones propias de cada país, etc. Como está constituido COBIT COBIT 4.1, cuenta con 34 procesos de alto nivel que cubren 210 objetivos de control clasificados en cuatro dominios: Planificación y Organización, Adquisición e Implementación, entrega y soporte, y seguimiento y evaluación. COBIT provides benefits to managers, IT users, and auditors. COBIT ofrece beneficios a los administradores, los usuarios de TI y los auditores. Managers benefit from COBIT as it provides them with a foundation upon which IT related decisions and investments can be based. Los administradores se benefician de COBIT, ya que les proporciona una base sobre la cual las decisiones relacionadas con TI y las inversiones se pueden basar. Decision making is more effective because COBIT aids management in defining a strategic IT plan, defining the information architecture, acquiring the necessary IT hardware and software to execute an IT strategy, ensuring continuous service, and monitoring the performance of the IT system. La toma de decisiones es más eficaz porque COBIT ayuda a la gestión en la definición de un plan estratégico de TI, el sistema de definición de la arquitectura de la información, la adquisición de los necesarios de hardware y software para ejecutar una estrategia de TI, asegurando un servicio continuo, y vigilando el desempeño de la TI. IT users benefit from COBIT because of the assurance provided to them by COBIT's defined controls, security, and process governance. Los usuarios de TI se benefician de COBIT debido a la seguridad que les proporcionan los controles definidos COBIT, la seguridad y la gobernanza del proceso. COBIT benefits auditors because it helps them identify IT control issues within a company's IT infrastructure. Beneficios COBIT auditores, ya que les ayuda a identificar problemas de control de TI dentro de la infraestructura TI de una empresa. It also helps them corroborate their audit findings. También les ayuda a corroborar los resultados de la auditoría. Recently, ISACA has released Val IT , which correlates the COBIT processes to senior management processes required to get good value from IT investments Recientemente, ISACA ha publicado Val IT, que correlaciona los procesos de COBIT a la alta dirección los procesos necesarios para obtener un buen valor de las inversiones en TI Directrices To ensure a successful enterprise, you must effectively manage the union between business processes and information systems. A fin de garantizar una empresa de éxito, usted debe gestionar de manera efectiva la unión entre los procesos de negocio y sistemas de información. The new Management Guidelines are composed of Maturity Models, to help determine the stages and expectation levels of control and compare them against industry norms; Critical Success Factors, to identify the most important actions for achieving control over the IT processes; Key Goal Indicators, to define target levels of performance; and Key Performance Indicators, to measure whether an IT control process is meeting its objective. Las nuevas directrices de gestión se compone de Modelos de Madurez, para ayudar a determinar las etapas y niveles de expectativa de control y compararlos con las normas del sector, los factores críticos de éxito, para identificar las acciones más importantes para lograr el control sobre los procesos de TI; número indicadores de los objetivos, para objetivo de definir los niveles de desempeño, y los indicadores clave de rendimiento, para medir si un proceso de control de TI está cumpliendo con su objetivo. These Management Guidelines will help answer the questions of immediate concern to all those who have a stake in enterprise success. Estas Directrices para la Gestión ayudará a responder las preguntas de interés inmediato para todos aquellos que tienen un interés en la empresa de éxito Procesos Identificados por la COBIT La COBIT define las actividades TO en un modelo general de procesos compuesto por cuatro dominios: Planificar y Organizar (PO), Adquirir e Implementar (AI), Proveer y Soportar (DS) y Monitorear y Evaluar (ME). Esto dominios se corresponden con las áreas de responsabilidad tradicionales: planificar, construir, ejecutar y monitorear. Modelo COBIT La COBIT es un marco de referencia que entrega un modelo de procesos y un lenguaje común para que cada quién en la organización pueda visualizar y gestionar las actividades de la TI: Planificar y Organizar (PO) Este dominio abarca la estrategia y la táctica, y su preocupación es identificar las maneras como las TI muden contribuir, de la mejor forma posible, al logro de los objetivos de negocios de la empresa. La ejecución de la visión estratégica requiere de planificación, difusión y gestión para diferentes perspectivas. Una organización adecuada y una plataforma tecnológica acorde son necesarias. De modo que en este dominio típicamente se tratan las siguiente interrogantes. ¿Están las TI alineadas con la estrategia de negocios? ¿Está la empresa utilizando a un nivel óptimos sus recursos informáticos? ¿Entiende todo el mundo de la empresa los objetivos de las TI? ¿Son comprendidos los riesgo TI y son debidamente gestionados? ¿Es la calidad de los sistemas informáticos adecuados a las necesidades del negocio? Este dominio considera los procesos: PO1 Define a strategic IT plan. PO2 Define the information architecture. PO3 Determine technological direction. PO4 Define the IT processes, organisation and relationships. PO5 Manage the IT investment. PO6 Communicate management aims and direction. PO7 Manage IT human resources. PO8 Manage quality. PO9 Assess and manage IT risks. PO10 Manage projects. Adquirir e Implementar (AI) Para materializar la estrategia TI, las soluciones TI necesitan ser identificadas, desarrolladas o adquiridas, como asimismo es necesario implementarlas e integrarlas a las procesos de negocios. Adicionalmente, todo sistema requiere de cambios y mantenimiento para asegurarse que durante su operación continua satisfaciendo los requerimientos del negocio. Para este dominio surgen las preguntas: ¿Los nuevos proyectos tienen el potencial para entregar soluciones que satisfagan las necesidades del negocio? ¿Es factible que los nuevos proyectos se ejecuten de acuerdo a los plazos y presupuestos convenidos? ¿Los nuevos sistemas operaran adecuadamente una vez implementados? ¿Los cambios podrán hacerse sin poner en riesgo la operación del negocio? Este dominio considera los procesos: AI1 Identify automated solutions. AI2 Acquire and maintain application software. AI3 Acquire and maintain technology infrastructure. AI4 Enable operation and use. AI5 Procure IT resources. AI6 Manage changes. AI7 Install and accredit solutions and changes. Proveer y Soportar (DS) Este dominio tiene que ver con la entrega de los servicios que son requeridos, esto incluye: la provisión del servicio, la gestión de seguridad y continuidad, el soporte a los usuarios, la administración de los datos y la gestión de la instalaciones de plataforma tecnológica. Para estos efectos es necesario formularse las preguntas siguientes: ¿Se están proveyendo los servicios TI de acuerdo con las prioridades del negocio? ¿Están los costos de TI optimizados? ¿Está en condiciones la fuerza de trabajo de utilizar los sistemas TI productivamente y con seguridad? ¿Se maneja adecuadamente la confidencialidad, integridad y disponibilidad de los sistemas TI? Este dominio considera los procesos: DS1 Define and manage service levels. DS2 Manage third-party services. DS3 Manage performance and capacity. DS4 Ensure continuous service. DS5 Ensure systems security. DS6 Identify and allocate costs. DS7 Educate and train users. DS8 Manage service desk and incidents. DS9 Manage the configuration. DS10 Manage problems. DS11 Manage data. DS12 Manage the physical environment. DS13 Manage operations. Monitorear y Evaluar (ME) Todos los procesos TI necesitan periódicamente que se verifique mediante controles su calidad y conformidad. En este dominio se tratan la gestión de performance, el monitoreo de los controles internos, la regulaciones que tiene que ver la conformidad y la gobernabilidad. Las preguntas típicas de este dominio son: ¿Los sistemas de medición de performance TI permiten detectar a tiempo los problemas? ¿La gestión asegura que los controles internos son efectivos y eficientes? ¿Puede la performance TI relacionarse con los objetivos de negocios? ¿Están siendo medidos e informados los riesgos, el control, la conformidad y la performance? Este dominio considera los procesos: ME1 Monitor and evaluate IT performance. ME2 Monitor and evaluate internal control. ME3 Ensure regulatory compliance. ME4 Provide IT governance. Maturity Model Es modelo es el que en definitiva posibilita que los procesos que establece la COBIT sean auditables, esto es procesos que se pueden verificar primero si se cumplen y ejecutan de acuerdo a lo que la empresa declaró –ocurre la declaración cuando se publica y difunde el proceso- y, por otro parte este modelo permite establecer cual es el nivel de desarrollo que tiene el proceso en la empresa. Para esto define 6 estados o niveles, cuya definición genérica es la se incluye en la lista siguiente, no obstante para cada uno de los 34 procesos que conforman la COBIT existe su propio y único Matutity Model. De modo que es este modelo, a mi juicio, el que ha llevado que la COBIT sea marco de referencia preferido de las grandes compañías mundiales de auditoria. La siguiente es la descripción genérica de los estados del Maturity Model: Inexistente, se carece totalmente de un proceso. La empresa no ha reconocido la necesidad. Inicial, existe evidencia que la empresa ha reconocido la necesidad del proceso. No existe un proceso formal – estandarizado – si no que existe enfoques ad-hoc que se aplican de manera individual o caso a caso. La gestión del mismo es desorganizada. Repetible, el proceso se encuentra en un nivel de desarrollo tal que distintas personas ejecutan más o menos los mismos procedimientos. No existe una comunicación ni entrenamiento formal de los procedimientos, y la responsabilidad se mantiene individual. Existe una gran dependencia del conocimiento que tiene los individuos y, por tanto existe una probabilidad de error importante. Definido, el proceso esta estandarizado, documentado y difundido mediante entrenamiento. Sin embargo, se deja a voluntad de los individuos la aplicación de los procedimientos del proceso y es poco probable que se detecten las desviaciones en su uso. Los procedimientos en sí no son sofisticados y corresponden a la formalización de las prácticas existentes. Gestionado, es posible monitorear y medir la conformidad en la aplicación de los procedimientos del proceso y es posible tomar acciones cuando el proceso no está operando adecuadamente. Los procesos están mejorándose continuamente. Se dispone de automatizaciones y de herramientas que son usadas de una manera limitada o fragmentada. Optimizado, el proceso ha sido refinado al nivel de las mejores prácticas, basado en los resultados del mejoramiento continuo y de los modelos ya maduros de otras compañías. Las TI son usadas integralmente para automatizar workflow, entregando herramientas que mejoran la calidad y efectividad, aumentando la capacidad de adaptación de le empresa. ISO 27001 Autores La Organización Internacional para la Estandarización o ISO (del griego, ἴσος (isos), 'igual', y cuyo nombre en inglés es International Organization for Standardization), nacida tras la Segunda Guerra Mundial (23 de febrero de 1947), es el organismo encargado de promover el desarrollo de normas internacionales de fabricación, comercio y comunicación para todas las ramas industriales a excepción de la eléctrica y la electrónica. Concepto ISO/IEC 27001 es la única norma internacional auditable que define los requisitos para un sistema de gestión de la seguridad de la información (SGSI). La norma se ha concebido para garantizar la selección de controles de seguridad adecuados y proporcionales.Ello ayuda a proteger los activos de información y otorga confianza a cualquiera de las partes interesadas, sobre todo a los clientes. La norma adopta un enfoque por procesos para establecer, implantar, operar, supervisar, revisar, mantener y mejorar un SGSI. ISO/IEC 27001 es una norma adecuada para cualquier organización, grande o pequeña, de cualquier sector o parte del mundo. La norma es particularmente interesante si la protección de la información es crítica, como en finanzas, sanidad sector público y tecnología de la información (TI). ISO/IEC 27001 también es muy eficaz para organizaciones que gestionan la información por encargo de otros, por ejemplo, empresas de subcontratación de TI. Puede utilizarse para garantizar a los clientes que su información está protegida El hecho de certificar un SGSI según la norma ISO/IEC 27001 puede aportar las siguientes ventajas a la organización: Demuestra la garantía independiente de los controles internos y cumple los requisitos de gestión corporativa y de continuidad de la actividad comercial. Demuestra independientemente que se respetan las leyes y normativas que sean de aplicación. Proporciona una ventaja competitiva al cumplir los requisitos contractuales y demostrar a los clientes que la seguridad de su información es primordial. Verifica independientemente que los riesgos de la organización estén correctamente identificados, evaluados y gestionados al tiempo que formaliza unos procesos, procedimientos y documentación de protección de la información. Demuestra el compromiso de la cúpula directiva de su organización con la seguridad de la información. El proceso de evaluaciones periódicas ayuda a supervisar continuamente el rendimiento y la mejora.Nota: las organizaciones que simplemente cumplen la norma ISO/IEC 27001 o las recomendaciones de la norma del código profesional, ISO/IEC 17799 no logran estas ventajas. No obstante, ISO 27001 está todavía muy lejos de alcanzar el grado de implantación a nivel mundial de otros estándares de gestión, como por ejemplo, el ampliamente conocido estándar que establece los requisitos de un sistema de Gestión de la Calidad: ISO 9001. Tal es la superioridad del estándar de calidad que actualmente no se cuestiona si se trata de una norma de cumplimiento obligatorio o voluntario. Simplemente, si no estás certificado bajo 9001, estás fuera del mercado. Así de rotundo. Viendo esa evolución que ha tenido ISO 9001 en todo el mundo desde que fuera publicada en 1987, y teniendo en cuenta que la sociedad en la que vivimos y las empresas que operan en el mercado dependen ya de una manera absoluta de la información, parece lógico pensar que ISO 27001 va a ir ganando peso progresivamente tanto en organizaciones de carácter público como en la empresa privada. En este escenario, podría todavía resultar aventurado pensar que ISO 27001 se convierta en el futuro en un estándar de obligado cumplimiento en sentido estricto, o de cumplimiento “obligatorio” a la manera en que de facto lo es ISO 9001. Pero también es cierto que empezamos a ver ciertos signos indicativos de que quizás no estemos hablando de un futuro tan lejano. Por ejemplo, en Perú la ISO/IEC 27002:2005 –recordemos, la guía de buenas prácticas y no el estándar certificable- es de uso obligatorio en todas las instituciones públicas desde el año 2004, fijando así un estándar para las operaciones de la Administración, cuyo cumplimiento es supervisado por la Oficina Nacional de Gobierno Electrónico e Informática – ONGEI. Sin salir de Sudamérica, en Colombia la norma ISO 27001 es de cumplimiento obligatorio para algunos sectores. Es el caso de los operadores de información, que de conformidad con el Decreto 1931 de 2006 de aquél país, se hallan sujetos al cumplimiento del estándar. Pero, sin duda, será el sector privado el que con mayor empuje pondrá a ISO 27001 en el lugar que le corresponde, debido al importante papel que puede desempeñar un SGSI en el ámbito del gobierno corporativo de las empresas en cuanto a gestión de riesgos se refiere. Un claro ejemplo lo encontramos, cómo no, en la cuna de la gestión de la Seguridad de la Información, el Reino Unido. En 2004, el Financial Reporting Council (FRC), el regulador británico al que las empresas de ese país que cotizan en bolsa deben reportar sus datos financieros, constituyó un grupo de asesores presidido por Douglas Flint, de HSBC Holdings Plc. La misión encomendada a este grupo era revisar la guía Turnbull, unas buenas prácticas de control interno para empresas británicas cotizadas en bolsa, publicadas por primera vez en 1999. Con las observaciones realizadas por el grupo, el FRC publicó la actualización de la guía en Octubre de 2005. Esta actualización refuerza la importancia del control interno y la gestión de riesgos en el gobierno corporativo de las empresas. Control interno y gestión de riesgos, sin duda dos conceptos que nos resultan muy familiares a quienes trabajamos a diario con ISO 27001. Efectivamente, el estándar en gestión de Seguridad de la Información, no se limita a gestionar los sistemas de información de las organizaciones, sino que va bastante más allá. Supone todo un examen del proceso o procesos que pretendemos certificar, obteniendo un conocimiento exhaustivo del mismo. Esa exhaustividad proviene de la identificación y valoración de los activos de la organización, y del análisis de riesgos correspondiente, que nos aportará luz sobre los controles que debemos aplicar para mitigar los riesgos detectados. Desde otras posiciones se está considerando el encaje de ISO 27001 en el ámbito de la Responsabilidad Social Corporativa (RSC), así como dentro de otro concepto de Governance, Risk Management & Compliance (GRC) que nos comentaba Scott L Mitchell, del think tank estadounidense Open Compliance & Ethics Group (OCEG). Este concepto supone superar el de responsabilidad social corporativa, integrando buen gobierno, cumplimiento normativo, gestión del riesgo y Seguridad de la Información. Ciertamente, de producirse esa evolución que adelanta OCEG, la Seguridad de la Información pasaría a convertirse en algo tan intrínseco a las empresas como lo es hoy el control financiero o la gestión de la calidad. Ese es el salto que aún tiene pendiente la Seguridad de la Información para hacerse un hueco en la empresa y quedarse para siempre. Desde luego, un punto de apoyo muy sólido hacia esa evolución lo proporciona el Informe Anual 2008 del IT Policy Compliance Group, con el título Improving Business Results and Mitigating Financial Risk. Según los datos que recoge el informe, las organizaciones con mayor grado de desarrollo en IT GRC –o GRC de las Tecnologías de la Información- superan la media de ingresos en un 17%, que se traduce en un 13,8% más de beneficios. Cifras que, sin duda, son un estímulo para que ISO 27001 continúe avanzando posiciones en su particular carrera por equipararse al estándar de calidad ISO 9001 en cuanto a grado de implantación y obligatoriedad de facto. Es decir, por convertirse en un estándar cuya certificación las empresas obtendrán no sólo para mejorar la seguridad de su información, sino también para incrementar sus resultados y, por supuesto, para estar en el mercado. Un mercado que para entonces habrá madurado lo suficiente como para marginar a aquellas organizaciones que no se tomen muy en serio la seguridad de sus activos de información. Esta norma está dividida en once dominios de control, 39 objetivos y 133 controles. Los dominios presentados abarcan: política de seguridad, organización de la seguridad de la información, gestión de activos, control de acceso, seguridad de los recursos humanos, cumplimiento, seguridad física y del entorno, adquisición, desarrollo y mantenimiento de sistemas de información, gestión de las comunicaciones y operaciones, gestión de la continuidad del negocio y gestión de incidentes de seguridad de la información. CMM ISO 2000 Autores La Organización Internacional para la Estandarización o ISO (del griego, ἴσος (isos), 'igual', y cuyo nombre en inglés es International Organization for Standardization), nacida tras la Segunda Guerra Mundial (23 de febrero de 1947), es el organismo encargado de promover el desarrollo de normas internacionales de fabricación, comercio y comunicación para todas las ramas industriales a excepción de la eléctrica y la electrónica La norma ISO 9001, es un método de trabajo, que se considera tan bueno, Que es el mejor para mejorar la calidad y satisfacción de cara al consumidor. La versión actual, es del año 2000 ISO9001:2000, que ha sido adoptada como modelo a seguir para obtener la certificación de calidad. Y es a lo que tiende, y debe de aspirar toda empresa competitiva, que quiera permanecer y sobrevivir en el exigente mercado actual. Cómo está constituido ISO 2000 ISO 9001:2000 está basada en ocho principios de gestión de la calidad: Orientación al Cliente Liderazgo Implicación Enfoque de proceso Enfoque de sistema Mejora continua Toma de decisiones basadas en hechos Relaciones de beneficio mutuo con proveedores Al certificar su Sistema de Gestión de Calidad a través de SGS, ayudará a su organización a desarrollarse y mejorar su desempeño: ya sea que Vd. esté buscando operar internacionalmente o expandirse en forma local a fin de adaptar nuevas actividades, su certificado de Sistemas de Gestión de Calidad SGS es una signatura internacionalmente reconocida que le ahorra tener que probar sus estándares de calidad frente a clientes exigentes. un proceso regular de evaluación le ayudará a utilizar, supervisar y mejorar continuamente sus procesos y sistema de gestión. Mejorarán tanto la predictabilidad de sus operaciones internas al objeto de cumplir con los requerimientos del cliente, así como también el desempeño general. También advertirá como mejoran la responsabilidad, motivación y compromiso del personal. Un equipo incomparable de auditores jefe registrados de SGS desarrollarán auditorías de la mayor relevancia y nivel de profesionalidad para ayudarles a alcanzar sus objetivos en la medida de lo posible.A fecha de hoy, mas de 40,000 pequeñas y medianas empresas, así como grandes corporaciones internacionales han seleccionado a SGS como su entidad certificadora para acometer la auditoria de su Sistema de Gestión de la Calidad respecto a la norma ISO 9000, confirmando a SGS como empresa certificadora preferida con respecto a esta norma. El compromiso de “valor añadido” de SGS: SGS se compromete a proporcionar “ese servicio extra” que marca la diferencia a su favor.Si desea saber más sobre el compromiso de SGS para proporcionar servicios “de valor añadido” a sus clientes, haga clic en el siguiente enlace. NomenclaturaProceso: Una actividad u operación que recibe entradas y las convierte en salidas puede ser considerado proceso. Casi todos las actividades y operaciones relacionadas con un servicio o producto son procesos. En una organización existen diferentes procesos conectados entre sí. A menudo, la salida de un proceso puede ser la entrada de otro. La identificación y gestión sistemática de los diferentes procesos desarrollados en una organización, y particularmente la interacción entre tales procesos, puede ser referida como quot;
la aproximación del procesoquot;
a la gestión o gestión de los procesos. El Sistema de Execencia se basa en los principios de aproximación al proceso y la orientación al Cliente. La adopción de dichos principios debería facilitar clientes con un nivel de confianza más alto que el producto (incluyendo servicio) satisfará sus requisitos e incrementa su grado de satisfacción. Control de la Calidad: Conjunto de técnicas y actividades de carácter operativo, utilizadas para verificar los requisitos relativos a la calidad del producto o servicio. Gestión de la Calidad: La gestión de la calidad es el conjunto de acciones, planificadas y sistemáticas, necesarias para dar la confianza adecuada de que un producto o servicio va a satisfacer los requisitos de calidad. Calidad Total - Excelencia: Es una estrategia de gestión cuyo objetivo es que la organización satisfaga de una manera equilibrada las necesidades y expectativas de los clientes, de los empleados, de los accionistas y de la sociedad en general. Calidad, antiguo concepto Es el grado de acercamiento a unas especificaciones o patrones que se consideran ideales. La calidad, solo afecta al fabricante, que es quien dictamina las especificaciones de fabricación. Hasta ahora, la forma de mejorar los productos, venía determinado por el cumplimiento de determinadas características en este. La tecnología y conocimientos y descubrimientos de las técnicas de producción, hacen que los productos se acerquen cada vez mas a las características ideales. Y la reducción de costes, hace a todos los productos igual de competitivos. Calidad, Nuevo Concepto Es el grado de acercamiento a las necesidades y expectativas de los consumidores. Cumpliendo las necesidades y expectativas de los consumidores, se consigue satisfacción en el consumidor, que esta transmite a su entorno, generando mas satisfacción. ITIL Autores OGC u Oficina Gubernativa de Comercio Británica.El Open Geospatial Consortium, Inc. ® (OGC) es una organización sin fines de lucro, internacional, las normas de consenso voluntario de la organización que lidera el desarrollo de normas para servicios geoespaciales y basados en localización. Definiciones La Biblioteca de Infraestructura de Tecnologías de Información, frecuentemente abreviada ITIL (del inglés Information Technology Infrastructure Library), es un marco de trabajo de las buenas prácticas destinadas a facilitar la entrega de servicios de tecnologías de la información (TI). ITIL resume un extenso conjunto de procedimientos de gestión ideados para ayudar a las organizaciones a lograr calidad y eficiencia en las operaciones de TI. Estos procedimientos son independientes del proveedor y han sido desarrollados para servir como guía que abarque toda infraestructura, desarrollo y operaciones de TI. Aunque se desarrolló durante los años 1980, ITIL no fue ampliamente adoptada hasta mediados de los años 1990. Esta mayor adopción y conocimiento ha llevado a varios estándares, incluyendo ISO/IEC 20000, que es una norma internacional cubriendo los elementos de gestión de servicios de TI de ITIL. ITIL se considera a menudo junto con otros marcos de trabajo de mejores prácticas como la Information Services Procurement Library (ISPL, ‘Biblioteca de adquisición de servicios de información’), la Application Services Library (ASL, ‘Biblioteca de servicios de aplicativos’), el método de desarrollo de sistemas dinámicos (DSDM, Dynamic Systems Development Method), el Modelo de Capacidad y Madurez (CMM/CMMI) y a menudo se relaciona con la gobernanza de tecnologías de la información mediante COBIT (Control Objectives for Information and related Technology). El concepto de gestión de servicios de TI, aunque relacionado con ITIL, no es idéntico: ITIL contiene una sección específicamente titulada «Gestión de Servicios de TI» (la combinación de los volúmenes de Servicio de Soporte y Prestación de Servicios, que son un ejemplo específico de un marco ITSM). Sin embargo es importante señalar que existen otros marcos parecidos. La Gestión de Servicio ITIL está actualmente integrado en el estándar ISO 20000 (anterior BS 15000). ITIL se construye en torno a una vista basada en proceso-modelo del control y gestión de las operaciones a menudo atribuida a W. Edwards Deming. Las recomendaciones de ITIL fueron desarrolladas en los años 1980 por la Central Computer and Telecommunications Agency (CCTA) del gobierno británico como respuesta a la creciente dependencia de las tecnologías de la información y al reconocimiento de que sin prácticas estándar, los contratos de las agencias estatales y del sector privado creaban independientemente sus propias prácticas de gestión de TI y duplicaban esfuerzos dentro de sus proyectos TIC, lo que resultaba en errores comunes y mayores costes. ITIL fue publicado como un conjunto de libros, cada uno dedicado a un área específica dentro de la Gestión de TI. Los nombres ITIL e IT Infrastructure Library (‘Biblioteca de infraestructura de TI’) son marcas registradas de la Office of Government Commerce (‘Oficina de comercio gubernamental’, OGC), que es una división del Ministerio de Hacienda del Reino Unido. En abril de 2001 la CCTA fue integrada en la OGC, desapareciendo como organización separada.[1] En diciembre de 2005, la OGC emitió un aviso de una actualización a ITIL,[2] conocida comúnmente como ITIL v3, que estuvo planificada para ser publicada a finales de 2006; habiendo sido realizada en junio 2007. Se esperaba que la publicación de ITIL versión 3 incluya cinco libros principales, concretamente: Diseño de Servicios de TI, Introducción de los Servicios de TI, Operación de los Servicios de TI, Mejora de los Servicios de TI y Estrategias de los Servicios de TI, consolidando buena parte de las prácticas actuales de la versión 2 en torno al Ciclo de Vida de los Servicios. Uno de los principales beneficios propugnado por los defensores de ITIL dentro de la comunidad de TI es que proporciona un vocabulario común, consistente en un glosario de términos precisamente definidos y ampliamente aceptados. Un nuevo glosario ampliado ha sido desarrollado como entregable clave de ITIL versión 3. Otros modelos: CMMI para el desarrollo de software y s3m,[3] para el mantenimiento del software Orange Book El estándar de niveles de seguridad más utilizado internacionalmente es el TCSEC Orange Book, desarrollado en 1983 de acuerdo a las normas de seguridad en computadoras del Departamento de Defensa de los Estados Unidos. Los niveles describen diferentes tipos de seguridad del Sistema Operativo y se enumeran desde el mínimo grado de seguridad al máximo. Estos niveles han sido la base de desarrollo de estándares europeos (ITSEC/ITSEM) y luego internacionales (ISO/IEC). Cabe aclarar que cada nivel requiere todos los niveles definidos anteriormente: así el subnivel B2 abarca los subniveles B1, C2, C1 y el D. Nivel D Este nivel contiene sólo una división y está reservada para sistemas que han sido evaluados y no cumplen con ninguna especificación de seguridad.Sin sistemas no confiables, no hay protección para el hardware, el sistema operativo es inestable y no hay autentificación con respecto a los usuarios y sus derechos en el acceso a la información. Los sistemas operativos que responden a este nivel son MS-DOS y System 7.0 de Macintosh. Nivel C1: Protección Discrecional Se requiere identificación de usuarios que permite el acceso a distinta información. Cada usuario puede manejar su información privada y se hace la distinción entre los usuarios y el administrador del sistema, quien tiene control total de acceso.Muchas de las tareas cotidianas de administración del sistema sólo pueden ser realizadas por este quot;
super usuarioquot;
quien tiene gran responsabilidad en la seguridad del mismo. Con la actual descentralización de los sistemas de cómputos, no es raro que en una organización encontremos dos o tres personas cumpliendo este rol. Esto es un problema, pues no hay forma de distinguir entre los cambios que hizo cada usuario.A continuación se enumeran los requerimientos mínimos que debe cumplir la clase C1: Acceso de control discrecional: distinción entre usuarios y recursos. Se podrán definir grupos de usuarios (con los mismos privilegios) y grupos de objetos (archivos, directorios, disco) sobre los cuales podrán actuar usuarios o grupos de ellos. Identificación y Autentificación: se requiere que un usuario se identifique antes de comenzar a ejecutar acciones sobre el sistema. El dato de un usuario no podrá ser accedido por un usuario sin autorización o identificación. Nivel C2: Protección de Acceso Controlado Este subnivel fue diseñado para solucionar las debilidades del C1. Cuenta con características adicionales que crean un ambiente de acceso controlado. Se debe llevar una auditoria de accesos e intentos fallidos de acceso a objetos.Tiene la capacidad de restringir aún más el que los usuarios ejecuten ciertos comandos o tengan acceso a ciertos archivos, permitir o denegar datos a usuarios en concreto, con base no sólo en los permisos, sino también en los niveles de autorización.Requiere que se audite el sistema. Esta auditoría es utilizada para llevar registros de todas las acciones relacionadas con la seguridad, como las actividades efectuadas por el administrador del sistema y sus usuarios.La auditoría requiere de autenticación adicional para estar seguros de que la persona que ejecuta el comando es quien dice ser. Su mayor desventaja reside en los recursos adicionales requeridos por el procesador y el subsistema de discos.Los usuarios de un sistema C2 tienen la autorización para realizar algunas tareas de administración del sistema sin necesidad de ser administradores.Permite llevar mejor cuenta de las tareas relacionadas con la administración del sistema, ya que es cada usuario quien ejecuta el trabajo y no el administrador del sistema. Nivel B1: Seguridad Etiquetada Este subnivel, es el primero de los tres con que cuenta el nivel B. Soporta seguridad multinivel, como la secreta y ultrasecreta. Se establece que el dueño del archivo no puede modificar los permisos de un objeto que está bajo control de acceso obligatorio.A cada objeto del sistema (usuario, dato, etc.) se le asigna una etiqueta, con un nivel de seguridad jerárquico (alto secreto, secreto, reservado, etc.) y con unas categorías (contabilidad, nóminas, ventas, etc.).Cada usuario que accede a un objeto debe poseer un permiso expreso para hacerlo y viceversa. Es decir que cada usuario tiene sus objetos asociados.También se establecen controles para limitar la propagación de derecho de accesos a los distintos objetos. Nivel B2: Protección Estructurada Requiere que se etiquete cada objeto de nivel superior por ser padre de un objeto inferior.La Protección Estructurada es la primera que empieza a referirse al problema de un objeto a un nivel mas elevado de seguridad en comunicación con otro objeto a un nivel inferior.Así, un disco rígido será etiquetado por almacenar archivos que son accedidos por distintos usuarios.El sistema es capaz de alertar a los usuarios si sus condiciones de accesibilidad y seguridad son modificadas; y el administrador es el encargado de fijar los canales de almacenamiento y ancho de banda a utilizar por los demás usuarios. Nivel B3: Dominios de Seguridad Refuerza a los dominios con la instalación de hardware: por ejemplo el hardware de administración de memoria se usa para proteger el dominio de seguridad de acceso no autorizado a la modificación de objetos de diferentes dominios de seguridad.Existe un monitor de referencia que recibe las peticiones de acceso de cada usuario y las permite o las deniega según las políticas de acceso que se hayan definido.Todas las estructuras de seguridad deben ser lo suficientemente pequeñas como para permitir análisis y testeos ante posibles violaciones.Este nivel requiere que la terminal del usuario se conecte al sistema por medio de una conexión segura.Además, cada usuario tiene asignado los lugares y objetos a los que puede acceder. Nivel A: Protección Verificada Es el nivel más elevado, incluye un proceso de diseño, control y verificación, mediante métodos formales (matemáticos) para asegurar todos los procesos que realiza un usuario sobre el sistema. Para llegar a este nivel de seguridad, todos los componentes de los niveles inferiores deben incluirse. El diseño requiere ser verificado de forma matemática y también se deben realizar análisis de canales encubiertos y de distribución confiable. El software y el hardware son protegidos para evitar infiltraciones ante traslados o movimientos del equipamiento. ISACA Fundadores La Federación Internacional de Contadores (IFAC) es la organización mundial para la profesión contable. IFAC has 157 member bodies and associates in 123 countries and jurisdictions, representing more than 2.5 million accountants employed in public practice, industry and commerce, government, and academe. IFAC cuenta con 157 organismos miembros y asociados en 123 países y jurisdicciones, que representan más de 2,5 millones de contadores que trabajan en la práctica pública, la industria y el comercio, gobierno y academia. Conceptos ISACA es una asociación profesional internacional que se ocupa de IT Governance. It is an affiliate member of IFAC . Se trata de un miembro afiliado de la IFAC . Previously known as the Information Systems Audit and Control Association , ISACA now goes by its acronym only, to reflect the broad range of IT governance professionals it serves. Anteriormente conocida como la Auditoría de Sistemas de Información y Control Association, ISACA ahora va por su sigla en sólo, para reflejar la amplia gama de profesionales de TI de gobierno que sirve. ISACA® comenzó en 1967, cuando un pequeño grupo de personas con trabajos similarescontroles de auditoría en los sistemas computarizados que se estaban haciendo cada vez más críticos para las operaciones de sus organizaciones respectivas—se sentaron a discutir la necesidad de tener una fuente centralizada de información y guía en dicho campo. En 1969, el grupo se formalizó, incorporándose bajo el nombre de EDP Auditors Association (Asociación de Auditores de Procesamiento Electrónico de Datos). En 1976 la asociación formó una fundación de educación para llevar a cabo proyectos de investigación de gran escala para expandir los conocimientos y el valor del campo de gobernación y control de TI. Hoy, los miembros de ISACA – más de 75,000 en todo el mundo – se caracterizan por su diversidad. Los miembros viven y trabajan en más de 160 países y cubren una variedad de puestos profesionales relacionados con TI – sólo para nombrar algunos ejemplos, auditor de SI, consultor, educador, profesional de seguridad de SI, regulador, director ejecutivo de información y auditor interno. Algunos son nuevos en el campo, otros están en niveles medios de supervisión y algunos otros están en los rangos más elevados. Trabajan en casi todas las categorías de industrias, incluyendo finanzas y banca, contaduría pública, gobierno y sector público, servicios públicos y manufactura. Esta diversidad permite que los miembros aprendan unos de otros, e intercambien puntos de vista con divergencias significativas en una variedad de tópicos profesionales. Ha sido considerada durante largo tiempo como uno de los puntos fuertes de ISACA. Otro de los puntos fuertes de ISACA es su red de capítulos. ISACA tiene capítulos en más de 70 países en todo el mundo, y dichos capítulos brindan a los miembros educación, recursos compartidos, promoción, contactos profesionales y una amplia gama de beneficios adicionales a nivel local. Descubra si hay un capítulo cerca suyo. En las tres décadas transcurridas desde su creación, ISACA se ha convertido en una organización global que establece las pautas para los profesionales de gobernación, control, seguridad y auditoría de información. Sus normas de auditoría y control de SI son respetadas por profesionales de todo el mundo. Sus investigaciones resaltan temas profesionales que desafían a sus constituyentes. Su certificación Certified Information Systems Auditor (Auditor Certificado de Sistemas de Información, o CISA) es reconocida en forma global y ha sido obtenida por más de 60,000 profesionales. Su nueva certificación Certified Information Security Manager (Gerente Certificado de Seguridad de Información, o CISM) se concentra exclusivamente en el sector de gerencia de seguridad de la información. Publica un periódico técnico líder en el campo de control de la información, el ISACA Journal (Periódico de Control de Sistemas de Información). Organiza una serie de conferencias internacionales que se concentran en tópicos técnicos y administrativos pertinentes a las profesiones de gobernación de TI y aseguración, control, seguridad de SI. Juntos, ISACA y su Instituto de Gobernación de TI (ITGI) asociado lideran la comunidad de control de tecnología de la información y sirven a sus practicantes brindando los elementos que necesitan los profesionales de TI en un entorno mundial en cambio permanente. Common Criteria El Common Criteria for Information Technology Security Evaluation (abreviado como Common Criteria o CC) es una norma internacional para la certificación de seguridad de la computadora. It is currently in version 3.1. Actualmente se encuentra en la versión 3.1 Common Criteria is a framework in which computer system users can specify their security functional and assurance requirements, vendors can then implement and/or make claims about the security attributes of their products, and testing laboratories can evaluate the products to determine if they actually meet the claims. Common Criteria es un marco en el que los usuarios del sistema informático de seguridad puede especificar sus requisitos funcionales y de seguridad, los vendedores pueden aplicar y / o hacer declaraciones sobre los atributos de seguridad de sus productos, y los laboratorios de ensayo puede evaluar los productos para determinar si, efectivamente, cumplen la reclamaciones. In other words, Common Criteria provides assurance that the process of specification, implementation and evaluation of a computer security product has been conducted in a rigorous and standard manner. En otras palabras, Common Criteria ofrece la garantía de que el proceso de especificación, implementación y evaluación de un producto de seguridad informática se ha realizado de forma rigurosa y estándar. Todos los laboratorios de ensayo debe cumplir con la norma ISO 17025, y los organismos de certificación será normalmente aprobada en contra de las normas ISO / IEC Guía 65 o BS EN 45011. El cumplimiento de la norma ISO 17025 es típicamente demostrado a la autoridad de homologación nacional: In Canada, the Standards Council of Canada (SCC) accredits Common Criteria Evaluation Facilities En Canadá, el Consejo de Normas de Canadá (SCC) acredita los Criterios Comunes de Evaluación Servicios In France, the comite francais d'accreditation (COFRAC) accredits Common Criteria evaluation facilities, commonly called Centres d'Evaluation de la Securite des Technologies de l'Information (CESTI). En Francia, el comite francais d'acreditación (COFRAC) acredita los criterios de evaluación común de las instalaciones, comúnmente llamados Centros de Evaluación de la Sécurité des Technologies de l'Information (CESTI). Evaluations are done according to norms and standards specified by the Agence nationale de la securite des systemes d'information (ANSSI). Las evaluaciones se hacen de acuerdo a las normas y las normas especificadas por la Agence nationale de la sécurité des systèmes d'information (Anssi). In the UK the United Kingdom Accreditation Service (UKAS) accredits Commercial Evaluation Facilities (CLEF) En el Reino Unido, el United Kingdom Accreditation Service (UKAS) acredita Comercial de Evaluación Servicios (CLEF) In the US, the National Institute of Standards and Technology (NIST) National Voluntary Laboratory Accreditation Program (NVLAP) accredits Common Criteria Testing Laboratories (CCTL) En los EE.UU., el Instituto Nacional de Estándares y Tecnología (NIST) Nacional Voluntario de Acreditación de Laboratorios de programa (NVLAP) acredita Common Criteria Testing Laboratories (CCTL) As well as the Common Criteria standard, there is also a sub-treaty level Common Criteria MRA (Mutual Recognition Arrangement), whereby each party thereto recognizes evaluations against the Common Criteria standard done by other parties. Así como la norma Common Criteria, también hay un nivel sub-tratado Common Criteria MRA (Acuerdo de Reconocimiento Mutuo), según el cual cada parte en el mismo reconoce evaluaciones contra la norma Common Criteria hecho por otras partes. Originally signed in 1998 by Canada, France, Germany, the United Kingdom and the United States, Australia and New Zealand joined 1999, followed by Finland, Greece, Israel, Italy, the Netherlands, Norway and Spain in 2000. Firmado originalmente en 1998 por Canadá, Francia, Alemania, el Reino Unido y los Estados Unidos, Australia y Nueva Zelanda se unió a 1999, seguido por Finlandia, Grecia, Israel, Italia, Países Bajos, Noruega y España en 2000. The Arrangement has since been renamed Common Criteria Recognition Arrangement ( CCRA ) and membership continues to expand . El Acuerdo ha sido rebautizado como Common Criteria Recognition Arrangement (CCRA) y de miembros sigue creciendo. Within the CCRA only evaluations up to EAL 4 are mutually recognized (Including augmentation with flaw remediation). Dentro de la CCRA sólo las evaluaciones hasta EAL 4 son reconocidos mutuamente (incluido el aumento de solución de fallas). The European countries within the former ITSEC agreement typically recognize higher EALs as well. Los países de Europa en el acuerdo de ITSEC ex suelen reconocer más Eals también. Evaluations at EAL5 and above tend to involve the security requirements of the host nation's government. Evaluaciones en EAL5 y sobre tienden a implicar a los requisitos de seguridad del gobierno del país anfitrión. Common Criteria is very generic; it does not directly provide a list of product security requirements or features for specific (classes of) products: this follows the approach taken by ITSEC , but has been a source of debate to those used to the more prescriptive approach of other earlier standards such as TCSEC and FIPS 140 -2. Common Criteria es muy genérico, no trata directamente de una lista de requisitos de seguridad de producto o de características específicas (clases de) productos: esto se sigue el enfoque adoptado por ITSEC, pero ha sido motivo de debate a los utilizados para el enfoque más prescriptivo de otras normas anteriores, como TCSEC y FIPS 140 -2. If a product is Common Criteria certified, it does not necessarily mean it is completely secure. Si un producto es certificado Common Criteria, que no necesariamente significa que sea completamente seguro. For example, various Microsoft Windows versions, including Windows Server 2003 and Windows XP , have been certified at EAL4+ , but regular security patches for security vulnerabilities are still published by Microsoft for these Windows systems. Por ejemplo, varios Microsoft las versiones de Windows, incluyendo Windows Server 2003 y Windows XP, se han certificado en EAL4 +, pero las revisiones de seguridad regulares de vulnerabilidades de seguridad siguen siendo publicado por Microsoft para estos sistemas Windows. This is possible because the process of obtaining a Common Criteria certification allows a vendor to restrict the analysis to certain security features and to make certain assumptions about the operating environment and the strength of threats, if any, faced by the product in that environment. Esto es posible porque el proceso de obtención de una certificación Common Criteria permite a un proveedor para restringir el análisis a elementos de seguridad y para hacer ciertos supuestos sobre el entorno operativo y de la fuerza de las amenazas, en su caso, ante el producto en ese entorno. In this case, the assumptions include A.PEER: En este caso, las suposiciones incluyen A. PEER: Any other systems with which the TOE communicates are assumed to be under the same management control and operate under the same security policy constraints. Cualquier otro sistema con el que se comunica el TOE se supone que están bajo el control de la gestión misma y operar bajo las limitaciones de la misma política de seguridad. The TOE is applicable to networked or distributed environments only if the entire network operates under the same constraints and resides within a single management domain. El TOE es aplicable a entornos distribuidos en red o sólo si toda la red funciona bajo las mismas limitaciones y reside dentro de una administración de dominio único. There are no security requirements that address the need to trust external systems or the communications links to such systems. No hay requisitos de seguridad que abordar la necesidad de confiar en sistemas externos o los enlaces de comunicaciones a tales sistemas. as contained in the Controlled Access Protection Profile (CAPP) to which their STs refer. que figura en el Controlled Access Protection Profile (CAPP) a las que sus tribus se refieren. Based on this and other assumptions, which are not realistic for the common use of general-purpose operating systems, the claimed security functions of the Windows products are evaluated. Con base en esta y otras hipótesis, que no son realistas para el uso común general de los sistemas operativos de propósito, las funciones de seguridad afirman que los productos de Windows son evaluados. Thus they should only be considered secure in the assumed, specified circumstances, also known as the evaluated configuration , specified by Microsoft. Por lo tanto, sólo debe considerarse seguro en el supuesto, determinadas circunstancias, también conocida como la configuración evaluada, especificado por Microsoft. Whether you run Microsoft Windows in the precise evaluated configuration or not, you should apply Microsoft's security patches for the vulnerabilities in Windows as they continue to appear. Independientemente de que ejecute Microsoft Windows en la configuración de evaluación precisa o no, usted debe aplicar los parches de seguridad de Microsoft para la vulnerabilidad en Windows, ya que siguen apareciendo. If any of these security vulnerabilities are exploitable in the product's evaluated configuration, the product's Common Criteria certification should be voluntarily withdrawn by the vendor. Si cualquiera de estas vulnerabilidades de seguridad son explotables en la configuración de evaluar el producto, el producto común de criterios de certificación debe ser retirado voluntariamente por el vendedor. Alternatively, the vendor should re-evaluate the product to include application of patches to fix the security vulnerabilities within the evaluated configuration. Alternativamente, el proveedor debe volver a evaluar el producto para incluir la aplicación de parches para reparar las vulnerabilidades de seguridad dentro de la configuración evaluada. Failure by the vendor to take either of these steps would result in involuntary withdrawal of the product's certification by the certification body of the country in which the product was evaluated. El incumplimiento por el proveedor de llevar a cabo cualquiera de estos pasos como consecuencia la retirada involuntaria de la certificación del producto por el organismo de certificación del país en el que se evaluó el producto. The certified Microsoft Windows versions remain at EAL4+ without including the application of any Microsoft security vulnerability patches in their evaluated configuration. El certificado de Microsoft Windows, versiones permanecer en EAL4 + sin incluir la aplicación de las revisiones de la vulnerabilidad de seguridad de Microsoft en su configuración evaluados. This shows both the limitation and strength of an evaluated configuration. Esto demuestra tanto la limitación y la fuerza de una configuración de evaluar. In August 2007, Government Computing News (GCN) columnist William Jackson critically examined Common Criteria methodology and its US implementation by the Common Criteria Evaluation and Validation Scheme (CCEVS). In the column executives from the security industry, researchers, and representatives from the National Information Assurance Partnership (NIAP) were interviewed. En agosto de 2007, Gobierno de Informática News (GCN), el columnista William Jackson examinado críticamente metodología común de criterios y su aplicación por los EE.UU. Criterios de evaluación común y el esquema de validación (CCEVS). En la columna de los ejecutivos de la industria de la seguridad, investigadores y representantes de la National Information Assurance Partnership (NIAP) fueron entrevistados. Objections outlined in the article include: Cargos descritos en el artículo son: Evaluation is a costly process (often measured in hundreds of thousands of US dollars) -- and the vendor's return on that investment is not necessarily a more secure product La evaluación es un proceso costoso (a menudo se mide en cientos de miles de dólares EE.UU.) - y el retorno a los vendedores de esa inversión no es necesariamente un producto más seguro Evaluation focuses primarily on assessing the evaluation documentation, not on the actual security, technical correctness or merits of the product itself. La evaluación se centra principalmente en la evaluación de la documentación de evaluación, no en la seguridad real, la corrección técnica o los méritos del propio producto. For US evaluations, only at EAL5 and higher do experts from the National Security Agency participate in the analysis; and only at EAL7 is code analysis required. Para las evaluaciones de los EE.UU., sólo en EAL5 y hacer más expertos de la Agencia de Seguridad Nacional participan en el análisis, y sólo en EAL7 es el análisis de código necesario. The effort and time necessary to prepare evaluation evidence and other evaluation-related documentation is so cumbersome that by the time the work is completed, the product in evaluation is generally obsolete El esfuerzo y el tiempo necesario para preparar las pruebas de evaluación y la evaluación de la documentación relacionada con otros es tan complicada que cuando el trabajo esté concluido, el producto de la evaluación son generalmente obsoletos Industry input, including that from organizations such as the Common Criteria Vendor's Forum , generally has little impact on the process as a whole Participación de la industria, incluida la de organizaciones como el Foro de la Distribuidor Common Criteria, por lo general tiene poco impacto en el proceso como un todo In a 2006 research paper, computer specialist David A. Wheeler suggested that the Common Criteria process discriminates against Free and Open Source Software ( FOSS )-centric organizations and development models. [ 3 ] Common Criteria assurance requirements tend to be inspired by the traditional waterfall software development methodology. En un documento de 2006 de investigación, especialista en computación David A. Wheeler sugirió que el proceso de Common Criteria discrimina a Free and Open Source Software (software libre) y las organizaciones centradas en modelos de desarrollo. los requisitos comunes de garantía de los criterios tienden a ser inspirada por la cascada tradicionales metodología de desarrollo de software. In contrast, much FOSS software is produced using modern agile paradigms. En cambio, software libre es producido utilizando los modernos paradigmas ágil. Although some have argued that both paradigms do not align well , others have attempted to reconcile both paradigms. Aunque algunos han argumentado que ambos paradigmas no se alinean bien [4], otros han tratado de reconciliar ambos paradigmas. Requerimientos para certificación ESTANDARREQUISITOCOSO-SOX􀀹 Establecer un nuevo consejo de vigilancia, supervisado por la SEC (Security􀀹 Exchange Commision - Comisión de Valores de Estados Unidos).􀀹 Definir nuevas funciones y responsabilidades para el comité de auditoría, quedebe tener miembros independientes a la administración.􀀹 Nuevas reglas para la conformación de los Consejos de Administración, para queincluyan personas ajenas al grupo de control de la empresa.􀀹 Que los directivos acompañen los reportes con una certificación personal, engeneral se incrementan las responsabilidades de los directores generales y de losdirectores de finanzas.© 2005 - CYBSEC S.A. Security Systems - 2 -􀀹 Código de ética para los altos funcionarios de la organización.􀀹 Definir un esquema de medición del control interno que se apliqueconstantemente.􀀹 Que los directivos certifiquen el buen funcionamiento de sus sistemas de controlinterno.􀀹 Establecer nuevos requerimientos de información, que abarcan cuestiones nofinancieras y financieras que no aparecen en los estados respectivos.􀀹 El auditor externo tiene que verificar la certificación del control interno y emitir undictamen al respecto.􀀹 Rotación de los auditores cada cinco años.􀀹 Especificar los servicios que no podrán ser realizados por los auditores externos.􀀹 Reforzar penas por fraudes corporativos y de personal administrativo.􀀹 Emitir reglas sobre conflictos de interés.􀀹 Nuevos esquemas de administración de riesgos.􀀹 Aumentar la autoridad y funciones de la SEC.COBITNo existe un certificado en las prácticas indicadas por CobiT, aunque ISACA sí ofrece la posibilidad a título personal de obtener certificaciones como “Certified Information”Systems Auditor” (CISA), “Certified Information Security Manager” (CISM) y quot;
Certifiedin the Governance of Enterprise ITquot;
CGEIT.ISO 270011. Elegir la normaAntes de que pueda empezar a preparar su solicitud, necesita una copia de la norma. Debe leerla y familiarizarse con ella.Puede adquirir ISO/IEC 27001 e ISO/IEC 17799 en línea en nuestra Web.2. ContactarPóngase en contacto con nosotros y explíquenos lo que necesita para que podamos elegir los mejores servicios para usted. A continuación, le haremos una propuesta, detallando el coste y el tiempo que supone una evaluación formal.3. Cita con el equipo de evaluaciónLe asignaremos un responsable de cliente que será el principal punto de contacto durante todo el proceso, y mucho más que eso. Será una persona con excelentes conocimientos de su área de actividad y le prestará ayuda en el camino hacia la evaluación y el registro de su sistema de gestión de seguridad de la información.4. Considerar la formaciónSi va a implantar un sistema de gestión o bien si desea ampliar sus conocimientos generales de la norma, dispone de una serie de talleres, seminarios y cursos. Más información sobre la formación.5. Revisión y evaluaciónPodemos hacer un análisis de los procesos operativos de su sistema de gestión de seguridad de la información existente según la norma e identificar cualquier omisión o punto débil que deba resolverse antes de la evaluación formal. Una vez resueltas las posibles incidencias, llevaremos a cabo una evaluación exhaustiva en sus instalaciones.6. Certificación y mucho másUna vez concluida correctamente la evaluación, emitimos un certificado de registro que explica claramente el alcance de la certificación. El certificado tiene una validez de tres años y el asesor le visitará regularmente para ayudarle a garantizar que continúa cumpliendo con los requisitos y apoyarle en la mejora continua de los sistemas.CMMISO 2000Guías y descripciones generales, no se enuncia ningún requisito. Generalidades. Reducción en el alcance. Normativas de referencia. Términos y definiciones. Sistema de gestión: contiene los requisitos generales y los requisitos para gestionar la documentación. Requisitos generales. Requisitos de documentación. Responsabilidades de la Dirección: contiene los requisitos que debe cumplir la dirección de la organización, tales como definir la política, asegurar que las responsabilidades y autoridades están definidas, aprobar objetivos, el compromiso de la dirección con la calidad, etc. Requisitos generales. Requisitos del cliente. Política de calidad. Planeación. Responsabilidad, autoridad y comunicación. Revisión gerencial. Gestión de los recursos: la Norma distingue 3 tipos de recursos sobre los cuales se debe actuar: RRHH, infraestructura, y ambiente de trabajo. Aquí se contienen los requisitos exigidos en su gestión. Requisitos generales. Recursos humanos. Infraestructura. Ambiente de trabajo. Realización del producto: aquí están contenidos los requisitos puramente productivos, desde la atención al cliente, hasta la entrega del producto o el servicio. Planeación de la realización del producto y/o servicio. Procesos relacionados con el cliente. Diseño y desarrollo. Compras. Operaciones de producción y servicio Control de dispositivos de medición, inspección y monitoreo Medición, análisis y mejora: aquí se sitúan los requisitos para los procesos que recopilan información, la analizan, y que actúan en consecuencia. El objetivo es mejorar continuamente la capacidad de la organización para suministrar productos que cumplan los requisitos.(pero nadie lo toma en serio (eso es muy generalizado)) El objetivo declarado en la Norma, es que la organización busque sin descanso la satisfacción del cliente a través del cumplimiento de los requisitos. Requisitos generales. Seguimiento y medición. Control de producto no conforme. Análisis de los datos para mejorar el desempeño. Mejora. ITILCursos de Capacitación Fundamentos de ITIL.Este Curso de Capacitación en Fundamentos de ITIL, permite adquirir los Conocimientos necesarios y Terminología propia de cada Proceso ITIL, Roles, Métricas y Relaciones entre Procesos. Adicionalmente prepara al alumno para tomar el examen de certificación internacional “ITIL Foundation” Entregables: Manual del Alumno y Certificado de Asistencia.Existen tres niveles de certificación ITIL para profesionales: Foundation Certificate (Certificado Básico):acredita un conocimiento básico de ITIL en gestión de servicios de tecnologías de la información y la comprensión de la terminología propia de ITIL. Está destinado a aquellas personas que deseen conocer las buenas prácticas especificadas en ITIL. El examen para conseguir este certificado se puede hacer en inglés, francés, español, alemán, portugués, chino, japonés y ruso. Practitioner's Certificate (Certificado de Responsable):• Destinado a quienes tienen responsabilidad en el diseño de procesos de administración de departamentos de tecnologías de la información y en la planificación de las actividades asociadas a los procesos. Este examen sólo se puede hacer en inglés. Manager's Certificate (Certificado de Director):• Garantiza que quien lo posee dispone de profundos conocimientos en todas las materias relacionadas con la administración de departamentos de tecnologías de la información, y lo habilita para dirigir la implantación de soluciones basadas en ITIL. Este examen se puede hacer en inglés, alemán y ruso. Orange BookGuías y descripciones generales, no se enuncia ningún requisito. Generalidades. Reducción en el alcance. Normativas de referencia. Términos y definiciones. Sistema de gestión: contiene los requisitos generales y los requisitos para gestionar la documentación. Requisitos generales. Requisitos de documentación. Responsabilidades de la Dirección: contiene los requisitos que debe cumplir la dirección de la organización, tales como definir la política, asegurar que las responsabilidades y autoridades están definidas, aprobar objetivos, el compromiso de la dirección con la calidad, etc. Requisitos generales. Requisitos del cliente. Política de calidad. Planeación. Responsabilidad, autoridad y comunicación. Revisión gerencial. Gestión de los recursos: la Norma distingue 3 tipos de recursos sobre los cuales se debe actuar: RRHH, infraestructura, y ambiente de trabajo. Aquí se contienen los requisitos exigidos en su gestión. Requisitos generales. Recursos humanos. Infraestructura. Ambiente de trabajo. Realización del producto: aquí están contenidos los requisitos puramente productivos, desde la atención al cliente, hasta la entrega del producto o el servicio. Planeación de la realización del producto y/o servicio. Procesos relacionados con el cliente. Diseño y desarrollo. Compras. Operaciones de producción y servicio Control de dispositivos de medición, inspección y monitoreo Medición, análisis y mejora: aquí se sitúan los requisitos para los procesos que recopilan información, la analizan, y que actúan en consecuencia. El objetivo es mejorar continuamente la capacidad de la organización para suministrar productos que cumplan los requisitos.(pero nadie lo toma en serio (eso es muy generalizado)) El objetivo declarado en la Norma, es que la organización busque sin descanso la satisfacción del cliente a través del cumplimiento de los requisitos. Requisitos generales. Seguimiento y medición. Control de producto no conforme. Análisis de los datos para mejorar el desempeño. Mejora. ISACAIT Governance Framework (25%). Definir, establecer y mantener un marco de gobernanza de TI (liderazgo, estructuras organizacionales y procesos) para: garantizar la alineación con la gobernanza empresarial, el control de la información empresarial y medio ambiente tecnología de la información mediante la aplicación de buenas prácticas, y asegurar el cumplimiento de los requisitos externos. Alineamiento estratégico (15%). Asegúrese de que permite y apoya el logro de los objetivos de negocio mediante la integración de los planes estratégicos de TI, con planes estratégicos de negocios y la alineación de los servicios de TI con las operaciones de la empresa para optimizar procesos de negocios. Entrega de valor (15%). Garantizar que ésta y la empresa cumplir con sus responsabilidades de gestión de valor: las inversiones de empresas habilitadas para alcanzar los beneficios que prometía y entregar valor de negocio mensurable tanto individual como colectivamente, de que las capacidades necesarias (las soluciones y servicios) se entregan a tiempo y dentro del presupuesto, y que servicios de TI y otros activos de TI que sigan contribuyendo a valor de negocio. Gestión de Riesgos (20%). Asegúrese de que los marcos pertinentes existen y están alineados con las normas pertinentes para identificar, evaluar, mitigar, gestionar, comunicar y monitorear los riesgos de TI negocios relacionados como parte integrante del entorno de la gobernanza de empresa. Gestión de recursos (13%). Asegúrese de que tiene suficiente, competente y capaz de recursos para ejecutar los objetivos estratégicos actuales y futuras, y mantener las demandas withbusiness mediante la optimización de la inversión, utilización y asignación de activos de TI. Medición del Desempeño (12%). Garantizar que las actividades de apoyo de TI metas / objetivos y se establecen medidas en colaboración con las principales partes interesadas, y que se establecen objetivos medibles, seguimiento y evaluación. Common CriteriaCommon Criteria es muy genérico, no trata directamente de una lista de requisitos de seguridad de producto o de características específicas (clases de) productos: esto se sigue el enfoque adoptado por ITSEC, pero ha sido motivo de debate a los utilizados para el enfoque más prescriptivo de otras normas anteriores, como TCSEC y FIPS 140 -2. Matriz FODA FortalezasOportunidadesDebilidadesAmenazasCOSO-SOXEs considerado como un enfoque voluntario para implementar las mejores prácticas dado que se refieren a un ambiente de control sano. Se ha establecido como el parámetro de comparación para determinar el cumplimiento con la leyEfectividad y Eficiencia de las operaciones Confiabilidad en la Información Económico-Financiera Adecuado cumplimiento de las leyes y regulaciones aplicablesCOBITPropone un marco de acción donde se evalúan los criterios de información, como por ejemplo la seguridad y calidad, se auditan los recursos que comprenden la tecnología de información, como por ejemplo el recurso humano, instalaciones, sistemas, entre otros, y finalmente se realiza una evaluación sobre los procesos involucrados en la organizaciónEs un modelo para auditar la gestión y control de los sistemas de información y tecnología, orientado a todos los sectores de una organización, es decir, administradores IT, usuarios y por supuesto, los auditores involucrados en el proceso.ISO 27001Es la única norma internacional auditable que define los requisitos para un sistema de gestión de la seguridad de la informaciónEs una norma adecuada para cualquier organización, grande o pequeña, de cualquier sector o parte del mundoCMMISO 2000Es el organismo encargado de promover el desarrollo de normas internacionales de fabricación, comercio y comunicación para todas las ramas industriales a excepción de la eléctrica y la electrónicaOrientación al ClienteLiderazgoImplicaciónEnfoque de procesoEnfoque de sistemaMejora continuaToma de decisiones basadas en hechosRelaciones de beneficio mutuo con proveedoresITILEs un marco de trabajo de las buenas prácticas destinadas a facilitar la entrega de servicios de tecnologías de la informaciónOrange Book ISACAEs una asociación profesional internacional que se ocupa de IT GovernanceCommon CriteriaEs una norma internacional para la certificación de seguridad de la computadora. Bibliography BIBLIOGRAPHY 2058 bsigroup. (s.f.). Recuperado el 1 de marzo de 2010, de http://www.bsigroup.es/es/certificacion-y-auditoria/Sistemas-de-gestion/estandares-esquemas/ISOIEC-27001/ buscaportal. (s.f.). Recuperado el 1 de marso de 2010, de http://www.buscarportal.com/articulos/iso_9001_gestion_calidad.html eltiempo. (s.f.). Recuperado el 3 de marzo de 2010, de http://www.eltiempo.com/participacion/blogs/default/un_articulo.php?id_blog=3516456&id_recurso=450001017 iaia. (s.f.). Recuperado el 3 de marzo de 2010, de http://www.iaia.org.ar/elauditorinterno/05/articulo2.html mmujica. (s.f.). Recuperado el 3 de marzo de 2010, de http://mmujica.wordpress.com/2007/01/12/estandares-de-seguridad/ udenar. (s.f.). Recuperado el 2 de marzo de 2010, de www.udenar.edu.co/.../EST%C1NDARES%20DE%20CALIDAD.doc unal. (s.f.). Recuperado el 1 de marzo de 2010, de http://www.unal.edu.co/seguridad/documentos/estandares_de_seguridad_internacionales.pdf

Proyecto Integrador Etapa I

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (18)

Similar a Proyecto Integrador Etapa I

Similar a Proyecto Integrador Etapa I (20)

Proyecto Integrador Etapa I