Estandares auditoria

7
ESTÁNDARES APLICABLES A LA AUDITORIA EN SISTEMAS DE INFORMACION www.ticalcanze.tk

description

Documento resumen de los estandares mas reconocidos en la auditoria de sistemas de informacion.

Transcript of Estandares auditoria

Page 1: Estandares auditoria

ESTÁNDARES APLICABLES A LA AUDITORIA EN SISTEMAS DE

INFORMACION

www.ticalcanze.tk

Page 2: Estandares auditoria

www.ticalcanze.tk

w w w . t i c a l c a n z e . t k

Página 1

INTRODUCCIÓN

La naturaleza especial de la Auditoría de Sistemas de Información, y las capacidades necesarias para la realización de dichas auditorías, requieren estándares de aplicación específica a la auditoría de sistemas. Por lo mismo que la información es un activo vital para el éxito y la continuidad en el mercado de cualquier organización. El aseguramiento de dicha información y de los sistemas que la procesan es, por tanto, un objetivo de primer nivel para la organización. Para la adecuada gestión de la seguridad de la información, es necesario implantar un sistema que aborde esta tarea de una forma metódica, documentada y basada en unos objetivos claros de seguridad y una evaluación de los riesgos a los que está sometida la información de la organización. Para fines de orden mostramos los Organismos de Normalización de auditoria de sistemas de información:

Internacionales: ISO/IEC/UIT-T Europeos: CEN/CENELEC/ETSI Americano: COPANT Español: AENOR

Page 3: Estandares auditoria

www.ticalcanze.tk

w w w . t i c a l c a n z e . t k

Página 2

ESTANDARES APLICABLES A LA AUDITORIA DE SISTEMAS DE INFORMACION

A continuación una serie de estándares generales que guían el desarrollo de proyectos de SI:

A. Directrices Gerenciales de COBIT, desarrollado por la Information Systems Audit and

Control Association (ISACA):

Las Directrices Gerenciales son un marco internacional de referencias que abordan las mejores prácticas de auditoría y control de sistemas de información. Permiten que la gerencia incluya, comprenda y administre los riesgos relacionados con la tecnología de información y establezca el enlace entre los procesos de administración, aspectos técnicos, la necesidad de controles y los riesgos asociados.

B. The Management of the Control of data Information Technology, desarrollado por el Instituto Canadiense de Contadores Certificados (CICA):

Este modelo está basado en el concepto de roles y establece responsabilidades relacionadas con seguridad y los controles correspondientes. Dichos roles están clasificados con base en siete grupos: administración general, gerentes de sistemas, dueños, agentes, usuarios de sistemas de información, así como proveedores de servicios, desarrollo y operaciones de servicios y soporte de sistemas. Además, hace distinción entre los conceptos de autoridad, responsabilidad y responsabilidad respecto a control y riesgo previo al establecimiento del control, en términos de objetivos, estándares y técnicas mínimas a considerar.

C. Estándares de administración de calidad y aseguramiento de calidad ISO 9000,

desarrollados por la Organización Internacional de Estándares (ISO):

La colección ISO 9000 es un conjunto de estándares y directrices que apoyan a las organizaciones a implementar sistemas de calidad efectivos, para el tipo de trabajo que ellos realizan.

D. SysTrust – Principios y criterios de confiabilidad de Sistemas, desarrollados por la Asociación de Contadores Públicos (AICPA) y el CICA:

Este servicio pretende incrementar la confianza de la alta gerencia, clientes y socios, con respecto a la confiabilidad en los sistemas por una empresa o actividad en particular. Este modelo incluye elementos como: infraestructura, software de cualquier naturaleza, personal especializado y usuarios, procesos manuales y automatizados, y datos. El modelo persigue determinar si un sistema de

Page 4: Estandares auditoria

www.ticalcanze.tk

w w w . t i c a l c a n z e . t k

Página 3

información es confiable, (i.e. si un sistema funciona sin errores significativos, o fallas durante un periodo de tiempo determinado bajo un ambiente dado).

E. Modelo de Evolución de Capacidades de software (CMM), desarrollado por el Instituto de Ingeniería de Software (SEI):

Este modelo hace posible evaluar las capacidades o habilidades para ejecutar, de una organización, con respecto al desarrollo y mantenimiento de sistemas de información. Consiste en 18 sectores clave, agrupados alrededor de cinco niveles de madurez. Se puede considerar que CMM es la base de los principios de evaluación recomendados por COBIT, así como para algunos de los procesos de administración de COBIT.

F. Administración de sistemas de información: Una herramienta de evaluación práctica, desarrollado por la Directiva de Recursos de Tecnología de Información (ITRB):

Este es una herramienta de evaluación que permite a entidades gubernamentales, comprender la implementación estratégica de tecnología de información y comunicación electrónica que puede apoyar su misión e incrementar sus productos y servicios.

G. Ingeniería de seguridad de sistemas – Modelo de madurez de capacidades (SSE – CMM), desarrollado por la agencia de seguridad nacional (NSA) con el apoyo de la Universidad de Carnegie Mellon:

Este modelo describe las características esenciales de una arquitectura de seguridad organizacional para tecnología de información y comunicación electrónica, de acuerdo con las prácticas generalmente aceptadas observadas en las organizaciones.

Page 5: Estandares auditoria

www.ticalcanze.tk

w w w . t i c a l c a n z e . t k

Página 4

ESTÁNDARES ESPECIFICOS

1. ISO 27001: Esta norma contiene los requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se certifican por auditores externos los SGSI de las organizaciones. Enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002. Esta norma internacional (27001) especifica los requisitos para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar un SGSI documentado dentro del contexto global de los riesgos de negocio de la organización. Especifica los requisitos para la implantación de los controles de seguridad hechos a medida de las necesidades de organizaciones individuales o partes de las mismas

2. ISO 15504 (Spice): Sistema de calidad de productos software, combina ideas de CMM e ISO 9000. Sus derivados:

ISO 15504-2, modelo de madurez ISO 15504-3, requisitos para evaluación de procesos ISO 15504-6, competencia, formación, etc.

Propósito

Evaluación del proceso de Ingeniería

Mejora de proceso de ingeniería

Determinación de capacidades (madurez) Dirigida a:

Adquiridores

Suministradores

Evaluadores

Permite la evaluación de procesos software en organizaciones que realicen alguna de las actividades del ciclo de vida del software:

Adquisición

Suministro

Desarrollo

Operación

Mantenimiento

Evolución

Soporte

Page 6: Estandares auditoria

www.ticalcanze.tk

w w w . t i c a l c a n z e . t k

Página 5

¿Qué ventajas aporta esta norma a las empresas de desarrollo y mantenimiento software?

Pueden contar con una norma ISO, internacional y abierta. Integración más fácil con otras normas ISO del sector TIC, como son: ISO 27000 de

seguridad, ISO 20000 de servicios de IT e ISO 9000. Evalúa por niveles de madurez, la evaluación más extendida entre los modelos de

mejora. Normalmente, tiene un menor coste de certificación que otros modelos similares. Existen certificaciones de prestigio, como por ejemplo la otorgada por AENOR. Facilita auto evaluación. Toma en cuenta el contexto del proceso que se evalúa. Entregar una nota del perfil del proceso Se ocupa de qué tan adecuadas son las prácticas, en relación al propósito del

proceso. Es aplicable para todos los dominios y tamaños de organizaciones.

3. ISO 12207: Este estándar "establece un marco de referencia común para los procesos del

ciclo de vida software, con una terminología bien definida, que puede ser referenciada por la industria del software” Tiene como objetivo principal proporcionar una estructura común para que compradores, proveedores, desarrolladores, personal de mantenimiento, operadores, gestores y técnicos involucrados en el desarrollo de software usen un lenguaje común. Contiene procesos, actividades y tareas para aplicar durante la adquisición de un sistema que contiene software, un producto software puro o un servicio software, y durante el suministro, desarrollo, operación y mantenimiento de productos software.

4. ISO/IEC 17799 (denominada también como ISO 27002) es un estándar para la seguridad de la información. Este estándar internacional de alto nivel para la administración de la seguridad de la información, fue publicado por la ISO en diciembre de 2000 con el objeto de desarrollar un marco de seguridad sobre el cual trabajen las organizaciones.

Se define como una guía en la implementación del sistema de administración de la seguridad de la información, se orienta a preservar los siguientes principios de la seguridad informática:

Confidencialidad. Asegurar que únicamente personal autorizado tenga acceso a la información.

Integridad. Garantizar que la información no será alterada, eliminada o destruida por entidades no autorizadas.

Page 7: Estandares auditoria

www.ticalcanze.tk

w w w . t i c a l c a n z e . t k

Página 6

Disponibilidad. Asegurar que los usuarios autorizados tendrán acceso a la información cuando la requieran.

TENDENCIAS DE LOS ESTÁNDARES Y DE LAS MEJORES PRÁCTICAS.

Es importante considerar la forma en que los estándares y las mejores prácticas van

evolucionando, además de conocer qué tanto ha cambiado su uso por parte de las

organizaciones.

Se ha visto que existen procesos de evolución como a continuación se menciona:

Evolución en los estándares y marcos referenciales de la madurez de procesos.

Evolución de estándares de administración de proyectos y de desarrollo de software comercial.

Evolución de estándares de software militar.

CONCLUSIÓN

Las tendencias de estándares que van surgiendo, van paralelas con lo que ha sucedido

aceleradamente en el sector privado, esto es, dado que se han gestado numerosos

proyectos de sistemas de información que han fracasado, y la dura realidad del

incumplimiento de los mismos con las necesidades propias de los clientes y del negocio en

sí, ha habido un incremento dramático en el número de organizaciones en el sector

privado que están persiguiendo agresivamente el uso de estándares y mejores prácticas,

como su estrategia primordial de supervivencia en el mercado.


Estandares 802.11

Estandares 802.11

Estandares IEEE

Estandares IEEE

Costos Estandares

Costos Estandares

Estandares multimedia

Estandares multimedia

ESTANDARES DATACENTER

ESTANDARES DATACENTER

ESTANDARES espanol

ESTANDARES espanol

estandares volcan

estandares volcan

Estandares nutricionales

Estandares nutricionales

Estandares lenguaje

Estandares lenguaje

Estandares Internacionales de Aseguramiento y Auditoria

Estandares Internacionales de Aseguramiento y Auditoria

Estandares Academicos

Estandares Academicos

Estandares inalambricos

Estandares inalambricos

Estandares TIC

Estandares TIC

Estandares de Calidad y Auditoria en Enfermeria

Estandares de Calidad y Auditoria en Enfermeria

Estandares 1

Estandares 1

ABAP - Estandares

ABAP - Estandares

Estandares Internacionales de Auditoria

Estandares Internacionales de Auditoria

resumen estandares

resumen estandares

Estandares unesco

Estandares unesco

Estandares IEEE802

Estandares IEEE802