COBIT

MODELO COBIT

(Control Objectives for Information Systems and related Technology)

Modelo para evaluar y/o auditar la gestión y control de los de Sistemas de Información y Tecnología relacionada (IT):

Es el resultado de una investigación con expertos de varios paises, desarrollada por la “Information, Systems Audit and Control Association  “ISACA”.

Esta asociación se ha constituido en el  organismo normalizador y orientador en el control y la auditoría de los sistemas de Información y Tecnología (IT).

El modelo CobIT ha sido aceptado y adoptado por organizaciones en el ámbito mundial.

OBJETIVOS Y BENEFICIOS

• Proveer un marco único reconocido a nivel mundial de las “mejores prácticas” de control y seguridad de TI
• Consolidar y armonizar estándares originados en diferentes países desarrollados.
• Concientizar a la comunidad sobre importancia del control y la auditoría de TI.
• Enlaza los objetivos y estrategias de los negocios con la estructura de control de la TI, como factor crítico de éxito
• Aplica a todo tipo de organizaciones independiente de sus plataformas de TI
• Ratifica la importancia de la información, como uno de los recursos más valiosos de toda organización exitosa

REGLA DE ORO DE COBIT

A fin, de proveer la información que la organización requiere para lograr sus  objetivos, los recursos de TI deben ser administrados por un conjunto de procesos, agrupados de forma adecuada y normalmente aceptada.

POR QUE COBIT

La Tecnología se ve como un costo, no hay una terminología común con el negocio, y se recorta el presupuesto en la seguridad, ya que la falta de difusion de normas y buenas prácticas que ayuden a generar conciencia de los riesgos mantiene la quimera del :

“ A mi no me va  pasar..”

ORIENTACION DE COBIT

Su orientación hacia el negocio consiste en vincular objetivos de negocio con objetivos de TI, facilitar métricas y modelos de madurez para medir su éxito, e identificar las responsabilidades asociadas del negocio y los propietarios de los procesos de TI.

COBIT 5

El 9 de abril de 2012 fue publicado oficialmente por ISACA el marco de referencia COBIT 5.

Es la evolución de la familia COBIT, aprovechando las versiones anteriores y las practicas actuales.

Está apoyado en más de 15 años de experiencia global.

Es resultado del trabajo de expertos de los 5 continentes y de la retroalimentación de cientos de miembros de ISACA.

PRINCIPIOS DE COBIT 5:

1.    Satisfacer las necesidades de los interesados.

2.    Cubrir la empresa de extremo a extremo.

3.    Aplicar un solo marco integrado.

4.    Habilitar un enfoque Holístico.

5.    Separar Gobierno de Administración.

ISACA

ISACA / Information Systems Audit and Control Association 

(Asociación de Auditoría y Control de Sistemas de Información)

Es una asociación internacional que apoya y patrocina el desarrollo de metodologías y certificaciones para la realización de actividades auditoría y control en sistemas de información.

CGEIT / CERTIFIED IN THE GOVERNANCE OF ENTERPRISE IT

ISACA ha desarrollado la certificación denominada "Certified in the Governance of Enterprise IT" (CGEIT) que permite a las empresas disponer de profesionales capaces de aplicar las mejores prácticas y obtener los mejores resultados en la gestión de los Sistemas de Información y Comunicaciones.

Esta certificación se basa en las cinco áreas del conocimiento del gobierno TI, así como también en las normas que respaldan el buen gobierno de las TI (COBIT e ITIL).

El certificado está diseñado para profesionales que desempeñen su profesión en las áreas de Gestión, Asesoramiento o Auditoría del Gobierno de las TI.

CISA / CERTIFIED INFORMATION SYSTEMS AUDITOR

CISA es reconocido mundialmente como el estándar de rendimiento en auditoría, control, seguimiento y evaluación de la tecnología de una organización de la información y sistemas de negocio.

Que se obtiene con la certificación CISA?

Más de 85.000 profesionales en casi 160 países han ganado el Certified Information Systems Auditor (CISA) desde su creación en 1978.

La designación CISA fue creada por profesionales con experiencia de trabajo en los sistemas de información de auditoría, control y de seguridad que incluye:

·         El Proceso de Auditoría de Sistemas de Información

·         Gobierno y gestión de TI

·         Adquisición de Sistemas de Información, Desarrollo e Implementación

·         Operaciones de Sistemas de Información, Mantenimiento y Soporte

·         Protección de los activos de información

¿Por qué CISA? 

CISA demuestra la experiencia probada: Con una creciente demanda de profesionales de auditoría, control y capacidades de seguridad, CISA se ha convertido en el programa de certificación preferido por individuos y organizaciones alrededor del mundo. Muchas empresas y agencias gubernamentales reconocen cada vez más, exigen y esperan de sus IS y profesionales de IT mantener esta certificación.

CISA mejora la credibilidad y el reconocimiento: CISA es reconocida mundialmente como la marca de excelencia para el profesional de la auditoría. CISA combina el logro de pasar un examen completo con el reconocimiento del trabajo y la experiencia educativa, que le proporciona credibilidad en el mercado.

CISA significa un mayor potencial de ingresos y la promoción profesional: Recientes estudios independientes alinean constantemente CISA como uno de los que más le paga y buscado después de las certificaciones.

CISM / CERTIFIED INFORMATION SECURITY MANAGER

¿Qué es CISM?

El programa de certificación CISM se ha desarrollado específicamente para administradores experimentados de seguridad de la información y los que tienen responsabilidades de gestión de seguridad.

El Certificado de Gerente de Seguridad de la Información (CISM), esta certificación es una certificación única de gestión focalizada, la que ha sido obtenida por más de 16.000 profesionales desde su introducción en 2003. A diferencia de otras certificaciones de seguridad, CISM es para la persona que gestiona, diseña, supervisa y evalúa la seguridad de la información de una empresa.

¿Que se obtiene con la certificación CISM?

Certificación CISM es para las personas que diseñan, construyen y administrar la seguridad de la información empresarial y que tienen experiencia en las siguientes áreas:

·         Gobierno de Seguridad de la Información

·         Gestión de Riesgos de Información

·         Programa de Desarrollo de Seguridad de la Información

·         Programa de Gestión de Seguridad de la Información

·         Manejo de Incidentes y Respuesta

¿Por Qué CISM?

CISM demuestra la experiencia probada: La demanda de profesionales cualificados de gestión de seguridad está en aumento. La obtención de una designación CISM le dará una ventaja competitiva. Muchas empresas y agencias gubernamentales reconocen cada vez más, exigen y esperan de sus empleados y profesionales IT la obtención de esta certificación.

CRISC / CERTIFIED IN RISK AND INFORMATION SYSTEMS CONTROL

¿Qué es CRISC?

La designación CRISC certifica que tienen conocimientos y experiencia en la identificación y evaluación de riesgos y en el diseño Implementación monitoreo y mantenimiento basado en el riesgo eficiente y eficaz del control.

¿Qué es CRISC?

Introducido en 2010, el certificado en sistemas de información de riesgos y control de la certificacion (CRISC), pronunciado ¨ver riesgos¨, esta destinado a reconocer una amplia gama de profesionales de IT y empresariales por su conocimiento de los riesgos de la empresa y su capacidad para diseñar, implementar y mantener el sistema de información (SI) lo mantiene controlado para mitigar tales riesgos

CRISC se basa en la investigación de mercado independiente a los aportes de miles de expertos en la materia de todo el mundo, así como la propiedad intelectual de ISACA, incluyendo el riesgo de IT y COBIT 4.1.

Aquellos que adquieren la designación CRISC benefician a sus empresas y cumplen las demandas de negocios riesgosos, los profesionales IT entiendenlos riegos del negocio y tiene el conocimiento técnico para implementar un adecuado control IS

¿Quienes deberían obtener CRISC?

CRISC es para profesionales de IT y que se trabajan a nivel operativo para mitigar los riesgos y que tienen experiencia de trabajo en las siguientes aéreas identificación, valoración y evaluación de riesgos responsable de riesgos monitoreo de riesgos diseño e implementación del control IS monitoreo y mantenimiento del control IS

Bases de la Seguridad Informatica

Bases de la Seguridad Informática

Fiabilidad

Existe una frase que se ha hecho famosa dentro del mundo de la seguridad. Eugene Spafford, profesor de ciencias informáticas en la Universidad Purdue (Indiana, EEUU) y experto en seguridad de datos, dijo que “el único sistema seguro es aquel que está apagado y desconectado, enterrado en un refugio de cemento, rodeado por gas venenoso y custodiado por guardianes bien pagados y muy bien armados. Aún así, yo no apostaría mi vida por él”.

Hablar de seguridad informática en términos absolutos es imposible y por ese motivo se habla mas bien de fiabilidad del sistema, que, en realidad es una relajación del primer término.

Definimos la Fiabilidad como la probabilidad de que un sistema se comporte tal y como se espera de él.

En general, un sistema será seguro o fiable si podemos garantizar tres aspectos:

·   Confidencialidad: acceso a la información solo mediante autorización y de forma controlada.

·   Integridad: modificación de la información solo mediante autorización.

·   Disponibilidad: la información del sistema debe permanecer accesible mediante autorización.

Existe otra propiedad de los sistemas que es la Confiabilidad, entendida como nivel de calidad del servicio que se ofrece. Pero esta propiedad, que hace referencia a la disponibilidad, estaría al mismo nivel que la seguridad. En nuestro caso mantenemos la Disponibilidad como un aspecto de la seguridad.

Confidencialidad

En general el término 'confidencial' hace referencia a "Que se hace o se dice en confianza o con seguridad recíproca entre dos o más personas." 

En términos de seguridad de la información, la confidencialidad hace referencia a la necesidad de ocultar o mantener secreto sobre determinada información o recursos.

El objetivo de la confidencialidad es, entonces, prevenir la divulgación no autorizada de la información.

En general, cualquier empresa pública o privada y de cualquier ámbito de actuación requiere que cierta información no sea accedida por diferentes motivos. Uno de los ejemplos mas típicos es el del ejército de un país. Además, es sabido que los logros mas importantes en materia de seguridad siempre van ligados a temas estratégicos militares.

Por otra parte, determinadas empresas a menudo desarrollan diseños que deben proteger de sus competidores. La sostenibilidad de la empresa así como su posicionamiento en el mercado pueden depender de forma directa de la implementación de estos diseños y, por ese motivo, deben protegerlos mediante mecanismos de control de acceso que aseguren la confidencialidad de esas informaciones.

Un ejemplo típico de mecanismo que garantice la confidencialidad es la Criptografía, cuyo objetivo es cifrar o encriptar los datos para que resulten incomprensibles a aquellos usuarios que no disponen de los permisos suficientes.

Pero, incluso en esta circunstancia, existe un dato sensible que hay que proteger y es la clave de encriptación. Esta clave es necesaria para que el usuario adecuado pueda descifrar la información recibida y en función del tipo de mecanismo de encriptación utilizado, la clave puede/debe viajar por la red, pudiendo ser capturada mediante herramientas diseñadas para ello. Si se produce esta situación, la confidencialidad de la operación realizada (sea bancaria, administrativa o de cualquier tipo) queda comprometida.

Integridad

En general, el término 'integridad' hace referencia a una cualidad de 'íntegro' e indica "Que no carece de ninguna de sus partes." y relativo a personas "Recta, proba, intachable.".

En términos de seguridad de la información, la integridad hace referencia a la la fidelidad de la información o recursos, y normalmente se expresa en lo referente a prevenir el cambio impropio o desautorizado.

El objetivo de la integridad es, entonces, prevenir modificaciones no autorizadas de la información.

La integridad hace referencia a:

·   la integridad de los datos (el volumen de la información)

·   la integridad del origen (la fuente de los datos, llamada autenticación)

Es importante hacer hincapié en la integridad del origen, ya que puede afectar a su exactitud, credibilidad y confianza que las personas ponen en la información.

A menudo ocurre que al hablar de integridad de la información no se da en estos dos aspectos.

Por ejemplo, cuando un periódico difunde una información cuya fuente no es correcta, podemos decir que se mantiene la integridad de la información ya que se difunde por medio impreso, pero sin embargo, al ser la fuente de esa información errónea no se está manteniendo la integridad del origen, ya que la fuente no es correcta.

Disponibilidad

En general, el término 'disponibilidad' hace referencia a una cualidad de 'disponible' y dicho de una cosa "Que se puede disponer libremente de ella o que está lista para usarse o utilizarse."

En términos de seguridad de la información, la disponibilidad hace referencia a que la información del sistema debe permanecer accesible a elementos autorizados.

El objetivo de la disponibilidad es, entonces, prevenir interrupciones no autorizadas/controladas de los recursos informáticos.

En términos de seguridad informática “un sistema está disponible cuando su diseño e implementación permite deliberadamente negar el acceso a datos o servicios determinados”. Es decir, un sistema es disponible si permite no estar disponible.

Y un sistema 'no disponible' es tan malo como no tener sistema. No sirve.

Como resumen de las bases de la seguridad informática que hemos comentado, podemos decir que la seguridad consiste en mantener el equilibrio adecuado entre estos tres factores. No tiene sentido conseguir la confidencialidad para un archivo si es a costa de que ni tan siquiera el usuario administrador pueda acceder a él, ya que se está negando la disponibilidad.

Seguridad Informatica

SEGURIDAD INFORMÁTICA

La seguridad informática consiste en aquellas prácticas que se llevan adelante respecto de un determinado sistema de computación a fin de proteger y resguardar su funcionamiento y la información en él contenida.

Se le dice seguridad informática tanto a la investigación como a la ejecución de políticas de protección de datos en ordenadores por parte de un individuo o equipo de expertos en computación.

Las prácticas de este tipo de seguridad son diversas, y a menudo consisten en la restricción del acceso al sistema o a partes del sistema. Estas iniciativas buscan preservar la integridad de la información, tanto como su confidencialidad, disponibilidad e irrefutabilidad.

En general, cuando se habla de la seguridad en un sistema informático se hace referencia a los activos (recursos del sistema necesarios para que ése funcione), amenaza (evento, individuo o entidad que presenta un riesgo para el sistema), impacto (medición de las consecuencias de la materialización de un riesgo o amenaza), vulnerabilidad (posibilidad de que una amenaza tenga lugar), ataque, desastre o contingencia.

¿Cuáles son las amenazas para un sistema informático? Los usuarios, ya que a menudo sus acciones premeditadas o no premeditadas desencadenan episodios de vulnerabilidad al sistema. Por ejemplo, al descargar archivos peligrosos o borrar archivos importantes para el sistema. Al mismo tiempo, programas maliciosos como virus o malware. También, intrusos como hackers que ingresan al sistema sin autorización con propósitos perjudiciales. Incluso, también se considera una amenaza a siniestros como incendios o inundaciones que tienen un efecto devastador para una computadora.

La seguridad informática apela a un sinfín de recursos para paliar los efectos de las amenazas y los riesgos. Entre ellos, la creación de un ‘back-up’ o archivos de reserva como copia de aquellos contenidos en un sistema, la instalación de programas anti-virus o firewalls, la supervisión y regulación del uso de un ordenador, la encriptación de datos privados para que sólo pueda acceder a ellos personal autorizado.

PRINCIPIOS ÉTICOS DEL AUDITOR INFORMÁTICO

PRINCIPIOS ÉTICOS DEL AUDITOR INFORMÁTICO

·         Principio de beneficio del auditado

El auditor deberá conseguir la máxima eficiencia y rentabilidad de los medios informáticos de la empresa auditada

El auditor deberá evitar estar ligado a determinados intereses

·       

            Principio de calidad

El auditor deberá prestar servicios con los medios a su alcance

Libertad de utilización de los mismos

Condiciones técnicas adecuadas

·      

            Principio de capacidad

El auditor debe estar plenamente capacitado para la realización de la auditoría encomendada

Debe ser plenamente consciente del alcance de sus conocimientos y de su capacidad y aptitud para desarrollar la auditoría (sobreestima o subestima)

Auditor de Sistemas

ü AUDITOR DE SISTEMAS

Ha de velar por la correcta utilización de los amplios recursos que la empresa pone en juego para disponer de un eficiente y eficaz sistema de Información.

Principales características del auditor de Sistemas

·         Se deben poseer una mezcla de conocimientos de auditoría financiera y de informática en general. En el área informática, se debe tener conocimientos básicos de: Desarrollo de SI, Sistemas operativos, Telecomunicaciones, Administración de Bases de Datos, Redes locales, Seguridad física, Administración de Datos, Automatización de oficinas (ofimática), Comercio electrónico, de datos, etc.

·         Especialización en función de la importancia económica que tienen distintos componentes financieros dentro del entorno empresarial.

·         Debe conocer técnicas de administración de empresas y de cambio, ya que las recomendaciones y soluciones que aporte deben estar alineadas a los objetivos de la empresa y a los recursos que se poseen.

·         Debe tener un enfoque de Calidad Total, lo cual hará que sus conclusiones y trabajo sean reconocidos como un elemento valioso dentro de la empresa y que los resultados sean aceptados en su totalidad.

Responsabilidades del auditor de Sistemas

Verificación del control interno tanto de las aplicaciones como de los SI, periféricos, etc.

Análisis de la administración de Sistemas de Información, desde un punto de vista de riesgo de seguridad, administración y efectividad de la administración.

Análisis de la integridad, fiabilidad y certeza de la información a través del análisis de aplicaciones.

Auditoría del riesgo operativo de los circuitos de información

Análisis de la administración de los riesgos de la información y de la seguridad implícita.

Verificación del nivel de continuidad de las operaciones.