SlideShare une entreprise Scribd logo

Estandares auditoria

Adrian Sigueñas Calderon
Adrian Sigueñas Calderon

Documento resumen de los estandares mas reconocidos en la auditoria de sistemas de informacion.

Technologie
1  sur  7
Télécharger pour lire hors ligne
ESTÁNDARES APLICABLES A LA www.ticalcanze.tk AUDITORIA EN SISTEMAS DE INFORMACION
www.ticalcanze.tk INTRODUCCIÓN La naturaleza especial de la Auditoría de Sistemas de Información, y las capacidades necesarias para la realización de dichas auditorías, requieren estándares de aplicación específica a la auditoría de sistemas. Por lo mismo que la información es un activo vital para el éxito y la continuidad en el mercado de cualquier organización. El aseguramiento de dicha información y de los sistemas que la procesan es, por tanto, un objetivo de primer nivel para la organización. Para la adecuada gestión de la seguridad de la información, es necesario implantar un sistema que aborde esta tarea de una forma metódica, documentada y basada en unos objetivos claros de seguridad y una evaluación de los riesgos a los que está sometida la información de la organización. Para fines de orden mostramos los Organismos de Normalización de auditoria de sistemas de información: Internacionales: ISO/IEC/UIT-T Europeos: CEN/CENELEC/ETSI Americano: COPANT Español: AENOR www.ticalcanze.tk Página 1
www.ticalcanze.tk ESTANDARES APLICABLES A LA AUDITORIA DE SISTEMAS DE INFORMACION A continuación una serie de estándares generales que guían el desarrollo de proyectos de SI: A. Directrices Gerenciales de COBIT, desarrollado por la Information Systems Audit and Control Association (ISACA):  Las Directrices Gerenciales son un marco internacional de referencias que abordan las mejores prácticas de auditoría y control de sistemas de información. Permiten que la gerencia incluya, comprenda y administre los riesgos relacionados con la tecnología de información y establezca el enlace entre los procesos de administración, aspectos técnicos, la necesidad de controles y los riesgos asociados. B. The Management of the Control of data Information Technology, desarrollado por el Instituto Canadiense de Contadores Certificados (CICA):  Este modelo está basado en el concepto de roles y establece responsabilidades relacionadas con seguridad y los controles correspondientes. Dichos roles están clasificados con base en siete grupos: administración general, gerentes de sistemas, dueños, agentes, usuarios de sistemas de información, así como proveedores de servicios, desarrollo y operaciones de servicios y soporte de sistemas. Además, hace distinción entre los conceptos de autoridad, responsabilidad y responsabilidad respecto a control y riesgo previo al establecimiento del control, en términos de objetivos, estándares y técnicas mínimas a considerar. C. Estándares de administración de calidad y aseguramiento de calidad ISO 9000, desarrollados por la Organización Internacional de Estándares (ISO):  La colección ISO 9000 es un conjunto de estándares y directrices que apoyan a las organizaciones a implementar sistemas de calidad efectivos, para el tipo de trabajo que ellos realizan. D. SysTrust – Principios y criterios de confiabilidad de Sistemas, desarrollados por la Asociación de Contadores Públicos (AICPA) y el CICA:  Este servicio pretende incrementar la confianza de la alta gerencia, clientes y socios, con respecto a la confiabilidad en los sistemas por una empresa o actividad en particular. Este modelo incluye elementos como: infraestructura, software de cualquier naturaleza, personal especializado y usuarios, procesos manuales y automatizados, y datos. El modelo persigue determinar si un sistema de www.ticalcanze.tk Página 2
www.ticalcanze.tk información es confiable, (i.e. si un sistema funciona sin errores significativos, o fallas durante un periodo de tiempo determinado bajo un ambiente dado). E. Modelo de Evolución de Capacidades de software (CMM), desarrollado por el Instituto de Ingeniería de Software (SEI):  Este modelo hace posible evaluar las capacidades o habilidades para ejecutar, de una organización, con respecto al desarrollo y mantenimiento de sistemas de información. Consiste en 18 sectores clave, agrupados alrededor de cinco niveles de madurez. Se puede considerar que CMM es la base de los principios de evaluación recomendados por COBIT, así como para algunos de los procesos de administración de COBIT. F. Administración de sistemas de información: Una herramienta de evaluación práctica, desarrollado por la Directiva de Recursos de Tecnología de Información (ITRB):  Este es una herramienta de evaluación que permite a entidades gubernamentales, comprender la implementación estratégica de tecnología de información y comunicación electrónica que puede apoyar su misión e incrementar sus productos y servicios. G. Ingeniería de seguridad de sistemas – Modelo de madurez de capacidades (SSE – CMM), desarrollado por la agencia de seguridad nacional (NSA) con el apoyo de la Universidad de Carnegie Mellon:  Este modelo describe las características esenciales de una arquitectura de seguridad organizacional para tecnología de información y comunicación electrónica, de acuerdo con las prácticas generalmente aceptadas observadas en las organizaciones. www.ticalcanze.tk Página 3
www.ticalcanze.tk ESTÁNDARES ESPECIFICOS 1. ISO 27001: Esta norma contiene los requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se certifican por auditores externos los SGSI de las organizaciones. Enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002. Esta norma internacional (27001) especifica los requisitos para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar un SGSI documentado dentro del contexto global de los riesgos de negocio de la organización. Especifica los requisitos para la implantación de los controles de seguridad hechos a medida de las necesidades de organizaciones individuales o partes de las mismas 2. ISO 15504 (Spice): Sistema de calidad de productos software, combina ideas de CMM e ISO 9000. Sus derivados: ISO 15504-2, modelo de madurez ISO 15504-3, requisitos para evaluación de procesos ISO 15504-6, competencia, formación, etc.  Propósito Evaluación del proceso de Ingeniería Mejora de proceso de ingeniería Determinación de capacidades (madurez)  Dirigida a: Adquiridores Suministradores Evaluadores Permite la evaluación de procesos software en organizaciones que realicen alguna de las actividades del ciclo de vida del software: Adquisición Suministro Desarrollo Operación Mantenimiento Evolución Soporte www.ticalcanze.tk Página 4
www.ticalcanze.tk ¿Qué ventajas aporta esta norma a las empresas de desarrollo y mantenimiento software? Pueden contar con una norma ISO, internacional y abierta. Integración más fácil con otras normas ISO del sector TIC, como son: ISO 27000 de seguridad, ISO 20000 de servicios de IT e ISO 9000. Evalúa por niveles de madurez, la evaluación más extendida entre los modelos de mejora. Normalmente, tiene un menor coste de certificación que otros modelos similares. Existen certificaciones de prestigio, como por ejemplo la otorgada por AENOR. Facilita auto evaluación. Toma en cuenta el contexto del proceso que se evalúa. Entregar una nota del perfil del proceso Se ocupa de qué tan adecuadas son las prácticas, en relación al propósito del proceso. Es aplicable para todos los dominios y tamaños de organizaciones. 3. ISO 12207: Este estándar "establece un marco de referencia común para los procesos del ciclo de vida software, con una terminología bien definida, que puede ser referenciada por la industria del software” Tiene como objetivo principal proporcionar una estructura común para que compradores, proveedores, desarrolladores, personal de mantenimiento, operadores, gestores y técnicos involucrados en el desarrollo de software usen un lenguaje común. Contiene procesos, actividades y tareas para aplicar durante la adquisición de un sistema que contiene software, un producto software puro o un servicio software, y durante el suministro, desarrollo, operación y mantenimiento de productos software. 4. ISO/IEC 17799 (denominada también como ISO 27002) es un estándar para la seguridad de la información. Este estándar internacional de alto nivel para la administración de la seguridad de la información, fue publicado por la ISO en diciembre de 2000 con el objeto de desarrollar un marco de seguridad sobre el cual trabajen las organizaciones. Se define como una guía en la implementación del sistema de administración de la seguridad de la información, se orienta a preservar los siguientes principios de la seguridad informática: Confidencialidad. Asegurar que únicamente personal autorizado tenga acceso a la información. Integridad. Garantizar que la información no será alterada, eliminada o destruida por entidades no autorizadas. www.ticalcanze.tk Página 5
www.ticalcanze.tk Disponibilidad. Asegurar que los usuarios autorizados tendrán acceso a la información cuando la requieran. TENDENCIAS DE LOS ESTÁNDARES Y DE LAS MEJORES PRÁCTICAS. Es importante considerar la forma en que los estándares y las mejores prácticas van evolucionando, además de conocer qué tanto ha cambiado su uso por parte de las organizaciones. Se ha visto que existen procesos de evolución como a continuación se menciona: Evolución en los estándares y marcos referenciales de la madurez de procesos. Evolución de estándares de administración de proyectos y de desarrollo de software comercial. Evolución de estándares de software militar. CONCLUSIÓN Las tendencias de estándares que van surgiendo, van paralelas con lo que ha sucedido aceleradamente en el sector privado, esto es, dado que se han gestado numerosos proyectos de sistemas de información que han fracasado, y la dura realidad del incumplimiento de los mismos con las necesidades propias de los clientes y del negocio en sí, ha habido un incremento dramático en el número de organizaciones en el sector privado que están persiguiendo agresivamente el uso de estándares y mejores prácticas, como su estrategia primordial de supervivencia en el mercado. www.ticalcanze.tk Página 6

Recommandé

01 programa de auditoria
01 programa de auditoria01 programa de auditoria
01 programa de auditoriaSandra Maldonado
 
Mod5-aud
Mod5-audMod5-aud
Mod5-audgabogadosv
 
Auditora del ciclo de inventarios y almacenamiento
Auditora del ciclo de inventarios y almacenamientoAuditora del ciclo de inventarios y almacenamiento
Auditora del ciclo de inventarios y almacenamientoIngeniero Edwin Torres Rodríguez
 
Nia 200
Nia 200Nia 200
Nia 200Jean Marco Orrillo Chuez
 
Auditoria 1
Auditoria 1Auditoria 1
Auditoria 1César Catota
 
Auditoría de Gestión al Sistema de Producción
Auditoría de Gestión al Sistema de ProducciónAuditoría de Gestión al Sistema de Producción
Auditoría de Gestión al Sistema de ProducciónAUDITORA MMS LTDA
 
Fase de ejecución papeles de trabajo
Fase de ejecución papeles de trabajo Fase de ejecución papeles de trabajo
Fase de ejecución papeles de trabajo Nyorka Duran
 
ESTANDARES INTERNACIONALES DE AUDITORIA DE SISTEMAS
ESTANDARES INTERNACIONALES DE AUDITORIA DE SISTEMASESTANDARES INTERNACIONALES DE AUDITORIA DE SISTEMAS
ESTANDARES INTERNACIONALES DE AUDITORIA DE SISTEMASAnaly Diaz
 

Recommandé

01 programa de auditoria
01 programa de auditoria01 programa de auditoria
01 programa de auditoriaSandra Maldonado
 
Mod5-aud
Mod5-audMod5-aud
Mod5-audgabogadosv
 
Auditora del ciclo de inventarios y almacenamiento
Auditora del ciclo de inventarios y almacenamientoAuditora del ciclo de inventarios y almacenamiento
Auditora del ciclo de inventarios y almacenamientoIngeniero Edwin Torres Rodríguez
 
Nia 200
Nia 200Nia 200
Nia 200Jean Marco Orrillo Chuez
 
Auditoria 1
Auditoria 1Auditoria 1
Auditoria 1César Catota
 
Auditoría de Gestión al Sistema de Producción
Auditoría de Gestión al Sistema de ProducciónAuditoría de Gestión al Sistema de Producción
Auditoría de Gestión al Sistema de ProducciónAUDITORA MMS LTDA
 
Fase de ejecución papeles de trabajo
Fase de ejecución papeles de trabajo Fase de ejecución papeles de trabajo
Fase de ejecución papeles de trabajo Nyorka Duran
 
ESTANDARES INTERNACIONALES DE AUDITORIA DE SISTEMAS
ESTANDARES INTERNACIONALES DE AUDITORIA DE SISTEMASESTANDARES INTERNACIONALES DE AUDITORIA DE SISTEMAS
ESTANDARES INTERNACIONALES DE AUDITORIA DE SISTEMASAnaly Diaz
 
NORMAS INTERNACIONAL DE AUDITORÍA (NIA)
NORMAS INTERNACIONAL DE AUDITORÍA (NIA)NORMAS INTERNACIONAL DE AUDITORÍA (NIA)
NORMAS INTERNACIONAL DE AUDITORÍA (NIA)migdiferpacheco
 
Archivos de auditoría y papeles de trabajo (
Archivos de auditoría y papeles de trabajo (Archivos de auditoría y papeles de trabajo (
Archivos de auditoría y papeles de trabajo (0104027701
 
Control Interno en la Auditoría de Sistemas
Control Interno en la Auditoría de SistemasControl Interno en la Auditoría de Sistemas
Control Interno en la Auditoría de SistemasAna Julieta Gonzalez Garcia
 
Nia 700
Nia 700Nia 700
Nia 700keyla
 
2 papeles de trabajo
2 papeles de trabajo2 papeles de trabajo
2 papeles de trabajo600582
 
Ejemplo de cuestionario para auditoría de sistemas informáticos
Ejemplo de cuestionario para auditoría de sistemas informáticosEjemplo de cuestionario para auditoría de sistemas informáticos
Ejemplo de cuestionario para auditoría de sistemas informáticosDiana Alfaro
 
Presentación Nia 500 501-505
Presentación Nia 500 501-505Presentación Nia 500 501-505
Presentación Nia 500 501-505REVISORIA-FISCAL-ZARZAL
 
39603951 aseveraciones-de-auditoria
39603951 aseveraciones-de-auditoria39603951 aseveraciones-de-auditoria
39603951 aseveraciones-de-auditoriaMichael Eduardo Vilchez Bendezú
 
Tipos de auditoria
Tipos de auditoriaTipos de auditoria
Tipos de auditoria19034
 
Peritaje contable
Peritaje contablePeritaje contable
Peritaje contableKarina TOrres H
 
Nia 510
Nia 510 Nia 510
Nia 510 Juan Bernardino Chan Chuc
 
Normas generales para la auditoría de sistemas de información
Normas generales para la auditoría de sistemas de informaciónNormas generales para la auditoría de sistemas de información
Normas generales para la auditoría de sistemas de informaciónvryancceall
 
NIAs-Resumidas.pdf
NIAs-Resumidas.pdfNIAs-Resumidas.pdf
NIAs-Resumidas.pdfYesithChavez
 
Diapositivas tecnicas
Diapositivas tecnicasDiapositivas tecnicas
Diapositivas tecnicasPatty Carrillo
 
22 modelo carta de gerencia
22 modelo carta de gerencia22 modelo carta de gerencia
22 modelo carta de gerenciaLuis Ore Romero
 
Nestor casas cuestionario de control interno
Nestor casas cuestionario de control internoNestor casas cuestionario de control interno
Nestor casas cuestionario de control internoNestor Casas
 
Confirmaciones de auditoria
Confirmaciones de auditoriaConfirmaciones de auditoria
Confirmaciones de auditoriarrvn73
 
Auditoria financiera exposicion final (1)
Auditoria financiera exposicion final (1)Auditoria financiera exposicion final (1)
Auditoria financiera exposicion final (1)America SG
 
Estándares de Auditoria en sistemas
Estándares de Auditoria en sistemas Estándares de Auditoria en sistemas
Estándares de Auditoria en sistemas Nanet Martinez
 
ISQC 01
ISQC 01ISQC 01
ISQC 01Angie Carolina Díaz Ramirez
 
calidad para el producto del software
calidad para el producto del softwarecalidad para el producto del software
calidad para el producto del softwarearidesbetava15
 
Resumen de estandares (sistemas de calidad en ti)
Resumen de estandares (sistemas de calidad en ti)Resumen de estandares (sistemas de calidad en ti)
Resumen de estandares (sistemas de calidad en ti)Xiva Sandoval
 

Contenu connexe

Tendances

NORMAS INTERNACIONAL DE AUDITORÍA (NIA)
NORMAS INTERNACIONAL DE AUDITORÍA (NIA)NORMAS INTERNACIONAL DE AUDITORÍA (NIA)
NORMAS INTERNACIONAL DE AUDITORÍA (NIA)migdiferpacheco
 
Archivos de auditoría y papeles de trabajo (
Archivos de auditoría y papeles de trabajo (Archivos de auditoría y papeles de trabajo (
Archivos de auditoría y papeles de trabajo (0104027701
 
Nia 700
Nia 700Nia 700
Nia 700keyla
 
2 papeles de trabajo
2 papeles de trabajo2 papeles de trabajo
2 papeles de trabajo600582
 
Ejemplo de cuestionario para auditoría de sistemas informáticos
Ejemplo de cuestionario para auditoría de sistemas informáticosEjemplo de cuestionario para auditoría de sistemas informáticos
Ejemplo de cuestionario para auditoría de sistemas informáticosDiana Alfaro
 
Tipos de auditoria
Tipos de auditoriaTipos de auditoria
Tipos de auditoria19034
 
Normas generales para la auditoría de sistemas de información
Normas generales para la auditoría de sistemas de informaciónNormas generales para la auditoría de sistemas de información
Normas generales para la auditoría de sistemas de informaciónvryancceall
 
NIAs-Resumidas.pdf
NIAs-Resumidas.pdfNIAs-Resumidas.pdf
NIAs-Resumidas.pdfYesithChavez
 
22 modelo carta de gerencia
22 modelo carta de gerencia22 modelo carta de gerencia
22 modelo carta de gerenciaLuis Ore Romero
 
Nestor casas cuestionario de control interno
Nestor casas cuestionario de control internoNestor casas cuestionario de control interno
Nestor casas cuestionario de control internoNestor Casas
 
Confirmaciones de auditoria
Confirmaciones de auditoriaConfirmaciones de auditoria
Confirmaciones de auditoriarrvn73
 
Auditoria financiera exposicion final (1)
Auditoria financiera exposicion final (1)Auditoria financiera exposicion final (1)
Auditoria financiera exposicion final (1)America SG
 
Estándares de Auditoria en sistemas
Estándares de Auditoria en sistemas Estándares de Auditoria en sistemas
Estándares de Auditoria en sistemas Nanet Martinez
 

Tendances (20)

NORMAS INTERNACIONAL DE AUDITORÍA (NIA)
NORMAS INTERNACIONAL DE AUDITORÍA (NIA)NORMAS INTERNACIONAL DE AUDITORÍA (NIA)
NORMAS INTERNACIONAL DE AUDITORÍA (NIA)
 
Archivos de auditoría y papeles de trabajo (
Archivos de auditoría y papeles de trabajo (Archivos de auditoría y papeles de trabajo (
Archivos de auditoría y papeles de trabajo (
 
Control Interno en la Auditoría de Sistemas
Control Interno en la Auditoría de SistemasControl Interno en la Auditoría de Sistemas
Control Interno en la Auditoría de Sistemas
 
Nia 700
Nia 700Nia 700
Nia 700
 
2 papeles de trabajo
2 papeles de trabajo2 papeles de trabajo
2 papeles de trabajo
 
Ejemplo de cuestionario para auditoría de sistemas informáticos
Ejemplo de cuestionario para auditoría de sistemas informáticosEjemplo de cuestionario para auditoría de sistemas informáticos
Ejemplo de cuestionario para auditoría de sistemas informáticos
 
Presentación Nia 500 501-505
Presentación Nia 500 501-505Presentación Nia 500 501-505
Presentación Nia 500 501-505
 
39603951 aseveraciones-de-auditoria
39603951 aseveraciones-de-auditoria39603951 aseveraciones-de-auditoria
39603951 aseveraciones-de-auditoria
 
Tipos de auditoria
Tipos de auditoriaTipos de auditoria
Tipos de auditoria
 
Peritaje contable
Peritaje contablePeritaje contable
Peritaje contable
 
Nia 510
Nia 510 Nia 510
Nia 510
 
Normas generales para la auditoría de sistemas de información
Normas generales para la auditoría de sistemas de informaciónNormas generales para la auditoría de sistemas de información
Normas generales para la auditoría de sistemas de información
 
NIAs-Resumidas.pdf
NIAs-Resumidas.pdfNIAs-Resumidas.pdf
NIAs-Resumidas.pdf
 
Diapositivas tecnicas
Diapositivas tecnicasDiapositivas tecnicas
Diapositivas tecnicas
 
22 modelo carta de gerencia
22 modelo carta de gerencia22 modelo carta de gerencia
22 modelo carta de gerencia
 
Nestor casas cuestionario de control interno
Nestor casas cuestionario de control internoNestor casas cuestionario de control interno
Nestor casas cuestionario de control interno
 
Confirmaciones de auditoria
Confirmaciones de auditoriaConfirmaciones de auditoria
Confirmaciones de auditoria
 
Auditoria financiera exposicion final (1)
Auditoria financiera exposicion final (1)Auditoria financiera exposicion final (1)
Auditoria financiera exposicion final (1)
 
Estándares de Auditoria en sistemas
Estándares de Auditoria en sistemas Estándares de Auditoria en sistemas
Estándares de Auditoria en sistemas
 
ISQC 01
ISQC 01ISQC 01
ISQC 01
 

Similaire à Estandares auditoria

calidad para el producto del software
calidad para el producto del softwarecalidad para el producto del software
calidad para el producto del softwarearidesbetava15
 
Resumen de estandares (sistemas de calidad en ti)
Resumen de estandares (sistemas de calidad en ti)Resumen de estandares (sistemas de calidad en ti)
Resumen de estandares (sistemas de calidad en ti)Xiva Sandoval
 
Estandares y modelos del software
Estandares y modelos del softwareEstandares y modelos del software
Estandares y modelos del softwareedwardgutierrezp
 
Estandares y modelos del software
Estandares y modelos del softwareEstandares y modelos del software
Estandares y modelos del softwareedwardgutierrezp
 
Trabajo final, RESUMEN DE NORMAS DE ESTANDARIZACION
Trabajo final, RESUMEN DE NORMAS DE ESTANDARIZACION Trabajo final, RESUMEN DE NORMAS DE ESTANDARIZACION
Trabajo final, RESUMEN DE NORMAS DE ESTANDARIZACION Jorge Humberto Donato Monreal
 
Estandares De La Calidad
Estandares De La CalidadEstandares De La Calidad
Estandares De La Calidadeduardo89
 
Estandares de calidad
Estandares de calidadEstandares de calidad
Estandares de calidadAnnie Mrtx
 
Plantilla trabajo final
Plantilla trabajo finalPlantilla trabajo final
Plantilla trabajo finalOmar Hernandez
 
Solucion cuestionario 2
Solucion cuestionario 2Solucion cuestionario 2
Solucion cuestionario 2Dairo Parra
 
Guia de calidad para desarrollo de software
Guia de calidad para desarrollo de softwareGuia de calidad para desarrollo de software
Guia de calidad para desarrollo de softwareAndres Epifanía Huerta
 
Capítulo 6 cobit
Capítulo 6 cobit Capítulo 6 cobit
Capítulo 6 cobit Soby Soby
 
Plantilla trabajo final
Plantilla trabajo finalPlantilla trabajo final
Plantilla trabajo finalMoises Puente
 
Cobit 4.1
Cobit 4.1Cobit 4.1
Cobit 4.1RMVTITO
 
COBIT 4.1
COBIT 4.1COBIT 4.1
COBIT 4.1RMVTITO
 

Similaire à Estandares auditoria (20)

calidad para el producto del software
calidad para el producto del softwarecalidad para el producto del software
calidad para el producto del software
 
Resumen de estandares (sistemas de calidad en ti)
Resumen de estandares (sistemas de calidad en ti)Resumen de estandares (sistemas de calidad en ti)
Resumen de estandares (sistemas de calidad en ti)
 
Plantilla trabajo final
Plantilla trabajo finalPlantilla trabajo final
Plantilla trabajo final
 
Trabajo final isos
Trabajo final isosTrabajo final isos
Trabajo final isos
 
Estandares y modelos del software
Estandares y modelos del softwareEstandares y modelos del software
Estandares y modelos del software
 
Estandares y modelos del software
Estandares y modelos del softwareEstandares y modelos del software
Estandares y modelos del software
 
Trabajo final, RESUMEN DE NORMAS DE ESTANDARIZACION
Trabajo final, RESUMEN DE NORMAS DE ESTANDARIZACION Trabajo final, RESUMEN DE NORMAS DE ESTANDARIZACION
Trabajo final, RESUMEN DE NORMAS DE ESTANDARIZACION
 
Standards
StandardsStandards
Standards
 
Normas
NormasNormas
Normas
 
Estandares De La Calidad
Estandares De La CalidadEstandares De La Calidad
Estandares De La Calidad
 
Estandares de calidad
Estandares de calidadEstandares de calidad
Estandares de calidad
 
Plantilla trabajo final
Plantilla trabajo finalPlantilla trabajo final
Plantilla trabajo final
 
Solucion cuestionario 2
Solucion cuestionario 2Solucion cuestionario 2
Solucion cuestionario 2
 
Guia de calidad para desarrollo de software
Guia de calidad para desarrollo de softwareGuia de calidad para desarrollo de software
Guia de calidad para desarrollo de software
 
Capítulo 6 cobit
Capítulo 6 cobit Capítulo 6 cobit
Capítulo 6 cobit
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
Plantilla trabajo final
Plantilla trabajo finalPlantilla trabajo final
Plantilla trabajo final
 
Plantilla trabajo final
Plantilla trabajo finalPlantilla trabajo final
Plantilla trabajo final
 
Cobit 4.1
Cobit 4.1Cobit 4.1
Cobit 4.1
 
COBIT 4.1
COBIT 4.1COBIT 4.1
COBIT 4.1
 

Plus de Adrian Sigueñas Calderon

Comparativa sap-business-one-open erp-openbravo
Comparativa sap-business-one-open erp-openbravoComparativa sap-business-one-open erp-openbravo
Comparativa sap-business-one-open erp-openbravoAdrian Sigueñas Calderon
 

Plus de Adrian Sigueñas Calderon (20)

Manual basico AUTOCAD
Manual basico AUTOCADManual basico AUTOCAD
Manual basico AUTOCAD
 
Seguridad en mainframe
Seguridad en mainframeSeguridad en mainframe
Seguridad en mainframe
 
Chrome 3D
Chrome 3D Chrome 3D
Chrome 3D
 
OSSIM
OSSIMOSSIM
OSSIM
 
Mapa Conceptual E-Learning
Mapa Conceptual E-LearningMapa Conceptual E-Learning
Mapa Conceptual E-Learning
 
Manual Cobol
Manual CobolManual Cobol
Manual Cobol
 
Analisis de valor ganado
Analisis de valor ganado Analisis de valor ganado
Analisis de valor ganado
 
Comparativa sap-business-one-open erp-openbravo
Comparativa sap-business-one-open erp-openbravoComparativa sap-business-one-open erp-openbravo
Comparativa sap-business-one-open erp-openbravo
 
Samba
SambaSamba
Samba
 
CRM
CRMCRM
CRM
 
Scrum
ScrumScrum
Scrum
 
Manual - C++ Basico
Manual - C++ BasicoManual - C++ Basico
Manual - C++ Basico
 
Porter vs kim
Porter vs kimPorter vs kim
Porter vs kim
 
Carpetas ocultas y accesos directos
Carpetas ocultas y accesos directosCarpetas ocultas y accesos directos
Carpetas ocultas y accesos directos
 
PERT - CPM
PERT - CPMPERT - CPM
PERT - CPM
 
Manual joomla
Manual joomlaManual joomla
Manual joomla
 
Chrome remote desktop
Chrome remote desktopChrome remote desktop
Chrome remote desktop
 
Tendencias de Elearning
Tendencias de ElearningTendencias de Elearning
Tendencias de Elearning
 
Posicionamiento web Part1
Posicionamiento web Part1Posicionamiento web Part1
Posicionamiento web Part1
 
Aplicaciones moviles
Aplicaciones movilesAplicaciones moviles
Aplicaciones moviles
 

Dernier

PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxAlan779941
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanamcerpam
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...JohnRamos830530
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxJorgeParada26
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estossgonzalezp1
 
Guia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosGuia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosJhonJairoRodriguezCe
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativanicho110
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21mariacbr99
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.FlorenciaCattelani
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxFederico Castellari
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIhmpuellon
 

Dernier (11)

PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
Guia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosGuia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos Basicos
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptx
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXI
 

Estandares auditoria

  • 1. ESTÁNDARES APLICABLES A LA www.ticalcanze.tk AUDITORIA EN SISTEMAS DE INFORMACION
  • 2. www.ticalcanze.tk INTRODUCCIÓN La naturaleza especial de la Auditoría de Sistemas de Información, y las capacidades necesarias para la realización de dichas auditorías, requieren estándares de aplicación específica a la auditoría de sistemas. Por lo mismo que la información es un activo vital para el éxito y la continuidad en el mercado de cualquier organización. El aseguramiento de dicha información y de los sistemas que la procesan es, por tanto, un objetivo de primer nivel para la organización. Para la adecuada gestión de la seguridad de la información, es necesario implantar un sistema que aborde esta tarea de una forma metódica, documentada y basada en unos objetivos claros de seguridad y una evaluación de los riesgos a los que está sometida la información de la organización. Para fines de orden mostramos los Organismos de Normalización de auditoria de sistemas de información: Internacionales: ISO/IEC/UIT-T Europeos: CEN/CENELEC/ETSI Americano: COPANT Español: AENOR www.ticalcanze.tk Página 1
  • 3. www.ticalcanze.tk ESTANDARES APLICABLES A LA AUDITORIA DE SISTEMAS DE INFORMACION A continuación una serie de estándares generales que guían el desarrollo de proyectos de SI: A. Directrices Gerenciales de COBIT, desarrollado por la Information Systems Audit and Control Association (ISACA):  Las Directrices Gerenciales son un marco internacional de referencias que abordan las mejores prácticas de auditoría y control de sistemas de información. Permiten que la gerencia incluya, comprenda y administre los riesgos relacionados con la tecnología de información y establezca el enlace entre los procesos de administración, aspectos técnicos, la necesidad de controles y los riesgos asociados. B. The Management of the Control of data Information Technology, desarrollado por el Instituto Canadiense de Contadores Certificados (CICA):  Este modelo está basado en el concepto de roles y establece responsabilidades relacionadas con seguridad y los controles correspondientes. Dichos roles están clasificados con base en siete grupos: administración general, gerentes de sistemas, dueños, agentes, usuarios de sistemas de información, así como proveedores de servicios, desarrollo y operaciones de servicios y soporte de sistemas. Además, hace distinción entre los conceptos de autoridad, responsabilidad y responsabilidad respecto a control y riesgo previo al establecimiento del control, en términos de objetivos, estándares y técnicas mínimas a considerar. C. Estándares de administración de calidad y aseguramiento de calidad ISO 9000, desarrollados por la Organización Internacional de Estándares (ISO):  La colección ISO 9000 es un conjunto de estándares y directrices que apoyan a las organizaciones a implementar sistemas de calidad efectivos, para el tipo de trabajo que ellos realizan. D. SysTrust – Principios y criterios de confiabilidad de Sistemas, desarrollados por la Asociación de Contadores Públicos (AICPA) y el CICA:  Este servicio pretende incrementar la confianza de la alta gerencia, clientes y socios, con respecto a la confiabilidad en los sistemas por una empresa o actividad en particular. Este modelo incluye elementos como: infraestructura, software de cualquier naturaleza, personal especializado y usuarios, procesos manuales y automatizados, y datos. El modelo persigue determinar si un sistema de www.ticalcanze.tk Página 2
  • 4. www.ticalcanze.tk información es confiable, (i.e. si un sistema funciona sin errores significativos, o fallas durante un periodo de tiempo determinado bajo un ambiente dado). E. Modelo de Evolución de Capacidades de software (CMM), desarrollado por el Instituto de Ingeniería de Software (SEI):  Este modelo hace posible evaluar las capacidades o habilidades para ejecutar, de una organización, con respecto al desarrollo y mantenimiento de sistemas de información. Consiste en 18 sectores clave, agrupados alrededor de cinco niveles de madurez. Se puede considerar que CMM es la base de los principios de evaluación recomendados por COBIT, así como para algunos de los procesos de administración de COBIT. F. Administración de sistemas de información: Una herramienta de evaluación práctica, desarrollado por la Directiva de Recursos de Tecnología de Información (ITRB):  Este es una herramienta de evaluación que permite a entidades gubernamentales, comprender la implementación estratégica de tecnología de información y comunicación electrónica que puede apoyar su misión e incrementar sus productos y servicios. G. Ingeniería de seguridad de sistemas – Modelo de madurez de capacidades (SSE – CMM), desarrollado por la agencia de seguridad nacional (NSA) con el apoyo de la Universidad de Carnegie Mellon:  Este modelo describe las características esenciales de una arquitectura de seguridad organizacional para tecnología de información y comunicación electrónica, de acuerdo con las prácticas generalmente aceptadas observadas en las organizaciones. www.ticalcanze.tk Página 3
  • 5. www.ticalcanze.tk ESTÁNDARES ESPECIFICOS 1. ISO 27001: Esta norma contiene los requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se certifican por auditores externos los SGSI de las organizaciones. Enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002. Esta norma internacional (27001) especifica los requisitos para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar un SGSI documentado dentro del contexto global de los riesgos de negocio de la organización. Especifica los requisitos para la implantación de los controles de seguridad hechos a medida de las necesidades de organizaciones individuales o partes de las mismas 2. ISO 15504 (Spice): Sistema de calidad de productos software, combina ideas de CMM e ISO 9000. Sus derivados: ISO 15504-2, modelo de madurez ISO 15504-3, requisitos para evaluación de procesos ISO 15504-6, competencia, formación, etc.  Propósito Evaluación del proceso de Ingeniería Mejora de proceso de ingeniería Determinación de capacidades (madurez)  Dirigida a: Adquiridores Suministradores Evaluadores Permite la evaluación de procesos software en organizaciones que realicen alguna de las actividades del ciclo de vida del software: Adquisición Suministro Desarrollo Operación Mantenimiento Evolución Soporte www.ticalcanze.tk Página 4
  • 6. www.ticalcanze.tk ¿Qué ventajas aporta esta norma a las empresas de desarrollo y mantenimiento software? Pueden contar con una norma ISO, internacional y abierta. Integración más fácil con otras normas ISO del sector TIC, como son: ISO 27000 de seguridad, ISO 20000 de servicios de IT e ISO 9000. Evalúa por niveles de madurez, la evaluación más extendida entre los modelos de mejora. Normalmente, tiene un menor coste de certificación que otros modelos similares. Existen certificaciones de prestigio, como por ejemplo la otorgada por AENOR. Facilita auto evaluación. Toma en cuenta el contexto del proceso que se evalúa. Entregar una nota del perfil del proceso Se ocupa de qué tan adecuadas son las prácticas, en relación al propósito del proceso. Es aplicable para todos los dominios y tamaños de organizaciones. 3. ISO 12207: Este estándar "establece un marco de referencia común para los procesos del ciclo de vida software, con una terminología bien definida, que puede ser referenciada por la industria del software” Tiene como objetivo principal proporcionar una estructura común para que compradores, proveedores, desarrolladores, personal de mantenimiento, operadores, gestores y técnicos involucrados en el desarrollo de software usen un lenguaje común. Contiene procesos, actividades y tareas para aplicar durante la adquisición de un sistema que contiene software, un producto software puro o un servicio software, y durante el suministro, desarrollo, operación y mantenimiento de productos software. 4. ISO/IEC 17799 (denominada también como ISO 27002) es un estándar para la seguridad de la información. Este estándar internacional de alto nivel para la administración de la seguridad de la información, fue publicado por la ISO en diciembre de 2000 con el objeto de desarrollar un marco de seguridad sobre el cual trabajen las organizaciones. Se define como una guía en la implementación del sistema de administración de la seguridad de la información, se orienta a preservar los siguientes principios de la seguridad informática: Confidencialidad. Asegurar que únicamente personal autorizado tenga acceso a la información. Integridad. Garantizar que la información no será alterada, eliminada o destruida por entidades no autorizadas. www.ticalcanze.tk Página 5
  • 7. www.ticalcanze.tk Disponibilidad. Asegurar que los usuarios autorizados tendrán acceso a la información cuando la requieran. TENDENCIAS DE LOS ESTÁNDARES Y DE LAS MEJORES PRÁCTICAS. Es importante considerar la forma en que los estándares y las mejores prácticas van evolucionando, además de conocer qué tanto ha cambiado su uso por parte de las organizaciones. Se ha visto que existen procesos de evolución como a continuación se menciona: Evolución en los estándares y marcos referenciales de la madurez de procesos. Evolución de estándares de administración de proyectos y de desarrollo de software comercial. Evolución de estándares de software militar. CONCLUSIÓN Las tendencias de estándares que van surgiendo, van paralelas con lo que ha sucedido aceleradamente en el sector privado, esto es, dado que se han gestado numerosos proyectos de sistemas de información que han fracasado, y la dura realidad del incumplimiento de los mismos con las necesidades propias de los clientes y del negocio en sí, ha habido un incremento dramático en el número de organizaciones en el sector privado que están persiguiendo agresivamente el uso de estándares y mejores prácticas, como su estrategia primordial de supervivencia en el mercado. www.ticalcanze.tk Página 6