SlideShare une entreprise Scribd logo

Estandares auditoria

Adrian Sigueñas Calderon
Adrian Sigueñas Calderon

Documento resumen de los estandares mas reconocidos en la auditoria de sistemas de informacion.

Technologie
1  sur  7
Télécharger pour lire hors ligne
ESTÁNDARES APLICABLES A LA www.ticalcanze.tk AUDITORIA EN SISTEMAS DE INFORMACION
www.ticalcanze.tk INTRODUCCIÓN La naturaleza especial de la Auditoría de Sistemas de Información, y las capacidades necesarias para la realización de dichas auditorías, requieren estándares de aplicación específica a la auditoría de sistemas. Por lo mismo que la información es un activo vital para el éxito y la continuidad en el mercado de cualquier organización. El aseguramiento de dicha información y de los sistemas que la procesan es, por tanto, un objetivo de primer nivel para la organización. Para la adecuada gestión de la seguridad de la información, es necesario implantar un sistema que aborde esta tarea de una forma metódica, documentada y basada en unos objetivos claros de seguridad y una evaluación de los riesgos a los que está sometida la información de la organización. Para fines de orden mostramos los Organismos de Normalización de auditoria de sistemas de información: Internacionales: ISO/IEC/UIT-T Europeos: CEN/CENELEC/ETSI Americano: COPANT Español: AENOR www.ticalcanze.tk Página 1
www.ticalcanze.tk ESTANDARES APLICABLES A LA AUDITORIA DE SISTEMAS DE INFORMACION A continuación una serie de estándares generales que guían el desarrollo de proyectos de SI: A. Directrices Gerenciales de COBIT, desarrollado por la Information Systems Audit and Control Association (ISACA):  Las Directrices Gerenciales son un marco internacional de referencias que abordan las mejores prácticas de auditoría y control de sistemas de información. Permiten que la gerencia incluya, comprenda y administre los riesgos relacionados con la tecnología de información y establezca el enlace entre los procesos de administración, aspectos técnicos, la necesidad de controles y los riesgos asociados. B. The Management of the Control of data Information Technology, desarrollado por el Instituto Canadiense de Contadores Certificados (CICA):  Este modelo está basado en el concepto de roles y establece responsabilidades relacionadas con seguridad y los controles correspondientes. Dichos roles están clasificados con base en siete grupos: administración general, gerentes de sistemas, dueños, agentes, usuarios de sistemas de información, así como proveedores de servicios, desarrollo y operaciones de servicios y soporte de sistemas. Además, hace distinción entre los conceptos de autoridad, responsabilidad y responsabilidad respecto a control y riesgo previo al establecimiento del control, en términos de objetivos, estándares y técnicas mínimas a considerar. C. Estándares de administración de calidad y aseguramiento de calidad ISO 9000, desarrollados por la Organización Internacional de Estándares (ISO):  La colección ISO 9000 es un conjunto de estándares y directrices que apoyan a las organizaciones a implementar sistemas de calidad efectivos, para el tipo de trabajo que ellos realizan. D. SysTrust – Principios y criterios de confiabilidad de Sistemas, desarrollados por la Asociación de Contadores Públicos (AICPA) y el CICA:  Este servicio pretende incrementar la confianza de la alta gerencia, clientes y socios, con respecto a la confiabilidad en los sistemas por una empresa o actividad en particular. Este modelo incluye elementos como: infraestructura, software de cualquier naturaleza, personal especializado y usuarios, procesos manuales y automatizados, y datos. El modelo persigue determinar si un sistema de www.ticalcanze.tk Página 2
www.ticalcanze.tk información es confiable, (i.e. si un sistema funciona sin errores significativos, o fallas durante un periodo de tiempo determinado bajo un ambiente dado). E. Modelo de Evolución de Capacidades de software (CMM), desarrollado por el Instituto de Ingeniería de Software (SEI):  Este modelo hace posible evaluar las capacidades o habilidades para ejecutar, de una organización, con respecto al desarrollo y mantenimiento de sistemas de información. Consiste en 18 sectores clave, agrupados alrededor de cinco niveles de madurez. Se puede considerar que CMM es la base de los principios de evaluación recomendados por COBIT, así como para algunos de los procesos de administración de COBIT. F. Administración de sistemas de información: Una herramienta de evaluación práctica, desarrollado por la Directiva de Recursos de Tecnología de Información (ITRB):  Este es una herramienta de evaluación que permite a entidades gubernamentales, comprender la implementación estratégica de tecnología de información y comunicación electrónica que puede apoyar su misión e incrementar sus productos y servicios. G. Ingeniería de seguridad de sistemas – Modelo de madurez de capacidades (SSE – CMM), desarrollado por la agencia de seguridad nacional (NSA) con el apoyo de la Universidad de Carnegie Mellon:  Este modelo describe las características esenciales de una arquitectura de seguridad organizacional para tecnología de información y comunicación electrónica, de acuerdo con las prácticas generalmente aceptadas observadas en las organizaciones. www.ticalcanze.tk Página 3
www.ticalcanze.tk ESTÁNDARES ESPECIFICOS 1. ISO 27001: Esta norma contiene los requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se certifican por auditores externos los SGSI de las organizaciones. Enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002. Esta norma internacional (27001) especifica los requisitos para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar un SGSI documentado dentro del contexto global de los riesgos de negocio de la organización. Especifica los requisitos para la implantación de los controles de seguridad hechos a medida de las necesidades de organizaciones individuales o partes de las mismas 2. ISO 15504 (Spice): Sistema de calidad de productos software, combina ideas de CMM e ISO 9000. Sus derivados: ISO 15504-2, modelo de madurez ISO 15504-3, requisitos para evaluación de procesos ISO 15504-6, competencia, formación, etc.  Propósito Evaluación del proceso de Ingeniería Mejora de proceso de ingeniería Determinación de capacidades (madurez)  Dirigida a: Adquiridores Suministradores Evaluadores Permite la evaluación de procesos software en organizaciones que realicen alguna de las actividades del ciclo de vida del software: Adquisición Suministro Desarrollo Operación Mantenimiento Evolución Soporte www.ticalcanze.tk Página 4
www.ticalcanze.tk ¿Qué ventajas aporta esta norma a las empresas de desarrollo y mantenimiento software? Pueden contar con una norma ISO, internacional y abierta. Integración más fácil con otras normas ISO del sector TIC, como son: ISO 27000 de seguridad, ISO 20000 de servicios de IT e ISO 9000. Evalúa por niveles de madurez, la evaluación más extendida entre los modelos de mejora. Normalmente, tiene un menor coste de certificación que otros modelos similares. Existen certificaciones de prestigio, como por ejemplo la otorgada por AENOR. Facilita auto evaluación. Toma en cuenta el contexto del proceso que se evalúa. Entregar una nota del perfil del proceso Se ocupa de qué tan adecuadas son las prácticas, en relación al propósito del proceso. Es aplicable para todos los dominios y tamaños de organizaciones. 3. ISO 12207: Este estándar "establece un marco de referencia común para los procesos del ciclo de vida software, con una terminología bien definida, que puede ser referenciada por la industria del software” Tiene como objetivo principal proporcionar una estructura común para que compradores, proveedores, desarrolladores, personal de mantenimiento, operadores, gestores y técnicos involucrados en el desarrollo de software usen un lenguaje común. Contiene procesos, actividades y tareas para aplicar durante la adquisición de un sistema que contiene software, un producto software puro o un servicio software, y durante el suministro, desarrollo, operación y mantenimiento de productos software. 4. ISO/IEC 17799 (denominada también como ISO 27002) es un estándar para la seguridad de la información. Este estándar internacional de alto nivel para la administración de la seguridad de la información, fue publicado por la ISO en diciembre de 2000 con el objeto de desarrollar un marco de seguridad sobre el cual trabajen las organizaciones. Se define como una guía en la implementación del sistema de administración de la seguridad de la información, se orienta a preservar los siguientes principios de la seguridad informática: Confidencialidad. Asegurar que únicamente personal autorizado tenga acceso a la información. Integridad. Garantizar que la información no será alterada, eliminada o destruida por entidades no autorizadas. www.ticalcanze.tk Página 5
www.ticalcanze.tk Disponibilidad. Asegurar que los usuarios autorizados tendrán acceso a la información cuando la requieran. TENDENCIAS DE LOS ESTÁNDARES Y DE LAS MEJORES PRÁCTICAS. Es importante considerar la forma en que los estándares y las mejores prácticas van evolucionando, además de conocer qué tanto ha cambiado su uso por parte de las organizaciones. Se ha visto que existen procesos de evolución como a continuación se menciona: Evolución en los estándares y marcos referenciales de la madurez de procesos. Evolución de estándares de administración de proyectos y de desarrollo de software comercial. Evolución de estándares de software militar. CONCLUSIÓN Las tendencias de estándares que van surgiendo, van paralelas con lo que ha sucedido aceleradamente en el sector privado, esto es, dado que se han gestado numerosos proyectos de sistemas de información que han fracasado, y la dura realidad del incumplimiento de los mismos con las necesidades propias de los clientes y del negocio en sí, ha habido un incremento dramático en el número de organizaciones en el sector privado que están persiguiendo agresivamente el uso de estándares y mejores prácticas, como su estrategia primordial de supervivencia en el mercado. www.ticalcanze.tk Página 6

Recommandé

Crm presentacion
Crm presentacion Crm presentacion
Crm presentacion javiramirez1506
 
Normas iso 14000
Normas iso 14000Normas iso 14000
Normas iso 14000Daniela Carreño
 
Introduccion a la Gestion de la Calidad
Introduccion a la Gestion de la CalidadIntroduccion a la Gestion de la Calidad
Introduccion a la Gestion de la CalidadOmar Amed Del Carpio Rodríguez
 
Guia auditoria ambiental gubernamental
Guia auditoria ambiental gubernamentalGuia auditoria ambiental gubernamental
Guia auditoria ambiental gubernamentalnaty2210
 
Presentacion antecedentes auditoria
Presentacion antecedentes auditoriaPresentacion antecedentes auditoria
Presentacion antecedentes auditoriaLenin Quilisimba
 
Presentación Sistema Nacional de la Calidad en apoyo al país
Presentación Sistema Nacional de la Calidad en apoyo al paísPresentación Sistema Nacional de la Calidad en apoyo al país
Presentación Sistema Nacional de la Calidad en apoyo al paísSuelen Oseida
 
Auditoria administrativa i
Auditoria administrativa iAuditoria administrativa i
Auditoria administrativa iAlexander Ovalle
 
Aseguramiento de la calidad sistemas de calidad
Aseguramiento de la calidad sistemas de calidadAseguramiento de la calidad sistemas de calidad
Aseguramiento de la calidad sistemas de calidadErik Orozco Valles
 

Recommandé

Crm presentacion
Crm presentacion Crm presentacion
Crm presentacion javiramirez1506
 
Normas iso 14000
Normas iso 14000Normas iso 14000
Normas iso 14000Daniela Carreño
 
Introduccion a la Gestion de la Calidad
Introduccion a la Gestion de la CalidadIntroduccion a la Gestion de la Calidad
Introduccion a la Gestion de la CalidadOmar Amed Del Carpio Rodríguez
 
Guia auditoria ambiental gubernamental
Guia auditoria ambiental gubernamentalGuia auditoria ambiental gubernamental
Guia auditoria ambiental gubernamentalnaty2210
 
Presentacion antecedentes auditoria
Presentacion antecedentes auditoriaPresentacion antecedentes auditoria
Presentacion antecedentes auditoriaLenin Quilisimba
 
Presentación Sistema Nacional de la Calidad en apoyo al país
Presentación Sistema Nacional de la Calidad en apoyo al paísPresentación Sistema Nacional de la Calidad en apoyo al país
Presentación Sistema Nacional de la Calidad en apoyo al paísSuelen Oseida
 
Auditoria administrativa i
Auditoria administrativa iAuditoria administrativa i
Auditoria administrativa iAlexander Ovalle
 
Aseguramiento de la calidad sistemas de calidad
Aseguramiento de la calidad sistemas de calidadAseguramiento de la calidad sistemas de calidad
Aseguramiento de la calidad sistemas de calidadErik Orozco Valles
 
Definiciones ISO 19011
Definiciones ISO 19011Definiciones ISO 19011
Definiciones ISO 19011IesatecVirtual
 
Norma ISO 9001: 2015. Requisito 5. liderazgo
Norma ISO 9001: 2015. Requisito 5. liderazgoNorma ISO 9001: 2015. Requisito 5. liderazgo
Norma ISO 9001: 2015. Requisito 5. liderazgoUniversidad Nacional Experimental Francisco de Miranda
 
Sistema de Gestión Basado en ISO 9001
Sistema de Gestión Basado en ISO 9001Sistema de Gestión Basado en ISO 9001
Sistema de Gestión Basado en ISO 9001Juan Carlos Fernández
 
Normas ISO
Normas ISONormas ISO
Normas ISOJuan Carlos Fernández
 
Auditoria Interna
Auditoria InternaAuditoria Interna
Auditoria InternaEdgar Arcos
 
Exposicion matriz efi (3)
Exposicion matriz efi (3)Exposicion matriz efi (3)
Exposicion matriz efi (3)Jesus Cañon
 
Horizonte del tiempo
Horizonte del tiempoHorizonte del tiempo
Horizonte del tiempoGilson Orjuela
 
Evaluación del Diseño y Efectividad de los Controles Internos 12.MAR.2014 - D...
Evaluación del Diseño y Efectividad de los Controles Internos 12.MAR.2014 - D...Evaluación del Diseño y Efectividad de los Controles Internos 12.MAR.2014 - D...
Evaluación del Diseño y Efectividad de los Controles Internos 12.MAR.2014 - D...miguelserrano5851127
 
Mapas Estratégicos
Mapas EstratégicosMapas Estratégicos
Mapas Estratégicosmgg_UDO
 
Sistema de Gestión (SIGES - SIAF Guatemala)
Sistema de Gestión (SIGES - SIAF Guatemala)Sistema de Gestión (SIGES - SIAF Guatemala)
Sistema de Gestión (SIGES - SIAF Guatemala)Raul Sanchez Cordon
 
Iso 9004
Iso 9004Iso 9004
Iso 9004Maricela Castillo
 
Sistemas de control interno
Sistemas de control internoSistemas de control interno
Sistemas de control internoAAX 21
 
proceso sustantivo
proceso sustantivoproceso sustantivo
proceso sustantivoequipo3
 
Iso 9001 2015 interpretación
Iso 9001 2015 interpretaciónIso 9001 2015 interpretación
Iso 9001 2015 interpretaciónRicardo Reed
 
Diagnóstico empresarial
Diagnóstico empresarialDiagnóstico empresarial
Diagnóstico empresarialIng.Mario R. Olsztyn , MBA
 
Gerencia de-operaciones-2016
Gerencia de-operaciones-2016Gerencia de-operaciones-2016
Gerencia de-operaciones-2016Roberth Rico Quispe
 
Sistema de gestion de calidad.
Sistema de gestion de calidad.Sistema de gestion de calidad.
Sistema de gestion de calidad.Jesus Hc
 
norma iso 14001 2015 presentacion
norma iso 14001 2015 presentacion norma iso 14001 2015 presentacion
norma iso 14001 2015 presentacionPrimala Sistema de Gestion
 
Un caso de aplicacion de BSC y Simulaciòn
Un caso de aplicacion de BSC y SimulaciònUn caso de aplicacion de BSC y Simulaciòn
Un caso de aplicacion de BSC y SimulaciònJuan Carlos Fernandez
 
Armonizacion contable y proceso presu 2011
Armonizacion contable y proceso presu 2011Armonizacion contable y proceso presu 2011
Armonizacion contable y proceso presu 2011Segundo Alberto Vasquez Rodriguez
 
calidad para el producto del software
calidad para el producto del softwarecalidad para el producto del software
calidad para el producto del softwarearidesbetava15
 
Resumen de estandares (sistemas de calidad en ti)
Resumen de estandares (sistemas de calidad en ti)Resumen de estandares (sistemas de calidad en ti)
Resumen de estandares (sistemas de calidad en ti)Xiva Sandoval
 

Contenu connexe

Tendances

Definiciones ISO 19011
Definiciones ISO 19011Definiciones ISO 19011
Definiciones ISO 19011IesatecVirtual
 
Sistema de Gestión Basado en ISO 9001
Sistema de Gestión Basado en ISO 9001Sistema de Gestión Basado en ISO 9001
Sistema de Gestión Basado en ISO 9001Juan Carlos Fernández
 
Auditoria Interna
Auditoria InternaAuditoria Interna
Auditoria InternaEdgar Arcos
 
Exposicion matriz efi (3)
Exposicion matriz efi (3)Exposicion matriz efi (3)
Exposicion matriz efi (3)Jesus Cañon
 
Evaluación del Diseño y Efectividad de los Controles Internos 12.MAR.2014 - D...
Evaluación del Diseño y Efectividad de los Controles Internos 12.MAR.2014 - D...Evaluación del Diseño y Efectividad de los Controles Internos 12.MAR.2014 - D...
Evaluación del Diseño y Efectividad de los Controles Internos 12.MAR.2014 - D...miguelserrano5851127
 
Mapas Estratégicos
Mapas EstratégicosMapas Estratégicos
Mapas Estratégicosmgg_UDO
 
Sistema de Gestión (SIGES - SIAF Guatemala)
Sistema de Gestión (SIGES - SIAF Guatemala)Sistema de Gestión (SIGES - SIAF Guatemala)
Sistema de Gestión (SIGES - SIAF Guatemala)Raul Sanchez Cordon
 
Sistemas de control interno
Sistemas de control internoSistemas de control interno
Sistemas de control internoAAX 21
 
proceso sustantivo
proceso sustantivoproceso sustantivo
proceso sustantivoequipo3
 
Iso 9001 2015 interpretación
Iso 9001 2015 interpretaciónIso 9001 2015 interpretación
Iso 9001 2015 interpretaciónRicardo Reed
 
Sistema de gestion de calidad.
Sistema de gestion de calidad.Sistema de gestion de calidad.
Sistema de gestion de calidad.Jesus Hc
 
Un caso de aplicacion de BSC y Simulaciòn
Un caso de aplicacion de BSC y SimulaciònUn caso de aplicacion de BSC y Simulaciòn
Un caso de aplicacion de BSC y SimulaciònJuan Carlos Fernandez
 

Tendances (20)

Definiciones ISO 19011
Definiciones ISO 19011Definiciones ISO 19011
Definiciones ISO 19011
 
Norma ISO 9001: 2015. Requisito 5. liderazgo
Norma ISO 9001: 2015. Requisito 5. liderazgoNorma ISO 9001: 2015. Requisito 5. liderazgo
Norma ISO 9001: 2015. Requisito 5. liderazgo
 
Sistema de Gestión Basado en ISO 9001
Sistema de Gestión Basado en ISO 9001Sistema de Gestión Basado en ISO 9001
Sistema de Gestión Basado en ISO 9001
 
Normas ISO
Normas ISONormas ISO
Normas ISO
 
Auditoria Interna
Auditoria InternaAuditoria Interna
Auditoria Interna
 
Exposicion matriz efi (3)
Exposicion matriz efi (3)Exposicion matriz efi (3)
Exposicion matriz efi (3)
 
Horizonte del tiempo
Horizonte del tiempoHorizonte del tiempo
Horizonte del tiempo
 
Evaluación del Diseño y Efectividad de los Controles Internos 12.MAR.2014 - D...
Evaluación del Diseño y Efectividad de los Controles Internos 12.MAR.2014 - D...Evaluación del Diseño y Efectividad de los Controles Internos 12.MAR.2014 - D...
Evaluación del Diseño y Efectividad de los Controles Internos 12.MAR.2014 - D...
 
Mapas Estratégicos
Mapas EstratégicosMapas Estratégicos
Mapas Estratégicos
 
Sistema de Gestión (SIGES - SIAF Guatemala)
Sistema de Gestión (SIGES - SIAF Guatemala)Sistema de Gestión (SIGES - SIAF Guatemala)
Sistema de Gestión (SIGES - SIAF Guatemala)
 
Iso 9004
Iso 9004Iso 9004
Iso 9004
 
Sistemas de control interno
Sistemas de control internoSistemas de control interno
Sistemas de control interno
 
proceso sustantivo
proceso sustantivoproceso sustantivo
proceso sustantivo
 
Iso 9001 2015 interpretación
Iso 9001 2015 interpretaciónIso 9001 2015 interpretación
Iso 9001 2015 interpretación
 
Diagnóstico empresarial
Diagnóstico empresarialDiagnóstico empresarial
Diagnóstico empresarial
 
Gerencia de-operaciones-2016
Gerencia de-operaciones-2016Gerencia de-operaciones-2016
Gerencia de-operaciones-2016
 
Sistema de gestion de calidad.
Sistema de gestion de calidad.Sistema de gestion de calidad.
Sistema de gestion de calidad.
 
norma iso 14001 2015 presentacion
norma iso 14001 2015 presentacion norma iso 14001 2015 presentacion
norma iso 14001 2015 presentacion
 
Un caso de aplicacion de BSC y Simulaciòn
Un caso de aplicacion de BSC y SimulaciònUn caso de aplicacion de BSC y Simulaciòn
Un caso de aplicacion de BSC y Simulaciòn
 
Armonizacion contable y proceso presu 2011
Armonizacion contable y proceso presu 2011Armonizacion contable y proceso presu 2011
Armonizacion contable y proceso presu 2011
 

Similaire à Estandares auditoria

calidad para el producto del software
calidad para el producto del softwarecalidad para el producto del software
calidad para el producto del softwarearidesbetava15
 
Resumen de estandares (sistemas de calidad en ti)
Resumen de estandares (sistemas de calidad en ti)Resumen de estandares (sistemas de calidad en ti)
Resumen de estandares (sistemas de calidad en ti)Xiva Sandoval
 
Estandares y modelos del software
Estandares y modelos del softwareEstandares y modelos del software
Estandares y modelos del softwareedwardgutierrezp
 
Estandares y modelos del software
Estandares y modelos del softwareEstandares y modelos del software
Estandares y modelos del softwareedwardgutierrezp
 
Trabajo final, RESUMEN DE NORMAS DE ESTANDARIZACION
Trabajo final, RESUMEN DE NORMAS DE ESTANDARIZACION Trabajo final, RESUMEN DE NORMAS DE ESTANDARIZACION
Trabajo final, RESUMEN DE NORMAS DE ESTANDARIZACION Jorge Humberto Donato Monreal
 
Estandares De La Calidad
Estandares De La CalidadEstandares De La Calidad
Estandares De La Calidadeduardo89
 
Estandares de calidad
Estandares de calidadEstandares de calidad
Estandares de calidadAnnie Mrtx
 
Plantilla trabajo final
Plantilla trabajo finalPlantilla trabajo final
Plantilla trabajo finalOmar Hernandez
 
Solucion cuestionario 2
Solucion cuestionario 2Solucion cuestionario 2
Solucion cuestionario 2Dairo Parra
 
Guia de calidad para desarrollo de software
Guia de calidad para desarrollo de softwareGuia de calidad para desarrollo de software
Guia de calidad para desarrollo de softwareAndres Epifanía Huerta
 
Capítulo 6 cobit
Capítulo 6 cobit Capítulo 6 cobit
Capítulo 6 cobit Soby Soby
 
Plantilla trabajo final
Plantilla trabajo finalPlantilla trabajo final
Plantilla trabajo finalMoises Puente
 
Cobit 4.1
Cobit 4.1Cobit 4.1
Cobit 4.1RMVTITO
 
COBIT 4.1
COBIT 4.1COBIT 4.1
COBIT 4.1RMVTITO
 

Similaire à Estandares auditoria (20)

calidad para el producto del software
calidad para el producto del softwarecalidad para el producto del software
calidad para el producto del software
 
Resumen de estandares (sistemas de calidad en ti)
Resumen de estandares (sistemas de calidad en ti)Resumen de estandares (sistemas de calidad en ti)
Resumen de estandares (sistemas de calidad en ti)
 
Plantilla trabajo final
Plantilla trabajo finalPlantilla trabajo final
Plantilla trabajo final
 
Trabajo final isos
Trabajo final isosTrabajo final isos
Trabajo final isos
 
Estandares y modelos del software
Estandares y modelos del softwareEstandares y modelos del software
Estandares y modelos del software
 
Estandares y modelos del software
Estandares y modelos del softwareEstandares y modelos del software
Estandares y modelos del software
 
Trabajo final, RESUMEN DE NORMAS DE ESTANDARIZACION
Trabajo final, RESUMEN DE NORMAS DE ESTANDARIZACION Trabajo final, RESUMEN DE NORMAS DE ESTANDARIZACION
Trabajo final, RESUMEN DE NORMAS DE ESTANDARIZACION
 
Standards
StandardsStandards
Standards
 
Normas
NormasNormas
Normas
 
Estandares De La Calidad
Estandares De La CalidadEstandares De La Calidad
Estandares De La Calidad
 
Estandares de calidad
Estandares de calidadEstandares de calidad
Estandares de calidad
 
Plantilla trabajo final
Plantilla trabajo finalPlantilla trabajo final
Plantilla trabajo final
 
Solucion cuestionario 2
Solucion cuestionario 2Solucion cuestionario 2
Solucion cuestionario 2
 
Guia de calidad para desarrollo de software
Guia de calidad para desarrollo de softwareGuia de calidad para desarrollo de software
Guia de calidad para desarrollo de software
 
Capítulo 6 cobit
Capítulo 6 cobit Capítulo 6 cobit
Capítulo 6 cobit
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
Plantilla trabajo final
Plantilla trabajo finalPlantilla trabajo final
Plantilla trabajo final
 
Plantilla trabajo final
Plantilla trabajo finalPlantilla trabajo final
Plantilla trabajo final
 
Cobit 4.1
Cobit 4.1Cobit 4.1
Cobit 4.1
 
COBIT 4.1
COBIT 4.1COBIT 4.1
COBIT 4.1
 

Plus de Adrian Sigueñas Calderon

Comparativa sap-business-one-open erp-openbravo
Comparativa sap-business-one-open erp-openbravoComparativa sap-business-one-open erp-openbravo
Comparativa sap-business-one-open erp-openbravoAdrian Sigueñas Calderon
 

Plus de Adrian Sigueñas Calderon (20)

Manual basico AUTOCAD
Manual basico AUTOCADManual basico AUTOCAD
Manual basico AUTOCAD
 
Seguridad en mainframe
Seguridad en mainframeSeguridad en mainframe
Seguridad en mainframe
 
Chrome 3D
Chrome 3D Chrome 3D
Chrome 3D
 
OSSIM
OSSIMOSSIM
OSSIM
 
Mapa Conceptual E-Learning
Mapa Conceptual E-LearningMapa Conceptual E-Learning
Mapa Conceptual E-Learning
 
Manual Cobol
Manual CobolManual Cobol
Manual Cobol
 
Analisis de valor ganado
Analisis de valor ganado Analisis de valor ganado
Analisis de valor ganado
 
Comparativa sap-business-one-open erp-openbravo
Comparativa sap-business-one-open erp-openbravoComparativa sap-business-one-open erp-openbravo
Comparativa sap-business-one-open erp-openbravo
 
Samba
SambaSamba
Samba
 
CRM
CRMCRM
CRM
 
Scrum
ScrumScrum
Scrum
 
Manual - C++ Basico
Manual - C++ BasicoManual - C++ Basico
Manual - C++ Basico
 
Porter vs kim
Porter vs kimPorter vs kim
Porter vs kim
 
Carpetas ocultas y accesos directos
Carpetas ocultas y accesos directosCarpetas ocultas y accesos directos
Carpetas ocultas y accesos directos
 
PERT - CPM
PERT - CPMPERT - CPM
PERT - CPM
 
Manual joomla
Manual joomlaManual joomla
Manual joomla
 
Chrome remote desktop
Chrome remote desktopChrome remote desktop
Chrome remote desktop
 
Tendencias de Elearning
Tendencias de ElearningTendencias de Elearning
Tendencias de Elearning
 
Posicionamiento web Part1
Posicionamiento web Part1Posicionamiento web Part1
Posicionamiento web Part1
 
Aplicaciones moviles
Aplicaciones movilesAplicaciones moviles
Aplicaciones moviles
 

Dernier

¡Mira mi nuevo diseño hecho en Canva!.pdf
¡Mira mi nuevo diseño hecho en Canva!.pdf¡Mira mi nuevo diseño hecho en Canva!.pdf
¡Mira mi nuevo diseño hecho en Canva!.pdf7adelosriosarangojua
 
editorial de informática de los sueños.docx
editorial de informática de los sueños.docxeditorial de informática de los sueños.docx
editorial de informática de los sueños.docxssusere34b451
 
CIBERSEGURIDAD Y SEGURIDAD INFORMATICA .
CIBERSEGURIDAD Y SEGURIDAD INFORMATICA .CIBERSEGURIDAD Y SEGURIDAD INFORMATICA .
CIBERSEGURIDAD Y SEGURIDAD INFORMATICA .llocllajoaquinci00
 
De Olmos Santiago_Dolores _ M1S3AI6.pptx
De Olmos Santiago_Dolores _ M1S3AI6.pptxDe Olmos Santiago_Dolores _ M1S3AI6.pptx
De Olmos Santiago_Dolores _ M1S3AI6.pptxdoloresolmosantiago
 
BUSCADORES DE INTERNET (Universidad de Sonora).
BUSCADORES DE INTERNET (Universidad de Sonora).BUSCADORES DE INTERNET (Universidad de Sonora).
BUSCADORES DE INTERNET (Universidad de Sonora).jcaballerosamayoa
 
taller de tablas en word para estudiantes de secundaria
taller de tablas en word para estudiantes de secundariataller de tablas en word para estudiantes de secundaria
taller de tablas en word para estudiantes de secundariaandresingsiseo
 
proyectos_social_y_socioproductivos _mapas_conceptuales
proyectos_social_y_socioproductivos _mapas_conceptualesproyectos_social_y_socioproductivos _mapas_conceptuales
proyectos_social_y_socioproductivos _mapas_conceptualesssuserbe0d1c
 
manual-de-oleohidraulica-industrial-vickers.pdf
manual-de-oleohidraulica-industrial-vickers.pdfmanual-de-oleohidraulica-industrial-vickers.pdf
manual-de-oleohidraulica-industrial-vickers.pdfprofmartinsuarez
 
Uso de las TIC en la vida cotidiana .
Uso de las TIC en la vida cotidiana .Uso de las TIC en la vida cotidiana .
Uso de las TIC en la vida cotidiana .itzyrivera61103
 
Pons, A. - El desorden digital - guia para historiadores y humanistas [2013].pdf
Pons, A. - El desorden digital - guia para historiadores y humanistas [2013].pdfPons, A. - El desorden digital - guia para historiadores y humanistas [2013].pdf
Pons, A. - El desorden digital - guia para historiadores y humanistas [2013].pdffrank0071
 
Tipos de datos en Microsoft Access de Base de Datos
Tipos de datos en Microsoft Access de Base de DatosTipos de datos en Microsoft Access de Base de Datos
Tipos de datos en Microsoft Access de Base de DatosYOMIRAVILLARREAL1
 
Presentacion y Extension de tema para Blogger.pptx
Presentacion y Extension de tema para Blogger.pptxPresentacion y Extension de tema para Blogger.pptx
Presentacion y Extension de tema para Blogger.pptxTaim11
 
Inteligencia Artificial para usuarios nivel inicial
Inteligencia Artificial para usuarios nivel inicialInteligencia Artificial para usuarios nivel inicial
Inteligencia Artificial para usuarios nivel inicialEducática
 
Ejercicio 1 periodo 2 de Tecnología 2024
Ejercicio 1 periodo 2 de Tecnología 2024Ejercicio 1 periodo 2 de Tecnología 2024
Ejercicio 1 periodo 2 de Tecnología 2024NicolleAndrade7
 
NIVEL DE MADUREZ TECNOLÓGICA (TRL).pptx
NIVEL DE MADUREZ TECNOLÓGICA (TRL).pptxNIVEL DE MADUREZ TECNOLÓGICA (TRL).pptx
NIVEL DE MADUREZ TECNOLÓGICA (TRL).pptxjarniel1
 
Desarrollo del Dominio del Internet - Estrada
Desarrollo del Dominio del Internet - EstradaDesarrollo del Dominio del Internet - Estrada
Desarrollo del Dominio del Internet - EstradaRicardoEstrada90
 
Gestión de concurrencia y bloqueos en SQL Server
Gestión de concurrencia y bloqueos en SQL ServerGestión de concurrencia y bloqueos en SQL Server
Gestión de concurrencia y bloqueos en SQL ServerRobertoCarrancioFern
 
Unidad 1- Historia y Evolucion de las computadoras.pdf
Unidad 1- Historia y Evolucion de las computadoras.pdfUnidad 1- Historia y Evolucion de las computadoras.pdf
Unidad 1- Historia y Evolucion de las computadoras.pdfMarianneBAyn
 
TELECOMUNICACIONES- CAPITULO2: Modelo Osi ccna
TELECOMUNICACIONES- CAPITULO2: Modelo Osi ccnaTELECOMUNICACIONES- CAPITULO2: Modelo Osi ccna
TELECOMUNICACIONES- CAPITULO2: Modelo Osi ccnajrujel91
 
Imágenes digitales: Calidad de la información
Imágenes digitales: Calidad de la informaciónImágenes digitales: Calidad de la información
Imágenes digitales: Calidad de la informaciónUniversidad de Sonora
 

Dernier (20)

¡Mira mi nuevo diseño hecho en Canva!.pdf
¡Mira mi nuevo diseño hecho en Canva!.pdf¡Mira mi nuevo diseño hecho en Canva!.pdf
¡Mira mi nuevo diseño hecho en Canva!.pdf
 
editorial de informática de los sueños.docx
editorial de informática de los sueños.docxeditorial de informática de los sueños.docx
editorial de informática de los sueños.docx
 
CIBERSEGURIDAD Y SEGURIDAD INFORMATICA .
CIBERSEGURIDAD Y SEGURIDAD INFORMATICA .CIBERSEGURIDAD Y SEGURIDAD INFORMATICA .
CIBERSEGURIDAD Y SEGURIDAD INFORMATICA .
 
De Olmos Santiago_Dolores _ M1S3AI6.pptx
De Olmos Santiago_Dolores _ M1S3AI6.pptxDe Olmos Santiago_Dolores _ M1S3AI6.pptx
De Olmos Santiago_Dolores _ M1S3AI6.pptx
 
BUSCADORES DE INTERNET (Universidad de Sonora).
BUSCADORES DE INTERNET (Universidad de Sonora).BUSCADORES DE INTERNET (Universidad de Sonora).
BUSCADORES DE INTERNET (Universidad de Sonora).
 
taller de tablas en word para estudiantes de secundaria
taller de tablas en word para estudiantes de secundariataller de tablas en word para estudiantes de secundaria
taller de tablas en word para estudiantes de secundaria
 
proyectos_social_y_socioproductivos _mapas_conceptuales
proyectos_social_y_socioproductivos _mapas_conceptualesproyectos_social_y_socioproductivos _mapas_conceptuales
proyectos_social_y_socioproductivos _mapas_conceptuales
 
manual-de-oleohidraulica-industrial-vickers.pdf
manual-de-oleohidraulica-industrial-vickers.pdfmanual-de-oleohidraulica-industrial-vickers.pdf
manual-de-oleohidraulica-industrial-vickers.pdf
 
Uso de las TIC en la vida cotidiana .
Uso de las TIC en la vida cotidiana .Uso de las TIC en la vida cotidiana .
Uso de las TIC en la vida cotidiana .
 
Pons, A. - El desorden digital - guia para historiadores y humanistas [2013].pdf
Pons, A. - El desorden digital - guia para historiadores y humanistas [2013].pdfPons, A. - El desorden digital - guia para historiadores y humanistas [2013].pdf
Pons, A. - El desorden digital - guia para historiadores y humanistas [2013].pdf
 
Tipos de datos en Microsoft Access de Base de Datos
Tipos de datos en Microsoft Access de Base de DatosTipos de datos en Microsoft Access de Base de Datos
Tipos de datos en Microsoft Access de Base de Datos
 
Presentacion y Extension de tema para Blogger.pptx
Presentacion y Extension de tema para Blogger.pptxPresentacion y Extension de tema para Blogger.pptx
Presentacion y Extension de tema para Blogger.pptx
 
Inteligencia Artificial para usuarios nivel inicial
Inteligencia Artificial para usuarios nivel inicialInteligencia Artificial para usuarios nivel inicial
Inteligencia Artificial para usuarios nivel inicial
 
Ejercicio 1 periodo 2 de Tecnología 2024
Ejercicio 1 periodo 2 de Tecnología 2024Ejercicio 1 periodo 2 de Tecnología 2024
Ejercicio 1 periodo 2 de Tecnología 2024
 
NIVEL DE MADUREZ TECNOLÓGICA (TRL).pptx
NIVEL DE MADUREZ TECNOLÓGICA (TRL).pptxNIVEL DE MADUREZ TECNOLÓGICA (TRL).pptx
NIVEL DE MADUREZ TECNOLÓGICA (TRL).pptx
 
Desarrollo del Dominio del Internet - Estrada
Desarrollo del Dominio del Internet - EstradaDesarrollo del Dominio del Internet - Estrada
Desarrollo del Dominio del Internet - Estrada
 
Gestión de concurrencia y bloqueos en SQL Server
Gestión de concurrencia y bloqueos en SQL ServerGestión de concurrencia y bloqueos en SQL Server
Gestión de concurrencia y bloqueos en SQL Server
 
Unidad 1- Historia y Evolucion de las computadoras.pdf
Unidad 1- Historia y Evolucion de las computadoras.pdfUnidad 1- Historia y Evolucion de las computadoras.pdf
Unidad 1- Historia y Evolucion de las computadoras.pdf
 
TELECOMUNICACIONES- CAPITULO2: Modelo Osi ccna
TELECOMUNICACIONES- CAPITULO2: Modelo Osi ccnaTELECOMUNICACIONES- CAPITULO2: Modelo Osi ccna
TELECOMUNICACIONES- CAPITULO2: Modelo Osi ccna
 
Imágenes digitales: Calidad de la información
Imágenes digitales: Calidad de la informaciónImágenes digitales: Calidad de la información
Imágenes digitales: Calidad de la información
 

Estandares auditoria

  • 1. ESTÁNDARES APLICABLES A LA www.ticalcanze.tk AUDITORIA EN SISTEMAS DE INFORMACION
  • 2. www.ticalcanze.tk INTRODUCCIÓN La naturaleza especial de la Auditoría de Sistemas de Información, y las capacidades necesarias para la realización de dichas auditorías, requieren estándares de aplicación específica a la auditoría de sistemas. Por lo mismo que la información es un activo vital para el éxito y la continuidad en el mercado de cualquier organización. El aseguramiento de dicha información y de los sistemas que la procesan es, por tanto, un objetivo de primer nivel para la organización. Para la adecuada gestión de la seguridad de la información, es necesario implantar un sistema que aborde esta tarea de una forma metódica, documentada y basada en unos objetivos claros de seguridad y una evaluación de los riesgos a los que está sometida la información de la organización. Para fines de orden mostramos los Organismos de Normalización de auditoria de sistemas de información: Internacionales: ISO/IEC/UIT-T Europeos: CEN/CENELEC/ETSI Americano: COPANT Español: AENOR www.ticalcanze.tk Página 1
  • 3. www.ticalcanze.tk ESTANDARES APLICABLES A LA AUDITORIA DE SISTEMAS DE INFORMACION A continuación una serie de estándares generales que guían el desarrollo de proyectos de SI: A. Directrices Gerenciales de COBIT, desarrollado por la Information Systems Audit and Control Association (ISACA):  Las Directrices Gerenciales son un marco internacional de referencias que abordan las mejores prácticas de auditoría y control de sistemas de información. Permiten que la gerencia incluya, comprenda y administre los riesgos relacionados con la tecnología de información y establezca el enlace entre los procesos de administración, aspectos técnicos, la necesidad de controles y los riesgos asociados. B. The Management of the Control of data Information Technology, desarrollado por el Instituto Canadiense de Contadores Certificados (CICA):  Este modelo está basado en el concepto de roles y establece responsabilidades relacionadas con seguridad y los controles correspondientes. Dichos roles están clasificados con base en siete grupos: administración general, gerentes de sistemas, dueños, agentes, usuarios de sistemas de información, así como proveedores de servicios, desarrollo y operaciones de servicios y soporte de sistemas. Además, hace distinción entre los conceptos de autoridad, responsabilidad y responsabilidad respecto a control y riesgo previo al establecimiento del control, en términos de objetivos, estándares y técnicas mínimas a considerar. C. Estándares de administración de calidad y aseguramiento de calidad ISO 9000, desarrollados por la Organización Internacional de Estándares (ISO):  La colección ISO 9000 es un conjunto de estándares y directrices que apoyan a las organizaciones a implementar sistemas de calidad efectivos, para el tipo de trabajo que ellos realizan. D. SysTrust – Principios y criterios de confiabilidad de Sistemas, desarrollados por la Asociación de Contadores Públicos (AICPA) y el CICA:  Este servicio pretende incrementar la confianza de la alta gerencia, clientes y socios, con respecto a la confiabilidad en los sistemas por una empresa o actividad en particular. Este modelo incluye elementos como: infraestructura, software de cualquier naturaleza, personal especializado y usuarios, procesos manuales y automatizados, y datos. El modelo persigue determinar si un sistema de www.ticalcanze.tk Página 2
  • 4. www.ticalcanze.tk información es confiable, (i.e. si un sistema funciona sin errores significativos, o fallas durante un periodo de tiempo determinado bajo un ambiente dado). E. Modelo de Evolución de Capacidades de software (CMM), desarrollado por el Instituto de Ingeniería de Software (SEI):  Este modelo hace posible evaluar las capacidades o habilidades para ejecutar, de una organización, con respecto al desarrollo y mantenimiento de sistemas de información. Consiste en 18 sectores clave, agrupados alrededor de cinco niveles de madurez. Se puede considerar que CMM es la base de los principios de evaluación recomendados por COBIT, así como para algunos de los procesos de administración de COBIT. F. Administración de sistemas de información: Una herramienta de evaluación práctica, desarrollado por la Directiva de Recursos de Tecnología de Información (ITRB):  Este es una herramienta de evaluación que permite a entidades gubernamentales, comprender la implementación estratégica de tecnología de información y comunicación electrónica que puede apoyar su misión e incrementar sus productos y servicios. G. Ingeniería de seguridad de sistemas – Modelo de madurez de capacidades (SSE – CMM), desarrollado por la agencia de seguridad nacional (NSA) con el apoyo de la Universidad de Carnegie Mellon:  Este modelo describe las características esenciales de una arquitectura de seguridad organizacional para tecnología de información y comunicación electrónica, de acuerdo con las prácticas generalmente aceptadas observadas en las organizaciones. www.ticalcanze.tk Página 3
  • 5. www.ticalcanze.tk ESTÁNDARES ESPECIFICOS 1. ISO 27001: Esta norma contiene los requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se certifican por auditores externos los SGSI de las organizaciones. Enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002. Esta norma internacional (27001) especifica los requisitos para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar un SGSI documentado dentro del contexto global de los riesgos de negocio de la organización. Especifica los requisitos para la implantación de los controles de seguridad hechos a medida de las necesidades de organizaciones individuales o partes de las mismas 2. ISO 15504 (Spice): Sistema de calidad de productos software, combina ideas de CMM e ISO 9000. Sus derivados: ISO 15504-2, modelo de madurez ISO 15504-3, requisitos para evaluación de procesos ISO 15504-6, competencia, formación, etc.  Propósito Evaluación del proceso de Ingeniería Mejora de proceso de ingeniería Determinación de capacidades (madurez)  Dirigida a: Adquiridores Suministradores Evaluadores Permite la evaluación de procesos software en organizaciones que realicen alguna de las actividades del ciclo de vida del software: Adquisición Suministro Desarrollo Operación Mantenimiento Evolución Soporte www.ticalcanze.tk Página 4
  • 6. www.ticalcanze.tk ¿Qué ventajas aporta esta norma a las empresas de desarrollo y mantenimiento software? Pueden contar con una norma ISO, internacional y abierta. Integración más fácil con otras normas ISO del sector TIC, como son: ISO 27000 de seguridad, ISO 20000 de servicios de IT e ISO 9000. Evalúa por niveles de madurez, la evaluación más extendida entre los modelos de mejora. Normalmente, tiene un menor coste de certificación que otros modelos similares. Existen certificaciones de prestigio, como por ejemplo la otorgada por AENOR. Facilita auto evaluación. Toma en cuenta el contexto del proceso que se evalúa. Entregar una nota del perfil del proceso Se ocupa de qué tan adecuadas son las prácticas, en relación al propósito del proceso. Es aplicable para todos los dominios y tamaños de organizaciones. 3. ISO 12207: Este estándar "establece un marco de referencia común para los procesos del ciclo de vida software, con una terminología bien definida, que puede ser referenciada por la industria del software” Tiene como objetivo principal proporcionar una estructura común para que compradores, proveedores, desarrolladores, personal de mantenimiento, operadores, gestores y técnicos involucrados en el desarrollo de software usen un lenguaje común. Contiene procesos, actividades y tareas para aplicar durante la adquisición de un sistema que contiene software, un producto software puro o un servicio software, y durante el suministro, desarrollo, operación y mantenimiento de productos software. 4. ISO/IEC 17799 (denominada también como ISO 27002) es un estándar para la seguridad de la información. Este estándar internacional de alto nivel para la administración de la seguridad de la información, fue publicado por la ISO en diciembre de 2000 con el objeto de desarrollar un marco de seguridad sobre el cual trabajen las organizaciones. Se define como una guía en la implementación del sistema de administración de la seguridad de la información, se orienta a preservar los siguientes principios de la seguridad informática: Confidencialidad. Asegurar que únicamente personal autorizado tenga acceso a la información. Integridad. Garantizar que la información no será alterada, eliminada o destruida por entidades no autorizadas. www.ticalcanze.tk Página 5
  • 7. www.ticalcanze.tk Disponibilidad. Asegurar que los usuarios autorizados tendrán acceso a la información cuando la requieran. TENDENCIAS DE LOS ESTÁNDARES Y DE LAS MEJORES PRÁCTICAS. Es importante considerar la forma en que los estándares y las mejores prácticas van evolucionando, además de conocer qué tanto ha cambiado su uso por parte de las organizaciones. Se ha visto que existen procesos de evolución como a continuación se menciona: Evolución en los estándares y marcos referenciales de la madurez de procesos. Evolución de estándares de administración de proyectos y de desarrollo de software comercial. Evolución de estándares de software militar. CONCLUSIÓN Las tendencias de estándares que van surgiendo, van paralelas con lo que ha sucedido aceleradamente en el sector privado, esto es, dado que se han gestado numerosos proyectos de sistemas de información que han fracasado, y la dura realidad del incumplimiento de los mismos con las necesidades propias de los clientes y del negocio en sí, ha habido un incremento dramático en el número de organizaciones en el sector privado que están persiguiendo agresivamente el uso de estándares y mejores prácticas, como su estrategia primordial de supervivencia en el mercado. www.ticalcanze.tk Página 6