La Seguridad Informática de las aplicaciones y el Control Interno.

Tamaño: px
Comenzar la demostración a partir de la página:

Download "La Seguridad Informática de las aplicaciones y el Control Interno."

Transcripción

1 La Seguridad Informática de las aplicaciones y el Control Interno. AUTORA: MSc. Concepción Casal González Especialista en Ciencias Computacionales Gerencia de Auditoria. Dirección de Control Corporativo. ETECSA

2 TITULO: La Seguridad Informática de las aplicaciones y el Control Interno. AUTORA: MSc. Concepción Casal González. CARGO: Especialista en Ciencias Computacionales. UNIDAD ORGANIZATIVA: Gerencia de Auditoría. Dirección de Control Corporativo. ETECSA DIRECCION: Águila No. 565 Esq. Dragones 3er. Piso Centro Habana. TELEFONOS y CORREO: , TEMA: Seguridad de las aplicaciones y control interno. RESUMEN El entorno operacional de las modernas operadoras de telecomunicaciones se caracteriza por un alto porciento de informatización de sus procesos, lo cual a primera vista agrega ventajas significativas sin embargo, trae aparejados los llamados riesgos de la automatización, los cuales al no ser identificados y tratados adecuadamente, han ocasionado fuga de ingresos en muchos componentes del ciclo de ingresos y la aparición de diversas modalidades de fraudes y delitos informáticos. ETECSA, operadora de telecomunicaciones de Cuba, no está excepta de los riesgos enunciados, por lo que en el presente trabajo se parte de la hipótesis de tratar la seguridad de las aplicaciones como importante aspecto de control interno a considerar por las entidades con alto porciento de automatización de sus operaciones. Su basamento metodológico y legal parte del empleo e instrumentación principalmente de la Resolución 297/03 del Ministerio de Finanzas y Precios y la Norma ISO/IEC Seguridad Informática en todas las etapas del ciclo de vida de un software. CONCLUSIONES La seguridad de las aplicaciones debe ser considerado un importante aspecto de control interno en las entidades con alto porciento de automatización de sus operaciones ya que se corresponden totalmente los objetivos enunciados en la normativa de control interno vigente (Resolución 297/03 del Ministerio de Finanzas y Precios) y la norma de seguridad informática internacionalmente reconocida (Norma ISO/IEC 17799). En tal sentido, es un proceso integrado no solo inherente a las unidades organizativas que tienen como función explicita la seguridad informática y el control en una organización, sino que involucra desde la alta dirección hasta todo el personal que proyecta, diseña, administra y gestiona los aplicativos. Considerando lo anteriormente expuesto para el logro de una seguridad razonable en un ambiente automatizado es menester hacer cumplir los componentes de control interno y al menos, los criterios de información confidencialidad, integridad y disponibilidad, en todas las etapas del ciclo de vida de un aplicativo. 2

3 Indice RESUMEN...2 INTRODUCCION...4 DESARROLLO...6 CONCLUSIONES...12 DATOS PERSONALES

4 INTRODUCCION El logro de la eficiencia económica, mediante procesos de mejoras continuas, el enfoque integral para la administración de riesgos y el trato focalizado al cliente constituyen los principales retos para la moderna empresa de telecomunicaciones. Como consecuencia, el entorno informático de la mayoría de esta compañías está caracterizado por la existencia de múltiples aplicaciones de múltiples proveedores, donde los sistemas legacy o periféricos coexisten con las nuevas aplicaciones integradas ERP, interconectados por una compleja red de interfases. Esta situación que a primera vista agrega ventajas significativas en la operaciones trae aparejados los llamados riesgos de la automatización, los cuales al no ser identificados y tratados adecuadamente, han ocasionado fuga de ingresos en muchos componentes del ciclo de ingresos y la aparición de diversas modalidades de fraudes y delitos informáticos. Estudios de firmas consultoras internacionales han determinado entre las causas fundamentales de las pérdidas, la falta de seguridad de la información y unido a esto la falta de consistencia en la información almacenada en las bases de datos, así como la no efectividad de los Sistemas de Gestión de Clientes y Provisión del Servicio. ETECSA, operadora de telecomunicaciones de Cuba, no está exenta de los riesgos enunciados. En cuanto a pérdidas de ingresos, en los resultados de un estudio realizado por el grupo de Integridad de la Facturación se observaron problemas de confiabilidad en la información contenida en las bases de datos, así como incorrecta configuración de servicios, entre otras causas. Por otra parte las investigaciones realizadas en auditorias internas y externas a los aplicativos que automatizan los procesos objetos de control, han encontrado vulnerabilidades que comprometen la confidencialidad, disponibilidad e integridad de la información contentiva en los mismos que incluso propician la ocurrencia de hechos presumiblemente delictivos. Nuestro trabajo de investigación pretende dar respuesta al planteamiento siguiente: 1. Cómo establecer adecuados mecanismos de control interno que garanticen seguridad razonable de las aplicaciones informáticas? Se parte de la hipótesis de que se logrará seguridad razonable de las aplicaciones si estas son tratadas como importante mecanismo de control interno a considerar por las entidades con alto porciento de automatización de sus operaciones. 4

5 En tal sentido, este trabajo tiene como objetivos: Demostrar que para el logro de una seguridad razonable en un ambiente automatizado es menester hacer cumplir los componentes de control interno, y al menos los criterios de información, confidencialidad, disponibilidad e integridad, en todas las etapas del ciclo de vida de un aplicativo. Aportar los aspectos fundamentales a considerar. Su basamento metodológico y legal parte del empleo e instrumentación principalmente de la Resolución 297/03 del Ministerio de Finanzas y Precios y la Norma ISO/IEC Seguridad Informática en todas las etapas del ciclo de vida de un software. Para el desarrollo del mismo se emplearon técnicas de investigación tales como búsqueda bibliográfica, análisis y síntesis. 5

6 DESARROLLO. En la Resolución 297/03 del Ministerio de Finanzas y Precios se define como control interno:.proceso integrado a las operaciones efectuado por la dirección y el resto del personal de una entidad para proporcionar una seguridad razonable al logro de los objetivos siguientes: Confiabilidad de la información. Eficiencia y eficacia de las operaciones. Cumplimiento de las leyes, reglamentos y políticas, establecidas Control de los recursos de todo tipo, a disposición de la entidad. Por su parte la norma ISO/IEC enuncia que La información es un activo que, como otros importantes activos de negocios, tiene valor para una organización y en consecuencia necesita ser debidamente protegido. La seguridad informática protege la información de un amplio rango de amenazas con el objetivo de asegurar la continuidad de negocios, minimizar el daño comercial y maximizar el reembolso de las inversiones y oportunidades comerciales. La información y los procesos, sistemas y redes de apoyo son importantes activos de negocios. La confidencialidad, integridad y disponibilidad de la información puede ser esencial para mantener la competitividad, el flujo de efectivo, la ganancia, la conformidad legal y la imagen comercial. Realizando una breve comparación de los objetivos expuestos en cada normativa, resulta evidente que la seguridad informática de los sistemas, en los cuales las aplicaciones juegan un papel primordial, se corresponde totalmente con el control interno. En tal sentido, es un proceso integrado no solo inherente a las unidades organizativas que tienen como función explicita la seguridad informática y el control en una organización, sino que involucra desde la alta dirección hasta todo el personal que proyecta, diseña, administra y gestiona los aplicativos. Considerando lo anteriormente expuesto para el logro de una seguridad razonable en un ambiente automatizado es menester hacer cumplir los componentes de control interno y al menos, los criterios de información confidencialidad, integridad y disponibilidad, en todas las etapas del ciclo de vida de un aplicativo. A continuación se expone un análisis un poco mas detallado que puede ser tomado como referencia o línea general, ya que cada automatización tiene en si sus propias características y por lo tanto es imprescindible su adecuación. 6

7 Ambiente de Control Seguridad Informática Aspectos fundamentales a considerar El ambiente o entorno de control constituye el andamiaje para el desarrollo de las acciones y refleja Política de seguridad, objetivos y actividades que reflejen los objetivos comerciales. Establecimiento del Plan Estratégico de TI, acoplado a los lineamientos estratégicos de la Entidad. la actitud asumida por lo alta Enfoque hacia la implementación de Organización y estructura para el dirección en relación con la la seguridad que sea consistente gobierno de las TI de acuerdo a importancia del control interno y su con la cultura organizacional. procesos, donde se definan incidencia sobre las actividades de Apoyo visible y compromiso de la adecuadamente autoridades y la entidad y resultados, por lo que administración. responsabilidades. debe tener presente todas las Adecuado entendimiento de los Establecimiento y cumplimiento de las disposiciones, políticas y requerimientos de seguridad, el políticas de seguridad informática de regulaciones que se consideren análisis de riesgos y la gestión de las aplicaciones. necesarias para su implantación y riesgos. Adecuado conocimiento y conciencia desarrollo exitoso Efectiva divulgación de seguridad del tema desde la alta dirección de la entre directivos y empleados. entidad. Distribución de guías de información sobre la política y las normas de seguridad informática a todos los empleados y contratantes. Entrenamiento y educación adecuadas. Sistema de medidas abarcador y balanceado que se use para evaluar el comportamiento de la gestión de seguridad de la información y sugerencias de retroalimentación para el perfeccionamiento. 7

8 Evaluación de Riesgos Seguridad Informática Aspectos fundamentales a considerar El control interno ha sido pensado Los requerimientos de seguridad se identifican Levantamiento de riesgos asociados esencialmente para limitar los riesgos mediante un análisis metódico de los riesgos fundamentalmente a: que afectan las actividades de las de seguridad. El gasto en controles necesita ser balanceado contra el daño comercial entidades. A través de a investigación Riesgo de que personal no autorizado potencial derivado de fallas de seguridad. Las y análisis de los riesgos relevantes y el técnicas de análisis de riesgo pueden ser conozca y/o modifique información punto hasta el cual el control vigente aplicadas a toda la organización o solo a sensible. (CONFIDENCIALIDAD) los neutraliza, se evalúa la partes de esta, además de a sistemas Riesgo de no disponer de la vulnerabilidad del sistema. informáticos individuales, componentes o información cuando ésta es requerida Una vez identificados los riesgos, su servicios específicos donde esto sea por el proceso de negocio y no análisis incluirá: realizable, realista y útil. salvaguardar adecuadamente los Una estimación de su recursos y capacidades asociadas. importancia y trascendencia La evaluación de riesgos es la consideración Una evaluación de la sistemática de: (DISPONIBILIDAD) Riesgo de no garantizar precisión, probabilidad y frecuencia. Una definición del modo en que a) el daño comercial potencial derivado de suficiencia y validez de la información, habrán de manejarse. una falla de seguridad, tomando en de acuerdo con los valores y Cambios en el entorno cuenta las consecuencias potenciales expectativas del negocio Redefinición de la política de una pérdida de confidencialidad, (INTEGRIDAD) institucional integridad y disponibilidad de la Reorganizaciones o información y otros activos. reestructuraciones internas. b) la probabilidad real de que dicha falla Ingreso de empleados nuevos o ocurra a la luz de amenazas y rotación de los existentes. vulnerabilidades existentes y los Nuevos sistemas, procedimientos controles actualmente implementados. y tecnologías. Aceleración del crecimiento. Nuevos productos, actividades o funciones. 8

9 Actividades de Control Seguridad Informática Aspectos fundamentales a considerar Las actividades de control son Deben seleccionarse e implementarse los Confidencialidad procedimientos que ayudan a controles para asegurar que riesgos se - Procedimientos y acuerdos entre áreas asegurarse que las políticas de la reduzcan hasta un nivel aceptable. para alta, baja y modificación de usuarios. dirección se llevan a cabo, y deben Los controles deberán seleccionarse - Implementación de políticas de usuarios estar relacionadas con los riesgos que ha determinado y asume la dirección. basados en el costo de la implementación en relación con los riesgos que se donde se limiten adecuadamente el acceso a funciones y datos. En su sentido general abarcan: reduzcan y las pérdidas potenciales si - Implementación de adecuadas políticas de - Análisis efectuados por la dirección. existiera una brecha en la seguridad. contraseñas. - Seguimiento y revisión por parte de Factores no monetarios como la perdida de los responsables de las diversas reputación también deberán tomarse en Disponibilidad actividades. cuenta. - Procedimientos y acuerdos entre áreas -Comprobación de las transacciones Los controles considerados práctica común para el establecimiento de salvas de la en cuanto a su exactitud, totalidad, más eficaz para la seguridad de la información de acuerdo a las necesidades autorización pertinente: aprobaciones, información incluyen: del negocio. revisiones, cotejos. recálculos, análisis - Procedimientos ante contingencias, que de consistencia, prenumeraciones. a) Documentos sobre las políticas de -Controles físicos patrimoniales: seguridad informática. garanticen una adecuada restauración del arqueos, conciliaciones, recuentos, b) Asignación de responsabilidades. servicio con la pérdida mínima de datos. -Dispositivos de seguridad para c) Educación y entrenamiento. d) Informe de incidentes de seguridad. Integridad restringir el acceso a los activos y e) Gestión de la continuidad de - Establecimiento de controles de integridad registros. -Segregación de funciones. negocios referencial de acuerdo a las necesidades del negocio. -Aplicación de indicadores de - Controles preventivos, detectivos y rendimiento. correctivos que garanticen razonablemente la adquisición, procesamiento y salida de la información. 9

10 Información y comunicación Seguridad Informática Aspectos fundamentales a considerar La Información relevante debe ser Los datos de salida de un sistema de - Identificación e implementación del captada, procesada y trasmitida de aplicaciones deberán validarse para intercambio de información en las relaciones tal modo que llegue a todos los asegurar que el procesamiento de la usuarios-aplicactivos y aplicativosaplicativos. sectores y permita asumir las información almacenada es correcto y se responsabilidades individuales. adecua a las circunstancias. - Controles preventivos, detectivos y Los informes deben transmitirse La validación de los resultados puede correctivos que garanticen razonablemente adecuadamente a través de una incluir: que la salida de la información sea precisa y comunicación eficaz, incluyendo a) chequeos para probar si los datos oportuna, así como asequible a todos los una circulación multidireccional de resultantes son razonables. niveles de la organización requeridos. la información: ascendente, b) conteos de control de reconciliación descendente y transversal. para asegurar el procesamiento de todos los datos. c) brindar información suficiente para un lector o un sistema de procesamiento para determinar la exactitud, totalidad, precisión y clasificación de la información. d) procedimientos para responder a las pruebas de validación de los resultados. e) definir las responsabilidades de todo el personal involucrado en el proceso de obtención de datos. 10

11 Supervisión o Monitoreo Seguridad Informática Aspectos fundamentales a considerar Las actividades de monitoreo permanente incluyen actividades de supervisión realizadas de forma permanente, directamente por las distintas estructuras de dirección. Las evaluaciones separadas son actividades de monitoreo que se realizan en forma no rutinaria. como las auditorias periódicas efectuadas por los auditores internos. La política deberá tener un responsable que se encargará de su mantenimiento y revisión de acuerdo a un proceso de revisión definido. Dicho proceso deberá asegurar que se realicen revisiones en respuesta a cambios que afecten las bases del análisis de riesgos original, como por ejemplo: incidentes de seguridad significativos, nuevas vulnerabilidades o cambios a la infraestructura organizacional o técnica. Se deberán programar además revisiones periódicas de lo siguiente: a) la efectividad de la política, demostrada por la naturaleza, número y daño de incidentes de seguridad registrados. b) costo e impacto de los controles en la eficiencia de la empresa. c) efectos de cambios a la tecnología. Se deberán monitorear los sistemas para detectar la desviación de la política de control de acceso y registrar los hechos que se pueda para brindar evidencia en caso de incidentes de seguridad. El monitoreo del sistema permite que se verifiquen la efectividad de los controles adoptados y la conformidad a un modelo de política de acceso. -Establecimiento de indicadores de desempeño que permitan medir la eficacia y calidad de las operaciones. -Establecimiento de conciliaciones entre actividades que permitan la detección y corrección oportuna de anomalías en las transacciones. - Implementación de trazas de operación que permitan la investigación de las actividades de mayor impacto en un periodo determinado. - Existencia de personal encargado de la supervisión y monitoreo operativo y sistemático. 11

12 CONCLUSIONES. La seguridad de las aplicaciones debe ser considerado un importante aspecto de control interno en las entidades con alto porciento de automatización de sus operaciones ya que se corresponden totalmente los objetivos enunciados en la normativa de control interno vigente (Resolución 297/03 del Ministerio de Finanzas y Precios) y la norma de seguridad informática internacionalmente reconocida (Norma ISO/IEC 17799). En tal sentido, es un proceso integrado no solo inherente a las unidades organizativas que tienen como función explicita la seguridad informática y el control en una organización, sino que involucra desde la alta dirección hasta todo el personal que proyecta, diseña, administra y gestiona los aplicativos. Considerando lo anteriormente expuesto para el logro de una seguridad razonable en un ambiente automatizado es menester hacer cumplir los componentes de control interno y al menos, los criterios de información confidencialidad, integridad y disponibilidad, en todas las etapas del ciclo de vida de un aplicativo. La literatura estudiada evidencia que el tema abordado es de novedad internacional, pero principalmente manejado por entidades consultoras y auditoras las cuales lo consideran know how. Por otra parte y considerando el estado actual de las normativas nacionales sobre el tema, constituye un aporte al logro de la implementación real del tratamiento de los riesgos de automatización en la entidad, lo cual le aporta valor técnico y contribuye a minimizar las vulnerabilidades y sus consecuencias. Los aspectos tratados, así como los resultados obtenidos son aplicables principalmente a entidades con alto porciento de automatización de sus operaciones. Es menester señalar que los aspectos fundamentales propuestos a implementar para cada componente de control han sido puestos en práctica en un porciento considerable en ETECSA, al ser recomendados en las auditorias internas realizadas. En el orden empresarial fueron objeto de aceptación para su análisis e implementación a partir de su presentación en el Primer Simposio de Seguridad Informática celebrado en ETECSA, donde fue propuesto por el Comité Organizador para participar en el Evento Nacional de Seguridad Informática convocado por Segurmática, previo al VIII SEMINARIO IBEROAMERICANO DE SEGURIDAD EN TECNOLOGIAS DE INFORMACION Y COMUNICACIONES. 12

13 DATOS PERSONALES. AUTORA: MSc. Concepción Casal González. CARGO: Especialista en Ciencias Computacionales. UNIDAD ORGANIZATIVA: Gerencia de Auditoría. Dirección de Control Corporativo. DIRECCION: Águila No. 565 Esq. Dragones 3er. Piso Centro Habana. TELEFONOS: : , CORREO: FAX: CI:

ESCUELA POLITECNICA NACIONAL

ESCUELA POLITECNICA NACIONAL 1 de 19 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC 27001 para

Más detalles

POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST

POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST VERSIÓN: 01 1. Presentación y Contexto El riesgo es una condición inherente en las organizaciones. Es por eso que, La Junta Directiva y el Comité

Más detalles

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

POLÍTICA DE CONTINUIDAD DE NEGOCIO Y POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE CONTINUIDAD DE NEGOCIO Y POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Gerencia General POLÍTICA DE CONTINUIDAD DE NEGOCIO Y POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Aprobadas por la Junta Directiva de RECOPE, en el Artículo #4, de la Sesión Ordinaria #4868-74, celebrada el

Más detalles

Nomenclador de cargos

Nomenclador de cargos Nomenclador de cargos ROLES Áreas de I T Definición de módulos y roles Versión: 1.0 Pagina 1 Módulos interactuantes en un área de IT 1. Infraestructura Tecnológica 2. Producción de Software 3. Asistencia

Más detalles

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

MANUAL DE SEGURIDAD DE LA INFORMACIÓN

MANUAL DE SEGURIDAD DE LA INFORMACIÓN MANUAL DE SEGURIDAD DE LA INFORMACIÓN MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE Bogotá D.C. Página 1 de 19 Contenido 1. INTRODUCCIÓN... 4 1. OBJETIVO... 4 2. ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD

Más detalles

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC

Más detalles

Gestión de Seguridad Informática

Gestión de Seguridad Informática Gestión de Seguridad Informática La información es un activo que es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. La información puede estar impresa o escrita

Más detalles

UNIVERSIDAD RAFAEL BELLOSO CHACIN MAESTRIA EN TELEMATICA

UNIVERSIDAD RAFAEL BELLOSO CHACIN MAESTRIA EN TELEMATICA 2009 UNIVERSIDAD RAFAEL BELLOSO CHACIN MAESTRIA EN TELEMATICA ESTANADRES COBIT, ITIL, ISO 27001 En este documento encontrar un artículo sobre los tres estándares mencionados. El cual contienen resumen,

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Necesidad del Uso de Estándares IIMV Quito, Ecuador Agenda Introducción. Obstáculos para implementar Seguridad Informática Administración de la Seguridad Informática Ciclo de vida

Más detalles

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica

Más detalles

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2 Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...

Más detalles

RESUMEN DE COBIT 4.1. Los recursos de TI identificados en COBIT se pueden definir como sigue [2]:

RESUMEN DE COBIT 4.1. Los recursos de TI identificados en COBIT se pueden definir como sigue [2]: RESUMEN DE COBIT 4.1 COBIT es un marco de trabajo y un conjunto de herramientas de Gobierno de Tecnología de Información (TI) que permite a la Gerencia cerrar la brecha entre los requerimientos de control,

Más detalles

RIESGO OPERACIONAL. LA VISION DE LA GERENCIA CON APOYO DEL COMITÉ DE AUDITORíA. José Manuel Taveras Lay Contralor BANCO CENTRAL DE LA REP. DOM.

RIESGO OPERACIONAL. LA VISION DE LA GERENCIA CON APOYO DEL COMITÉ DE AUDITORíA. José Manuel Taveras Lay Contralor BANCO CENTRAL DE LA REP. DOM. RIESGO OPERACIONAL. LA VISION DE LA GERENCIA CON APOYO DEL COMITÉ DE AUDITORíA José Manuel Taveras Lay Contralor BANCO CENTRAL DE LA REP. DOM. Introducción Antecedentes CONTENIDO Evolución de la Gestión

Más detalles

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A.

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A. CORPORACIÓN PERUANA DE AEROPUERTOS Y AVIACIÓN COMERCIAL SA POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN Elaborado y Visado Comité de Gestión de Seguridad de la Información Revisado Gerencia de Tecnología

Más detalles

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA TRABAJO PRÁCTICO DE AUDITORIA INFORMATICA Profesor: Lic. Marco Antonio Leiva Fernández 5to

Más detalles

Sistema de Control Interno

Sistema de Control Interno Empresas Inarco Sistema de Control Interno Auditoría Interna 2014 Objetivo del Sistema El siguiente sistema tiene como propósito establecer la metodología de trabajo a seguir en cada proceso de revisión

Más detalles

INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO

INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO TEXTO DEL INFORME QUE LA PRESIDENCIA DE DECEVAL PONE A CONSIDERACIÓN DE LA JUNTA DIRECTIVA Y QUE DEBE INCLUIRSE EN EL INFORME ANUAL DE GESTIÓN El

Más detalles

Auditoría de Seguridad de Organizaciones, fortalezas y debilidades de la Norma ISO 17799

Auditoría de Seguridad de Organizaciones, fortalezas y debilidades de la Norma ISO 17799 Auditoría de Seguridad de Organizaciones, fortalezas y debilidades de la Norma ISO 17799 Lic. Javier F. Diaz [jdiaz@info.unlp.edu.ar] CC. Viviana Harari [vharari@info.unlp.edu.ar] Lic. Paula Venosa [pvenosa@info.unlp.edu.ar]

Más detalles

POLITICA DE SISTEMA DE CONTROL INTERNO

POLITICA DE SISTEMA DE CONTROL INTERNO POLITICA DE SISTEMA DE CONTROL INTERNO POLITICA DE SISTEMA DE CONTROL INTERNO Introducción y Objetivos El sistema de control interno de SURA Asset Management busca proveer seguridad razonable en el logro

Más detalles

Norma Técnica Sobre Seguridad y Confidencialidad del Documento Electrónico Decreto Supremo N 83

Norma Técnica Sobre Seguridad y Confidencialidad del Documento Electrónico Decreto Supremo N 83 Norma Técnica Sobre Seguridad y Confidencialidad del Documento Electrónico Decreto Supremo N 83 1 Ámbito de Aplicación El Decreto Supremo N 83 establece las características mínimas obligatorias de seguridad

Más detalles

ACUERDO DE SERVICIO. Sistemas-Gestión de los Servicios Informáticos

ACUERDO DE SERVICIO. Sistemas-Gestión de los Servicios Informáticos Páginas 1 de 7 1. OBJETIVO Brindar el marco normativo que fije las condiciones en que deben prestarse los Servicios de Tecnologías de Información a los procesos de la organización, estableciendo criterios

Más detalles

IMPLEMENTACIÓN DE LOS SISTEMAS DE CONTROL INTERNO EN LA ADMINISTRACIÓN PÚBLICA MUNICIPAL

IMPLEMENTACIÓN DE LOS SISTEMAS DE CONTROL INTERNO EN LA ADMINISTRACIÓN PÚBLICA MUNICIPAL IMPLEMENTACIÓN DE LOS SISTEMAS DE CONTROL INTERNO EN LA ADMINISTRACIÓN PÚBLICA MUNICIPAL EXPOSITOR: C.P. JOSÉ LUIS MUNGUÍA HERNÁNDEZ MUNGUÍA RAMÍREZ Y ASOCIADOS, S. C. mura_sc@prodigy.net.mx teléfonos:

Más detalles

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA AUTORIDAD DE SUPERVIÓN DEL STEMA FINANCIERO DIRECCION DE SUPERVION DE VALORES CUESTIONARIO ÁREA TECLÓGICA ENTIDAD: 1. La entidad cuenta con un Plan Estratégico de Tecnologías de la Información (TI)? 2.

Más detalles

Política para la Gestión Integral de Riesgos

Política para la Gestión Integral de Riesgos Política para la Gestión Integral de Riesgos MOTIVACIÓN Como empresa responsable, ISAGEN incorpora en su gestión las prácticas que permitan asegurar su sostenibilidad, preservando los recursos empresariales

Más detalles

INDICE Gestión Integral de Riesgos Gobierno Corporativo Estructura para la Gestión Integral de Riesgos 4.1 Comité de Riesgos

INDICE Gestión Integral de Riesgos Gobierno Corporativo Estructura para la Gestión Integral de Riesgos 4.1 Comité de Riesgos INFORME GESTION INTEGRAL DE RIESGOS 2014 1 INDICE 1. Gestión Integral de Riesgos... 3 2. Gobierno Corporativo... 4 3. Estructura para la Gestión Integral de Riesgos... 4 4.1 Comité de Riesgos... 4 4.2

Más detalles

Políticas de Seguridad de la información

Políticas de Seguridad de la información 2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.

Más detalles

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1

Más detalles

MANUAL DE POLITICAS DE RIESGO ESTRATEGICO

MANUAL DE POLITICAS DE RIESGO ESTRATEGICO MANUAL DE POLITICAS DE RIESGO ESTRATEGICO REGISTRO DE CAMBIOS Y REVISIONES Fecha Descripción del cambio o revisión Versión Responsable 26.05.2014 Manual de Políticas de Riesgo Estratégico 1.0 Carlos Zapata

Más detalles

Auditoría de procesos con alto grado de automatización*

Auditoría de procesos con alto grado de automatización* Auditoría de procesos con alto grado de automatización* *connectedthinking PwC Agenda Ambiente tecnológico Mapeo de procesos Identificación de riesgos Identificación de controles Pruebas de controles Ambiente

Más detalles

ESTÁNDAR ISO/IEC INTERNACIONAL 27001

ESTÁNDAR ISO/IEC INTERNACIONAL 27001 ESTÁNDAR ISO/IEC INTERNACIONAL 27001 Primera Edicion 2005-10 - 15 Tecnología de la Información Técnicas de seguridad Sistemas de gestión de seguridad de la información Requerimientos Numero de Referencia

Más detalles

EMPRESAS PÚBLICAS DE MEDELLÍN E.S.P. DIRECCIÓN CONTROL INTERNO PROYECTO NORMALIZACIÓN ACTIVIDAD DE AUDITORÍA INTERNA

EMPRESAS PÚBLICAS DE MEDELLÍN E.S.P. DIRECCIÓN CONTROL INTERNO PROYECTO NORMALIZACIÓN ACTIVIDAD DE AUDITORÍA INTERNA DCI-PN-EA-01 VERSIÓN 02 Página 2 de 12 TABLA DE CONTENIDO 1. INTRODUCCIÓN... 3 2. ROL... 3 3. PROFESIONALIDAD... 3 4. AUTORIDAD... 4 5. ORGANIZACIÓN... 4 6. INDEPENDENCIA Y OBJETIVIDAD... 5 7. ALCANCE...

Más detalles

Sistema de Administración del Riesgos Empresariales

Sistema de Administración del Riesgos Empresariales Sistema de Administración del Riesgos Empresariales Si tomas riesgos podrías fallar. Si no tomas riesgos, seguramente fallarás. El riesgo mayor de todos es no hacer nada Roberto Goizueta CEO Coca-Cola

Más detalles

POLÍTICAS DE CONTROL INTERNO DE LA BOLSA DE VALORES DE COLOMBIA S.A.

POLÍTICAS DE CONTROL INTERNO DE LA BOLSA DE VALORES DE COLOMBIA S.A. POLÍTICAS DE CONTROL INTERNO DE LA BOLSA DE VALORES DE COLOMBIA S.A. 1. ÁMBITO DE APLICACIÓN El presente documento establece los lineamientos generales mínimos que deben observar los administradores y

Más detalles

RELACIÓN ENTRE ADMINISTRACIÓN DE RIESGO Y AUDITORÍA INTERNA

RELACIÓN ENTRE ADMINISTRACIÓN DE RIESGO Y AUDITORÍA INTERNA RELACIÓN ENTRE ADMINISTRACIÓN DE RIESGO Y AUDITORÍA INTERNA José Manuel Taveras Lay Contralor BANCO CENTRAL DE LA REP. DOM. CONTENIDO Introducción Antecedentes Evolución de la Gestión de Riesgo Gestión

Más detalles

Resolución N 00759 del 26 de febrero de 2008

Resolución N 00759 del 26 de febrero de 2008 UNIDAD ADMINISTRATIVA ESPECIAL DE AERONÁUTICA CIVIL MANUAL ESPECÍFICO DE FUNCIONES Y DE COMPETENCIAS LABORALES I. IDENTIFICACIÓN Denominación del empleo Profesional Aeronáutico IV Nivel 33 Grado 29 No.

Más detalles

Sistema de Gestión de la Seguridad de la Información

Sistema de Gestión de la Seguridad de la Información Sistema de Gestión de la Seguridad de la Información 1 Contenidos 1. Qué es un SGSI? 2. Para qué sirve un SGSI? 3. Qué incluye un SGSI? 4. Cómo se implementa un SGSI? 5. Qué tareas tiene la Gerencia en

Más detalles

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A 1 VERSIÓN 01 PREFIN S.A. 11 Mayo 2014 INDICE 1. INTRODUCCION.3 2. OBJETIVOS.3 3. PLANES DE CONTINGENCIA 3 4. SEGURIDAD DE DATOS PLATAFORMA

Más detalles

Información. Ing. Max Lazaro. Electrónico e Informática

Información. Ing. Max Lazaro. Electrónico e Informática Seguridad De la Información Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Nuevos Escenarios: Seguridad de la Información Qué se debe asegurar? La información debe considerarse

Más detalles

Ejemplo Manual de la Calidad

Ejemplo Manual de la Calidad Ejemplo Manual de la Calidad www.casproyectos.com ELABORADO POR: REPRESENTANTE DE LA DIRECCION APROBADO POR: GERENTE GENERAL 1. INTRODUCCIÓN Nuestra organización, nació en el año XXXXXXXXX, dedicada a

Más detalles

POLÍTICAS DE CALIDAD, SEGURIDAD, MEDIO AMBIENTE Y SALUD DE PETROBRAS CHILE

POLÍTICAS DE CALIDAD, SEGURIDAD, MEDIO AMBIENTE Y SALUD DE PETROBRAS CHILE POLÍTICAS DE CALIDAD, SEGURIDAD, MEDIO AMBIENTE Y SALUD DE PETROBRAS CHILE POLÍTICA DE CALIDAD Petrobras Chile asume el compromiso de suministrar productos y servicios de calidad, con un estilo innovador

Más detalles

Manual de la Calidad MC-SGC

Manual de la Calidad MC-SGC MC-SGC Elaborado por: Revisado por: Aprobado por: Nombre Cargo Firma Fecha Encargado Alejandro Jara la 10-12-2008 calidad Claudia Ramírez Mariana Schkolnik Representante de la Dirección Directora 10-12-2008

Más detalles

Normas de Auditoría de Tecnologías de la Información y la Comunicación

Normas de Auditoría de Tecnologías de la Información y la Comunicación Normas de Auditoría de Tecnologías de la Información y la Comunicación Resolución CGE/094/2012 27 de agosto de 2012 NE/CE-017 N O R M A D E C O N T R O L E X T E R N O NORMAS DE AUDITORÍA DE TECNOLOGÍAS

Más detalles

Control Interno CONTROL INTERNO Y SUS SISTEMAS A IMPLEMENTAR EN LAS UNIONES DE CREDITO

Control Interno CONTROL INTERNO Y SUS SISTEMAS A IMPLEMENTAR EN LAS UNIONES DE CREDITO Control Interno CONTROL INTERNO Y SUS SISTEMAS A IMPLEMENTAR EN LAS UNIONES DE CREDITO CONTENIDO 1. ANTECEDENTES E INTRODUCCIÓN 2. OBJETIVOS 3. CARACTERISTICAS 4. ESTRUCTURA 5. ELEMENTOS DEL CONTROL INTERNO

Más detalles

1.8 TECNOLOGÍA DE LA INFORMACIÓN

1.8 TECNOLOGÍA DE LA INFORMACIÓN Objetivo General: 1.8 TECNOLOGÍA DE LA INFORMACIÓN Establecer una infraestructura y plataforma tecnológica y de sistemas de información, y definir las políticas, estrategias y directrices para su implantación

Más detalles

ANALISIS Y RECOMENDACIONES ANTE LA FALLA DEL SERVIDOR PATHFINDER

ANALISIS Y RECOMENDACIONES ANTE LA FALLA DEL SERVIDOR PATHFINDER ANALISIS Y RECOMENDACIONES ANTE LA FALLA DEL SERVIDOR PATHFINDER El GIT de Control Interno en su función de analizar y evaluar, en coordinación con las dependencias de la entidad, los criterios, métodos,

Más detalles

Boletín de Asesoría Gerencial* Desarrollo de un plan de continuidad del Negocio: Aplicando un enfoque rápido, económico y efectivo

Boletín de Asesoría Gerencial* Desarrollo de un plan de continuidad del Negocio: Aplicando un enfoque rápido, económico y efectivo Espiñeira, Sheldon y Asociados No. 9-2008 *connectedthinking Contenido Haga click en los enlaces para navegar a través del documento Haga click en los enlaces para llegar directamente a cada sección 4

Más detalles

MANUAL DE REFERENCIA

MANUAL DE REFERENCIA GOBIERNO DE CHILE MINISTERIO DE HACIENDA Dirección de Presupuestos MANUAL DE REFERENCIA GUÍA PARA IMPLEMENTACIÓN ISO 9001:2000 SISTEMA DE CAPACITACIÓN Versión 05 Diciembre 2008 INDICE Introducción... 3

Más detalles

Una recopilación de Lic. Luis Diego Ceciliano López MBA Contador Público Autorizado lceciliano@cecilianocr.com www.cecilianocr.com

Una recopilación de Lic. Luis Diego Ceciliano López MBA Contador Público Autorizado lceciliano@cecilianocr.com www.cecilianocr.com Una recopilación de Lic. Luis Diego Ceciliano López MBA Contador Público Autorizado lceciliano@cecilianocr.com www.cecilianocr.com Contenido Objetivos de la charla. Motivación de la charla. Repaso a COSO

Más detalles

Norma Técnica Peruana:

Norma Técnica Peruana: Norma Técnica Peruana: NTP ISO/IEC 17799:2004 EDI. TECNOLOGIA DE LA INFORMACIÓN. CODIGO DE BUENAS PRACTICAS PARA LA GESTION DE LA SEGURIDAD DE LA INFORMACION. 1ª EDICIÓN ANTECEDENTES De conformidad con

Más detalles

Política General de Seguridad de la Información

Política General de Seguridad de la Información COMISIÓN NACIONAL DE INVESTIGACIÓN CIENTÍFICA Y TECNOLÓGICA Documento Información del Documento HISTORIA DEL DOCUMENTO Nombre del Documento Preparado por Marcelo Iribarren Carmen Gorroño Elena Hernández

Más detalles

Análisis del Riesgo y el Sistema de Gestión de Seguridad de Información: El Enfoque ISO 27001:2005

Análisis del Riesgo y el Sistema de Gestión de Seguridad de Información: El Enfoque ISO 27001:2005 Librería Interamericana.com S.A.C. Av. La Encalada # 1587, Tienda A-215, C. C. El Polo Santiago de Surco, Lima, Perú Tlf. (511) 250 0773 Fax (511) 436 6144 www.libreriainteramericana.com Análisis del Riesgo

Más detalles

COBIT - Control Objectives for Information and related Technology (Objetivos de Control para la Información y la Tecnología relacionada) Mayo de 2012

COBIT - Control Objectives for Information and related Technology (Objetivos de Control para la Información y la Tecnología relacionada) Mayo de 2012 - Control Objectives for Information and related Technology (Objetivos de Control para la Información y la Tecnología relacionada) Mayo de 2012 Antecedentes Ante la necesidad de crear y fortalecer el ambiente

Más detalles

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2 Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799 Antonio Villalón Huerta Grupo S2 Contenidos Introducción. Problemática de seguridad. Qué es ISO 17799? Historia Estructura de la norma. Dominios

Más detalles

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP 1. Introducción La información puede adoptar o estar representada en diversas formas: impresa o escrita (papeles de trabajo,

Más detalles

Introducción. Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los Procesos

Introducción. Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los Procesos CobiT 75.46 Administración i ió y Control de Proyectos II Abril de 2008 Agenda Presentación Introducción Pi Principios ii dl del Modelo dl Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los

Más detalles

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO POLITICA NÚM. TIG-003 FECHA DE EFECTIVIDAD: 15 de diciembre de 2004 FECHA DE REVISIÓN: 12 de septiembre de 2007 TEMA: SEGURIDAD

Más detalles

Para los efectos de esta normativa se deberán considerar las siguientes definiciones:

Para los efectos de esta normativa se deberán considerar las siguientes definiciones: RECOPILACION ACTUALIZADA DE NORMAS Capítulo 20-7 Documento para Comentarios CAPÍTULO 20-7 PROCESAMIENTO EXTERNO DE ACTIVIDADES I. ÁMBITO DE APLICACIÓN El presente Capítulo trata de las contrataciones de

Más detalles

REGLAMENTO SOBRE SEGURIDAD INFORMATICA

REGLAMENTO SOBRE SEGURIDAD INFORMATICA REGLAMENTO SOBRE SEGURIDAD INFORMATICA TITULO I OBJETIVOS Y ALCANCE ARTICULO 1: El presente Reglamento tiene por objeto establecer los principios, criterios y requerimientos de Seguridad Informática que

Más detalles

NORMA ISO 9001:2008 Sistemas de Gestión de la Calidad - ÍNDICE. 1 Objeto y campo de aplicación 3 1.1 Generalidades 3 1.2 Aplicación.

NORMA ISO 9001:2008 Sistemas de Gestión de la Calidad - ÍNDICE. 1 Objeto y campo de aplicación 3 1.1 Generalidades 3 1.2 Aplicación. TEMA ÍNDICE PÁGINA 1 Objeto y campo de aplicación 3 1.1 Generalidades 3 1.2 Aplicación. 3 2 Referencias normativas. 3 3 Términos y definiciones.. 3 4 Sistema de gestión de la calidad. 4 4.1 Requisitos

Más detalles

PERFILES OCUPACIONALES

PERFILES OCUPACIONALES PERFILES OCUPACIONALES A continuación se presenta la relación de los diferentes cargos que un ingeniero de sistemas de la Universidad de Lima puede desempeñar durante su vida profesional. También se presentan

Más detalles

INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO

INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO TEXTO DEL INFORME QUE LA PRESIDENCIA DE DECEVAL PONE A CONSIDERACIÓN DE LA JUNTA DIRECTIVA Y QUE DEBE INCLUIRSE EN EL INFORME ANUAL DE GESTIÓN El

Más detalles

Principio Básico de Seguros IAIS No. 10 Control Interno. Experiencia Peruana. Superintendencia de Banca, Seguros y AFP Abril 2010.

Principio Básico de Seguros IAIS No. 10 Control Interno. Experiencia Peruana. Superintendencia de Banca, Seguros y AFP Abril 2010. Principio Básico de Seguros IAIS No. 10 Control Interno Experiencia Peruana Tomás Wong-Kit Superintendencia de Banca, Seguros y AFP Abril 2010 Contenido Definición de PBS IAIS No. 10 Objetivos exposición

Más detalles

Auditoría y Seguridad Informática

Auditoría y Seguridad Informática Auditoría y Seguridad Informática 1 Indice Control interno y auditoría informáticos: campos análogos Sistema de control interno informático Implantación de un sistema de controles internos informáticos

Más detalles

AGENDA 1. ANTECEDENTES 2. INTRODUCCIÓN A LOS CONTROLES DE APLICACIÓN 3. OBJETIVOS DE CONTROL DE APLICACIÓN IDENTIFICADOS EN COBIT

AGENDA 1. ANTECEDENTES 2. INTRODUCCIÓN A LOS CONTROLES DE APLICACIÓN 3. OBJETIVOS DE CONTROL DE APLICACIÓN IDENTIFICADOS EN COBIT EDMUNDO TREVIÑO GELOVER CGEIT, CISM, CISA AGENDA 1. ANTECEDENTES 2. INTRODUCCIÓN A LOS CONTROLES DE APLICACIÓN 3. OBJETIVOS DE CONTROL DE APLICACIÓN IDENTIFICADOS EN COBIT 4. TIPOS DE CONTROLES DE APLICACIÓN

Más detalles

TITULO. Gobernabilidad de TI & Seguridad de la Información

TITULO. Gobernabilidad de TI & Seguridad de la Información TITULO Temas Gobernabilidad de TI & Seguridad de la Información Guillermo Angarita Morris CISA, CISSP La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI Objetivo Identificar

Más detalles

POLÍTICA DE TECNOLOGÍA DE INFORMACIÓN

POLÍTICA DE TECNOLOGÍA DE INFORMACIÓN TABLA DE CONTENIDO 1. OBJETIVO... 1 2. ALCANCE... 1 3. CONTENIDO DE LA POLÍTICA... 1 3.1 Premisas generales para el cumplimiento de la política... 2 3.2 Contenido de la política... 3 3.2.1 Responsabilidades

Más detalles

Implantación de Sistemas

Implantación de Sistemas Implantación de Sistemas Maria Ines Parnisari 17 de Diciembre de 2014 Índice Parte 1: Implantación... 2 Factores clave para una implantación exitosa... 2 Etapas de un proyecto de Sistemas... 2 Fases de

Más detalles

V.4 SUBDIRECCIÓN DE TECNOLOGÍAS DE INFORMACIÓN

V.4 SUBDIRECCIÓN DE TECNOLOGÍAS DE INFORMACIÓN V.4 SUBDIRECCIÓN DE TECNOLOGÍAS DE INFORMACIÓN Página 1 de 19 Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC CONTENIDO Número Tema Página Hoja de aprobación 3 Organigrama de la 4 133000 5 133100 Gerencia

Más detalles

MANUAL DE REFERENCIA

MANUAL DE REFERENCIA GOBIERNO DE CHILE MINISTERIO DE HACIENDA Dirección de Presupuestos MANUAL DE REFERENCIA GUÍA PARA IMPLEMENTACIÓN ISO 9001:2000 SISTEMA DE AUDITORÍA INTERNA Versión 05 Diciembre 2008 INDICE Introducción...

Más detalles

Su aliado Estratégico. José E. Quintero Forero CISM, CRISC

Su aliado Estratégico. José E. Quintero Forero CISM, CRISC Su aliado Estratégico José E. Quintero Forero CISM, CRISC Abril 27 de 2011 Entorno de Negocios. Gobierno de Seguridad de la Información. Seguridad de la Información. Gestión de Riesgos. Portafolio de Servicios

Más detalles

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES Página 1 de 11 I. IDENTIFICACIÓN DENOMINACIÓN DEL CARGO: PROGRAMADOR DE COMPUTADOR SIGLA:PC CLASE: V GRADO: 12-14-16 NIVEL: ADMINISTRATIVO NÚMERO DE CARGOS: ÁREA: 5 JEFE INMEDIATO: 1. OFICINA DE INFORMÀTICA

Más detalles

Preparándose para una Auditoría Integrada Auditoría de TI dentro de una Auditoría Financiera Externa

Preparándose para una Auditoría Integrada Auditoría de TI dentro de una Auditoría Financiera Externa Preparándose para una Auditoría Integrada Auditoría de TI dentro de una Auditoría Financiera Externa Ing. José Luis Mauro Vera, CISA Manager Advisory CIGR A S Página 2 de 41 Expectativas de la presentación

Más detalles

ETAPAS DE LA IMPLEMENTACIÓN DEL SISTEMA INTEGRADO DE GESTIÓN

ETAPAS DE LA IMPLEMENTACIÓN DEL SISTEMA INTEGRADO DE GESTIÓN ETAPAS DE LA IMPLEMENTACIÓN DEL SISTEMA INTEGRADO DE GESTIÓN Fase I: Evaluación Preliminar La Evaluación Preliminar permite realizar una identificación adecuada de cómo se encuentra la organización en

Más detalles

El Control Interno en la Administración Pública. Procuraduría General de la República

El Control Interno en la Administración Pública. Procuraduría General de la República El Control Interno en la Administración Pública Procuraduría General de la República Objetivo General Que los Servidores Públicos de la Procuraduría General de la República, reconozcan la importancia y

Más detalles

SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO

SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO Programa de Gobierno en Línea Oficina de Coordinación de Investigación, Política y Evaluación. RESUMEN La seguridad de la información

Más detalles

Sistemas de gestión de la calidad Requisitos

Sistemas de gestión de la calidad Requisitos Sistemas de gestión de la calidad Requisitos 0 Introducción Generalidades La adopción de un sistema de gestión de la calidad debería ser una decisión estratégica de la organización. El diseño y la implementación

Más detalles

MANUAL DE CALIDAD ISO 9001:2008

MANUAL DE CALIDAD ISO 9001:2008 Página 1 de 21 MANUAL DE CALIDAD ISO 9001:2008 EMPRESA DE DISTRIBUCION DE ALUMINIO Y VIDRIO ELABORADO POR: APROBADO POR: REPRESENTANTE DE LA ALTA DIRECCIÓN GERENTE PROPIETARIO Página 2 de 21 CONTENIDO

Más detalles

NORMA TÉCNICA DE AUDITORÍA SOBRE LA AUDITORÍA DE CUENTAS EN ENTORNOS INFORMATIZADOS INTRODUCCIÓN

NORMA TÉCNICA DE AUDITORÍA SOBRE LA AUDITORÍA DE CUENTAS EN ENTORNOS INFORMATIZADOS INTRODUCCIÓN Resolución de 23 de junio de 2003, del Instituto de Contabilidad y Auditoría de Cuentas, por la que se publica la Norma Técnica de Auditoría sobre la auditoría de cuentas en entornos informatizados (BOICAC

Más detalles

DESCRIPCIÓN DEL PROCESO DE RIESGO OPERACIONAL

DESCRIPCIÓN DEL PROCESO DE RIESGO OPERACIONAL DESCRIPCIÓN DEL PROCESO DE RIESGO Julio 10, de 2012 INDICE Proceso Riesgo Operacional... 1 Objetivo General... 1 Objetivos Específicos... 1 I. Identificación del Riesgo.... 1 II. Medición y Mitigación

Más detalles

RIESGOS INFORMATICOS

RIESGOS INFORMATICOS 1 INTRODUCCION RIESGOS INFORMATICOS LA GESTION DE LOS RIESGOS El principal objetivo de la administración de riesgos, como primera ley de la naturaleza, es garantizar la supervivencia de la organización,

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Ref. ENS/01. Política de Seguridad UPCT Revisión: 3 POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN 1. ENTRADA EN VIGOR Texto aprobado el día 13 de abril de 2011 por el Consejo de Gobierno de la Universidad Politécnica

Más detalles

UNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS

UNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS UNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS AUDITORIA DE SISTEMAS COMPUTACIONALES TIPOS DE AUDITORIA LIC. FRANCISCO D. LOVOS Tipos de Auditorías Auditoría de Base de Datos Auditoría de Desarrollo

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL Osvaldo G. Marinetti Política Provincial de Seguridad de la Información Alineada con el Plan Maestro

Más detalles

Gestión del Riesgo Operacional - Experiencia del Perú -

Gestión del Riesgo Operacional - Experiencia del Perú - Gestión del Riesgo Operacional - Experiencia del Perú - Septiembre 2013 Claudia Cánepa Silva MBA PMP Supervisor Principal de Riesgo Operacional Superintendencia de Banca, Seguros y AFP Agenda Organización

Más detalles

La Tecnología de la Información y su Impacto en la Auditoría Interna

La Tecnología de la Información y su Impacto en la Auditoría Interna La Tecnología de la Información y su Impacto en la Auditoría Interna Lucio Augusto Molina Focazzio Certified Information Systems Auditor CISA CobiT Accredited Trainer Consultor Independiente TEMARIO DE

Más detalles

La auditoría operativa cae dentro de la definición general de auditoría y se define:

La auditoría operativa cae dentro de la definición general de auditoría y se define: AUDITORIA DE SISTEMAS DE INFORMACIÓN Definición de auditoría: Se define como un proceso sistemático que consiste en obtener y evaluar objetivamente evidencias sobre las afirmaciones relativas los actos

Más detalles

4.7 ISO/IEC 20000-1:2011 Information technology - Service management -Part 1: Service management system requirements.

4.7 ISO/IEC 20000-1:2011 Information technology - Service management -Part 1: Service management system requirements. 4.7 ISO/IEC 20000-1:2011 Information technology - Service management -Part 1: Service management system requirements. Introducción. ISO 20000 es un estándar orientado al establecimiento de procesos y procedimientos

Más detalles

Sistemas de gestión de la calidad Requisitos

Sistemas de gestión de la calidad Requisitos Sistemas de gestión de la calidad Requisitos 1 Objeto y campo de aplicación 1.1 Generalidades Esta Norma Internacional especifica los requisitos para un sistema de gestión de la calidad, cuando una organización

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE RIESGOS

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE RIESGOS MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE RIESGOS Aprobado por Resolución de Gerencia General N 30-2013-FMV/GG del 04.06.2013 ÍNDICE 1. ESTRUCTURA DE CARGOS 1.1 Estructura de Cargos 1.2 Organigrama

Más detalles

BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION. Junio de 2008

BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION. Junio de 2008 BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION Junio de 2008 Falta de Seguridad de la Información Compartir passwords Acceso a sitios no autorizados Uso indebido de equipo

Más detalles

Deloitte Training. Riesgos de tecnología de información implicaciones y retos para la auditoria

Deloitte Training. Riesgos de tecnología de información implicaciones y retos para la auditoria Deloitte Training Riesgos de tecnología de información implicaciones y retos para la auditoria Definición del universo auditable y valoración de riesgos de TI Presentado por Mauricio Solano Redondo, Director

Más detalles

Modelo de Control para la Administración de Riesgos de TI. MsC. Carlos Zamora Sotelo, CISA, CISM

Modelo de Control para la Administración de Riesgos de TI. MsC. Carlos Zamora Sotelo, CISA, CISM Modelo de Control para la Administración de Riesgos de TI MsC. Carlos Zamora Sotelo, CISA, CISM Agenda 1. Objetivo de la Sesión. 2. La Administración de Riesgos en la Estrategia de Negocios. 3. El papel

Más detalles

Gestión del Servicio de Tecnología de la información

Gestión del Servicio de Tecnología de la información Gestión del Servicio de Tecnología de la información Comentario de la norma ISO 20000 bajo el enfoque de ITIL Autor: Francisco Tejera (ISO 20000 Practitioner) Agenda 1-2-3 INTRODUCCIÓN 4 5 REQUISITOS GENERALES

Más detalles

7th CANSO Latin America & Caribbean Conference

7th CANSO Latin America & Caribbean Conference 7th CANSO Latin America & Caribbean Conference Ing. José Manuel Peña Alcázar. Director Servicios Aeronáuticos. ECASA S.A 18-20 de Octubre 2015. Punta Cana. República Dominicana (AIDC) a la República Situación

Más detalles

Análisis de la Norma BCRA A 4609

Análisis de la Norma BCRA A 4609 Análisis de la Norma BCRA A 4609 Seguridad Informática y Continuidad de Procesamiento Módulo I: Fase Teórica Lic. Raúl Castellanos rcastellanos@cybsec.com 5 de Junio de 2007 Buenos Aires - ARGENTINA Agenda

Más detalles

LOS INDICADORES DE GESTIÓN

LOS INDICADORES DE GESTIÓN LOS INDICADORES DE GESTIÓN Autor: Carlos Mario Pérez Jaramillo Todas las actividades pueden medirse con parámetros que enfocados a la toma de decisiones son señales para monitorear la gestión, así se asegura

Más detalles