IT Baseline Protection Manual, y XBRL

Transcripción

1 UNIVERSIDAD DE CALDAS IT Baseline Protection Manual, y XBRL Juan David Delgado Ramirez 06/10/2010

2 Contenido INTRODUCCION... 2 IT Baseline Protection Manual... 3 Historia y evolución... 3 Generalidades... 4 Extensible Business Reporting Language... 8 Historia y evolución... 8 Generalidades... 9 TAXONOMIA RESUMEN El IT Baseline Protection Manual XBRL (Extensible Business Reporting Languaje) OBJETIVOS CONCLUSIONES BIBLIOGRAFIA... 20

3 INTRODUCCION Una organización/empresa sólo puede alcanzar sus objetivos si los activos de TI se utilizan en forma eficiente y segura. Hay muchas formas en que las organizaciones dependen del funcionamiento correcto de los recursos de TI. E éxito financiero y la competitividad de las empresas depende de TI, por lo que en última instancia, los trabajos dependen directamente del funcionamiento de los activos de TI. Sectores industriales específicos como la banca y los seguros, la industria del automóvil y la logística dependen críticamente de TI hoy en día. Al tiempo, el bienestar de todos los ciudadanos también depende de TI, si se trata una cuestión de su trabajo, la satisfacción de su diario necesidades de los consumidores o de su identidad digital en las transacciones de pago, en las comunicaciones y cada vez más en el comercio electrónico. Medida que la sociedad se vuelve más dependiente de ella, así que el daño potencial social que podría se deben a la falta de recursos de TI aumenta. Como los recursos de TI por sí mismas no dejan de tener sus debilidades, no hay razón, un gran interés en la protección de los datos y la información procesada por TI activos y en la planificación, ejecución y vigilancia de la protección de estos activos. El daño potencial que podría ocasionar el mal funcionamiento o el fracaso de los activos de TI se pueden asignar a varias categorías. La más obvia de ellas es la pérdida de disponibilidad: si un sistema de TI está fuera de servicio, ninguna transacción de dinero puede llevarse a cabo, los pedidos en línea son imposibles y los procesos de producción moler a su fin. Otro tema discutido con frecuencia es la pérdida de confidencialidad de los datos: cada ciudadano es consciente de la necesidad de mantener la confidencialidad de sus datos personales, cada empresa sabe que los datos confidenciales de la compañía sobre sus ventas, marketing, investigación y desarrollo pueden ser de interés a los competidores. La pérdida de la integridad (la corrupción o falsificación de datos) es otra cuestión que puede tener consecuencias importantes: la producción de resultados falsos o alterar los datos en los asientos contables incorrectos,.

4 IT Baseline Protection Manual Historia y evolución Ya en la década de 1980 el gobierno federal y el Parlamento empezaron a darse cuenta que el grado de seguridad necesario para el uso de tecnología de la información necesitaba ser formulado e implementado. Bajo el liderazgo del Ministro Federal del Interior, se tomaron algunas medidas en consonancia con este requisito: 1986 A la Agencia Central de Cifrado se le encomendó la tarea de cuidar de la seguridad informática en los sistemas que manejan material clasificado El Comité Interdepartamental de Seguridad Informática se formó bajo la dirección del Ministro Federal del Interior Debido a la expansión en el ámbito de su labor, la Agencia Central de Cifrado se transformó en la Agencia Central para la Seguridad en TI. La seguridad de los sistemas de TI se está convirtiendo cada vez más importante para el buen funcionamiento de la industria y el Estado. Medidas destinadas a crear y aumentar esa seguridad, por lo tanto son una necesidad urgente. El Estado tiene la responsabilidad de reducir la amenaza de tomar tales medidas. Una autoridad federal superior independiente es necesaria para llevar a cabo los análisis de riesgo adecuados y desarrollar los conceptos de seguridad basados en ellos. Sólo una agencia del gobierno tiene la seguridad de información en escala amplia que es necesario para su disposición y, además, se puede confiar en ser lo suficientemente neutral. Sólo una agencia de este tipo puede trabajar hacia la normalización de los criterios de seguridad a nivel nacional y al mismo tiempo, promover la armonización internacional Estas necesidades se tradujeron en la Ley para el establecimiento de la BSI, esta institución Alemana, fue fundada en BSI publica la primera versión del IT Baseline Protection Manual Última versión de IT Baseline Protection Manual, éste sería reemplazado por IT Baseline Protection Catalogs El 1 de agosto de 2001, el Ministerio Federal del Interior puso en vigor un nuevo marco de condiciones organizacionales, de mano de obra y técnicas para el posterior desarrollo de BSI en el proveedor de servicios de seguridad TI central del gobierno alemán En noviembre de este año el presidente de BSI, Dr. Dirk Henze renuncia a su cargo En marzo de 2003 el Dr. Udo Helmbrecht fue nombrado presidente de BSI, porque el Dr. Dirk Henze, renunció a su cargo en noviembre de Versión actual de IT Baseline Protection Catalogs Versión actual de Estándares BSI.

5 Generalidades IT Baseline Protection Manual es un grupo de medidas de seguridad que son referidas en el manual, para sistemas de TI típicos. El objetivo de estas recomendaciones de IT baseline protection es alcanzar un buen nivel de seguridad para sistemas de TI que son razonables y adecuadas para satisfacer requerimientos de protección normales y que también pueden servir como la base para sistemas de TI y aplicaciones que requieren un alto grado de protección. Esto es logrado mediante la apropiada aplicación de estándares de seguridad organizacional, personal, infraestructura y técnicas. Para facilitar la estructuración y procesamiento de áreas TI altamente heterogéneas, incluyendo el entorno operacional, el IT Baseline Protection Manual está estructurado de una manera modular. Los módulos reflejan las áreas tipicas en las cuales los activos de TI son empleados, por ejemplo las redes cliente/servidor, comunicaciones y componentes de aplicaciones. Cada módulo comienza con una descripción de amenazas típicas que pueden ser esperadas en el área dada junto con su probabilidad asumida de ocurrencia. Este escenario de amenaza provee la base para generar paquetes de medidas específicas para diversas áreas como: Infraestructura, personal, organización, hardware, software, comunicaciones, planes de contingencia. Los escenarios de amenaza está presentados de modo que puedan crear alerta, y no se requiere nada más para la creación de un concepto de seguridad producido por IT baseline protection. Es suficiente identificar los módulos que son relevantes para el sistema TI o activos TI bajo consideración e implementar de manera consistente todas las salvaguardas recomendadas en esos módulos. Usando el IT Baseline Protection Manual, es posible implementar conceptos simples y económicamente viables en términos de los recursos requeridos. Bajo la aproximación tradicional de análisis de riesgos, primero que todo las amenazas son identificadas y asignadas con una probabilidad de ocurrencia, y los resultados de este análisis son usados entonces para seleccionar las medidas de TI apropiadas. Por otro lado, la aproximación adoptada en el IT Baseline Protection Manual sólo requiere una comparación entre el objetivo y situación actual que sea ejecutada entre las medidas recomendadas y estas ya implementadas. Los defectos de seguridad que necesitan ser eliminados a través de la adopción de las medidas recomendadas están definidos en términos de esas medidas de seguridad identificadas que están faltando y no han sido implementadas. Sólo donde el requerimiento de protección es significativamente alto es necesario también llevar a cabo un análisis de seguridad suplementario, sopesando el costo por uso de implementar medidas adicionales. Sin embargo, generalmente es

6 suficiente aquí suplementar las recomendaciones hechas en IT Baseline Protection Manual con medidas apropiadas adaptadas y medidas más rigurosas. Los conceptos de seguridad que son utilizados en IT Baseline Protection Manual son compactos. Esto los hace más fácil de entender y de ver en perspectiva. Para facilitar la implementación de las medidas recomendadas, las salvaguardas están descritas con suficiente detalle en el manual que sirve como instrucciones específicas de implementación. Con respecto a la terminología técnica usada, se ha tenido cuidado en asegurar que las descripciones de los salvaguardas sean comprensibles a aquellos que tienen que implementarlos. Por consiguiente, una distinción es IT BASELINE PROTECTION MANUAL hecha en el estilo y terminología usada entre salvaguardas que necesitan ser implementadas por un administrador experimentado y aquellos que se espera que un usuario implemente. Teniendo en mente el paso de la innovación y cambios de versión en el área de TI, el IT Baseline Protection Manual ha sido diseñado para hacer fácil su expansión y actualización. Por lo tanto tiene una estructura modular, incorporando módulos y catálogos, como una colección de hojas sueltas, es fácil de expandir. El BSI trabaja continuamente y actualiza los módulos existentes en intervalos regulares para mantener las recomendaciones hechas en el manual en línea con los últimos desarrollos tecnológicos. Los módulos de IT Baseline Protection Manual se implementaron para facilitar la estructurada y el eficaz manejo de la zona altamente heterogénea de TI, incluyendo el entorno operativo, el Manual de Protección de TI de referencia está estructurado de forma modular. Los módulos individuales reflejan las áreas en las que los activos de TI suelen emplear, por ejemplo de cliente / servidor de las redes, los edificios, las comunicaciones y el módulo de componentes. Toda aplicación comienza con una descripción del supuesto de amenaza de esperar. Esta prove la base para generar un paquete específico de medidas de las áreas de infraestructura, personal, organización, hardware, software, comunicaciones y planes de contingencia. El escenario de amenaza se presenta con el fin de crear conciencia, sin embargo, no se necesita más lejos en la creación de un concepto de seguridad que ofrece protección de TI de referencia. Los módulos que son necesarios para el sistema informático o red informática en cuestión deben ser identificados y se recomienda que los módulos deben ser aplicados de forma coherente y en forma completa. El IT Baseline Security presenta un Manual conjunto detallado de medidas de seguridad estándar que se aplican al sistema de casi todos los TI. Contiene: garantías de seguridad estándar para los sistemas típicos de TI con los requerimientos normales de protección, una descripción del escenario de amenaza que supone a nivel mundial, descripciones detalladas de las salvaguardias para ayudar en su aplicación, una descripción del proceso involucrado en alcanzar y mantener un nivel de seguridad, un procedimiento sencillo para determinar el nivel de seguridad de TI alcanzado en la forma de una comparación. Como la tecnología de la información es muy veloz y siempre está

7 experimentando un mayor desarrollo, la IT Baseline Protección Manual está siendo continuamente actualizada y ampliada para cubrir nuevos topicos sobre la base de encuestas dirigidas netamente hacia los usuarios. El Manual de Protección de TI de referencia con sus recomendaciones para las medidas de seguridad estándar tiene establecido un estándar de facto para la seguridad informática. En respuesta a preguntas frecuentes para usuarios, el BSI ha desarrollado un sistema de certificación de IT baseline protection. Utilización del manual de referencia de TI la protección para establecer con éxito un proceso de seguridad continua y eficaz de TI. Se crea una gestión de la seguridad de TI para el diseño, coordinación y supervisión de las tareas relacionadas con la seguridad de TI, análisis y documentación de la estructura de los activos de tecnología de la información existente; la información de corto a temas actuales de seguridad de TI - BSI IT Baseline lleva a cabo un control de seguridad básico a fin de obtener una visión general del nivel de seguridad de TI existente, aplicación de medidas de seguridad que faltan o no se aplican adecuadamente. Para asegurar que un nivel de seguridad dado una vez conseguida se puede mantener en las operaciones en marcha, el concepto de seguridad de TI debe adaptarse continuamente a los cambios en los activos de TI. Para familiarizar al usuario con el manual en sí, contiene una introducción con explicaciones, el enfoque en cuanto a la protección de línea de base, una serie de definiciones de conceptos y el papel, y un glosario. Los catálogos de componentes, catálogos de amenaza, y los catálogos de medidas. Los formularios y las tablas de referencia completan la colección disponible en la Oficina Federal para la Seguridad en la plataforma de tecnología de la información de Internet (BSI). Aquí también puede encontrar la Guía de Protección de línea de base, que contiene las funciones de apoyo para la aplicación de IT Baseline Protection en el detalle de procedimiento. Cada elemento del catálogo se identifica por una tecla de accesos individuales establecidos de acuerdo con el siguiente esquema (los grupos del catálogo nombrado en primer lugar). C representa los componentes, M para la medida, y la T de amenaza. Esto es seguido por el número de capas afectadas por el elemento. Por último, un número de serie dentro de la capa identifica el elemento. Catálogo de componentes: Es el elemento central, y contiene las siguientes cinco capas: aspectos generales, la infraestructura, los sistemas informáticos, redes y aplicaciones de TI. Particionado en capas claramente aislados grupos de personal afectado por una determinada capa de la capa en cuestión. La primera capa está dirigida a la gestión, incluyendo el personal y outsourcing. El segundo se dirige a casa de los técnicos, en relación con los aspectos estructurales de la capa de infraestructura. Los administradores de sistemas cubrir la tercera capa,

8 observando las características de los sistemas de TI, incluyendo clientes, servidores y rama intercambios privados o fax máquinas. La cuarta capa está comprendida en el área de tareas a los administradores de red. El quinto en el del administrador de aplicaciones y los usuarios de TI, en relación con el software como los sistemas de gestión de bases de datos, correo electrónico y servidores web. Cada componente individual sigue el mismo diseño. El número de componentes está compuesto por el número de capa en la que se encuentra el componente y un número único dentro de la capa. La situación amenaza dada es representado después de una breve descripción del componente de examen de los hechos. Un desglose de las fuentes de amenaza individual en última instancia siguiente. Esta información complementaria presente. No es necesario trabajar a través de ellos para establecer la protección de línea de base. Las medidas necesarias se presentan en un texto corto con ilustraciones. El texto sigue los hechos del ciclo de vida de que se trate e incluye la planificación y el diseño, adquisición (si es necesario), realización, funcionamiento, selección (si es necesario), y las medidas preventivas. Después de una descripción completa, las medidas individuales son una vez más, recogidos en una lista, que se arregla de acuerdo a la estructura del catálogo de medidas, en lugar de la del ciclo de vida. En el proceso, la clasificación de las medidas en las categorías A, B, C, Y y Z se lleva a cabo. Categoría A para las medidas del punto de entrada en el tema, las medidas B ampliar esto, y la categoría C es en última instancia, necesarios para la certificación inicial de protección. Categoría Z medidas, las medidas adicionales que se han demostrado en la práctica. Para evitar que cada componente lo más compacto posible, los aspectos globales se recogen en uno de los componentes, mientras que información más específica se recoge en un segundo. Las medidas respectivas o amenazas, que se introducen en el componente, también pueden ser relevantes para otros componentes. De esta manera, una red de componentes individuales se presenta en los catálogos de protección de línea de base. Catálogos de amenazas: En relación con los catálogos de componentes, ofrecen más detalles sobre las posibles amenazas a los sistemas de TI. Estos catálogos amenazan de seguir el esquema general en capas. "Fuerza mayor", "deficiencias organizativas", "la acción humana no esenciales", "fallo técnico", y "actos premeditados" se distinguen. De acuerdo con las partidas del balance, el conocimiento obtenido en estos catálogos no es necesario establecer una protección de base. Protección de línea de base, sin embargo, la demanda de la comprensión de las medidas, así como la vigilancia de la

9 gestión. Fuentes individuales de amenaza se describen brevemente. Por último, los ejemplos de los daños que pueden ser provocados por estas fuentes de amenaza se dan. Catálogos de medidas:los catálogos de las medidas de resumen de las acciones necesarias para lograr una protección de base, las medidas adecuadas para varios componentes del sistema se describen de forma centralizada. En el proceso, las capas se utilizan para estructurar los grupos de las diferentes medidas. Las siguientes capas se forman: infraestructura, organización, personal, hardware y software, la comunicación, y las medidas preventivas. Los gerentes son inicialmente nombrados para iniciar y realizar las medidas en la descripción de las medidas respectivas. Una descripción detallada de las medidas siguientes. Por último, las preguntas de control sobre la realización correcta se les da. Durante la realización de medidas, el personal deberá verificar si la adaptación a la operación en cuestión es necesario, cualquier desviación de las medidas iniciales deben documentarse para futuras referencias. Extensible Business Reporting Language Historia y evolución XBRL (extensible Business Reporting Language) nace de la propuesta lanzada por Charles Hoffman, experto contable y auditor, para simplificar la automatización e intercambio de información financiera mediante el uso del lenguaje XML. Hoffman era muy consciente de la necesidad de sistematizar este intercambio, a consecuencia de sus muchos años de experiencia con sistemas contables automatizados. En poco más de seis años, esta sencilla idea ha conseguido atraer el interés, primero, y el respaldo, posteriormente, de toda una comunidad de individuos y organizaciones, públicas y privadas, representando un gran número de países y coordinados en XBRL Internacional, una organización internancional sin ánimo de lucro que lidera el desarrollo y mantenimiento del estándar XBRL y a la cual pertenecen más de 450 instituciones en el 2006.

10 La solución propuesta mediante XBRL propone ETIQUETAR la información financiera y de negocios, de modo que el resto de aplicaciones la reciben e interpretan fácil y automáticamente, sin que sea necesario introducir, adaptar o actualizar los datos manualmente en cada una de ellas. Así el beneficio neto de una compañía, por ejemplo, tiene una etiqueta común en todas las aplicaciones y por tanto, cada una de ellas la identifica y registra automáticamente cualquier cambio que se produzca. Generalidades El lenguaje XBRL (extensible Business Reporting Language) es un estándar para el intercambio y descripción de información financiera y de negocio. XBRL es un especificación libre y abierta que se basa en XML (extensible Markup Language), una tecnología de alta adopción en el mundo Internet. Constituye un enfoque diseñado especialmente para cubrir las exigencias de la información financiera y empresarial. XBRL puede ser utilizado por todos los actores de la cadena de información financiera, desde los productores de información (instituciones públicas y compañías privadas) hasta quienes los reciben, analizan o transforman (auditores, gobiernos, reguladores públicos, analistas, inversores, mercados de capitales, entidades financieras, desarrolladores de software o compiladores de datos). XBRL se sustenta en XML y otros estándares del W3C complementando a XML como son la especificación de espacios de nombres (Namespaces), la definición de esquemas de datos en XML (XMLSchema) y la definición de recursos enlazados mediante XML (XLink). Las taxonomías XBRL, publicadas también en este sitio, son los diccionarios que emplea el lenguaje. Estas taxonomías son sistemas de categorización que definen las etiquetas específicas de los distintos elementos de la información como beneficios netos. Las jurisdicciones nacionales tienen distintas normas contables, de manera que cada una de ellas puede contar con su propia taxonomía para la información financiera. Un gran número de organizaciones, incluidos los reguladores, industrias concretas e incluso empresas, pueden también necesitar taxonomías para atender sus propias necesidades de información empresarial. Asimismo, se ha diseñado una taxonomía especial, denominada taxonomía del libro mayor que permite la recopilación de datos y la información interna dentro de las organizaciones. Los usuarios corrientes XBRL pueden desconocer totalmente la infraestructura técnica en la que se basa el lenguaje. Sin embargo, las empresas de informática, como los proveedores de programas de contabilidad, han de tener en cuenta XBRL y sus características, cuando desarrollan sus productos.

11 XBRL puede ofrecer una nueva vía para la estandarización de los negocios y finanzas, la calidad de la información y análisis de datos sin los mismos costos o implementación de tecnología compleja. La conexión de los avances informáticos y de las telecomunicaciones registradas en la última década del siglo pasado significó un crecimiento exponencial en las capacidades de generación, difusión y mantenimiento de información. A pesar de ello, y por lo que respecta a las cuentas anuales de las empresas, existía y sigue existiendo un desencuentro entre los oferentes de la información (las empresas) y los demandantes de los datos (unidades estadísticas, Administración Tributaria, otros, véase cuadro 1), tanto por el coste que representa generar y capturar la información, como por las redundancias informativas que se producen en el proceso. Ello llevó a plantearse la necesidad de crear un estándar de intercambio de información, que permitiera conectar los dos polos de la comunicación, reduciendo costes y agilizando los procesos de recogida de datos y emisión de informes. Se planteó también que si ese hipotético estándar fuese de ámbito mundial, se establecerían las bases para el intercambio de información financiera superando las barreras del idioma: bastaría con realizar unas tablas de correspondencia entre los términos homólogos de diferentes lenguas, para que el acceso por medio de Internet a las cuentas anuales de una empresa residente en otro país se pudiese hacer directamente en el idioma del usuario. Obviamente, subsistiría el problema de las diferencias existentes en las normas contables (fundamentalmente, de valoración) entre países, aunque esto es un handicap que la introducción de las normas internacionales de contabilidad (IFRS) irá paulatinamente mitigando. Pues bien, entre los diversos estándares de intercambio de información de las empresas que se han creado para resolver los problemas aludidos, el lenguaje XBRL es el que ha empezado a convertirse en el referente mundial. Los posibles usos de XBRL podrían ser: XBRL puede aplicarse a una gama muy amplia de datos financieros y empresariales. Entre otras cosas, puede gestionar: La presentación de información financiera interna y externa de empresas. La presentación de información de empresa a todo tipo de reguladores, incluidas las agencias tributarias y las autoridades financieras, bancos centrales y Gobiernos. El almacenamiento de informes y solicitudes de préstamo; evaluación de riesgos de crédito. El intercambio de información entre ministerios o entre otras instituciones, como, por ejemplo, bancos centrales. La literatura más importante en materia contable proporcionando una manera homogénea de describir los documentos contables facilitados por los organismos más relevantes. Una amplia gama de otros datos estadísticos y financieros que es necesario guardar, intercambiar y analizar. El futuro del XBRL puede ser: XBRL se convertirá en la manera estándar de registrar, almacenar y transmitir la información financiera de las empresas. Se puede utilizar en todo el mundo, cualquiera que sea el idioma del país, para una amplia variedad de fines. Su empleo dará lugar a un importante ahorro en los

12 costes y a aumentos de la eficiencia; además, mejorará los procesos en las empresas, Gobiernos y otras organizaciones. Los beneficios que les reporta a una empresa el hecho de tener sus estados financieros en XBRL son los siguientes: XBRL aumenta las posibilidades de utilizar la información relativa a los estados financieros. Puede eliminarse la necesidad de volver a introducir los datos financieros con fines analíticos y de otro tipo. Al presentar sus estados en XBRL, una empresa puede beneficiar a los inversores, así como mejorar su perfil. También satisfará los requerimientos de los reguladores, prestamistas y otros consumidores de información financiera, que solicitan de manera creciente que se presente la información en XBRL. Esto mejorará las relaciones de negocio y se traducirá en una diversidad de beneficios. Con la plena adopción de XBRL, las empresas pueden automatizar la recogida de datos. Por ejemplo, los datos procedentes de las distintas divisiones de la empresa elaborados con diferentes sistemas contables pueden agregarse fácilmente y de manera barata y eficiente. Una vez que se ha reunido la información en XBRL, se pueden generar, con el mínimo esfuerzo, diversos tipos de informes a partir de una variedad de subconjuntos de datos. La división financiera de unas empresas, por ejemplo, puede producir de modo rápido y fiable informes de gestión interna, estados financieros para su publicación, declaraciones de impuestos y para otros reguladores, así como informes crediticios para los prestamistas. No es sólo que se pueda automatizar la gestión de los datos, eliminando procesos muy prolongados y susceptibles de generar errores, sino que los datos pueden verificarse mediante programas informáticos para comprobar su exactitud. Las empresas generan los informes financieros en XBRL de la siguiente manera: Hay distintos modos de crear estados financieros en XBRL: Se están poniendo a disposición del público aplicaciones contables que permiten la exportación de datos en formato XBRL. Estas herramientas permiten a los usuarios transformar (map) los gráficos de cuentas y otras estructuras en etiquetas XBRL. Los estados pueden transformarse en XBRL utilizando herramientas de ayuda, diseñadas para este fin. La información procedente de bases de datos contables puede extraerse en formato XBRL. No es estrictamente necesario que los vendedores de aplicaciones contables utilicen XBRL, pues productos de terceros pueden lograr la transformación de los datos a XBRL. Los programas informáticos pueden transformar datos con un formato especial en formatos XBRL. Por ejemplo, existen sitios web en Estados Unidos que transforman ficheros EDGAR en XBRL, permitiendo un acceso más eficiente a datos concretos incluidos en los ficheros. El camino que cada empresa pueda tomar dependerá, entre otros factores, de sus necesidades y de las aplicaciones y sistemas contables que esté utilizando en ese momento.

13 Por qué los Organismos de Contabilidad de todo el mundo están participando activamente en el consorcio XBRL? Un objetivo fundamental de los Organismos de Contabilidad de todo el mundo es mejorar el acceso, la calidad y la cobertura de la información financiera de que disponen los inversores. XBRL contribuirá a su consecución. Estos Organismos creen también que el desarrollo de XBRL ayudará a que sus miembros se conviertan en valiosos proveedores de conocimiento (información) para sus clientes. Las empresas, grandes y pequeñas, están sufriendo cambios fundamentales. Los contables, como gestores del lenguaje subyacente de las empresas, pueden ayudar a que las organizaciones se incorporen al nuevo mundo digital, resuelvan asuntos relativos a su negocio y capitalicen sus oportunidades. La principal ventaja de XBRL es que permite generar diferentes documentos de salida, en varios idiomas, destinados a distintos usuarios de la información financiera, a partir de un mismo origen, sin intervención del emisor, que no tiene la necesidad de contestar a varios cuestionarios, cada uno con su propio formato; teóricamente, si mantiene su información en el estándar XBRL y da acceso a los usuarios de la información, estos podrían seleccionar automáticamente los datos que precisan, sin intervención de la empresa. El buen funcionamiento del sistema requeriría que la información de base, al máximo nivel de detalle, se mantenga en XBRL en la fuente de los datos (esto es, el libro mayor de la contabilidad de empresa). Con ello se conseguiría evitar que las empresas tengan que cumplimentar cuestionarios específicos para cada demandante de información, que podría acceder a toda la información de detalle. TAXONOMIA Según la teoría de la comunicación, para que se pueda intercambiar un mensaje entre un emisor y un receptor, debe existir un código que sea conocido por los participantes. Este es el papel de las taxonomías XBRL. Una taxonomía contiene: Esquema: El conjunto de elementos que pueden aparecer en los informes y la estructura de los mismos. Este conjunto lo denominaremos el diccionario de términos definidos. Linkbase de etiquetas: Las etiquetas o textos asociados a los elementos del diccionario que pueden utilizarse en distintos idiomas y con distintos propósitos a la hora de construir representaciones de los informes. Las taxonomías XBRL mantienen meta-información sobre los conceptos definidos en el esquema que ayudan a la hora de documentar los conceptos y también a la hora de hacer aplicaciones informáticas. Este es el caso por ejemplo de la linkbase de etiquetas. Todas las linkbases se implementan en ficheros separados del esquema de la taxonomía, las relaciones

14 entre la información de la linkbase y los conceptos de las taxonomías se hacen mediante XLink. Las etiquetas tienen un rol asociado. Es posible definir roles propios de una taxonomía y luego definir las etiquetas que un concepto tendrá de acuerdo con los distintos roles. Un ejemplo de utilización de roles puede ser el texto asociado al concepto resultado de explotación. Si es positivo será Beneficio de explotación si es negativo será Pérdidas de explotación. Linkbase de referencias: Las referencias a textos legales o normativas que fundamentan la base legal del concepto a modelar. Estas referencias juegan un papel muy importante a la hora de aclarar la utilización de los conceptos cuando se van a crear los informes. Uno de las linkbases más importantes en la definición de una taxonomía de uso público es la linkbase de referencias. Esta linkbase proporciona información respecto de los textos legales en los que podemos encontrar información adicional sobre el concepto. Linkbase de presentación: Las reglas para construir una representación del informe que se pretende modelar. Esta linkbase tiene un doble propósito: por un lado sirve para que las herramientas de creación o visualización de taxonomías nos muestren el contenido de la misma de forma más amigable que una simple lista de conceptos. Por otro lado sirven de base para que las aplicaciones que formatean los informes de forma automática tengan un punto de partida por el que empezar a construir las plantillas que mostrarán los datos. La linkbase de presentación tiene una estructura jerárquica. Se construye relacionando los elementos hijos con los elementos padre usando XLink. En XBRL esto se debe modelar de la siguiente manera: Existen tres conceptos en la taxonomía. Uno denominado Reservas, otro denominado Incrementos o disminuciones de las reservas y un concepto abstracto denominado Movimientos en las Reservas. El concepto Reservas tiene tres etiquetas: Reservas para el rol etiqueta normal, Reservas al inicio del ejercicio para el rol inicio del ejercicio, Reservas al final del ejercicio para el rol final del ejercicio, El concepto Reservas será de tipo instant, El concepto Incrementos o disminuciones de las reservas será de tipo duration, El concepto Movimientos en las Reservas es de tipo abstracto, por lo que no es significativo que sea instant o duration. En la linkbase de presentación, dentro de algún apartado de la memoria figurará que el concepto Reservas es el primer hijo del elemento abstracto Movimientos en las reservas, y que el preferredlabel es inicio del ejercicio. Linkbase de cálculo: Las reglas de cálculo (sumas y restas) entre elementos de la taxonomía que permiten validar los informes XBRL. Esta linkbase permite crear relaciones entre elementos similares a las de la linkbase de presentación. En esta ocasión, los elementos padre serán el resultado de las operaciones aritméticas que se deban realizar con los elementos hijos. Estas operaciones sólo podrán ser sumas o restas de los elementos hijos. Los documentos XBRL se pueden validar con respecto a estas redes de cálculo. Los documentos XBRL

15 que presenten errores en los cálculos no serán válidos desde el punto de vista de XBRL. Las aplicaciones informáticas podrán tener en cuenta estos errores de cálculo para admitir o rechazar automáticamente los documentos entrantes. Linkbase de definición: Reglas adicionales que permiten documentar relaciones entre elementos de la taxonomía y que se utilizarán para validar los informes. La última de las linkbases definidas en la especificación XBRL 2.1 es la linkbase de definición. El contenido de esta linkbase es establecer relaciones entre los elementos de una taxonomía que permitan explicar o documentar relaciones, así como añadir ciertas reglas que pueden ser importantes a la hora de validar documentos XBRL. Las linkbases son también extensibles. Nada en la especificación impide que se desarrollen linkbases propietarias para relacionar modelos de datos internos con elementos de taxonomías si bien esas linkbases deberán ser privadas dado que no existe una especificación aprobada en el consorcio para que todos los procesadores XBRL las entiendan. Toda taxonomía XBRL está basada en un esquema XML. Las reglas y limitaciones de los esquemas XML también se aplican a las taxonomías XBRL. Una taxonomía XBRL puede incluir otra taxonomía XBRL. Esta característica de XBRL es fundamental para implementar el modelo de extensibilidad. Una empresa que quiera proporcionar más información en sus informes siempre podrá crear una extensión de la taxonomía original en la que incluya los elementos y relaciones que no estén creadas en la taxonomía anterior.

16 RESUMEN El IT Baseline Protection Manual El IT Baseline Protection Manual presenta un conjunto de recomendaciones de seguridad, establecidas por la Agencia Federal Alemana para la Seguridad en Tecnología de la Información. Este estándar plantea en forma detallada aspectos de seguridad en ámbitos relacionados con aspectos generales (gestión humana, criptografía, manejo de virus); infraestructura, (edificaciones, redes wifi); sistemas (Windows, Unix); redes (cortafuegos, módems), y aplicaciones (correo electrónico, manejo de la web, bases de datos). Los objetivos del estándar son asistir en forma rápida soluciones a problemas comunes en seguridad e identificar los riesgos de seguridad de TI. De la misma manera, define su alcance aduciendo que el IT Protection Manual contiene estándares de protección de seguridad de tecnologías de información e implanta conceptos de seguridad de TI, simplificando y economizando los recursos requeridos. El análisis de la estructura de TI provee los medios para la realización de un estudio preliminar, apuntando a la recolección de información que se necesitará después, para preparar el concepto del IT baseline protection security. Esto se divide en las siguientes sub tareas: preparar el plan de red, reducir la complejidad identificando recursos similares, recolectar información sobre los sistemas de IT, y captar información sobre las aplicaciones de IT y relacionarla con ésta. Procesos de seguridad de TI: La función primaria de la administración de seguridad de TI es preparar los conceptos de seguridad, los cuales son indispensables para la implantación de los procesos. Evaluación de requerimientos de protección: Para evaluar modelos de protección de la estructura de IT se requieren cuatro pasos por separado. El primero de todos es definir las categorías de requerimientos de protección. Comúnmente, los escenarios de daño se emplean para determinar los requerimientos de protección de varias aplicaciones de TI.

17 Modelo de protección de IT Baseline: Se enfoca de acuerdo con un orden descendente, así: activos de TI, análisis de la estructura de TI, evaluación de los requerimientos de protección y modelamiento. De este último se desprenden dos actividades: ejecutar el plan sobre los activos TI en uso y desarrollar el plan sobre los activos de TI planificados. Chequeo de seguridad básica. El módulo de protección de TI se utiliza como un plan de prueba para establecer, usando un objetivo frente a la actual comparación, cuál estándar para salvaguardar la seguridad ha sido efectivo y cuál no se ha implementado efectivamente. Análisis de seguridad suplementario. Un análisis de seguridad de TI suplementario se debe entregar para puntos sensibles de la organización. Se pueden emplear varios métodos, que incluyan análisis del riesgo, pruebas de penetración y análisis diferencial de seguridad. Implementación de modelo de protección de seguridad de TI: Se destacan los siguientes pasos: examinar los resultados de la investigación, consolidar los salvaguardas, preparar un estimado de costos y esfuerzos requeridos, determinar la secuencia de implementación, asignar responsabilidades e implantar medidas de acompañamiento. XBRL (Extensible Business Reporting Languaje) El XBRL (Extensible Business Reporting Language) es un lenguage XML para la comunicación electrónica de datos de negocio y financieros. Nace de la propuesta lanzada en 1998 por Charles Hoffman, un experto contable y auditor, para simplificar la automatización del intercambio de información financiera mediante el uso del lenguaje XML -entonces emergente y hoy casi ubicuo en todo lo relacionado con Internet. Constituye un enfoque diseñado especialmente para cubrir las exigencias de la información financiera y empresarial. XBRL puede ser utilizado por todos los actores de la cadena de información financiera, desde los productores de información (instituciones públicas y compañías privadas) hasta quienes los reciben, analizan o transforman (auditores, gobiernos, reguladores públicos, analistas, inversores, mercados de capitales, entidades financieras, desarrolladores de software o compiladores de datos). Conceptos asociados a XBRL

18 XBRL es la adaptación del lenguaje XML para la información Financiera. El XBRL es en informática el equivalente a las normas internacionales de Contabilidad (NIC) en aspectos de normalización contable. Para poder comparar los balances de dos empresas, éstos tienen que estar referidos a la misma normativa, tanto de contabilidad (NIC) como de presentación (XBRL). Para poder hacer uso de XBRL se debe contar con taxonomías y documentos instancia que hagan uso de dichas taxonomías según el ámbito de aplicación. Una Taxonomía XBRL describe completamente un conjunto de información financiera, por ejemplo un balance, y lo describe en un lenguaje informático que los programas o sistemas pueden entender. Esta formalización implica la indicación de las características, su denominación en distintos idiomas, las normas que lo amparan (por ejemplo las normas internacionales de contabilidad), la representación de los datos, entre otros detalles que conforman la metainformación entendible para los sistemas. Cada taxonomía debe ser desarrollada, formalizada y aceptada internacionalmente. Además, dentro del ámbito nacional, hay que traducirla, y en debido caso extenderla con los detalles propios de cada país. Un documento instancia corresponde a documentos XML que cumplen con una o varias taxonomías y que contiene datos (cifras) asociadas a cada elemento dentro de un reporte. Para poder construir y validar un documento instancia se requiere de la información que proviene de los sistemas de información y de las reglas y etiquetas proporcionadas por la taxonomía que la rige. Un ejemplo de documento instancia puede ser el balance general de una empresa que esté reportado bajo las normas internacionales contables. Relación que tiene XBRL con los estándares contables Aunque XBRL introduce un nuevo lenguaje de descripción de datos financieros, no supone un cambio en los procedimientos o principios contables utilizados. Existen normas internacionales contables, estándares contables y financieros internacionales y nacionales, cuyo desarrollo o evolución es independiente de XBRL, sin embargo, XBRL se adapta con facilidad a esos estándares como por ejemplo GAAP en Estados Unidos, AP en Alemania o IAS (International Accounting Standards) a escala internacional. Como implantar XBRL

19 El primer paso es identificar las áreas de negocio y procesos que puedan beneficiarse de XBRL. Es importante conocer si los sistemas tipo ERP y el resto de aplicaciones de software financiero están preparados para usar este formato o si se requiere de modificaciones que permitan su interpretación, para ello se cuenta con el apoyo de proveedores de software quienes cuentan con herramientas que facilitan este tipo de tareas con XBRL. Es recomendable colocar en marcha un plan con proyectos piloto, dada la dificultad que supone el reducido número de personas que cuentan con conocimientos para estos desarrollos. Cuales son las posibilidades de que XBRL se consolide XBRL debe ser acordado por varias instituciones para que tenga éxito. La difusión de XBRL depende del apoyo que reciba por parte de autoridades reguladoras, entidades supervisoras en el área financiera, entidades educativas, organizaciones de profesionales y empresas proveedoras de software y consultoría. Según Gartner, sin un respaldo activo de estos agentes no se consolidará. En algunas regiones, países o agrupaciones de países se pueden unir en la conformación de una Jurisdicción XBRL local que permita dinamizar los procesos de difusión y uso de XBRL en una región y que garantice el éxito en proyectos. Jurisdicción XBRL Para difundir y hacer práctico y masivo el uso de XBRL, se ha consolidado una organización internacional llamada "XBRL Internancional" formada por más de 450 organizaciones que apoyan y sostienen el desarrollo y evolución de la especificación XBRL. De igual forma, a nivel regional se crean jurisdicciones que colaboran con la organización internancional y se encargan de fortalecer el uso del estándar en un país o una región. Las jurisdicciones se clasifican en provisionales y establecidas. La diferencia radica en la preparación para tener taxonomías y proyecto piloto, y en la cantidad y calidad de miembos con que cuenta, siendo 2 años el periodo máximo para una jurisdicción provisional. Beneficios de XBRL Permite a las empresas productoras de información conseguir mayor eficiencia, ya que la automatización de los procesos de recopilación y transmisión de datos aumentan la rapidez y la fiabilidad (ausencia de errores) del proceso.

20 Permite REDUCIR COSTOS porque no necesita intervención humana y no afecta a las aplicaciones existentes en una compañía. Los directores y gerentes de las compañías pueden obtener información financiera más rápida y eficientemente, comunicar de inmediato los resultados a las agencias tributarias y mejorar las relaciones con analistas e inversionistas. Propende por la elaboración de informes financieros y de negocios de rápido entendimiento por otros sistemas. Permite elaborar informes de manera automática en diferentes formatos. Las entidades receptoras o recolectadoras de información, como los organismos reguladores, mejoran la rapidez en la lectura y almacenamiento de información, pueden entender más fácilmente los datos y pueden hacer comparaciones o informes internos ágilmente. XBRL permite que el software de análisis de nogocio y financiero opera de manera más óptima dado que los datos son entendidos y comparables. Bajo impacto ante cambios normativos. Ahorro en gastos de papelería. OBJETIVOS: Este documento pretende facilitar a todos los interesados en el estándar XBRL el primer acercamiento a esta tecnología. Es objetivo del libro mitigar el miedo a lo desconocido y aportar una serie de datos y recomendaciones útiles para cualquier entidad que se plantee implantar XBRL. Generar especial interés para los técnicos que pretendan iniciar un proyecto XBRL de cualquier tipo, ya que en él pueden encontrar una referencia a todos los componentes tecnológicos que van a necesitar.