Estándares de Seguridad Informática



Documentos relacionados
POLITICA DE SISTEMA DE CONTROL INTERNO

ISO 9000 Escuela de Ingeniería de Sistemas y Computación Desarrol o de Software II Agosto Diciembre 2007

Information Technology Infrastructure Library

Implementando COBIT. Por: Víctor Julio Zúñiga.MBA

COLEGIO DE CONTADORES, ECONOMISTAS Y ADMINISTRADORES DEL URUGUAY. Sarbanes-Oxley Act. Principales Aspectos de la Ley

#233 Seguridad desde el punto de vista SOX y Gobernalidad

GLOSARIO DE TÉRMINOS

Educación superior desde Curso. Ley Sarbanes Oxley. Duración 25 horas. Conocimiento en acción

FÁBRICA DE SOFTWARE. Presentado por: Ing. Juan José Montero Román Gerente de Fábrica de Software USMP

Ejemplo real de implantación de ISO 20000

I INTRODUCCIÓN. 1.1 Objetivos

La integración de procesos

GUIA PARA LA IMPLEMENTACION Y SEGUIMIENTO DE PLANES DE MEJORAMIENTO

Proceso: AI2 Adquirir y mantener software aplicativo

INTRODUCCIÓN. El presente proyecto se ha elaborado como propuesta apara el Programa de Gestión de Calidad SISO 9000:2000

OHSAS 18001: Sistema de Gestión de la Seguridad y Salud en el trabajo

Norma ISO 9001: Sistema de Gestión de la Calidad

Norma ISO Francisco D Angelo Douglas García Claudia Herrera Luis Laviosa

ENFOQUE ISO 9000:2000

POLÍTICAS DE CONTROL INTERNO DE LA BOLSA DE VALORES DE COLOMBIA S.A.

Programa de Desarrollo Profesional en Mejora del Proceso de Software

INSTRODUCCION. Toda organización puede mejorar su manera de trabajar, lo cual significa un

Unidad VI: Auditoria de la calidad

Qué es el Modelo CMMI?

BITCompany - THE BUSINESS AND IT GOVERNANCE STARTING POINT -

Exsis Software & Soluciones S.A.S

Basado en la ISO 27001:2013. Seguridad de la Información

Qué es la Auditoria en Sistemas de Información?

POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST

Gestión de riesgo operacional

MAESTRÍA EN INGENIERÍA DE COMPUTACIÓN Y SISTEMAS CON MENCIÓN EN GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN

R E S U M E N E J E C U T I V O

Estándares de Seguridad

global trust Razones por las cuales debería emplearse un Laboratorio Acreditado? International Laboratory Accreditation Cooperation

CONTROL INTERNO SOBRE LA INFORMACIÓN FINANCIERA. Gerencia de Contabilidad y Supervisión Mayo 2014

COMPILACION BIBLIOGRAFICA PMBOK, OPM3 JHON FREDY GIRALDO. Docente: Carlos Hernán Gomez Asignatura: Auditoria de Sistemas

Seminario de Actualización: Gobernabilidad de Tecnología de Información. Organismos relacionados con TI


ISO 17025: Requisitos generales para la competencia de los laboratorios de ensayo y calibración

Introducción. Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los Procesos

Nombre del Puesto Coordinador de Redes y Telecomunicaciones. Coordinador de Redes y Telecomunicaciones. Unidad de Redes y Telecomunicaciones

Definición del Catalogo de Servicios V3. José Ricardo Arias Noviembre de 2010

GESTIÓN DE RIESGO OPERATIVO

Principio Básico de Seguros IAIS No. 10 Control Interno. Experiencia Peruana. Superintendencia de Banca, Seguros y AFP Abril 2010.

Estatuto de Auditoría Interna

COMISIÓN DE CONSULTORÍA CONTROL INTERNO-COSO

CAPÍTULO 1. INTRODUCCIÓN

COSO Marco de referencia para la implementación, gestión y control de un adecuado Sistema de Control Interno

CMMI (Capability Maturity Model Integrated)

EMPRESAS PÚBLICAS DE MEDELLÍN E.S.P. DIRECCIÓN CONTROL INTERNO PROYECTO NORMALIZACIÓN ACTIVIDAD DE AUDITORÍA INTERNA

ARANDA SOFTWARE: EXPERIENCIA DE IMPLEMENTACION DE CMMI SERVICIOS EN UNA ORGANIZACIÓN QUE CUENTA CON IMPLEMENTACION DE CMMI DEV María Smith Gutiérrez

CALIDAD DEL SOFTWARE TESTS DE EXAMEN ACTUALIZADO SEP TEMA 3 NORMALIZACIÓN Y CERTIFICACIÓN: NORMA ISO 9001:2000

VENTAJAS Y RIESGOS DE LA TECNOLOGÍA INFORMÁTICA Y COMUNICACIONES (TIC), EN EL EJERCICIO DE LA REVISORÍA FISCAL.

SARBANES-OXLEY SOX. Agenda

Soluciones Integrales que brindan Calidad, Seguridad y Confianza

sobre SIGEA Consultora de referencia en ISO 27001

Inducción a la Ley Sarbanes-Oxley

UNIVERSIDAD TECNOLÓGICA DE PANAMÁ SECRETARÍA GENERAL FACULTAD DE INGENIERÍA DE SISTEMAS COMPUTACIONALES

DE ISO e ISO LA EVOLUCIÓN HACIA UN MODELO DE GOBERNANZA EMPRESARIAL DE TI? Diana Rocio Plata Arango Diana.plata@uptc.edu.

Gestión de riesgo operacional

Sistemas de gestión en servicios de TI (UNIT ISO/IEC )

Índice. Quiénes Somos? Nuestra Razón de Ser. Nuestros Valores. Nuestra visión. Catálogo de Servicios. Por qué elegirnos

SEGURIDAD DE LA INFORMACIÓN

Modelo de Seguridad de la Información. Luis Mauricio Vergara Enero de 2013

Introducción al IT Governance. Juan Rodrigo Anabalón Auditoria informática Universidad de los Lagos Chile

II. PROCESO DE EVALUACIÓN DESARROLLO Y ADMINISTRACIÓN DE SISTEMAS INFORMÁTICOS

Estatutos del Comité de Auditoría

MATERIA: AUDITORIA DE SISTEMAS

Es posible situar al riesgo en un área confortable? Nueve principios para construir una Empresa Inteligente en Riesgos

SISTEMA DE GESTIÓN DE PREVENCIÓN DE RIESGOS SEGÚN MODELO OHSAS 18001

Necesita un sistema para entregar servicios de TI consistentes, eficaces y confiables? Utilice un sistema de gestión en conformidad con ISO/IEC 20000

ICTE NORMAS DE CALIDAD DE AGENCIAS DE VIAJES REGLAS GENERALES DEL SISTEMA DE CALIDAD. Ref-RG Página 1 de 9

Se aportan, para la configuración de este anexo, las categorías profesionales más habituales según la definición del MRFI-C:

Norma ISO 14001: 2004

ANEXO 23: TÉRMINOS DE REFERENCIA PARA LA AUDITORÍA DEL PROYECTO

SISTEMAS DE GESTIÓN MEDIOAMBIENTAL

Midiendo la efectividad de su programa de seguridad de información. Iván Campos 28 de Mayo de 2014

Ley Sarbanes Oxley en Chile y su Impacto en los Gobiernos Corporativos. 28 de octubre de 2003

COMPONENTES DEL SISTEMA DE CONTROL INTERNO COMITÉ DE CONTROL INTERNO- SISOL

Sistema de Control Interno

RESUMEN EJECUTIVO. La gestión de riesgos corporativos incluye las siguientes capacidades:

SOLUCIONES AVANZADAS EN TECNOLOGIA, INFORMATICA Y COMUNICACIONES SOCIEDAD POR ACCIONES SIMPLIFICADA

ORGANIZACIONAL DEL AREA DE SISTEMAS (CONTROLES SOBRE LAS ACTIVIDADES IT)

RESUMEN DEL MANUAL DE PROCEDIMIENTOS DE PREVENCIÓN DEL BLANQUEO DE CAPITALES Y LA FINANCIACIÓN DEL TERRORISMO. Febrero, 2014

Gobierno de TI. Impulsor de metas empresariales. Optimización de los servicios de TI con ITIL. Gobierno TI.

FONDO DE MODERNIZACIÓN DE LA GESTIÓN PÚBLICA

SERVICIOS DE CONSULTORÍA DE ITIL

8. Sistema de Gestión de la Salud y la Seguridad en el Trabajo OHSAS 18001:2007

Modelos y Normas Disponibles de Implementar

SEGURIDAD GESTIONADA

LA RSE EN PYME LA DIRECCIÓN EMPRESARIAL EN LA RSE DATOS DEL ENTREVISTADO. Nombre: Cargo: Área: Teléfono: Fax: Correo electrónico: Reunión Nº: Fecha:

REGLAMENTO COMITÉ DE AUDITORÍA COMPAÑÍA MUNDIAL DE SEGUROS S.A

Modulo 4: COBIT COMO MARCO DE TRABAJO PARA UN BUEN GOBIERNO DE TI

IT Effectiveness. Creamos valor a través de la Gestión de la Tecnología * *connectedthinking

CALIDAD DEL SOFTWARE TESTS DE EXAMEN ACTUALIZADO SEP TEMA 4 MODELOS, METODOLOGÍAS Y ESTÁNDARES: ESTRATEGIAS PARA ALCANZAR LA CALIDAD

E a v l a ua u c a i c ón ó n de d l e Pr P oc o e c s e o s o de d Ing n e g n e i n er e ía a de d e So S f o twa w r a e

n u e v o s p a r a d i g m a s... n u e v a s s o l u c i o n e s.

Biblioteca de Infraestructura de Tecnologías de Información. Estándar mundial de factor en la Gestión de Servicios Informáticos

Estrategia Fiscal S.A.S. Asesoría Tributaria, Legal y Financiera

Transcripción:

Estándares de Seguridad Informática Por: Anagraciel García Soto, José Luis Sandoval Días. 01/11/2009

Conceptos de Estándares de Seguridad Informática. 1. Estándar: Especificación que se utiliza como punto de partida para el desarrollo de servicios, aplicaciones, protocolos, etc.; y que regula la realización de ciertos procesos o la fabricación de componentes para garantizar la interoperabilidad (Anónimo, 2009). 2. Estándar de Seguridad Informática: Son conjunto de buenas prácticas en seguridad de la información en base a otros modelos de gestión (Anónimo, 2005). 3. Estándar COSO-SOX: (Committee of Sponsoring Organizations of the Treadway Commission). El informe COSO, es el resultado de la investigación de un grupo de trabajo integrado por la Comisión Treadway con el objetivo de definir un nuevo marco conceptual de Control Interno capaz de integrar las diversas definiciones y conceptos que se utilizan sobre este tema (Federico Iturbide (2005). Los controles internos se diseñan e implantan con el fin de detectar, en un plazo deseado, cualquier desviación respecto a los objetivos de rentabilidad establecidos para cada empresa y de prevenir cualquier evento que pueda evitar el logro de los objetivos, la obtención de información confiable y oportuna y el cumplimiento de leyes y reglamentos. Los controles internos fomentan la eficiencia, reducen el riesgo de pérdida de valor de los activos y ayudan a garantizar la confiabilidad de los estados financieros y el cumplimiento de las leyes y normas vigentes. En sentido amplio, se define como un proceso efectuado por el Consejo de Administración, la dirección y el resto del personal de una entidad, diseñado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos dentro de las siguientes categorías: Eficacia y eficiencia de las operaciones. Confiabilidad de la información financiera. Cumplimiento de las leyes y normas aplicables. 4. Estándar COBIT: Control Objectives for Information and related Technology: ofrece un conjunto de mejores prácticas para la gestión de los Sistemas de Información de las organizaciones, con el objetivo principal de proporcionar una guía a alto nivel sobre puntos en los que establecer controles internos (Marble, 2008). 5. Estándar ISO 27001: Estándar para sistemas de gestión de la seguridad de la información adoptado por ISO transcribiendo la segunda parte de BS 7799. Es certificable (Anónimo, 2005). 6. Estándar CMM: Es el estándar de modelo de madurez de capacidades, describe un continuo de cinco etapas basado en que tan bien la organización se apega a procesos comunes y repetibles para realizar el trabajo. El nivel más bajo de la escala describe a compañías sin procesos repetibles, en donde mucho del trabajo es caótico y ad-hoc. El nivel más alto, describe a organizaciones que usan procesos definidos y repetibles, obtienen métricas que contribuyen a la mejora continua de sus procesos y que están en búsqueda de hacer las cosas mejor de manera continua (Anónimo). El CMM fue desarrollado de 1984 a 1987 por Watts Humphrey y el Instituto de Ingeniería de Software (SEI). El SEI es parte de la Universidad Carnegie Mellon; CMM es fondeado por el Departamento de Defensa de los Estados Unidos (DoD).

El CMM contiene cinco etapas para evaluar que tan sofisticada es una organización en el establecimiento y apego a procesos estándares. Certificaciones: COSO-SOX: Los requisitos más importantes que exige la nueva ley son los siguientes: Establecer un nuevo consejo de vigilancia, supervisado por la SEC (Security Exchange Commision - Comisión de Valores de Estados Unidos). Definir nuevas funciones y responsabilidades para el comité de auditoría, que debe tener miembros independientes a la administración. Nuevas reglas para la conformación de los Consejos de Administración, para que incluyan personas ajenas al grupo de control de la empresa. Que los directivos acompañen los reportes con una certificación personal, en general se incrementan las responsabilidades de los directores generales y de los directores de finanzas. Código de ética para los altos funcionarios de la organización. Definir un esquema de medición del control interno que se aplique constantemente. Que los directivos certifiquen el buen funcionamiento de sus sistemas de control interno. Establecer nuevos requerimientos de información, que abarcan cuestiones no financieras y financieras que no aparecen en los estados respectivos. El auditor externo tiene que verificar la certificación del control interno y emitir un dictamen al respecto. Rotación de los auditores cada cinco años. Especificar los servicios que no podrán ser realizados por los auditores externos. Reforzar penas por fraudes corporativos y de personal administrativo. Emitir reglas sobre conflictos de interés.

Nuevos esquemas de administración de riesgos. Aumentar la autoridad y funciones de la SEC. CMMI,COBIT Y ITIL: Personal de soporte de TI, Consultores de TI, Usuarios clave de negocio, Gerentes y administradores de TI y auditores, Prácticantes, Firmas que proveen servicios de administración de TI. Cada estudiante recibirá un manual que comprenderá las diapositivas usadas en el curso, versión 2.0, un examen ejemplo y definiciones clave. ISO 2700 Y 2000: Pequeñas y medianas empresas. Otras Entidades sin fines de lucro legalmente constituidas, que presten servicios de asesoramiento y apoyo a la innovación en las PYME. Agrupaciones o asociaciones empresariales en las que participen PYME. Los proyectos deberán involucrar a un conjunto de PYME, en número igual o superior a seis e igual o menor a 20 PYME. En caso de que un mismo solicitante tenga más PYME a certificar, deberá presentar una nueva solicitud respetando los máximos y mínimos anteriores. Los proyectos presentados deberán incluir la realización, entre otras, de las siguientes tareas: Diagnóstico previo de la gestión del servicio TI o gestión de la seguridad de la información en cada una de las PYME interesadas. La definición de los programas de mejora a llevar a cabo a fin de obtener la certificación correspondiente. La implantación de los procesos de mejora previos a la obtención de la certificación y la propia obtención de esta. Cada proyecto presentado, incluyendo a un número mínimo de seis PYME, deberá orientarse a sólo una de las tres acciones antes indicadas (calidad del software, gestión del servicio TI y gestión de la seguridad de la información), no pudiendo incluirse en la misma solicitud diferentes tipos de certificación para PYME. Referencias. 1. Anónimo (2009). Glosario de Seguridad Informática parte II. Consultado en Julio, 2009 en http://www.taringa.net/posts/info/2054049/recopilaci%c3%b3n---glosario-de- Seguridad-Informatica-PARTE-II.html. 2. Anónimo (2005). Otros Estándares. Consultado en Julio, 2009 en http://www.iso27000.es/otros_estandar.html. 3. Marble (2008). Cobit, Estándar para el Buen Gobierno de los Sistemas de Información. Consultado en Julio, 2009 en http://www.marblestation.com/?p=645. 4. Anónimo (2005). El Portal de ISO 27000 en Español. Consultado en Julio, 2009 en http://www.iso27000.es/glosario.html#i. 5. Anónimo (). Modelo de Madurez de Capacidad. Consultado en Noviembre, 2009 en http://www.tenstep.com.mx/paso0.0.1.1.asp.

6. Federico Iturbide (2005). Ley Sarbanes-Oxley Act. Consultado en Noviembre, 2009 en http://www.economiaynegocios.uahurtado.cl/peee/pdf/ley%20sarbanes%20oxley%20fe derico%20iturbide.pdf. 7. IT INSTITUTE Advanced Information Tecnology Center (). COBIT. Consultado en Noviembre, 2009 en http://itinstitute.org/index.php?option=com_content&task=view&id=33&itemid=41&gclid=cp3k2 7-Ao54CFSWjagodZQ8elA. 8. Víctor Manuel Tascón (2009). Subvenciones Certificación ISO 27001, ISO 20000, CMMI. Consultado en Noviembre, 2009 en http://derechodelastics.blogspot.com/2009/03/planavanza-2-subvenciones.html.

2026 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback