ISO 27001

ISO 17799 MAPA CONCEPTUAL

RESUMEN ARGUMENTATIVO MAGERIT

MAGERIT 

INTRODUCCIÓN:

Es la metodología de análisis y gestión de riesgos elaborada por el Consejo Superior de Administración Electrónica que estima que la gestión de los riesgos es una piedra angular en las guías de buen gobierno. Entre sus objetivos se encuentran Ofrecer un método sistemático para analizar tales riesgos; apoyar la preparación a la organización para procesos de evaluación, auditoria, certificación o acreditación, según corresponda en cada caso; ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control y concienciar a los responsables de los SI de la existencia de riesgos  y de la necesidad de atajarlos a tiempo. Su finalidad es satisfacer el principio de proporcionalidad en el cumplimiento de los principios básicos y requisitos mínimos para proteger la información.

PRINCIPIOS

MANDATO Y COMPROMISO Responsabilidad fuerte y sostenido de la dirección y la planeación estratégica de este.

DISEÑO DEL MARCO DE TRABAJO comprensión de la organización y su contexto, políticas de riesgo, obligación de informes, interacción de procesos, recursos, mecanismos internos y externos de comunicación e información.

IMPLEMENTACION DE LA GESTIÓN DE RIESGOS implementación de marco de trabajo y procesos adecuados para la gestión de riesgos.

SEGUIMIENTO Y REVISIÓN DEL MARCO verificación de los procesos de la gestión de riesgos y al control de los mismos.

MEJORA CONTINUA DEL MARCO Comprende marcos estratégicos para la mejora continua de la gestión de riesgos mediante la planificación, el hacer, verificar y actuar

ANÁLISIS Y GESTIÓN DE RIESGOS La metodología MAGERIT realiza diferentes actividades enfocadas a los activos informáticos, que posee la entidad para el tratamiento de la información. Si dicha información es valiosa y muy relevante Esta metodología permitirá saber el valor que representa y posteriormente aplicar las medidas necesarias para protegerlo, se debe conocer el riesgo al que están sometidos los elementos de trabajo para lo cual es imprescindible para poder gestionarlos.

DESAROLLO: 
A continuación se presentan las caracteristicas más importantes que deben tenerse en cuenta para MAGERT:

AMENAZAS aquellos incidentes que pueden generar daño en la organización produciendo pérdidas materiales o inmateriales

RIESGOS El riesgo se reconoce como una posibilidad de que exista un impacto negativo en un Activo o Dominio.

VULNERABILIDADES la relación entre un activo y una amenaza. Se expresa con valores decimales extremos (0 y 1), donde  0= la amenaza no alcanza al activo y 1= no alcanzable, agresión permanente.

SALVAGUARDIAS O CONTROLES acción que reduce un riesgo mientras que el mecanismo salvaguarda es el dispositivo capaz de reducir el riesgo.

MECANISMOS DE SALVAGUARDA

Se identifican desde su coste técnico u organizativo. Actúan de dos formas: *Neutralización: Bloqueo o neutralización de la amenaza antes de que se convierta en agresión. * Mejora el perfeccionamiento del estado de seguridad del activo agredido por medio de la reducción del impacto

VALORACIÓN DE ACTIVOS

Entre sus elementos se encuentran los siguientes: Disponibilidad, integridad de datos, confidencialidad de datos, autenticidad de usuarios de servicio, autenticidad de origen de los datos y trazabilidad del servicio y datos.

VENTAJAS Y DESVENTAJAS

Una de las ventajas es que las decisiones que deban tomarse y que tengan que ser validadas por la dirección estarán fundamentadas y serán fácilmente defendibles. La principal desventaja El hecho de tener que traducir de forma directa todas las valoraciones en valores económicos hace que la aplicación de esta metodología sea realmente costosa.

VERSIONES

VERSIÓN 1.0 (1997) análisis de riesgos se ha consolidado como paso fundamental para la gestión de la seguridad informática

VERSIÓN 2.0 Introdujo nuevas alternativas para medir los activos, intenta diferenciar de manera más contundente lo que es esencial y permanente, de lo que es coyuntural

VERSIÓN 3.0 (2012) organizado en tres libros, enfatiza en el desarrollo de nuevas aplicaciones.

BIBLIOGRAFIA

• Carvajal, A. (s.f.). Análisis y gestión de riesgos, base fundamental del SGSI Caso: Metodologia MAGERIT. Obtenido de  http://52.1.175.72/portal/sites/all/themes/argo/assets/img/Pagina/17- ElAnalisisRiesgosBaseSistemaGestionSeguridadInformacionCasoMagerit.pdf.
• Diaz, M. (2009). audea. Obtenido de http://www.audea.com/analisis-de-riesgos-iso-27005-vs-magerit-yotras-metodologías
• España, G. d. (2015). MAGERIT v.3 : Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Obtenido de http://administracionelectronica.gob.es/pae_Home.html#.VgwU7fl_Oko

RESUMEN DESCRIPTIVO COBIT

OBJETIVOS DE CONTROL PARA INFORMACIÓN Y TECNOLOGÍAS RELACIONADAS (COBIT)

Es un conjunto de mejoras y practicas que a partir de recursos organizados busca ser un fundamento o referencia para la administración de tecnologías de información enfocado a control y supresión. 

Misión: Según ISACA es investigar, desarrollar, publicar y promocionar la integración de los objetivos de control generalmente aceptados para las tecnologías de información.

Antecedentes:

*Integración de marcos por ejemplo COSO 

*Aprovechamiento de información 

*Alineación de metas y objetivos con las tecnologías de información

Evolución: Basicamente se realizo por el conocido caso de Enron, asi evoluciono de 1992 - 1998 - 2000 - 2005 - 2007.

Principios:

*Satisfacer necesidades de partes interesadas

*Cubrir la empresa de extremo a extremo 

*Aplicar el marco de referencia unico integrado

*Hacer posible un enfoque holistico

*Separar el gobierno de la gestión

CUBO COBIT

MODELO DE MADUREZ COBIT 5

Utiliza el modelo ISO 15504 -> Modelo Spice

Presenta 6  modelos de capacidad, en los modelos anteriores se utilizaban niveles de madurez

Objetivo: Llevar a cabo los ensayos de la industria a la norma

NIVELES DE CAPACIDAD

Nivel 0 Incompleto    

Nivel 1 Alcanzado

Nivel 2 Gestionado

Nivel 3 Establecido

Nivel 4 Predecible

Nivel 5 Optimizado

Estos niveles poseen 9 Atributos

PRODUCTOS DE COBIT 5

*Guía de habilitación: Complementa Cobit y tiene guía de referencia 

Para partes interesadas, meta de la organización, ciclo de vida, buenas practicas.

Divide las practicas de la organización (Gobierno y Administración Y Dominios vinculados de la administración)

*Guía profesional de orientación: Mejora del gobierno corporativo de tecnología de la información (GEIT) 

 

COBIT COMO HERRAMIENTA PARA EL CUMPLIMIENTO 

*Ley Sarbanes Oxley 

*King III

REGULACIÓN

*Cobit es un marco de aplicación necesario

*En el caso colombiano ISACA: La superfinanciera esta buscando implementar este modelo en las empresas del sector real.

NOTA: Algunas compañías reconocen la aplicación del modelo no como un costo si no como un activo.

 

BIBLIOGRAFIA

http://www.javeriana.edu.co/personales/hbermude/Audire/jarb.pdfhttp://www.isaca.org/cobit/pages/default.Imagen: https://www.google.com.co/search?q=COBIT&espv=2&biw=1366&bih=623&source=lnms&tbm=isch&sa=X&ved=0CAYQ_AUoAWoVChMI7ueHztz7xwIVhqQeCh3ImwaH#imgrc=0wuOmOFpeMvFMM%3A

RESUMEN DESCRIPTIVO COSO

COSO 

Es una organización que pertenece al sector privado, su fin es brindar orientación sobre aspectos como la organización, ética de la empresa, presentación de estados financieros y fraudes. El sistema de control es evaluado.

COSO 1: (1992) Se creo para facilitar a las empresas la evaluación y mejora del sistema de control interno, siendo este un conjunto integrado de procesos que sirve para proporcionar seguridad razonable para el logro de los objetivos con ayuda de la dirección, administración y el personal de la empresa.

Objetivos: * Efectividad y eficiencia en las operaciones 

                   * Confiabilidad de la información financiera

                   * Cumplimiento de las leyes y regulaciones aplicables

Estructura COSO

*Ambiente de control: Fundamenta los demas componentes del control interno, es el marco de conocimiento de la organización.

*Evaluación del riesgo: Identificacion y analisis de riesgos que interfieren en el logro de objetivos.

*Actividad de control: Politicas y procedimientos que aseguran el cumplimiento de las directivas administrativas.

*Información y comunicación: Identificación, obtención y comunicación oportuna para que la compañia pueda gestionar y controlar la operación.

*Monitoreo: Valora el desempeño del sistema en el tiempo

COSO ERM: (2003) Estableció nuevos conceptos, ahora son 8 componentes que se alinean con cuatro objetivos:

*Estrategicos

*Operacionales

*Informes 

*Cumplimento

Conceptos varios: 

*Administración de riesgo y administración de la estrategia

*Eventos del riesgo

*Apetito al riesgo

*Tolerancia al riesgo

*Visión de portafolio de riesgo

Tipos de actividades de control:

*Preventiva

*Detectiva

*Manuales

*Controles gerenciales 

Respuestas al riesgo:

*Evitarlo

*Reducirlo

*Compartirlo

*Aceptarlo

                                     Estructura COSO ERM: (Cambios respecto a COSO 1)

*Ambiente de control: Dentro de el existen 2 componentes: *Ambiente interno y *Establecimiento de objetivos

*Evaluación del riesgo: Dentro de el existen 3 componentes: *Identificación del riesgo *Evaluación del riesgo * Respuesta a los riesgos

*Actividad de control: Igual que COSO 1 

*Información y comunicación: Igual que COSO 1 

*Monitoreo: Igual que COSO 1 

COSO 3 (2003) Es el mas actualizado, esta compuesto por los mismos 5 componentes del COSO 1, Posee 17 principios, 5 para ambiente de control, 4 para evaluación del riesgo y actividades de control, 2 para sistemas de información y 2 para monitoreo. 

Estos sistemas se deben implementar en toda la organización.

BIBLIOGRAFÍA

http://camara.ccb.org.co/documentos/4663_pwc___ccb___coso_report.pdfhttp://www.auditool.org/index.php?option=com_content&view=article&id=290:el-informe-coso-i-y-ii&catid=39:trip-deals&Itemid=56

Imagen: https://www.google.com.co/search? q=coso+1&espv=2&biw=1366&bih=643&source=lnms&tbm=isch&sa=X&ved=0CAYQ_AUoAWoVChMI16n9wcT6xwIVTCweCh1trgJh#imgrc=z-wcN8dz0f_EVM%3A

CUADRO COMPARATIVO NORMAS COLOMBIANAS

BIBLIOGRAFIA:

LEY ESTATUTARIA 1266 DEL 31 DE DICIEMBRE DE 2008

LEY 1273 DEL 5 DE ENERO DE 2009

LEY 527 DEL 18 DE AGOSTO DE 2009

LEY 1341 DEL 30 DE JULIO DE 2009

LEY ESTATUTARIA 1581 DE 2012

LEY 603 DE 2000

COMENTARIO CONTRAPARTIDA 1475

CONTRAPARTIDA 1475 "REPORTES EN LA NUBE"

En la actualidad existe variedad de sistemas electrónicos que nos permiten salir de lo obsoleto en cuanto a tecnología. En nuestra profesión, es muy importante mantenernos actualizados no solo en la parte contable si no en las técnicas que nos permitan facilitar la transmisión de información y que los interesados en ella tengan acceso disponible cuando así lo requieran. Colombia es uno de los países en el cual no se le da un buen uso a los sistemas de información contable, lo cual para mi concepto se da mas que todo por el concepto de ciberofobia, por tal motivo se tiene que tener en cuenta que es necesaria la buena planeación de las estrategias y entre ellas la implementación de sistemas que permitan al usuario de información manejarla de forma mucho mas eficiente, de fácil manejo y entendimiento.

Bibligrafía:

Gómez, H. B. (17 de Agosto de 2015). Contrapartida. Reportes de la nube , pág. Número 1475.

MAPA CONCEPTUAL PRÁCTICAS DE AUDITORIA

Información tomada de: http://www.javeriana.edu.co/fcea/cuadernos_contab/vol3_n_13/vol3_13_3.pdf 

MAPA CONCEPTUAL CI

Información tomada de: http://www.javeriana.edu.co/fcea/cuadernos_contab/vol1_n_7/vol1_7_6.pdf

RESUMEN DESCRIPTIVO

HADWARE Y SOFTWARE

El hadware describe las partes físicas del computador, es decir todas las partes que se pueden tocar. Este se puede clasificar hadware interno que se trata del disco duro, es decir donde se almacena la información, también la memora RAM la cual es volátil, es decir que necesita constante flujo de electricidad para trabajar, existe el almacenamiento secundario el cual es no volátil por ejemplo el hard - drive, DVD o flash drive y por ultimo la CPU la cual recibe códigos desde la memoria y entre mas rápida sea mas instrucciones pueden ser procesadas. La segunda clasificación es el hadware externo el cual se caracteriza por elementos como el mouse, el monitor y el teclado. 

El software se trata de las instrucciones que a través de sistemas operativos y programas instalados o que están por instalarse realizan las tareas que se ordenan. En el sistema operativo los controles interactuan con el hadware y los componentes del software, ejemplo de esto son las aplicaciones o programas tales como office o photoshop.

NETWORK INVENTORY ADVISOR (Consultor de inventario en la red)

Es un ordenador o programa de escaneo del inventarios de hadware y software de los dispositivos que se tienen en la red, es decir que detecta automáticamente los activos de red, los escanea y hace informes de inventario los cuales quedan listos para usar. Un dato interesante, es que en caso de que el computador este fuera de la red, se exporta el inventario en una USB y se importa en los datos auditados en el resumen de la red, también este programa tiene un sistema de alerta para dar conocimiento a los usuarios de los cambios que ocurren en los archivos. Un informe requerido se puede exportar y enviar o guardar, este procedimiento puede tardar máximo 3 minutos, así que esta es otra ventaja de esta herramienta.

BIBLIOGRAFIA

•           ClearappsSoftware. (s.f.). YouTube. Recuperado el 10 de Agosto de 2015, de Network Inventory Advisor - Get network software & hardware details: https://www.youtube.com/watch?v=KIlOCsYT8Hc
•           Flores, C. P. (s.f.). Clases de tecnologia y educación. Recuperado el 10 de Agosto de 2015, de Imagen tomada : http://claryshernandez.blogspot.com/2015/05/clases-de-tecnologia-y-educacion.html
•           KarBytes. (s.f.). YouTube . Recuperado el 10 de Agosto de 2015, de Cs Beginner Bits: Computer Architecture: https://www.youtube.com/watch?v=HEjPop-aK_w
•           MentorEnLínea. (s.f.). YouTube. Recuperado el 10 de Agosto de 2015, de Que es software y hadware: https://www.youtube.com/watch?v=gD9ffRHyZqs