Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 467 vistas

    Estándares de Auditoría Informática y de Seguridad

    Cargado por

    julio
    Los documentos describen varios estándares clave para la auditoría y gestión de TI, incluyendo COBIT para auditoría de TI, ISO 27002 e ISO 27001 para seguridad de la información, VALIT e ISO 38500 para gobierno de TI, e ITIL para gestión de servicios de TI. Explican que estos estándares proveen marcos y directrices para asegurar que las inversiones en TI generen valor para el negocio de manera eficiente y con bajo riesgo.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd

    Estándares de Auditoría Informática y de Seguridad

    Cargado por

    julio
    467 vistas6 páginas
    Los documentos describen varios estándares clave para la auditoría y gestión de TI, incluyendo COBIT para auditoría de TI, ISO 27002 e ISO 27001 para seguridad de la información, VALIT e ISO 38500 para gobierno de TI, e ITIL para gestión de servicios de TI. Explican que estos estándares proveen marcos y directrices para asegurar que las inversiones en TI generen valor para el negocio de manera eficiente y con bajo riesgo.

    Descripción original:

    sr

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Los documentos describen varios estándares clave para la auditoría y gestión de TI, incluyendo COBIT para auditoría de TI, ISO 27002 e ISO 27001 para seguridad de la información, VALIT e ISO 38500 para gobierno de TI, e ITIL para gestión de servicios de TI. Explican que estos estándares proveen marcos y directrices para asegurar que las inversiones en TI generen valor para el negocio de manera eficiente y con bajo riesgo.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Descargar como docx, pdf o txt
    467 vistas6 páginas

    Estándares de Auditoría Informática y de Seguridad

    Cargado por

    julio
    Los documentos describen varios estándares clave para la auditoría y gestión de TI, incluyendo COBIT para auditoría de TI, ISO 27002 e ISO 27001 para seguridad de la información, VALIT e ISO 38500 para gobierno de TI, e ITIL para gestión de servicios de TI. Explican que estos estándares proveen marcos y directrices para asegurar que las inversiones en TI generen valor para el negocio de manera eficiente y con bajo riesgo.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Descargar como docx, pdf o txt
    de 6

    Estndares de Auditora Informtica y de Seguridad

    Una auditora se realiza con base a un patrn o conjunto de directrices o buenas


    prcticas sugeridas. Existen estndares orientados a servir como base para
    auditoras de informtica. Uno de ellos es COBIT (Objetivos de Control de la
    Tecnologas de la Informacin), dentro de los objetivos definidos como parmetro,
    se encuentra el "Garantizar la Seguridad de los Sistemas". Adicional a este
    estndar podemos encontrar el estndar ISO 27002, el cual se conforma como un
    cdigo internacional de buenas prcticas de seguridad de la informacin, este
    puede constituirse como una directriz de auditora apoyndose de otros
    estndares de seguridad de la informacin que definen los requisitos de auditora
    y sistemas de gestin de seguridad, como lo es el estndar ISO 27001.

    IEDGE Estndares para la Gestin de TI, primera


    parte
    1.- Estndares para la Gestin de las Tecnologas de la Informacin
    Cuando miles de empresas y organizaciones en cientos de pases se encuentran
    con los mismos problemas en la gestin de sus los Proyectos Informticos y en
    general con la gestin de las Tecnologas de la Informacin, uno se pregunta si
    no existirn soluciones ya probada y suficientemente extendida como para que
    no tengamos que inventarnos nosotros una solucin desde cero.
    La buena noticia es que existen buenas prcticas y estndares para la Gestin
    de Proyectos, Gestin de los Servicios y en general para la Gestin de los
    Departamentos de TI. La mala noticia es que no hay un solo estndar, hay
    prcticamente cientos.

    Ilustracin 1: Estndares relacionados con la Gestin de las Tecnologas de la


    Informacin
    En este grfico se recoge de forma sucinta algunos de los estndares ms
    difundidos que tienen relacin con la gestin de TI, desde estndares de calidad
    como TQM o 6 Sigma que son aplicados en empresas y departamentos de
    informtica como medio de mejora, a sistemas de control empresarial
    como SOX en Estados Unidos o BASILEA en Europa que van incorporando cada
    da ms controles operativos que afectan a TI; pasando por estndares de gestin
    o Gobierno de TI como funcin especfica dentro de las empresas
    como VALIT o ISO38500; siguiendo por estndares de Auditora
    Informtica como COBIT; guas de Gestin de Servicios de TI como ITIL o
    de Madurez en el Desarrollo como CMMI; hasta llegar a marcos de referencia
    para la Gestin de Proyectos (no necesariamente informticos)
    como PMBOK o PRINCE2, o metodologas orientadas al Desarrollo de
    Software como RUP o SCRUM.
    Slo dar un vistazo a este tipo de cuadro produce bastante desconcierto, he
    incluso un poco de vrtigo. Todos desearamos que fuera ms sencillo, que

    hubiera una norma, una gua o un estndar que todos pudiramos seguir y de
    esta forma garantizar el xito de nuestros proyectos.
    La realidad es que no existe una respuesta sencilla y adems, hay muchas
    organizaciones ms o menos interesadas en darnos una respuesta. Debemos
    entender que detrs de todo estndar, gua o norma existen una gran cantidad de
    certificaciones, cursos y servicios que hacen ganar dinero a bastante gente.
    Muchas de estas guas, normas y estndares son tiles, pero tambin esconden
    ciertos costes que debemos pagar para poder aprovecharlas.
    Para complicarlo un poco ms, algunos de estos estndares y normativas han
    producido casos de burocratizacin excesiva de la gestin, cargando de
    documentos y controles los procesos, pero sin producir realmente un efecto
    realmente significativo sobre el xito de los proyectos.
    Vamos a intentar despejar un poco este mare magnum de siglas y veamos
    algunos de los estndares y normativas ms extendidas y ms tiles de las que
    se utilizan en los diferentes niveles de Gestin de los Sistemas y Tecnologas de
    la Informacin, desde el Gobierno de TI hasta la Gestin de Proyectos.
    2.- Estndares para el Gobierno de TI
    El Gobierno de las Tecnologas de la Informacin o Gobierno de TI es, segn el
    IT Governance Institute (ITGI), es el conjunto de herramientas y mtodos que
    ayuda a la Alta Gerencia asegurar que la organizacin obtenga un ptimo valor de sus
    inversiones de negocio relacionadas a TI, a un costo manejable y bajo un nivel de
    riesgo aceptable. Es por lo tanto el gobierno de ms alto nivel de la gestin de las
    tecnologas de la informacin, aquel que permite alinear los objetivos de negocio
    y los objetivos de la empresa.
    Entre los estndares que han surgido en este nivel de Gobierno de TI podemos
    destacar VALIT, creado por el ITGI, y que organizar el conjunto total de prcticas
    de la direccin de TI en tres reas:

    Gobierno del Valor (GV): establece el marco de trabajo general, la direccin


    estratgica de TI, las caractersticas deseadas del portafolio de inversiones,
    as como las restricciones y limitaciones aplicables para decidir las
    inversiones.

    Gestin de la Inversin (IM): basndose en los requerimientos del negocio,


    se definen los programas de inversin y se realiza una valoracin de los
    mismos para determinar si son enviados al proceso de gestin de

    portafolios para su evaluacin, evaluando su alineamiento a la objetivos


    estratgicos, su nivel de riesgo y la generacin de valor para el negocio.

    Gestin del Portfolio (PM): se evala y prioriza los proyectos basndose en


    las restricciones de recursos y costos, e incorpora los proyectos
    seleccionados al portafolio (cartera) de proyectos activos de la compaa.

    Recientemente se ha publicado un estndar ISO sobre el Gobierno de TI,


    la ISO/IEC 38500:2008 IT Governance Standard. Esta norma agrupa una gran
    cantidad de estndares dispersos y ofrece un marco general de referencia para la
    direccin de los Sistemas de Informacin y la Tecnologas de la Informacin en las
    empresas y organizaciones, que est teniendo una gran acogida en el mercado.

    Ilustracin 2: Esquema de la ISO/IEC 38500:2008 (fuente AENOR)


    Para ms informacin sobre VALIT pueden consultar
    www.itgi.org/valit/index.html
    Para ms informacin sobre ISO/IEC 38500:2008 pueden
    consultar http://www.38500.org/ y http://www.iso.org/iso/catalogue_detail?
    csnumber=51639

    3.- Estndar para la Auditora de TI


    El estndar ms ampliamente difundido y utilizado para la Auditora de
    TI es COBIT, creado por la ISACA. Est gua va mucho ms all de la auditora, y de
    hecho es utilizada por muchas organizaciones como una gua de buenas
    prcticas en la Gestin de los Sistemas y las Tecnologas de la Informacin.
    La gua de COBIT es realmente completa, adems de ser muy madura (ya se ha
    publicado su versin 5). Cubre prcticamente todos los aspectos que se deben
    tener en cuenta para una correcta gestin de los Sistemas y Tecnologas de la
    Informacin en una empresa u organizacin.

    Ilustracin 3: El Cubo de COBIT (fuente ISACA)


    Para ms informacin sobre COBIT pueden consultar http://www.isaca.org/COBIT
    4.- Estndar para la gestin de los servicios de IT
    Si vamos descendiendo dentro de las actividades de gestin de los
    departamentos de TI, nos encontramos que prcticamente la totalidad de sus
    procesos pueden ser descritos como servicios que prestan estos departamentos
    al conjunto de la empresa. Siguiendo esta orientacin a servicios fue

    creado ITIL (Information Technology and Infraestructure Library) por la Central


    Computer and Telecommunications Agency (CCTA) del Gobierno Britnico.
    Este es un estndar ampliamente reconocido para la gestin de los servicios de
    TI, orientado a conseguir un alto nivel de disponibilidad de dichos servicios y un
    alto nivel de satisfaccin de clientes y usuarios de estos servicios.
    Los procesos ITIL estn alineados con el estndar de calidad ISO 9000 y se
    encuentran vinculados con el Modelo de Excelencia de la EFQM (European
    Foundation for Quality Management), adems de haber sido adoptados por el
    estndar ISO 20000.
    Les recomendamos que lean el post IEDGE Fundamentos de la Gestin TI
    en http://www.iedge.eu/tecnologia-sistemas-informacion/erp-crm-scm/carlosmelendez-fundamentos-de-la-gestion-ti/ donde se hace una descripcin de ITIL.
    Para ms informacin sobre ITIL tambin pueden consultar http://www.itilofficialsite.com/
    En el siguiente post continuaremos esta descripcin de los principales estndares
    para la Gestin de TI, en concreto veremos CMMI como modelo de madurez en
    el desarrollo de software y PMBOK como gua para la gestin de proyectos.

    También podría gustarte