COSO

El control interno basado en el informe Coso

Es el sistema integrado de control interno que proporciona un estándar para que las organizaciones puedan evaluar y mejorar sus sistemas de control. El objetivo es mejora la calidad de la información financiera a través del manejo corporativo, las normas éticas y el control interno.

Se busca alcanzar la eficiencia y eficacia de las operaciones, fiabilidad de la información financiera y el cumplimiento de las leyes y normas que son aplicables, estas tres categorías se interrelacionan entre sí.

Conforme el informe coso indica que el control interno está compuesto por:

·         Entorno de control, es la base de todos los componentes, aporta disciplina y estructura, como la integridad, los valores éticos, etc.

·         Evaluación de los riesgos, identificar los riesgos que puedan afectar el alcance de los objetivos propuestos por la entidad.

·         Actividades de control, son las políticas y procedimientos que se usan para limitar los riesgos.

·         Información y comunicación, debe ser oportuna la información, existir adecuados canales de comunicación, comunicar al personal lo importante que es la participan de cada uno de ellos en la aplicación del control interno.

·         Supervisión, emplear un proceso que compruebe al sistema de control interno para que siempre este en un funcionamiento óptimo.

Responsabilidades

La alta gerencia es la responsable última del sistema de control. La integridad y la ética deben ser elementos que aporten ejemplo a los demás empleados. Debe dirigir a los Gerentes que a su vez son los responsables en sus respectivas áreas.

El consejo de administración fija las pautas y la visión global del negocio. El consejo debe tener un papel activo en el conocimiento de las acciones que se ejecutan. Debe asegurarse de contar con vías de comunicación efectivas con la alta dirección y las áreas financieras, legales y de auditoría interna.

La auditoría interna debe desempeñar un papel de Supervisión sobre la eficiencia y permanencia de los Sistemas de control. Para ello debe contar con una ubicación jerárquica adecuada.

Los empleados en general tienen la responsabilidad de participar en el esfuerzo de aplicar el control interno, cuyos detalles deben ser incorporados a la descripción de los puestos de trabajo. Ellos deben comunicar al nivel superior las desviaciones que detecten a los códigos de conducta, a las políticas establecidas o la legalidad de las acciones realizadas.

Beneficios

• Define las normas de conducta y actuación, funcionando como conductor del establecimiento del sistema de control interno.
• Ayuda a reducir sorpresas aportando confianza en el cumplimiento de los objetivos.
• Establece las formas de actuación en todos los niveles de la organización,  través de la fijación de objetivos claros y medibles.
• Otorga una seguridad razonable sobre la adecuada administración de los riesgos del negocio. 
• Y el establecimiento de mecanismos de monitoreo formales para la resolución de desviaciones al funcionamiento del sistema de control interno.

COBIT

COBIT 5 ayuda a las organizaciones a crear un valor óptimo a partir de la TI, al mantener un equilibrio entre la realización de beneficios y la optimización de los niveles de riesgo y utilización de los recursos.

COBIT 5 permite que las tecnologías de la información y relacionadas se gobiernen y administren de una manera holística a nivel de toda la organización, incluyendo el alcance completo de todas las áreas de responsabilidad funcionales y de negocios, considerando los intereses relacionados con la TI de las partes interesadas internas y externas.

Principios de COBIT

 Los principios y habilitadores de COBIT 5 son genéricos y útiles para las organizaciones de cualquier tamaño, bien sean comerciales, sin fines de lucro o en el sector público. Estos son:

1)    Satisfacer las necesidades de las partes interesadas: las empresas existen para crear valor para las partes interesadas manteniendo el equilibrio entre la realización de beneficios y la optimalización.

2)    Cubrir la empresa de forma integral: integración del gobierno y la gestión de TI en el gobierno corporativo.

3)    Aplicar un marco de referencia único integrado: COBIT 5 se alinea a los altos niveles de estándares y marcos relevantes de este modo puede hacer la función de un marco principal para el gobierno y la gestión de TI.

4)    Hacer posible un enfoque holístico: define un conjunto de catalizadores para apoyar la implementación de un sistema de gobierno y gestión global para las TI de la empresa, estos catalizadores se definen como cualquier elemento que ayude a alcanzar las m etas de la empresa.

5)    Separar el gobierno de la administración: la visión de COBIT 5 hace distinción clave entre gobierno y gestión de la siguiente manera:

a.    Gobierno: asegura que se evalúan las necesidades, condiciones y opciones de las partes interesadas para determinar que se alcanzan las metas corporativas equilibradas y acordadas, estableciendo la dirección.

b.    Administración: esta planifica, construye, ejecuta y controla actividades alineadas con la dirección establecida por el gobierno.

Procesos Habilitadores

—  En el Capítulo 2 se recapitula las metas en cascada de COBIT 5 y se complementa con una serie de métricas ejemplo para las metas corporativas y las metas relacionadas con la TI.

—  En el Capítulo 3 se explica el Modelo de Procesos de COBIT 5 y se definen sus componentes.

—  En el Capítulo 4 se muestra el diagrama de dicho Modelo de Referencias de Procesos.

—  El Capítulo 5 contiene la información detallada de procesos para todos los 37 procesos de COBIT 5 en el Modelo de Referencias de Procesos.

Implementación

•         La mejora del Gobierno Corporativo de la Tecnología de la Información (GEIT por su sigla en inglés) ha sido ampliamente reconocida por altos directivos como una parte esencial del gobierno corporativo.

•         La información y la presencia general de la tecnología de información ocupan cada día una parte más importante de todo aspecto de la vida comercial y pública.

•         La necesidad de generar más valor de las inversiones en la Tecnología y de administrar una gama creciente de riesgos relacionados con la Tecnología nunca ha sido mayor que ahora.

•         Una regulación y legislación cada vez más estricta sobre el uso comercial de la información también impulsa una mayor concientización de la importancia de un ambiente de TI bien gobernado y administrado.

ISACA ha desarrollado el marco de COBIT 5 para ayudar a las compañías a implementar unos habilitadores de gobierno sanos. De hecho, la implementación de un buen GEIT es casi imposible sin la activación de un marco efectivo de gobierno. También están disponibles las mejores prácticas y los estándares que soportan al COBIT 5.

Los marcos, mejores prácticas y normas son útiles solamente si son adoptados y adaptados de manera efectiva. Hay que superar muchos retos y resolver varios asuntos para poder implementar GEIT de manera exitosa.

ISO 27001

NORMA ISO 27001

ISO 27001 es una norma internacional emitida por la Organización Internacional de Normalización (ISO) y describe cómo gestionar la seguridad de la información en una empresa. La revisión más reciente de esta norma fue publicada en 2013 y ahora su nombre completo es ISO/IEC 27001:2013

ISO 27001 puede ser implementada en cualquier tipo de organización, con o sin fines de lucro, privada o pública, pequeña o grande. Está redactada por los mejores especialistas del mundo en el tema y proporciona una metodología para implementar la gestión de la seguridad de la información en una organización. También permite que una empresa sea certificada, esto significa que una entidad de certificación independiente confirma que la seguridad de la información ha sido implementada en esa organización en cumplimiento con la norma ISO 27001.

¿Cómo funciona la ISO 27001?

El eje central de ISO 27001 es proteger la confidencialidad, integridad y disponibilidad de la información en una empresa. Esto lo hace investigando cuáles son los potenciales problemas que podrían afectar la información y luego definiendo lo que es necesario hacer para evitar que estos problemas se produzcan.

Importancia de la ISO 27001

Hay 4 ventajas comerciales esenciales que una empresa puede obtener con la implementación de esta norma para la seguridad de la información:

Cumplir con los requerimientos legales: cada vez hay más normativas y requerimientos contractuales relacionados con la seguridad de la información. La buena noticia es que la mayoría de ellos se pueden resolver implementando ISO 27001 ya que esta norma le proporciona una metodología perfecta para cumplir con todos ellos.

Obtener una ventaja comercial: si la empresa obtiene la certificación y los competidores no, es posible que se obtenga una ventaja sobre ellos ante los ojos de los clientes.

Menores costos: la filosofía principal de ISO 27001 es evitar que se produzcan incidentes de seguridad, y cada incidente, cuesta dinero; por lo tanto, evitándolos la empresa va a ahorrar mucho dinero.

Una mejor organización: en general, las empresas de rápido crecimiento no tienen tiempo para hacer una pausa y definir sus procesos y procedimientos; La implementación de ISO 27001 ayuda a resolver este tipo de situaciones ya que alienta a las empresas a escribir sus principales, lo que les permite reducir el tiempo perdido de sus empleados.

¿Cómo se forma ISO 27001?

ISO/IEC 27001 se divide en 11 secciones más el anexo A; las secciones 0 a 3 son introductorias (y no son obligatorias para la implementación), mientras que las secciones 4 a 10 son obligatorias, lo que implica que una organización debe implementar todos sus requerimientos si quiere cumplir con la norma. Los controles del Anexo A deben implementarse sólo si se determina que corresponden en la declaración de aplicabilidad.

SECCIONES DE LA ISO 27001

Sección 0 – Introducción:  explica el objetivo de ISO 27001 y su compatibilidad con otras normas de gestión.

Sección 1 – Alcance: explica que esta norma es aplicable a cualquier tipo de organización.

Sección 2 – Referencias normativas: hace referencia a la norma ISO/IEC 27000 como estándar en el que se proporcionan términos y definiciones.

Sección 3 – Términos y definiciones: hace referencia a la norma ISO/IEC 27000.

Sección 4 – Contexto de la organización: esta sección es parte de la fase de planificación del ciclo PDCA y define los requerimientos para comprender cuestiones externas e internas, también define las partes interesadas, sus requisitos y el alcance del SGSI.

Sección 5 – Liderazgo: esta sección es parte de la fase de planificación del ciclo PDCA y define las responsabilidades de la dirección, el establecimiento de roles y responsabilidades y el contenido de la política de alto nivel sobre seguridad de la información.

Sección 6 – Planificación: esta sección es parte de la fase de planificación del ciclo PDCA y define los requerimientos para la evaluación de riesgos, el tratamiento de riesgos, la declaración de aplicabilidad, el plan de tratamiento de riesgos y la determinación de los objetivos de seguridad de la información.

Sección 7 – Apoyo: esta sección es parte de la fase de planificación del ciclo PDCA y define los requerimientos sobre disponibilidad de recursos, competencias, concienciación, comunicación y control de documentos y registros.

Sección 8 – Funcionamiento: esta sección es parte de la fase de Planificación del ciclo PDCA y define la implementación de la evaluación y el tratamiento de riesgos, como también los controles y demás procesos necesarios para cumplir los objetivos de seguridad de la información.

Sección 9 – Evaluación del desempeño: esta sección forma parte de la fase de revisión del ciclo PDCA y define los requerimientos para monitoreo, medición, análisis, evaluación, auditoría interna y revisión por parte de la dirección.

Sección 10 – Mejora: esta sección forma parte de la fase de mejora del ciclo PDCA y define los requerimientos para el tratamiento de no conformidades, correcciones, medidas correctivas y mejora continua.

Anexo A – este anexo proporciona un catálogo de 114 controles (medidas de seguridad) distribuidos en 14 secciones (secciones A.5 a A.18).

Para implementar la norma ISO 27001 en una empresa:

1. Obtener el apoyo de la dirección.
2. Utilizar una metodología para gestión de proyectos.
3. Definir el alcance del SGSI.
4. Redactar una política de alto nivel sobre seguridad de la información.
5. Definir la metodología de evaluación de riesgos.
6. Realizar la evaluación y el tratamiento de riesgos.
7. Redactar la declaración de aplicabilidad.
8. Redactar el plan de tratamiento de riesgos.
9. Definir la forma de medir la efectividad de sus controles y de su SGSI.
10. Implementar todos los controles y procedimientos necesarios.
11. Implementar programas de capacitación y concienciación.
12. Realizar todas las operaciones diarias establecidas en la documentación de su    SGSI.
13. Monitorear y medir su SGSI.
14. Realizar la auditoría interna.
15. Realizar la revisión por parte de la dirección.
16. Implementar medidas correctivas.

Seguridad Informática

Seguridad Informática

La seguridad se dice que es un conjunto de métodos y herramientas empleadas para la protección de la información de una entidad ante cualquier amenaza. En donde intervienen cada una de las personas que conforman la entidad ya que cada una debe emplear los procedimientos de seguridad establecidos por la entidad para el resguardo adecuado de la información.

Objetivos de la seguridad informática

       ·         Proteger la integridad, exactitud y confidencialidad de la información.

·         Proteger los activos ante desastres provocados por la mano del hombre y de actos    hostiles.

·         Proteger a la organización contra situaciones externas como desastres naturales y     sabotajes.

·         Establecer planes y políticas de contingencias en caso de desastres.

·         Contar con los seguros necesarios que cubran las pérdidas económicas en caso de   desastres.

Algunos elementos que se utilizan en la seguridad informática son:

Amenazas:

Es cualquier evento no deseado que afectaría el ambiente del procesamiento de los datos, la organización o una determinada aplicación. Dentro de estas se pueden mencionar:

·         Usuarios: causa del mayor problema ligado a la seguridad de un sistema de información.

·         Programas maliciosos: son programas destinados a perjudicar o hacer un uso inadecuado de los recursos de un sistema.

·         Errores de programación: los errores de programación en su mayoría se consideran amenazas por su condición de poder ser usados como exploits por los crackers.

·         Intrusos: personas ajenas que logran incursionar en los datos o programas de una organización de una forma no autorizada.

·         Siniestros: una manipulación o intención puede ocasionar la pérdida del equipo y de los archivos.

·         Personal técnico interno: técnicos de sistemas, administradores de bases, técnicos de desarrollo, pudieran afectar los sistemas por disputas internas.

·         Fallos eléctricos o lógicos de los sistemas en general.

·         Catástrofes naturales.

 

Componentes:

Es una parte especifica de un sistema o aplicación.

 Control:

Son los mecanismos o procedimientos que ayudan a mitigar las posibles amenazas protegiendo los componentes de un sistema de información.

Existen varios tipos de controles:

·         Preventivos: impiden llevar a cabo un evento indeseado.

·         Disuasivos: inhiben a una persona a actuar o proceder mediante el temor o la duda.

·         Detectives: descubren eventos indeseados y ofrecen evidencia de ingreso o intrusión.

·         Correctivos: solucionan un evento indeseado o una intrusión.

·         Recuperación: recuperan el efecto de un evento indeseado.

Exposición:

Es la perdida calculada con la ocurrencia de una amenaza que puede ser tangible o intangible.

 Riesgo:

Es el nivel de exposición que tiene un componente, es un porcentaje de materialización de una pérdida.

Evaluación del riesgo:

Es el proceso que se realiza para la identificación de amenazas, se determinan exposiciones y se valorizan los riesgos.

Problemas de seguridad

En el tema de la seguridad informática existen varios problemas que dificultan el buen funcionamiento de un sistema, dentro de esta problemática se puede hacer mención a los siguientes aspectos:

·         El desconocimiento y falta de conciencia de los riesgos que se asumen.

·         La falta de familiarización y/o desconocimiento de los nuevos medios para el control y el modo de utilizarlos.

·         Persistencia en la forma tradicional de documentos físicos, sin considerar los datos almacenados.

·         La adaptación de un paradigma equivocado.

·         Falta de compromiso de diseñadores y proveedores de sistemas en relación al tema.

·         Escasa concientización de los usuarios acerca de la importancia de respetar los mecanismos y normas de seguridad.

·         Falta de respaldo y compromiso por parte del nivel máximo de la organización.

·         Al definir un esquema de seguridad basado en perfiles de usuarios y permisos no suele tomarse en cuenta la necesidad de actualizar los niveles de autoridad, los alcances y límites de cada funcionario.

Principios de la seguridad informática

Confidencialidad:

Asegura que los datos no puedan estar disponibles o ser descubiertos por personas, entidades o procesos no autorizados, la información debe ser vista y manipulada únicamente por quienes tienen el derecho o la autoridad de hacerlo.

Integridad:

Es la condición de seguridad que garantiza que la información solo es modificada por el personal autorizado, existe integridad cuando los datos en un soporte no difieren de los contenidos en la fuente original y no han sido alterados o destruidos.

Disponibilidad:

Es el grado en el que un dato está en el lugar, momento y forma en que es requerido por el usuario autorizado, es acceder a un sistema de información en un periodo de tiempo aceptable. La información debe estar en el momento que el usuario requiera de ella.

Autenticidad:

Es el mecanismo que permite conocer si la persona que está ingresando al sistema, es realmente quien debe acceder y no un extraño.

Evitar el rechazo.

Garantiza de que no pueda negar una operación realizada.

TIPOS DE SEGURIDAD

Seguridad física

Es la aplicación de barreras físicas y procedimientos de control, como medidas de prevención para que los equipos de cómputo estén en total resguardo de eventuales acontecimiento naturales o de personas ajenas a la organización.

Seguridad lógica

Es la aplicación de procedimientos y barreras intangibles para la protección de la información almacena dentro de las computadoras de la organización.

MEDIDAS DE SEGURIDAD INFORMATICA

Las medidas de seguridad son las acciones de control para asegurar que las amenazas sean mitigadas y los componentes sean resguardados, hay varias formas de agruparlas:

Activas

Son aquellas que implementan acciones para evitar o reducir los riesgos sobre el sistema, por ejemplo:

·         Controlar el acceso a la información por medio de permisos centralizados.

·         Codificar la información, esto se debe realizar en todos aquellos trayectos por los que circule la información que se quiere proteger.

·         Contraseñas difíciles de obtener y que se cambien en un periodo de tiempo prudente.

·         Uso de certificados digitales.

·         Vigilancia de red ya que por medio de esta se transporta toda la información, por lo que además de ser el medio habitual de acceso de los atacantes, también son un buen lugar para obtener la información sin tener que acceder a las fuentes mismas.

Pasivas

Se adoptan para estar preparados ante el caso de que una amenaza se materialice y facilitar la recuperación del sistema, por ejemplo:

·         Copias de seguridad.

·         Sistemas de respaldo, el cual debe contar con ciertas características tales como:

o   Continuo: el respaldo de datos debe ser completamente automático y continuo, debe funcionar de forma que no intervenga en las tareas que este realizando el usuario.

o   Seguro: los sistemas de respaldo deben contar con cifrado de datos.

o   Remoto: los datos deben quedar alojados en dependencias alejadas de la empresa.

o   Mantenimiento de versiones anteriores de los datos: se debe contar con un sistema que permita la recuperación de datos de versiones anteriores.

Físicas

Son medidas de seguridad tangibles para proteger los activos de una organización, por ejemplo:

·         Lugar correctamente acondicionado.

·         Acceso restringido: el acceso no solo requiere la capacidad de identificación, sino también de asociar la apertura o cierre de puertas, permitir o negar acceso, basado en restricciones de tiempo, área o sector dentro de una organización.

·         Sistemas biométricos: consisten en la comparación de características físicas de cada persona, por un patrón conocido y almacenado en una base de datos como, los ojos, manos, huellas digitales y voz.

·         Armarios ignífugos.

·         Vigilancia de los centros de proceso de datos.

·         Sistema de protección contra inundaciones.

·         Protecciones eléctricas contra apagones.

Lógicas

No tangibles, características del ambiente informático, tales como:

·         Cortafuegos.

·         Antispyware: son programas espía que se dedican a compilar información del sistema para luego enviarlas a través de internet a alguna empresa de seguridad.

·         Antivirus: los virus son uno de los medios más tradicionales de ataque a los sistemas y a la información, para evitar su contagio se deben vigilar los equipos y los medios de acceso, entre estos están nod32, avast, karspesky,, etc.

·         Llaves para protección de software