________________________________________UNIVERSIDAD MARIANO GALVEZ DE GUATEMALA
UNIVERSIDAD MARIANO GALVEZ DE GUATEMALA FACULTAD DE CIENCIAS ECONOMICAS CONTADURIA PUBLICA Y AUDITORIA AUDITORÍA DE SISTEMAS E INFORMATICA LIC. HENRI RUIZ
COSO – ISO 17799
INTEGRANTES: Adolfo Isaí Roca Calderón Josué Patzán Edgar Israel Gómez Cardona Mynor Martínez
GUATEMALA, 25 DE FEBRERO DE 2017.
AUDITORÍA DE SISTEMAS E INFORMÁTICA______________________________________________
________________________________________UNIVERSIDAD MARIANO GALVEZ DE GUATEMALA
COSO Committee of Sponsoring Organizations of the Treadway Commission (COSO): organismos para la mejora de control interno dentro de las organizaciones. CONTROL INTERNO: Se define como un proceso efectuado por la dirección y el resto del personal de una entidad, diseñado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecución de los objetivos dentro de las siguientes categorías:
Eficacia y eficiencia de las operaciones. Confiabilidad de la información financiera. Cumplimiento de las leyes, reglamentos y normas (que sean aplicables).
Concepto: El informe como tal es un medio para alcanzar un fin y no un fin por sí. No es un evento o circunstancia sino una serie de acciones que permean las actividades de una organización. Es una cadena de acciones extendida a todas las actividades inherentes a la gestión e integradas a los demás procesos básicos de la misma, entre éstos: Planificación, Ejecución y Supervisión. Componentes: De acuerdo al marco COSO, el control interno consta de cinco componentes relacionados entre sí; éstos derivarán de la manera en que la Dirección dirija la Unidad y estarán integrados en el proceso de dirección. Los componentes serán los mismos para todas las organizaciones (públicas o privadas) y dependerá del tamaño de la misma la implantación de cada uno de ellos. Los componentes son: 1) Ambiente de Control. 2) Evaluación de Riesgos. 3) Actividades de Control. 4) Información y Comunicación. 5) Supervisión y Monitoreo.
AUDITORÍA DE SISTEMAS E INFORMÁTICA______________________________________________
________________________________________UNIVERSIDAD MARIANO GALVEZ DE GUATEMALA
Ambiente de Control: El ambiente o entorno de control es la base de la pirámide de Control Interno, aportando disciplina a la estructura. En él se apoyarán los restantes componentes, por lo que será fundamental para concretar los cimientos de un eficaz y eficiente sistema de Control Interno. Marca la pauta del funcionamiento de la Unidad e influye en la concientización de sus funcionarios. Los factores a considerar dentro del Entorno de Control serán: La Integridad y los Valores Éticos, la Capacidad de los funcionarios de la Unidad, el Estilo de Dirección y Gestión, la Asignación de Autoridad y Responsabilidad, la Estructura Organizacional y, las Políticas y Prácticas de personal utilizadas. Evaluación de Riesgos Cada Unidad se enfrenta a diversos riesgos internos y externos que deben ser evaluados. Una condición previa a la Evaluación de Riesgo es la identificación de los objetivos a los distintos niveles, los cuales deberán estar vinculados entre sí. La Evaluación de Riesgos consiste en: La identificación y el análisis de los riesgos relevantes para la consecución de los objetivos, y sirve de base para determinar cómo deben ser gestionados. A su vez, dados los cambios permanentes del entorno, será necesario que la Unidad disponga de mecanismos para identificar y afrontar los riesgos asociados al cambio. En la evaluación se deberá analizar que los Objetivos de Área hayan sido apropiadamente definidos, que los mismos sean consistentes con los objetivos institucionales, que fueran oportunamente comunicados, que fueran detectados y analizados adecuadamente los riesgos y, que se los haya clasificado de acuerdo a la relevancia y probabilidad de ocurrencia. Actividades de Control Las actividades de control son: Las políticas, procedimientos, técnicas, prácticas y mecanismos que permiten a la Dirección administrar (mitigar) los riesgos identificados durante el proceso de Evaluación de Riesgos y asegurar que se llevan a cabo los lineamientos establecidos por ella. Las Actividades de Control se ejecutan en todos los niveles de la Unidad y en cada una de las etapas de la gestión, partiendo de la elaboración de un Mapa de Riesgos, de acuerdo a lo señalado en el punto anterior. En la evaluación del Sistema de Control Interno no solo debe considerarse si fueron establecidas las actividades relevantes para los riesgos identificados, sino también si las mismas son aplicadas en la realidad y si los resultados obtenidos fueron los esperados.
AUDITORÍA DE SISTEMAS E INFORMÁTICA______________________________________________
________________________________________UNIVERSIDAD MARIANO GALVEZ DE GUATEMALA
Información y Comunicación Se debe identificar, recopilar y propagar la información pertinente en tiempo y forma que permitan cumplir a cada funcionario con sus responsabilidades a cargo. Debe existir una comunicación eficaz en un sentido amplio que fluya en todas direcciones a través de todos los ámbitos de la Unidad, de forma descendente como ascendente. La Dirección debe comunicar en forma clara las responsabilidades de cada funcionario dentro del Sistema de Control Interno implementado. Los funcionarios tienen que comprender cuál es su papel en el Sistema de Control Interno y, cómo las actividades individuales están relacionadas con el trabajo del resto. Supervisión y Monitoreo Los Sistemas de Control Interno requieren -principalmente- de Supervisión, es decir, un proceso que verifique la vigencia del Sistema de Control a lo largo del tiempo. Esto se logra mediante actividades de supervisión continuada, evaluaciones periódicas o una combinación de ambas.
AUDITORÍA DE SISTEMAS E INFORMÁTICA______________________________________________
________________________________________UNIVERSIDAD MARIANO GALVEZ DE GUATEMALA
ISO 17799 Es una norma internacional que ofrece recomendaciones para realizar la gestión de la seguridad de la información dirigidas a los responsables de iniciar, implantar o mantener la seguridad de una organización. OBJETIVO •
Proporcionar una base para desarrollar normas de seguridad dentro de las Organización
•
Establece transacciones y relaciones de confianza entre empresas
•
Aplicable a todo tipo de organización
•
Método de gestión eficaz de la seguridad
ESTRUCTURA
AUDITORÍA DE SISTEMAS E INFORMÁTICA______________________________________________
________________________________________UNIVERSIDAD MARIANO GALVEZ DE GUATEMALA
POLÍTICA DE SEGURIDAD Dirigir y dar soporte a la gestión de la seguridad de la información. ASPECTOS ORGANIZATIVOS PARA LA SEGURIDAD •
Gestionar la seguridad de la información dentro de la organización.
•
Mantener la seguridad de la información cuando la responsabilidad de su tratamiento se ha externalizado a otra organización.
•
Mantener la seguridad de los recursos de tratamiento de la información y de los activos de información de la organización que son accedidos por terceros.
CLASIFICACIÓN Y CONTROL DE ACTIVOS
Mantener una protección adecuada sobre los activos de la organización. Asegurar un nivel de protección adecuado a los activos de información.
SEGURIDAD LIGADA AL PERSONAL
Reducir los riesgos de errores humanos, robos, fraudes o mal uso de las instalaciones y los servicios.
Asegurar que los usuarios son conscientes de las amenazas y riesgos en el ámbito de la seguridad de la información, y que están preparados para sostener la política de seguridad de la organización en el curso normal de su trabajo.
Minimizar los daños provocados por incidencias de seguridad y por el mal funcionamiento, controlándolos y aprendiendo de ellos.
SEGURIDAD FÍSICA Y DEL ENTORNO •
Evitar accesos no autorizados, daños e interferencias contra los locales y la información de la organización.
•
Evitar pérdidas, daños o comprometer los activos así como la interrupción de las actividades de la organización.
•
Prevenir las exposiciones a riesgo o robos de información y de recursos de tratamiento de información.
AUDITORÍA DE SISTEMAS E INFORMÁTICA______________________________________________
________________________________________UNIVERSIDAD MARIANO GALVEZ DE GUATEMALA
GESTIÓN DE COMUNICACIONES Y OPERACIONES
Asegurar
Minimizar
Proteger
Mantener
Evitar
Prevenir
CONTROL DE ACCESOS
Controlar accesos a información Evitar acceso de usuarios no autorizados. Protección de los servicios en red. Detectar actividades no autorizadas. Garantizar la seguridad de la información
DESARROLLO Y MANTENIMIENTO DE SISTEMAS
Asegurar que la seguridad está incluida dentro de los SI Evitar pérdidas, modificaciones o mal uso de los datos. Proteger confidencialidad, autenticidad e integridad de la información. Asegurar que los proyectos de Tecnología de la Información sean llevadas a cabo de una forma segura Mantener la seguridad del software y la información de la aplicación del sistema.
GESTIÓN DE CONTINUIDAD DEL NEGOCIO Reaccionar a la interrupción de actividades del negocio y proteger sus procesos críticos frente grandes fallos o desastres.
Evitar el incumplimiento de cualquier ley Garantizar la alineación de los sistemas con la política de seguridad de la organización Maximizar la efectividad y minimizar la interferencia
VENTAJAS PARA LA ADOPCION DE LA NORMA ISO 17799 Aumento de la seguridad efectiva de los sistemas de información. AUDITORÍA DE SISTEMAS E INFORMÁTICA______________________________________________
________________________________________UNIVERSIDAD MARIANO GALVEZ DE GUATEMALA
Correcta planificación y gestión de la seguridad. Garantías de continuidad del negocio Mejora continua a través del proceso de auditoría interna. Incremento de los niveles de confianza de los clientes y socios de negocios.
ORIENTACION DE LA NORMA ISO 17799 La norma ISO 17799 no es una norma tecnológica. La seguridad de la información es un asunto que compete a la alta gerencia no al área tecnológica, por lo cual es un asunto empresarial. La gente toma decisiones de seguridad basados en los riesgos percibidos no en los riesgos reales, por lo cual el análisis de riesgos es fundamental para los negocios.
IMPLANTACION DE UN SISTEMA ISO 17799
Identificar los riesgos de los activos físicos e informativos de su compañía. Evaluar los riesgos identificados en todas las áreas de control de seguridad. Identificar y evaluar opciones para el tratamiento de riesgos y tomar acción para administrar y manejarlos Identificar y evaluar opciones para el tratamiento de riesgos y tomar acción para administrar y manejarlos Seleccionar un sistema de controles con eficiencia de costos Preparar una Declaración de Aplicación.
CONCLUSIONES ISO 17799 es una norma internacional que ofrece recomendaciones para realizar la gestión de la seguridad de la información La norma se estructura en once dominios de control que cubren por completo todos los aspectos relativos a la seguridad de la información. Implantar ISO 17799 puede requerir de un trabajo de consultoría que adapte los requerimientos de la norma a las necesidades de cada organización.
AUDITORÍA DE SISTEMAS E INFORMÁTICA______________________________________________