Marco de COBIT 5
COBIT 5 ayuda a las Organizaciones a crear un valor ptimo a partir de la TI, al
mantener un equilibrio entre la realizacin de beneficios y la optimizacin de los
niveles de riesgo y utilizacin de los recursos.
Principios de COBIT 5
Gobierno:
En la mayora de las organizaciones el Gobierno es responsabilidad de la Junta
Directiva bajo el liderazgo de su Presidente.
Administracin:
En la mayora de las organizaciones, la Administracin es responsabilidad de la
Gerencia Ejecutiva, bajo el liderazgo del Gerente General (CEO).
ISO TI
ISO 27002
ISO/IEC 27002 proporciona recomendaciones de las mejores prcticas en la
gestin de la seguridad de la informacin a todos los interesados y
responsables en iniciar, implantar o mantener sistemas de gestin de la
seguridad de la informacin. La seguridad de la informacin se define en el
estndar como "la preservacin de la confidencialidad (asegurando que slo
quienes estn autorizados pueden acceder a la informacin), integridad
(asegurando que la informacin y sus mtodos de proceso son exactos y
completos) y disponibilidad (asegurando que los usuarios autorizados tienen
acceso a la informacin y a sus activos asociados cuando lo requieran)".
ISO 27003- Gua para la complementacin de un Sistema de Gestin de
Seguridad de la Infomacion
El Sistema de Gestin de Seguridad de la Informacin es la parte del sistema
integral de gestin, basado en un enfoque del riesgo de la informacin para
establecer , implementar , operar, monitorear, revisar, mantener y mejorar la
seguridad de la informacin.
El Objetivo del ISO 27003 es proporcionar orientacin prctica en el desarrollo
del plan de implementacin para un Sistema de Gestin de Seguridad de
Informacin.
ISO/IEC 20000-Gestin de servicios de TI
Una entrega efectiva de los servicios de TI es crucial para las empresas. Hay
una percepcin de que estos servicios no estn alineados con las necesidades
y requisitos del negocio. Esto es especialmente importante tanto si se
proporciona servicios internamente a clientes como si se est subcontratando
proveedores. Una manera de demostrar que los servicios de TI estn
cumpliendo con las necesidades del negocio es implantar un Sistema de
Gestin de Servicios de TI (SGSTI) basado en los requisitos de la norma
ISO/IEC 20000. La certificacin en esta norma internacional permite demostrar
de manera independiente que los servicios ofrecidos cumplen con las mejores
prcticas.
ISO/IEC 20000 est basada y reemplaza a la BS 15000, la norma reconocida
internacionalmente como una British Standard (BS), y que est disponible en
dos partes: una especificacin auditable y un cdigo de buenas prcticas.
La ISO/IEC 20000 es totalmente compatible con la ITIL (IT Infrastructure
Library), o gua de mejores prcticas para el proceso de GSTI. La diferencia es
que el ITIL no es medible y puede ser implantado de muchas maneras,
mientras que en la ISO/IEC 20000, las organizaciones deben ser auditadas y
medidas frente a un conjunto establecido de requisitos.
La ISO/IEC 20000 es aplicable a cualquier organizacin, pequea o grande, en
cualquier sector o parte del mundo donde confan en los servicios de TI. La
norma es particularmente aplicable para proveedores de servicios internos de
Informe COSO
Generalidades
El Informe C.O.S.O. es un documento que especifica un modelo comn de
control interno con el cual las organizaciones pueden implantar, gestionar y
evaluar sus sistemas de control interno para asegurar que stos se mantengan
funcionales, eficaces y eficientes.
Ambiente de control
Este es consecuencia de la actitud asumida por la alta direccin, la gerencia, y
por representacin instintiva, los dems agentes con relacin a la importancia
del control interno y su incidencia sobre las actividades y resultados de la
organizacin. Los valores ticos son esenciales para el ambiente de control.
Evaluacin de riesgos
Todas las entidades, omitiendo el tamao, estructura, naturaleza o clase de
industria, enfrentan riesgos en todos los niveles de sus organizaciones. No
existe una manera prctica para reducir los riesgos a cero. La definicin de
objetivos es una condicin previa para la valoracin de riesgos. Primero que
Actividades de control
Las actividades de control se dan a todo lo largo y ancho de la organizacin, en
todos los niveles y en todas las funciones. Incluyen un rango de actividades tan
diversas como aprobaciones, autorizaciones, verificaciones, reconciliaciones,
revisin del desempeo de operaciones, seguridad de activos y segregacin de
responsabilidades. Las actividades de control se pueden dividir en tres
categoras, basadas en la naturaleza de los objetivos de la entidad con los
cuales se relaciona: operaciones, informacin financiera, o cumplimiento.
Informacin y comunicacin
Informacion
La informacin es identificada, capturada, procesada y reportada mediante
sistemas de informacin; que pueden ser computarizados, manuales o
combinacin de ellos. Los sistemas de informacin operan algunas veces en
una forma de monitoreo, realizando captura rutinaria de datos especficos. En
otros casos, se realizan acciones especiales para obtener la informacin
requerida. Los sistemas de informacin pueden ser formales o informales. Las
conversaciones con clientes, proveedores, reguladores y empleados proveen a
menudo de la informacin ms crtica requerida para identificar riesgos y
oportunidades, de manera similar, la asistencia a seminarios profesionales o
industriales y la participacin como miembros de asociaciones de comercio u
otras pueden proporcionar informacin valiosa.
Supervisin o monitoreo
El monitoreo asegura que el control interno contina operando efectivamente.
Este proceso implica la valoracin, por parte del personal apropiado, del diseo
y de la operacin de los controles en una adecuada base de tiempo, y
realizando las acciones necesarias. Se aplica para todas las actividades en una
organizacin. El monitoreo puede hacerse de dos maneras: mediante
actividades en tiempo real o mediante evaluaciones separadas.
Beneficios del modelo coso II
Permite a la Direccin de la empresa poseer una visin global del riesgo y
accionar los planes para su correcta gestin.
Posibilita el establecimiento de los objetivos de acuerdo a las prioridades,
riesgos clave del negocio, y de los controles implantados, lo que permite su
adecuada gestin. Toma de decisiones ms segura, facilitando la asignacin
del capital.
Alinea los objetivos del grupo con los objetivos de las diferentes unidades
de negocio, as como los riesgos asumidos y los controles puestos en accin.
Permite dar soporte a las actividades de planificacin estratgica y control
interno.
Permite cumplir con los nuevos marcos regulatorios y demanda de nuevas
prcticas.
Fomenta que la gestin de riesgos pase a formar parte de la cultura de la
organizacin.