COBIT

AUDITORIA DE SISTEMAS (FINAL)

¿Qué es el Modelo COBIT?

Sus siglas se definen así: Control Objectives for Information Systems and related Technology. Modelo para evaluar y/o auditar la gestión y control de los de Sistemas de Información y Tecnología relacionada (IT):

COBIT es el resultado de una investigación con expertos de varios paises, desarrollada por la “Information, Systems Audit and Control Association  “ISACA”.  Esta asociación se ha constituido en el  organismo normalizador y orientador en el control y la auditoría de los sistemas de Información y Tecnología (IT).  El modelo CobIT ha sido aceptado y adoptado por organizaciones en el ámbito mundial.

COBIT se aplica a los sistemas de información de toda la empresa, incluyendo los computadores personales y las redes. Está basado en la filosofía de que los recursos TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la información pertinente y confiable que requiere una organización para lograr sus objetivos. La estructura del modelo COBIT propone un marco de acción donde se evalúan los criterios de información, como por ejemplo la seguridad y calidad, se auditan los recursos que comprenden la tecnología de información, como por ejemplo el recurso humano, instalaciones, sistemas, entre otros, y finalmente se realiza una evaluación sobre los procesos involucrados en la organización

Objetivos y Beneficios

Proveer un marco único reconocido a nivel mundial de las “mejores prácticas” de control y seguridad de TI

• Consolidar y armonizar estándares originados en diferentes países desarrollados.
• Concientizar a la comunidad sobre importancia del control y la auditoría de TI.
• Enlaza los objetivos y estrategias de los negocios con la estructura de control de la TI, como factor crítico de éxito
• Aplica a todo tipo de organizaciones independiente de sus plataformas de TI.
• Ratifica la importancia de la información, como uno de los recursos más valiosos de toda organización exitosa.
• A fin, de proveer la información que la organización requiere para lograr sus  objetivos, los recursos de TI deben ser administrados por un conjunto de procesos, agrupados de forma adecuada y normalmente aceptada.

Principios de COBIT y Requerimientos

• Satisfacer las necesidades de los colaboradores. Es crítico definir y vincular los objetivos empresariales y los objetivos relacionados con TI.
• Cubrir la empresa de extremo a extremo. Las compañías deben cambiar de visión, con el objetivo de considerar el área de TI como un activo y no un costo. Los directivos deben tomar la responsabilidad de gobernar y gestionar los activos relacionados con TI dentro de sus propias funciones.
• Aplicar un solo marco integrado. Usar un solo marco de gobierno integrado puede ayudar a las organizaciones a brindar valor óptimo de sus activos y recursos de TI.
• Habilitar un enfoque holístico. El gobierno de TI empresarial (GEIT) requiere de un enfoque holístico que tome en cuenta muchos componentes, también conocidos como habilitadores. Los habilitadores influyen en si algo va a funcionar o no. COBIT  incluye siete habilitadores para mejorar el GEIT, como los principios, las políticas y marcos; los procesos; la cultura; la información y la gente.
• Separar al gobierno de la administración. Los procesos de gobierno aseguran que los objetivos se alcancen mediante la evaluación de las necesidades de los interesados, el establecimiento de la dirección a través de la priorización y la toma de decisiones; y el monitoreo del desempeño, el cumplimiento y el progreso. De acuerdo con los resultados de las actividades de gobierno, la administración de la empresa y de TI entonces debe planear, crear, realizar y monitorear las actividades para asegurar el alineamiento con la dirección que se estableció.
• Con base a lo mencionado en los párrafos anteriores describimos cada uno de los requerimientos de COBIT.

Orientación de COBIT

COBIT está alineado con los Objetivos del Negocio. Los Objetivos de Control muestran una relación clara y distintiva con los objetivos del negocio con el fin de apoyar su uso en forma significativa fuera de las fronteras de la comunidad de auditoría. Los Objetivos de Control están definidos con una orientación a los procesos, siguiendo el principio de reingeniería de negocios. En dominios y procesos identificados, se identifica también un objetivo de control de alto nivel para documentar el enlace con los objetivos del negocio. Adicionalmente, se establecen consideraciones y guías para definir e implementar el Objetivo de Control de TI.

La clasificación de los dominios a los que se aplican los objetivos de control de alto nivel (dominios y procesos); una indicación de los requerimientos de negocio para la información en ese dominio, así como los recursos de TI que reciben un impacto primario por parte del objetivo del control, forman conjuntamente el Marco de Referencia de COBIT. El Marco de Referencia toma como base las actividades de investigación que han identificado 34 objetivos de alto nivel y 318 objetivos de control detallados.

El 9 de abril de 2012 fue publicado oficialmente por ISACA el marco de referencia COBIT 5.   Es la evolución de la familia COBIT, aprovechando las       versiones anteriores y las practicas actuales.  Está apoyado en más de 15 años de experiencia global. Es resultado del trabajo de expertos de los 5 continentes y de la retroalimentación de cientos de miembros de ISACA.

VÍDEO: COBIT 5

Estándares y Metodologías Internacionales (ISO)

AUDITORIA DE SISTEMAS

INTRODUCCIÓN:

ISO en breve ISO es la Organización Internacional de Normalización. Los 159* miembros que la componente son los organismos nacionales de normalización de países industrializados, en desarrollo y en transición, de todos los tamaños y de todas las regiones del mundo. El portafolio de ISO, con más de 18 100* normas, provee de herramientas prácticas a las empresas, los gobiernos y la sociedad, para el desarrollo sostenible de las variables económicas, ambientales y sociales. Las Normas Internacionales ISO aportan una contribución positiva al mundo en que vivimos. Facilitan el comercio, la difusión del conocimiento, diseminan los avances innovadores en tecnología, y comparten buenas prácticas de gestión y evaluación de la conformidad.

Las normas ISO proporcionan soluciones y beneficios para casi todos los sectores de actividad, incluida la agricultura, construcción, ingeniería mecánica, fabricación, distribución, transporte, dispositivos médicos, tecnologías de la información y comunicación, medio ambiente, energía, gestión de la calidad, evaluación de la conformidad y servicios. ISO hace uso óptimo de los recursos que le son asignados por partes interesadas elaborando solo aquellas normas para las cuales existe una clara necesidad en el mercado. Esta labor es llevada a cabo por el aporte de expertos provenientes de los sectores industriales, técnicos y empresariales que han solicitado las normas, y que posteriormente las ponen en uso. A estos expertos se les pueden unir otros con conocimientos relevantes, tales como los representantes de las agencias gubernamentales, laboratorios de ensayos, asociaciones de consumidores y la academia, y por las organizaciones internacionales gubernamentales y no gubernamentales. Las Normas Internacionales ISO representan un consenso global sobre el estado del arte en la tecnología o las buenas prácticas en estudio.

Mencionaremos algunas ISO relacionadas a una Auditoria de Sistemas

ISO 27001 Sistema de Gestión de Seguridad de la Información

A semejanza de otras normas ISO, la 27000 es realmente una serie de estándares. Los rangos de numeración reservados por ISO van de 27000 a 27019 y de 27030 a 27044.

ISO 27000: En fase de desarrollo; su fecha prevista de publicación es Noviembre de 2008. Contendrá términos y definiciones que se emplean en toda la serie 27000. La aplicación de cualquier estándar necesita de un vocabulario claramente definido, que evite distintas interpretaciones de conceptos técnicos y de gestión. Esta norma está previsto que sea gratuita, a diferencia de las demás de la serie, que tendrán un coste.

ISO 27001: Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se certifican por auditores externos los SGSI de las organizaciones. Sustituye a la BS 7799-2, habiéndose establecido unas condiciones de transición para aquellas empresas certificadas en esta última. En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005 (nueva numeración de ISO 17799:2005 desde el 1 de Julio de 2007), para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no ser obligatoria la implementación de todos los controles enumerados en dicho anexo, la organización deberá argumentar sólidamente la no aplicabilidad de los controles no implementados. Desde el 28 de Noviembre de 2007, esta norma está publicada en España como UNE-ISO/IEC 27001:2007 y puede adquirirse online en AENOR.

ISO 27002: Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005 como año de edición. Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su apartado correspondiente, la norma ISO27001 contiene un anexo que resume los controles de ISO 27002:2005. En España, aún no está traducida (previsiblemente, a lo largo de 2008). Desde 2006, sí está traducida en Colombia (como ISO 17799) y, desde 2007, en Perú (como ISO 17799; descarga gratuita). 

ISO 27003: En fase de desarrollo; su fecha prevista de publicación es Mayo de 2009. Consistirá en una guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases. Tiene su origen en el anexo B de la norma BS7799-2 y en la serie de documentos publicados por BSI a lo largo de los años con recomendaciones y guías de implantación.

ISO 27004: En fase de desarrollo; su fecha prevista de publicación es Noviembre de 2008. Especificará las métricas y las técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados. Estas métricas se usan fundamentalmente para la medición de los componentes de la fase “Do” (Implementar y Utilizar) del ciclo PDCA.

ISO 27005: Publicada el 4 de Junio de 2008. Establece las directrices para la gestión del riesgo en la seguridad de la información. Apoya los conceptos generales especificados en la norma ISO/IEC 27001 y está diseñada para ayudar a la aplicación satisfactoria de la seguridad de la información basada en un enfoque de gestión de riesgos. El conocimiento de los conceptos, modelos, procesos y términos descritos en la norma ISO/IEC 27001 e ISO/IEC 27002 es importante para un completo entendimiento de la norma ISO/IEC 27005:2008, que es aplicable a todo tipo de organizaciones (por ejemplo, empresas comerciales, agencias gubernamentales, organizaciones sin fines de lucro) que tienen la intención de gestionar los riesgos que puedan comprometer la organización de la seguridad de la información. Su publicación revisa y retira las normas ISO/IEC TR 13335-3:1998 y ISO/IEC TR 13335-4:2000. En España, esta norma aún no está traducida. 

ISO 27006: Publicada el 13 de Febrero de 2007. Especifica los requisitos para la acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información. Es una versión revisada de EA-7/03 (Requisitos para la acreditación de entidades que operan certificación/registro de SGSIs) que añade a ISO/IEC 17021 (Requisitos para las entidades de auditoría y certificación de sistemas de gestión) los requisitos específicos relacionados con ISO 27001 y los SGSIs. Es decir, ayuda a interpretar los criterios de acreditación de ISO/IEC 17021 cuando se aplican a entidades de certificación de ISO 27001, pero no es una norma de acreditación por sí misma. En España, esta norma aún no está traducida. El original en inglés puede adquirirse en ISO.org.

ISO 27007: En fase de desarrollo; su fecha prevista de publicación es Mayo de 2010. Consistirá en una guía de auditoría de un SGSI.

ISO 27011: En fase de desarrollo; su fecha prevista de publicación es finales de 2008. Consistirá en una guía de gestión de seguridad de la información específica para telecomunicaciones, elaborada conjuntamente con la ITU (Unión Internacional de Telecomunicaciones).

ISO 27031: En fase de desarrollo; su fecha prevista de publicación es Mayo de 2010. Consistirá en una guía de continuidad de negocio en cuanto a tecnologías de la información y comunicaciones.

ISO 27032: En fase de desarrollo; su fecha prevista de publicación es Febrero de 2009. Consistirá en una guía relativa a la ciberseguridad.

ISO 27033: En fase de desarrollo; su fecha prevista de publicación es entre 2010 y 2011. Es una norma consistente en 7 partes: gestión de seguridad de redes, arquitectura de seguridad de redes, escenarios de redes de referencia, aseguramiento de las comunicaciones entre redes mediante gateways, acceso remoto, aseguramiento de comunicaciones en redes mediante VPNs y diseño e implementación de seguridad en redes. Provendrá de la revisión, ampliación y renumeración de ISO 18028.

ISO 27034: En fase de desarrollo; su fecha prevista de publicación es Febrero de 2009. Consistirá en una guía de seguridad en aplicaciones.

ISO 27799: Publicada el 12 de Junio de 2008. Es un estándar de gestión de seguridad de la información en el sector sanitario aplicando ISO 17799 (actual ISO 27002). Esta norma, al contrario que las anteriores, no la desarrolla el subcomité JTC1/SC27, sino el comité técnico TC 215. ISO 27799:2008 define directrices para apoyar la interpretación y aplicación en la salud informática de la norma ISO / IEC 27002 y es un complemento de esa norma. ISO 27799:2008 especifica un conjunto detallado de controles y directrices de buenas prácticas para la gestión de la salud y la seguridad de la información por organizaciones sanitarias y otros custodios de la información sanitaria en base a garantizar un mínimo nivel necesario de seguridad apropiado para la organización y circunstancias que van a mantener la confidencialidad, integridad y disponibilidad de información personal de salud. ISO 27799:2008 se aplica a la información en salud en todos sus aspectos y en cualquiera de sus formas, toma la información (palabras y números, grabaciones sonoras, dibujos, vídeos y imágenes médicas), sea cual fuere el medio utilizado para almacenar (de impresión o de escritura en papel o electrónicos de almacenamiento ) y sea cual fuere el medio utilizado para transmitirlo (a mano, por fax, por redes informáticas o por correo), ya que la información siempre debe estar adecuadamente protegida. El original en inglés o francés puede adquirirse en ISO.org.