domingo, 17 de mayo de 2009
miércoles, 13 de mayo de 2009
Recomendaciones de la Agencia de Protección de Datos de la Comunidad de Madrid durante el 2008
La Agencia de Protección de Datos de la Comunidad de Madrid, al igual que la Agencia Estatal, encuentran entren sus funciones la de dictar instrucciones y recomendaciones de adecuación de los tratamientos de protección de datos, así como en materia de seguridad y de control de acceso a ficheros.
Iciar López-Vidriero Tejedor, Socia y Abogada de ICEF Consultores
Productos recomendados
Le recomendamos que utilice un buen CRM para conseguir una perfecta sincronización con sus clientes.
Resumen:
Desde la publicación de la Ley 8/2001 de Protección de Datos de la Comunidad de Madrid, se han ido publicando diversas recomendaciones a partir del año 2004 acerca de distintos sectores y tratamientos, como los de salud, custodia y archivo, utilización y tratamiento del padrón municipal, historias clínicas no informatizadas, etc.
Si desea más información puede consultar el Manual Práctico de Protección de Datos para Empresas
A través del presente artículo vamos comentar las tres recomendaciones dictadas por la Agencia de Protección de Datos de la Comunidad de Madrid durante el año 2008, si bien desarrollaremos la Recomendación 2/2008, para en siguientes artículos desarrollar las otras dos recomendaciones:
- Recomendación 1/2008, sobre tratamiento de datos personales en los Servicios Sociales de la Administración de la Comunidad de Madrid y en los Servicios Sociales de los Entes Locales de la Comunidad de Madrid.
- Recomendación 2/2008, sobre publicación de datos personales en boletines y diarios oficiales en Internet, en sitios web institucionales y en otros medios electrónicos y telemáticos.
- Recomendación 3/2008, sobre tratamiento de datos de carácter personal en servicios de administración electrónica.
Recomendación 1/2008, sobre tratamiento de datos personales en los Servicios Sociales de la Administración de la Comunidad de Madrid y en los Servicios Sociales de los Entes Locales de la Comunidad de Madrid.
Esta recomendación nace tras la inspección sectorial que llevó a cabo la Agencia de Protección de Datos de la Comunidad de Madrid a 12 organismos locales y regionales de Servicios Sociales de la Comunidad de Madrid, destacando la sensibilidad de la mayoría de estos ficheros, al recabar éstos datos de salud como el grado de minusvalía.
Con la redacción de la presente recomendación se intenta dar respuesta a la mayoría de preguntas realizadas por estos órganos y facilitar con ello, el cumplimiento de la normativa de protección de datos personales 15/99, así como el nuevo Reglamento de desarrollo 1720/2007, destacando que ésta es la primera norma que recoge supuestos específicos del Nuevo Reglamento.
Recomendación 2/2008, sobre publicación de datos personales en boletines y diarios oficiales en Internet, en sitios web institucionales y en otros medios electrónicos y telemáticos.
Cabe destacar de esta recomendación, al igual que en la anterior, la aplicación del nuevo Reglamento 1720/2007, pero sobretodo la longitud del texto, que en ningún caso es imperativo legal sino sólo programático, ya que incluye un apartado específico de supuestos concretos de publicación en Boletines y Diarios Oficiales, en sitios web institucionales y en otros canales electrónicos y telemáticos administrativos, lo que hace que el texto de la presente recomendación sea de especial interés y ante todo práctico.
Si bien el título de la recomendación hace expresa mención a la publicación de Boletines y Diarios en Internet, la aplicación de la recomendación da un paso más y comprende, de igual forma, la publicación de datos personales realizada a través de soportes físicos en cualquier formato, constitutivos de impresiones, ediciones, reproducciones, etc., siempre y cuando éstos y/o los electrónicos sean publicados por la Asamblea de Madrid y de más instituciones y/u órganos de la Administración Pública de la Comunidad de Madrid.
Queremos resaltar algunos de los puntos más interesantes de la presente recomendación, si bien sugerimos al lector realice una lectura completa del texto.
- Serán los responsables del tratamiento las Administraciones Públicas u órganos administrativos que ordenen la inserción de textos en el Boletín o Diario Oficial.
- No será necesario el consentimiento previo del ciudadano afectado siempre y cuando la publicación se fundamente en uno de los supuestos admitidos por la Ley 30/92 —Régimen Jurídico de las Administraciones Públicas—, por una norma con rango de Ley, a una norma comunitaria o a la libre aceptación de una relación jurídica que implique necesariamente la publicación de los mismos. Para cualquier otro caso no recogido, se hará necesario el consentimiento previo del afectado.
- Siempre deberá respetarse el principio de calidad, el derecho de información en la recogida de datos y en la aplicación de las medidas de seguridad necesarias.
- Cuando no rija el principio de publicidad se facilitará el acceso individual del ciudadano, ya sea por área restringida, firma electrónica avanzada u otros medios.
- El acceso a los tablones de anuncios electrónicos deberá verificarse a través de consulta identificada del interesado, utilizando cualquiera de los medios expuestos en el punto anterior.
- Sólo se publicarán aquellos datos personales que sean imprescindibles para la finalidad pretendida.
- Se recomienda que no se publiquen datos de salud, vida sexual, fines policiales, menores de edad, comisión de infracciones, personalidad del afectado y relacionados con el ejercicio tributario a no ser que haya una norma con rango de Ley o normativa comunitaria que haga habilitación expresa a la publicación de los mismos.
- Cuando la finalidad de la publicación sea meramente estadística o histórica se deberá disociar la información de carácter personal.
- La cancelación de datos sólo procederá cuando éstos hayan dejado de ser necesarios o pertinentes para la finalidad para la cual fueron recabados.
- La cancelación de oficio no requerirán comunicación alguna al afectado.
- El bloqueo de datos deberá mantenerse mientras persista algún tipo de responsabilidad derivada.
-Los motores de búsqueda no deberán sobrepasar un periodo de 6 meses de conservación de los datos personales de los usuarios, ya sea por indexación automática como por obtención de búsqueda por datos personales.
- Se deberá permitir el ejercicio de derechos —acceso, rectificación, cancelación y oposición— de los afectados.
Estos son a grandes rasgos los puntos más importantes de la presente recomendación, si bien volvemos a incidir en la interesante redacción del texto, puesto que incluye supuestos concretos dándose respuesta a todos ellos:
http://www.madrid.org/cs/Satellite?blobcol=seccionpdf&blobheader=application%2Fpdf&blobkey=id&blobtable=CM_Seccion_BOCM&blobwhere=1142489423428&ssbinary=true
Recomendación 3/2008, sobre tratamiento de datos de carácter personal en servicios de administración electrónica.
La presente recomendación trata de concretar los principios y derechos de protección de datos a los servicios de Administración electrónica, en especial, lo referente a la política de privacidad, suscripción de noticias y servicios de alertas SMS, cookies, suscripción a bolsas de empleo, “chats” institucionales, procesos de participación electrónica y foros de opinión.
Resulta éste un texto muy interesante que resuelve dudas planteadas por diversos organismos de la Administración Pública de la Comunidad de Madrid, ofreciendo de esta forma un respaldo a la hora del tratamiento de datos de carácter personal.
Iciar López-Vidriero Tejedor, Socia y Abogada de ICEF Consultores
Productos recomendados
Le recomendamos que utilice un buen CRM para conseguir una perfecta sincronización con sus clientes.
Resumen:
Desde la publicación de la Ley 8/2001 de Protección de Datos de la Comunidad de Madrid, se han ido publicando diversas recomendaciones a partir del año 2004 acerca de distintos sectores y tratamientos, como los de salud, custodia y archivo, utilización y tratamiento del padrón municipal, historias clínicas no informatizadas, etc.
Si desea más información puede consultar el Manual Práctico de Protección de Datos para Empresas
A través del presente artículo vamos comentar las tres recomendaciones dictadas por la Agencia de Protección de Datos de la Comunidad de Madrid durante el año 2008, si bien desarrollaremos la Recomendación 2/2008, para en siguientes artículos desarrollar las otras dos recomendaciones:
- Recomendación 1/2008, sobre tratamiento de datos personales en los Servicios Sociales de la Administración de la Comunidad de Madrid y en los Servicios Sociales de los Entes Locales de la Comunidad de Madrid.
- Recomendación 2/2008, sobre publicación de datos personales en boletines y diarios oficiales en Internet, en sitios web institucionales y en otros medios electrónicos y telemáticos.
- Recomendación 3/2008, sobre tratamiento de datos de carácter personal en servicios de administración electrónica.
Recomendación 1/2008, sobre tratamiento de datos personales en los Servicios Sociales de la Administración de la Comunidad de Madrid y en los Servicios Sociales de los Entes Locales de la Comunidad de Madrid.
Esta recomendación nace tras la inspección sectorial que llevó a cabo la Agencia de Protección de Datos de la Comunidad de Madrid a 12 organismos locales y regionales de Servicios Sociales de la Comunidad de Madrid, destacando la sensibilidad de la mayoría de estos ficheros, al recabar éstos datos de salud como el grado de minusvalía.
Con la redacción de la presente recomendación se intenta dar respuesta a la mayoría de preguntas realizadas por estos órganos y facilitar con ello, el cumplimiento de la normativa de protección de datos personales 15/99, así como el nuevo Reglamento de desarrollo 1720/2007, destacando que ésta es la primera norma que recoge supuestos específicos del Nuevo Reglamento.
Recomendación 2/2008, sobre publicación de datos personales en boletines y diarios oficiales en Internet, en sitios web institucionales y en otros medios electrónicos y telemáticos.
Cabe destacar de esta recomendación, al igual que en la anterior, la aplicación del nuevo Reglamento 1720/2007, pero sobretodo la longitud del texto, que en ningún caso es imperativo legal sino sólo programático, ya que incluye un apartado específico de supuestos concretos de publicación en Boletines y Diarios Oficiales, en sitios web institucionales y en otros canales electrónicos y telemáticos administrativos, lo que hace que el texto de la presente recomendación sea de especial interés y ante todo práctico.
Si bien el título de la recomendación hace expresa mención a la publicación de Boletines y Diarios en Internet, la aplicación de la recomendación da un paso más y comprende, de igual forma, la publicación de datos personales realizada a través de soportes físicos en cualquier formato, constitutivos de impresiones, ediciones, reproducciones, etc., siempre y cuando éstos y/o los electrónicos sean publicados por la Asamblea de Madrid y de más instituciones y/u órganos de la Administración Pública de la Comunidad de Madrid.
Queremos resaltar algunos de los puntos más interesantes de la presente recomendación, si bien sugerimos al lector realice una lectura completa del texto.
- Serán los responsables del tratamiento las Administraciones Públicas u órganos administrativos que ordenen la inserción de textos en el Boletín o Diario Oficial.
- No será necesario el consentimiento previo del ciudadano afectado siempre y cuando la publicación se fundamente en uno de los supuestos admitidos por la Ley 30/92 —Régimen Jurídico de las Administraciones Públicas—, por una norma con rango de Ley, a una norma comunitaria o a la libre aceptación de una relación jurídica que implique necesariamente la publicación de los mismos. Para cualquier otro caso no recogido, se hará necesario el consentimiento previo del afectado.
- Siempre deberá respetarse el principio de calidad, el derecho de información en la recogida de datos y en la aplicación de las medidas de seguridad necesarias.
- Cuando no rija el principio de publicidad se facilitará el acceso individual del ciudadano, ya sea por área restringida, firma electrónica avanzada u otros medios.
- El acceso a los tablones de anuncios electrónicos deberá verificarse a través de consulta identificada del interesado, utilizando cualquiera de los medios expuestos en el punto anterior.
- Sólo se publicarán aquellos datos personales que sean imprescindibles para la finalidad pretendida.
- Se recomienda que no se publiquen datos de salud, vida sexual, fines policiales, menores de edad, comisión de infracciones, personalidad del afectado y relacionados con el ejercicio tributario a no ser que haya una norma con rango de Ley o normativa comunitaria que haga habilitación expresa a la publicación de los mismos.
- Cuando la finalidad de la publicación sea meramente estadística o histórica se deberá disociar la información de carácter personal.
- La cancelación de datos sólo procederá cuando éstos hayan dejado de ser necesarios o pertinentes para la finalidad para la cual fueron recabados.
- La cancelación de oficio no requerirán comunicación alguna al afectado.
- El bloqueo de datos deberá mantenerse mientras persista algún tipo de responsabilidad derivada.
-Los motores de búsqueda no deberán sobrepasar un periodo de 6 meses de conservación de los datos personales de los usuarios, ya sea por indexación automática como por obtención de búsqueda por datos personales.
- Se deberá permitir el ejercicio de derechos —acceso, rectificación, cancelación y oposición— de los afectados.
Estos son a grandes rasgos los puntos más importantes de la presente recomendación, si bien volvemos a incidir en la interesante redacción del texto, puesto que incluye supuestos concretos dándose respuesta a todos ellos:
http://www.madrid.org/cs/Satellite?blobcol=seccionpdf&blobheader=application%2Fpdf&blobkey=id&blobtable=CM_Seccion_BOCM&blobwhere=1142489423428&ssbinary=true
Recomendación 3/2008, sobre tratamiento de datos de carácter personal en servicios de administración electrónica.
La presente recomendación trata de concretar los principios y derechos de protección de datos a los servicios de Administración electrónica, en especial, lo referente a la política de privacidad, suscripción de noticias y servicios de alertas SMS, cookies, suscripción a bolsas de empleo, “chats” institucionales, procesos de participación electrónica y foros de opinión.
Resulta éste un texto muy interesante que resuelve dudas planteadas por diversos organismos de la Administración Pública de la Comunidad de Madrid, ofreciendo de esta forma un respaldo a la hora del tratamiento de datos de carácter personal.
martes, 31 de marzo de 2009
ISO 27001: ¿Hacia un cumplimiento obligatorio?
Autor: Manuel Díaz San Pedro
Gestión de la calidad
06-02-2009
Hoy en día nadie pone en duda la fortaleza de la norma ISO 27001 en materia de gestión de Seguridad de la Información. Desde su publicación en 2005, año en que ISO adoptó el estándar británico BS-7799-2 con la denominación ISO/IEC 27001:2005, la norma ha ido haciéndose un hueco cada vez más importante en el ajetreado mundo de la certificación.
Y lo ha hecho de la mano de su guía de buenas prácticas ISO 27002, que sin ser certificable, es un compendio de recomendaciones para aquellos que se enfrentan a la ingente -y exigente- tarea de implementar un Sistema de Gestión de Seguridad de la Información (SGSI).
No obstante, ISO 27001 está todavía muy lejos de alcanzar el grado de implantación a nivel mundial de otros estándares de gestión, como por ejemplo, el ampliamente conocido estándar que establece los requisitos de un sistema de Gestión de la Calidad: ISO 9001.
Tal es la superioridad del estándar de calidad que actualmente no se cuestiona si se trata de una norma de cumplimiento obligatorio o voluntario. Simplemente, si no estás certificado bajo 9001, estás fuera del mercado. Así de rotundo.
Viendo esa evolución que ha tenido ISO 9001 en todo el mundo desde que fuera publicada en 1987, y teniendo en cuenta que la sociedad en la que vivimos y las empresas que operan en el mercado dependen ya de una manera absoluta de la información, parece lógico pensar que ISO 27001 va a ir ganando peso progresivamente tanto en organizaciones de carácter público como en la empresa privada.
En este escenario, podría todavía resultar aventurado pensar que ISO 27001 se convierta en el futuro en un estándar de obligado cumplimiento en sentido estricto, o de cumplimiento “obligatorio” a la manera en que de facto lo es ISO 9001. Pero también es cierto que empezamos a ver ciertos signos indicativos de que quizás no estemos hablando de un futuro tan lejano.
Por ejemplo, en Perú la ISO/IEC 27002:2005 –recordemos, la guía de buenas prácticas y no el estándar certificable- es de uso obligatorio en todas las instituciones públicas desde el año 2004, fijando así un estándar para las operaciones de la Administración, cuyo cumplimiento es supervisado por la Oficina Nacional de Gobierno Electrónico e Informática – ONGEI.
Sin salir de Sudamérica, en Colombia la norma ISO 27001 es de cumplimiento obligatorio para algunos sectores. Es el caso de los operadores de información, que de conformidad con el Decreto 1931 de 2006 de aquél país, se hallan sujetos al cumplimiento del estándar.
Pero, sin duda, será el sector privado el que con mayor empuje pondrá a ISO 27001 en el lugar que le corresponde, debido al importante papel que puede desempeñar un SGSI en el ámbito del gobierno corporativo de las empresas en cuanto a gestión de riesgos se refiere.
Un claro ejemplo lo encontramos, cómo no, en la cuna de la gestión de la Seguridad de la Información, el Reino Unido. En 2004, el Financial Reporting Council (FRC), el regulador británico al que las empresas de ese país que cotizan en bolsa deben reportar sus datos financieros, constituyó un grupo de asesores presidido por Douglas Flint, de HSBC Holdings Plc.
La misión encomendada a este grupo era revisar la guía Turnbull, unas buenas prácticas de control interno para empresas británicas cotizadas en bolsa, publicadas por primera vez en 1999. Con las observaciones realizadas por el grupo, el FRC publicó la actualización de la guía en Octubre de 2005. Esta actualización refuerza la importancia del control interno y la gestión de riesgos en el gobierno corporativo de las empresas.
Control interno y gestión de riesgos, sin duda dos conceptos que nos resultan muy familiares a quienes trabajamos a diario con ISO 27001. Efectivamente, el estándar en gestión de Seguridad de la Información, no se limita a gestionar los sistemas de información de las organizaciones, sino que va bastante más allá. Supone todo un examen del proceso o procesos que pretendemos certificar, obteniendo un conocimiento exhaustivo del mismo.
Esa exhaustividad proviene de la identificación y valoración de los activos de la organización, y del análisis de riesgos correspondiente, que nos aportará luz sobre los controles que debemos aplicar para mitigar los riesgos detectados.
Desde otras posiciones se está considerando el encaje de ISO 27001 en el ámbito de la Responsabilidad Social Corporativa (RSC), así como dentro de otro concepto de Governance, Risk Management & Compliance (GRC) que nos comentaba Scott L Mitchell, del think tank estadounidense Open Compliance & Ethics Group (OCEG). Este concepto supone superar el de responsabilidad social corporativa, integrando buen gobierno, cumplimiento normativo, gestión del riesgo y Seguridad de la Información.
Ciertamente, de producirse esa evolución que adelanta OCEG, la Seguridad de la Información pasaría a convertirse en algo tan intrínseco a las empresas como lo es hoy el control financiero o la gestión de la calidad. Ese es el salto que aún tiene pendiente la Seguridad de la Información para hacerse un hueco en la empresa y quedarse para siempre.
Desde luego, un punto de apoyo muy sólido hacia esa evolución lo proporciona el Informe Anual 2008 del IT Policy Compliance Group, con el título Improving Business Results and Mitigating Financial Risk. Según los datos que recoge el informe, las organizaciones con mayor grado de desarrollo en IT GRC –o GRC de las Tecnologías de la Información- superan la media de ingresos en un 17%, que se traduce en un 13,8% más de beneficios.
Cifras que, sin duda, son un estímulo para que ISO 27001 continúe avanzando posiciones en su particular carrera por equipararse al estándar de calidad ISO 9001 en cuanto a grado de implantación y obligatoriedad de facto. Es decir, por convertirse en un estándar cuya certificación las empresas obtendrán no sólo para mejorar la seguridad de su información, sino también para incrementar sus resultados y, por supuesto, para estar en el mercado. Un mercado que para entonces habrá madurado lo suficiente como para marginar a aquellas organizaciones que no se tomen muy en serio la seguridad de sus activos de información.
Manuel Díaz San Pedro
Consultor de Seguridad.
www.audea.com
Aportado por: Elena Ortega de Nicolás
comunicacionarrobaaudea.com
Gestión de la calidad
06-02-2009
Hoy en día nadie pone en duda la fortaleza de la norma ISO 27001 en materia de gestión de Seguridad de la Información. Desde su publicación en 2005, año en que ISO adoptó el estándar británico BS-7799-2 con la denominación ISO/IEC 27001:2005, la norma ha ido haciéndose un hueco cada vez más importante en el ajetreado mundo de la certificación.
Y lo ha hecho de la mano de su guía de buenas prácticas ISO 27002, que sin ser certificable, es un compendio de recomendaciones para aquellos que se enfrentan a la ingente -y exigente- tarea de implementar un Sistema de Gestión de Seguridad de la Información (SGSI).
No obstante, ISO 27001 está todavía muy lejos de alcanzar el grado de implantación a nivel mundial de otros estándares de gestión, como por ejemplo, el ampliamente conocido estándar que establece los requisitos de un sistema de Gestión de la Calidad: ISO 9001.
Tal es la superioridad del estándar de calidad que actualmente no se cuestiona si se trata de una norma de cumplimiento obligatorio o voluntario. Simplemente, si no estás certificado bajo 9001, estás fuera del mercado. Así de rotundo.
Viendo esa evolución que ha tenido ISO 9001 en todo el mundo desde que fuera publicada en 1987, y teniendo en cuenta que la sociedad en la que vivimos y las empresas que operan en el mercado dependen ya de una manera absoluta de la información, parece lógico pensar que ISO 27001 va a ir ganando peso progresivamente tanto en organizaciones de carácter público como en la empresa privada.
En este escenario, podría todavía resultar aventurado pensar que ISO 27001 se convierta en el futuro en un estándar de obligado cumplimiento en sentido estricto, o de cumplimiento “obligatorio” a la manera en que de facto lo es ISO 9001. Pero también es cierto que empezamos a ver ciertos signos indicativos de que quizás no estemos hablando de un futuro tan lejano.
Por ejemplo, en Perú la ISO/IEC 27002:2005 –recordemos, la guía de buenas prácticas y no el estándar certificable- es de uso obligatorio en todas las instituciones públicas desde el año 2004, fijando así un estándar para las operaciones de la Administración, cuyo cumplimiento es supervisado por la Oficina Nacional de Gobierno Electrónico e Informática – ONGEI.
Sin salir de Sudamérica, en Colombia la norma ISO 27001 es de cumplimiento obligatorio para algunos sectores. Es el caso de los operadores de información, que de conformidad con el Decreto 1931 de 2006 de aquél país, se hallan sujetos al cumplimiento del estándar.
Pero, sin duda, será el sector privado el que con mayor empuje pondrá a ISO 27001 en el lugar que le corresponde, debido al importante papel que puede desempeñar un SGSI en el ámbito del gobierno corporativo de las empresas en cuanto a gestión de riesgos se refiere.
Un claro ejemplo lo encontramos, cómo no, en la cuna de la gestión de la Seguridad de la Información, el Reino Unido. En 2004, el Financial Reporting Council (FRC), el regulador británico al que las empresas de ese país que cotizan en bolsa deben reportar sus datos financieros, constituyó un grupo de asesores presidido por Douglas Flint, de HSBC Holdings Plc.
La misión encomendada a este grupo era revisar la guía Turnbull, unas buenas prácticas de control interno para empresas británicas cotizadas en bolsa, publicadas por primera vez en 1999. Con las observaciones realizadas por el grupo, el FRC publicó la actualización de la guía en Octubre de 2005. Esta actualización refuerza la importancia del control interno y la gestión de riesgos en el gobierno corporativo de las empresas.
Control interno y gestión de riesgos, sin duda dos conceptos que nos resultan muy familiares a quienes trabajamos a diario con ISO 27001. Efectivamente, el estándar en gestión de Seguridad de la Información, no se limita a gestionar los sistemas de información de las organizaciones, sino que va bastante más allá. Supone todo un examen del proceso o procesos que pretendemos certificar, obteniendo un conocimiento exhaustivo del mismo.
Esa exhaustividad proviene de la identificación y valoración de los activos de la organización, y del análisis de riesgos correspondiente, que nos aportará luz sobre los controles que debemos aplicar para mitigar los riesgos detectados.
Desde otras posiciones se está considerando el encaje de ISO 27001 en el ámbito de la Responsabilidad Social Corporativa (RSC), así como dentro de otro concepto de Governance, Risk Management & Compliance (GRC) que nos comentaba Scott L Mitchell, del think tank estadounidense Open Compliance & Ethics Group (OCEG). Este concepto supone superar el de responsabilidad social corporativa, integrando buen gobierno, cumplimiento normativo, gestión del riesgo y Seguridad de la Información.
Ciertamente, de producirse esa evolución que adelanta OCEG, la Seguridad de la Información pasaría a convertirse en algo tan intrínseco a las empresas como lo es hoy el control financiero o la gestión de la calidad. Ese es el salto que aún tiene pendiente la Seguridad de la Información para hacerse un hueco en la empresa y quedarse para siempre.
Desde luego, un punto de apoyo muy sólido hacia esa evolución lo proporciona el Informe Anual 2008 del IT Policy Compliance Group, con el título Improving Business Results and Mitigating Financial Risk. Según los datos que recoge el informe, las organizaciones con mayor grado de desarrollo en IT GRC –o GRC de las Tecnologías de la Información- superan la media de ingresos en un 17%, que se traduce en un 13,8% más de beneficios.
Cifras que, sin duda, son un estímulo para que ISO 27001 continúe avanzando posiciones en su particular carrera por equipararse al estándar de calidad ISO 9001 en cuanto a grado de implantación y obligatoriedad de facto. Es decir, por convertirse en un estándar cuya certificación las empresas obtendrán no sólo para mejorar la seguridad de su información, sino también para incrementar sus resultados y, por supuesto, para estar en el mercado. Un mercado que para entonces habrá madurado lo suficiente como para marginar a aquellas organizaciones que no se tomen muy en serio la seguridad de sus activos de información.
Manuel Díaz San Pedro
Consultor de Seguridad.
www.audea.com
Aportado por: Elena Ortega de Nicolás
comunicacionarrobaaudea.com
martes, 10 de junio de 2008
Tipos de Auditoría Informática
INICIO
- AUDITORIA FISICA
- AUDITORIA OFIMATICA
- AUDITORIA DE DIRECCION
- AUDITORIA DE MANTENIMIENTO
- AUDITORIA DE BASE DE DATOS
AUDITORIA FISICA
Activos informáticos, observaciones donde estan y que existan en el inventario, prevención y seguridad. Todos estos activos estan fisicamente seguros y adecuados, posibles fallas fisicas, saber si se tiene un plan específico despues de un desastre, identificar cuales son sus planes de acción para la seguridad en cuanto a un desastre.
comprueba la existencia de los medios fisicos y también su funcionalidad, racionalidad y seguridad.
Ésta garantiza la integridad de los activos humanos, logicos y materiales de centro de computo.
Areas de conocimiento de la auditoria fisica
Organigrama respectivo de la empresa, auditorias internas pasadas, administración de la seguridad (asignar responsabilidades a cada una de las personas), centro deprocesos de datos (identificar cada una de las salas que se debe asegurar), equipos y comunicaciones (de manera especifica), seguridad fisica del personal (información que se debe tener).
Lista donde esta la información
Manual de procedimientos, jefes de departamento, recursos humanos, altos directivos,m reglamentos y cursos de capacitación.
Herramientas
Entrevistras, cuestionarios, encuestas y gráficas.
AUDITORIA OFIMATICA
Estudio de una aplicación a la cual debemos evaluar, saber si realmente sirve para su requerimiento, previo a compra de software se haya hecho un estudio para saber si realmente lo está utilizando de la manera más adecuada.
La Ofimática
Sistema automatizado uqe genera, procesa, almacena, recupera,comunica y presenta datos relacionados con el funcionamiento de la oficina.
Escritorio virtual, trabajo en equipo (Lotus, Nous, grp, etc.), estaciones de trabajo, aplicaciones, medidas de seguridad que tienen los usuarios, controles de la ofimáticaque se deben ocupar (economia, eficacia y eficiencia).
• Determinar si el inventario ofimático de los equipos reflejan con exactitud el número de equipos y aplicaciones reales.
• Determinar y evaluar el procedimiento de adqusición de equipos y aplicaciones.
• Determinar y evaluar la política de mantenimiento definida en la organización.
• Evaluar la calidad de las aplicaciones del entorno ofimático desarrollado por el propio personal de la organización.
• Evaluar la corrección del procedimiento existente para la realización de cambios de versiones y aplicaciones.
• Determinar si los usuarios cuentancon suficiente información y la documentación de apoyo para la realización de sus actividades de un modelo eficaz y eficiente.
• Determinar si el sistema existe y si realmente cumple con las necesidades de la organización.
Anomálias
- Seguridad.- Determinar si existen garantias suficientes para proteger los accesos no autorizados a la información reservada a la empresa y a la integridad de la misma.
1. Acceso por medio de contraseñas.
- Procedimiento para la asignación de contraseñas.
- Procedimiento para cambioperiodico de contraseñas.
2. Información impresa.
- Accesos autorizados.
- Verificar que esta información se encuentra siempre en cajones.
- Maquinas que distribuyen los documentos .
3. Verificar que la información de encuentre clasificada.
Determiar si el procedimiento de generación de copias de respaldo es fiable y garantiza la recuperación de la información
1. Que este especificado.
2. Que la perioricidad sea acorde a las condiciones ofimáticas.
3. Que se cumpla el procedimiento.
4. Que la calidad del respaldo este garantizada (tomar un respaldo y verificar si realmente funciona y el procedimiento sea el adecuado).
5. Que realmente esten resguardados los respaldos en un área segura.
determinar si estan garantizados el funcionamiento ininterrumpido de aplicaciones críticas.
1. Planta de luz alternativa.
2. Asignación e responsabilidades en cadena para lebvantar el sistema.
Determinar el grado de exposición ante la posibilidad de intrusos, de virus (medida del riesgo para poder protegerse por la intrusión de virus por eso es necesario tener antivirus).
1. Tener antivirus.
2. Checar actualizaciones de antivirus y que todas las maquinas lo tengan.
AUDITORIA DE DIRECCION
Siempre en una organización se dice que esta es un reflejo de las carcxteristicas de su dirección, los modos y maneras de actuar de aquella estan influenciadas por la filosofia y personalidad del director.
Acciones de un Director
• Planificar. (este acorde al plan estrategico (conocimiento a evaluar acciones a realizar)).
- Lectura y analisis de actas, acuerdoss, etc.
- Lectura y analisis de informes gerencciales.
- Entrevistas con el mismo director dell departamento y con los directores de otras áreas.
• Organizar.
• Controlar.
• Coordinar.
Las enormes sumas que las empresas dedican a la tecnólogia de la información y de la dependencia de estás con los procesos de la organización hacen necesaria una evaluación independiente de la función que la gestiona (dirige).
AUDITORIA DE LA DIRECCIÓN DE GESTIÓN
- Planificar
- Evaluar
- Plan estrategico.
- Recursos asignados a cada plan de proyecto.
- Organizar y coordinar
Se va a realizar de acuerdo con lo planeado, el director debe establecer los flujos de información para que no haya fallas.
- Organizar
El proceso de organizar consiste en estructurar recursos, los flujos de información y los controles que permiten alcanzar los objetivos marcados por la calificación. Para poder evaluar y dar seguimiento a estas funciones se establece un comité de informática que afectan a toda la empresa y permite a los usuarios como las actividades de la organización no solo de su área, se pueden fijar las prioridades.
El auditor debe asegurarse que exista esté comité y que cumpla su papel adecuadamente.
Las acciones a realizar por el auditor son:
• Verificar que exista una normativa interna donde se especifique las funciones del comite.
• Entrevistar a miembros de este para conocer por parte de ellos funciones que realmente realizan.
Existe comité de informática
- Normativa interna.
- Entrevistas a los representantes de llos usuarios para conocer si entienden y si estan de acuerdo con el comité.
- Entrevista con los miembros.
Criterio para asignar a los miembros del comite.
• Verificar trabajo del comité
- Lectura de actas de comité para comprrobar que el comité cumple efectivamente las funciones y que los acuerdos son tomados correctamente tomando en cuenta la opinión de los miembros del comité.
AUDITORIA DE MANTENIMIENTO
- Evalua la etapa del mantenimiento (4 a 6 meses la durac. delmantenimiento
- Importancia (etapa del mantenimiento (15 dias a 1 mes (mantenimiento con cambios)) "mayor costo".
- Evaluar trabajo.
- Lista de revisiones.
- Existe documentación para el requerimiento de cambios.
- Documentación de los cambios.
- Pruebas de las modificaciones (lista de prueba y su observación).
- La aceptación de pruebas, con la cual se liberan los cambios.
- Logistica (por procedimientos) para realixzar el cambio de modificaciones (vesiones) del servidor de producción.
Valoración del esfuerzo de trabajo.
No. > mayor esfuerzo.
No. < menor esfuerzo.
Se debe utilizar ciertos criterios que son:
- Esfuerzo de la etapa de mantenimientoo.
meshombre (etapa de mantenimiento esfuerzo) = trafico de cambio actual
meshombre de desarrollo.
TCA = numero de lineas nuevas + numero de lineas modificadas
numero de lineas iniciales
meshombredesarrollo = 2.4Ks1.05
= 3.0Ks
= 3.6Ks1.20
Ks = estimación del tamaño del programado en miles de lineas de código.
• Comprensibilidad del siatema
- Identificar que los archivos tengan nnombre adecuado a lo que se esta codificando.
- Facil de entender.
- Nombres adecuados de acuerdo al tipo de datos e información
- Comentarios por lomenos cada 50 lineaas de código.
• Que sea modificable
- Que tan modificable es.<
• Testeable
- Que los pongamos a prueba para verifiicar sirealmente es correcto.
- Se introduzca códigode detección de eerrores.
AUDITORIA DE BASE DE DATOS
1. Confidencialidad.
- Identificar el archivo documento que listen los perfiles de usuarios.
- Verificar que el documentotenga el tiipo de acceso "ad hoc" al grupo de usuarios.
- Realizar encuestas y aplicar cuestionnarios para verificar que los perfiles realmente hayan sido aplicados.
- Revisar los usuarios en el sistema manejador de base de datos y canalizar los perfiles con el documento arriba mencionado.
PUNTOS A LOS QUE SE ENFOCA EL AUDITOR
Control y seguridad de la base de datos (se tenga siempre una lista de los usuarios asi como tambien diferentes perfiles, tipos de usuarios, documentación sobre cambios, accesos limitados, buscar e identificar que cada uno este en su puesto, que administradores tienen acceso, los programadores no deben tener acceso a la base realsino que debe tener acceso a usuarios en la misma, que usuarios tienen acceso a toda la base de datos en caso de que no tenga los perfiles el auditor debe de identificarlos e identificar que cada persona este en su puesto), diseño(identificar que realemente se deje una trayectoria o documentación sobre la base de datos, que tenga diccionario de base de datos y cada uno tenga los datos adecuados, lista de los objetos.
La investigación de la arquitectura (se refiere al sistema operativo y el software para crear una base de datos ademas de que deban ser compatible, checar estudio previo para escojer el sofware adecuado, verificar que los componentes que se compren sean los adecuados para la compatibilidad) el ciclo de vida de una base de datos (cuanto tiempo duraráel sistema o base de datos que se diseño), estudio de la información este realmente de acuerdo con la empresa que esta utilizando en este momento, si se cuenta con la documentación de la reingenieria aplicada, tener almacenados ciertos archivos que se modifican, verificar que exista un oficio para poder hacer la modificación con las autorizaciones necesarias, verificar que exista registro de todo.
Fuente:
http://mx.geocities.com/miguel_apd_77/pagina4.html
- AUDITORIA FISICA
- AUDITORIA OFIMATICA
- AUDITORIA DE DIRECCION
- AUDITORIA DE MANTENIMIENTO
- AUDITORIA DE BASE DE DATOS
AUDITORIA FISICA
Activos informáticos, observaciones donde estan y que existan en el inventario, prevención y seguridad. Todos estos activos estan fisicamente seguros y adecuados, posibles fallas fisicas, saber si se tiene un plan específico despues de un desastre, identificar cuales son sus planes de acción para la seguridad en cuanto a un desastre.
comprueba la existencia de los medios fisicos y también su funcionalidad, racionalidad y seguridad.
Ésta garantiza la integridad de los activos humanos, logicos y materiales de centro de computo.
Areas de conocimiento de la auditoria fisica
Organigrama respectivo de la empresa, auditorias internas pasadas, administración de la seguridad (asignar responsabilidades a cada una de las personas), centro deprocesos de datos (identificar cada una de las salas que se debe asegurar), equipos y comunicaciones (de manera especifica), seguridad fisica del personal (información que se debe tener).
Lista donde esta la información
Manual de procedimientos, jefes de departamento, recursos humanos, altos directivos,m reglamentos y cursos de capacitación.
Herramientas
Entrevistras, cuestionarios, encuestas y gráficas.
AUDITORIA OFIMATICA
Estudio de una aplicación a la cual debemos evaluar, saber si realmente sirve para su requerimiento, previo a compra de software se haya hecho un estudio para saber si realmente lo está utilizando de la manera más adecuada.
La Ofimática
Sistema automatizado uqe genera, procesa, almacena, recupera,comunica y presenta datos relacionados con el funcionamiento de la oficina.
Escritorio virtual, trabajo en equipo (Lotus, Nous, grp, etc.), estaciones de trabajo, aplicaciones, medidas de seguridad que tienen los usuarios, controles de la ofimáticaque se deben ocupar (economia, eficacia y eficiencia).
• Determinar si el inventario ofimático de los equipos reflejan con exactitud el número de equipos y aplicaciones reales.
• Determinar y evaluar el procedimiento de adqusición de equipos y aplicaciones.
• Determinar y evaluar la política de mantenimiento definida en la organización.
• Evaluar la calidad de las aplicaciones del entorno ofimático desarrollado por el propio personal de la organización.
• Evaluar la corrección del procedimiento existente para la realización de cambios de versiones y aplicaciones.
• Determinar si los usuarios cuentancon suficiente información y la documentación de apoyo para la realización de sus actividades de un modelo eficaz y eficiente.
• Determinar si el sistema existe y si realmente cumple con las necesidades de la organización.
Anomálias
- Seguridad.- Determinar si existen garantias suficientes para proteger los accesos no autorizados a la información reservada a la empresa y a la integridad de la misma.
1. Acceso por medio de contraseñas.
- Procedimiento para la asignación de contraseñas.
- Procedimiento para cambioperiodico de contraseñas.
2. Información impresa.
- Accesos autorizados.
- Verificar que esta información se encuentra siempre en cajones.
- Maquinas que distribuyen los documentos .
3. Verificar que la información de encuentre clasificada.
Determiar si el procedimiento de generación de copias de respaldo es fiable y garantiza la recuperación de la información
1. Que este especificado.
2. Que la perioricidad sea acorde a las condiciones ofimáticas.
3. Que se cumpla el procedimiento.
4. Que la calidad del respaldo este garantizada (tomar un respaldo y verificar si realmente funciona y el procedimiento sea el adecuado).
5. Que realmente esten resguardados los respaldos en un área segura.
determinar si estan garantizados el funcionamiento ininterrumpido de aplicaciones críticas.
1. Planta de luz alternativa.
2. Asignación e responsabilidades en cadena para lebvantar el sistema.
Determinar el grado de exposición ante la posibilidad de intrusos, de virus (medida del riesgo para poder protegerse por la intrusión de virus por eso es necesario tener antivirus).
1. Tener antivirus.
2. Checar actualizaciones de antivirus y que todas las maquinas lo tengan.
AUDITORIA DE DIRECCION
Siempre en una organización se dice que esta es un reflejo de las carcxteristicas de su dirección, los modos y maneras de actuar de aquella estan influenciadas por la filosofia y personalidad del director.
Acciones de un Director
• Planificar. (este acorde al plan estrategico (conocimiento a evaluar acciones a realizar)).
- Lectura y analisis de actas, acuerdoss, etc.
- Lectura y analisis de informes gerencciales.
- Entrevistas con el mismo director dell departamento y con los directores de otras áreas.
• Organizar.
• Controlar.
• Coordinar.
Las enormes sumas que las empresas dedican a la tecnólogia de la información y de la dependencia de estás con los procesos de la organización hacen necesaria una evaluación independiente de la función que la gestiona (dirige).
AUDITORIA DE LA DIRECCIÓN DE GESTIÓN
- Planificar
- Evaluar
- Plan estrategico.
- Recursos asignados a cada plan de proyecto.
- Organizar y coordinar
Se va a realizar de acuerdo con lo planeado, el director debe establecer los flujos de información para que no haya fallas.
- Organizar
El proceso de organizar consiste en estructurar recursos, los flujos de información y los controles que permiten alcanzar los objetivos marcados por la calificación. Para poder evaluar y dar seguimiento a estas funciones se establece un comité de informática que afectan a toda la empresa y permite a los usuarios como las actividades de la organización no solo de su área, se pueden fijar las prioridades.
El auditor debe asegurarse que exista esté comité y que cumpla su papel adecuadamente.
Las acciones a realizar por el auditor son:
• Verificar que exista una normativa interna donde se especifique las funciones del comite.
• Entrevistar a miembros de este para conocer por parte de ellos funciones que realmente realizan.
Existe comité de informática
- Normativa interna.
- Entrevistas a los representantes de llos usuarios para conocer si entienden y si estan de acuerdo con el comité.
- Entrevista con los miembros.
Criterio para asignar a los miembros del comite.
• Verificar trabajo del comité
- Lectura de actas de comité para comprrobar que el comité cumple efectivamente las funciones y que los acuerdos son tomados correctamente tomando en cuenta la opinión de los miembros del comité.
AUDITORIA DE MANTENIMIENTO
- Evalua la etapa del mantenimiento (4 a 6 meses la durac. delmantenimiento
- Importancia (etapa del mantenimiento (15 dias a 1 mes (mantenimiento con cambios)) "mayor costo".
- Evaluar trabajo.
- Lista de revisiones.
- Existe documentación para el requerimiento de cambios.
- Documentación de los cambios.
- Pruebas de las modificaciones (lista de prueba y su observación).
- La aceptación de pruebas, con la cual se liberan los cambios.
- Logistica (por procedimientos) para realixzar el cambio de modificaciones (vesiones) del servidor de producción.
Valoración del esfuerzo de trabajo.
No. > mayor esfuerzo.
No. < menor esfuerzo.
Se debe utilizar ciertos criterios que son:
- Esfuerzo de la etapa de mantenimientoo.
meshombre (etapa de mantenimiento esfuerzo) = trafico de cambio actual
meshombre de desarrollo.
TCA = numero de lineas nuevas + numero de lineas modificadas
numero de lineas iniciales
meshombredesarrollo = 2.4Ks1.05
= 3.0Ks
= 3.6Ks1.20
Ks = estimación del tamaño del programado en miles de lineas de código.
• Comprensibilidad del siatema
- Identificar que los archivos tengan nnombre adecuado a lo que se esta codificando.
- Facil de entender.
- Nombres adecuados de acuerdo al tipo de datos e información
- Comentarios por lomenos cada 50 lineaas de código.
• Que sea modificable
- Que tan modificable es.<
• Testeable
- Que los pongamos a prueba para verifiicar sirealmente es correcto.
- Se introduzca códigode detección de eerrores.
AUDITORIA DE BASE DE DATOS
1. Confidencialidad.
- Identificar el archivo documento que listen los perfiles de usuarios.
- Verificar que el documentotenga el tiipo de acceso "ad hoc" al grupo de usuarios.
- Realizar encuestas y aplicar cuestionnarios para verificar que los perfiles realmente hayan sido aplicados.
- Revisar los usuarios en el sistema manejador de base de datos y canalizar los perfiles con el documento arriba mencionado.
PUNTOS A LOS QUE SE ENFOCA EL AUDITOR
Control y seguridad de la base de datos (se tenga siempre una lista de los usuarios asi como tambien diferentes perfiles, tipos de usuarios, documentación sobre cambios, accesos limitados, buscar e identificar que cada uno este en su puesto, que administradores tienen acceso, los programadores no deben tener acceso a la base realsino que debe tener acceso a usuarios en la misma, que usuarios tienen acceso a toda la base de datos en caso de que no tenga los perfiles el auditor debe de identificarlos e identificar que cada persona este en su puesto), diseño(identificar que realemente se deje una trayectoria o documentación sobre la base de datos, que tenga diccionario de base de datos y cada uno tenga los datos adecuados, lista de los objetos.
La investigación de la arquitectura (se refiere al sistema operativo y el software para crear una base de datos ademas de que deban ser compatible, checar estudio previo para escojer el sofware adecuado, verificar que los componentes que se compren sean los adecuados para la compatibilidad) el ciclo de vida de una base de datos (cuanto tiempo duraráel sistema o base de datos que se diseño), estudio de la información este realmente de acuerdo con la empresa que esta utilizando en este momento, si se cuenta con la documentación de la reingenieria aplicada, tener almacenados ciertos archivos que se modifican, verificar que exista un oficio para poder hacer la modificación con las autorizaciones necesarias, verificar que exista registro de todo.
Fuente:
http://mx.geocities.com/miguel_apd_77/pagina4.html
lunes, 9 de junio de 2008
AUDITORIA INFORMATICA
1) Auditoría informática
Para verificar si se están aplicando las medidas de control más apropiadas para la salvaguarda e integridad de la información y de los sistemas en prevención de riesgos de fraude, pérdida, manipulación, fallos de servicio, etc., el papel de la auditoría informática es muy importante.
La auditoría informática consiste en una revisión profunda y detallada de todos los elementos de que dispone una empresa en el área de sistemas de información.
Una "Guía de Seguridad Informática"
Ministerio de Administraciones públicas (http://www.csi.map.es/csi/criterios/seguridad/index.html) [19 Ene 2007]
Esta publicación del Ministerio de Administraciones Públicas (MAP), recoge los requisitos fundamentales de la seguridad informática, de cara a garantizar la integridad, la confidencialidad y la disponibilidad de los Sistemas de Información.
En su contenido destacan lo siguientes apartados:
• Gestión global de la seguridad de la información
• Política de seguridad
• Organización y planificación de la seguridad
• Análisis y gestión de riesgos
• Identificación y clasificación de activos a proteger
• Salvaguardas ligadas al personal
• Seguridad física
• Autenticación
• Confidencialidad
• Integridad
• Disponibilidad
• Control de acceso
• Acceso a través de redes
• Firma electrónica
• Protección de soportes de información y copias de respaldo
• Desarrollo y explotación de sistemas
• Gestión y registro de incidencias
• Plan de contingencias
Auditoría y control de seguridad
2) Un "Check list" de Auditoría Informática
Para proyectar el desarrollo de la estrategia es necesario elaborar un plan de trabajo que permita medir el alcance de la auditoría en puntos clave y administrar eficientemente los recursos de tiempo personal que sean asignados. [comentario]
Web recomendada: Un ejemplo de Check List de seguridad referido a las páginas web,
Guía del Gobierno de Chile: (http://www.guiaweb.gob.cl/guia/checklists/seguridad.htm).
Se documentan las áreas de riesgo examinadas en esta auditoría, como por ejemplo:
PLANIFICACIÓN DE LA AUDITORIA
CENTRO DE CÁLCULO___________________________________
OBJETIVO GENERAL DEL TRABAJO A REALIZAR__________
______________________________________________________
______________________________________________________
______________________________________________________
ALCANCE DEL TRABAJO A REALIZAR (Áreas de Revisión)
• Planificación y organización de sistemas.
• Seguridad física y lógica
• Plan de contingencias y documentación
• Origen, captura y validación de datos
• Procesamiento y actualización de datos
• Salidas, utilización y control de resultados
• Integridad y seguridad de los sistemas y de los datos
• Terminales y comunicación de datos
AUDITORES ASIGNADOS.
Supervisor_______________________ Senior ________________
Junior_________________________________________________
DURACION ESTIMADA______ Horas____ Días____ Semanas___
FECHA INICIACION______ FECHA TERMINACION_________
Y para cada punto a analizar se dispone de un listado con los objetivos y procedimientos de auditoría. Por ejemplo, para el "sistema de aire acondicionado" los objetivos y procedimientos de auditoría:
C. SISTEMA DE AIRE ACONDICIONADO (TEMPERATURA, FILTRACION Y HUMEDAD)
Objetivo de Auditoría:
Verificar la suficiencia del sistema de aire acondicionado en cuanto a:
• Temperatura
• Ventilación
• Filtración
• Humedad
• Protección
• Respaldo
Procedimientos de Auditoría:
1. ¿Se usa el sistema exclusivamente para el centro de cálculo?
2. ¿Los revestimientos de los conductos y los filtros están hechos en materiales no combustibles?
3. ¿Se suministran reguladores de corrientes de aire contra incendio?
4. ¿El compresor está alejado del centro de cálculo?
5. ¿La torre de enfriamiento está suficientemente protegida?
6. ¿Existe un sistema de aire acondicionado de respaldo?
7. Las tomas de aire:
a. ¿Están cubiertas con mallas protectoras?
b. ¿Están ubicadas a mayor altura que el nivel de la calle?
c. ¿Están ubicadas para evitar que entren elementos contaminan tes o escombros?
________________________________________
3) Regulación internacional sobre Auditoría de Sistemas de Información
En materia de Auditoría de Sistemas de Información existen varias metodologías desde el enfoque de control a nivel internacional. Algunas de las más importantes para los profesionales de la contabilidad y la auditoría son:
• ISACA (COBIT)
• COSO
• AICPA (SAS)
• IFAC (NIA)
• SAC
• MARGERIT
• EDP
A) ISACA-COBIT
The Information Systems Audit and Control Foundation, ISACA (http://www.isaca.org). Es la asociación lider en Auditoría de Sistemas, con 23.000 miembros en 100 países.
ISACA propone la metodología COBIT ® (Control Objectives for Information and related Technology). Es un documento realizado en el año de 1996 y revisado posteriormente, dirigido a auditores, administradores y usuarios de sistemas de información, que tiene como objetivos de control la efectividad y la eficiencia de las operaciones; confidencialidad e integridad de la información financiera y el cumplimiento de las leyes y regulaciones.
COBIT [19-ene-2007]
________________________________________
COBIT (http://www.isaca.org/cobit.htm). Objetivos de Control para la Información y Tecnologías Afines. Está disponible en español el Resumen Ejecutivo, Marco de Referencia, Objetivos de Control, Directrices de Auditoría y Conjunto de Herramientas de Implementación.
El COBIT se desarrolla a través de varios capítulos: planificación y organización, adquisición e implementación, desarrollo, soporte y control.
• Planificación y organización
Po1 Definición de un plan estratégico
Po2 Definición de la arquitectura de información
Po3 Determinación de la dirección tecnológica
Po4 Definición de organización y relaciones
Po5 Administración de la inversión
Po6 Comunicación de las políticas
Po7 Administración de los recursos humanos
Po8 Asegurar el cumplimiento con los requerimientos Externos
Po9 Evaluación de riesgos
Po10 Administración de proyectos
Po11 Administración de la calidad
• Adquisición e implementación
A11. Identificación de soluciones automatizadas
A12. Adquisición y mantenimiento del software aplicativo
A13. Adquisición y mantenimiento de la infraestructura tecnológica
A14. Desarrollo y mantenimiento de procedimientos
A15. Instalación y aceptación de los sistemas
A16. Administración de los cambios
• Prestación y soporte
Ds1. Definición de los niveles de servicios
Ds2. Administrar los servicios de terceros
Ds3. Administrar la capacidad y rendimientos
Ds4. Asegurar el servicio continuo
Ds5. Asegurar la seguridad de los sistemas
Ds6. Entrenamiento a los usuarios
Ds7. Identificar y asignar los costos
Ds8. Asistencia y soporte a los clientes
Ds9. Administración de la configuración
Ds10. Administración de los problemas
Ds11. Administración de los datos
Ds12. Administración de las instalaciones
Ds13. Administración de la operación
• Control
M1. Monitoreo del cumplimiento de los objetivos de los procesos de tecnología de la información.
M2. Obtener realización de las evaluaciones independientes
B) COSO
The Committee of Sponsoring Organizations of the Treadway Commission's Internal Control - Integrated Framework (COSO).
Publicado en 1992 hace recomendaciones a los contables de gestión de cómo evaluar, informar e implementar sistemas de control, teniendo como objetivo de control la efectividad y eficiencia de las operaciones, la información financiera y el cumplimiento de las regulaciones que explica en los componentes del ambiente de control, valoración de riesgos, actividades de control, información y comunicación, y el monitoreo.
C) AICPA-SAS
The American Institute of Certified Public Accountants' Consideration of the Internal Control Structure in a Financial Statement Audit (SAS 55), que ha sido modificado por el (SAS 78), 1995.
Da una guía a los auditores externos sobre el impacto del control interno en la planificación y desarrollo de una auditoría de estados financieros de las empresas, presentado como objetivos de control la información financiera, la efectividad y eficiencia de las operaciones y el cumplimiento de regulaciones, que desarrolla en los componentes de ambiente de control, valoración de riesgo, actividades de control, información, comunicación y monitoreo.
Systrust, la respuesta de AICPA y the Canadian Institute of Chartered Accountants CICA)
Systrust (http://infotech.aicpa.org/...) es un producto lanzado por AICPA y CICA para que los CPA (Contables colegiados) asesoren en temas de auditoría informática.
"SysTrustTM Principles and Criteria for Systems Reliability" utiliza los siguientes cuatro principios para evaluar si un sistema de información es fiable:
• Disponibilidad
• Seguridad
• Integridad
Que se puede mantener
D) IFAC - NIA
La Federación Internacional de Contables IFAC (http://www.ifac.org) emitió las Normas Internacionales de Auditoría NIA 15, 16 y 20 en 1991.
IFAC muestra en la NIA 15 (Auditoría en Entornos Informatizados) una referencia de controles para procesamiento electrónico de datos y la necesidad de estos cuando estamos en ambientes donde los instrumentos tradicionales del papel y demás pistas de auditoría no son visibles para los contables en el momento de realizar su trabajo.
La NIA 16 (Técnicas de Auditoría Asistida por Computador) describe técnicas y procedimientos de auditoría que se pueden hacer en entornos informatizados con ayuda de los computadores y otras tecnologías.
La NIA 20 nos presenta los efectos de un entorno informatizado en la evaluación de sistemas de información contables. Junto con las demás normas dan una guía al auditor de los controles en general a tener en cuenta en un ambiente informatizado y en las aplicaciones que procesan la información, así como técnicas de auditoría asistidas por computador y su importancia.
Para aprender más: Descargue en IFAC el documento en pdf "Information Security Governance": (http://www.ifac.org/Members/DownLoads/Info_Security_final.pdf_1.pdf)
E) SAC
The Institute of Internal Auditors Research Foundation's Systems Auditability and Control (SAC).
Realizado en 1991 y revisado posteriormente. Ofrece una guía de estándares y controles para los auditores internos en el área de auditoría de sistemas de información y tecnología. Tiene como objetivos de control la efectividad y eficiencia de las operaciones, la integridad de la información financiera y el cumplimiento de normas y regulaciones que explica en el ambiente de control, sistemas manuales y automatizados y procedimientos de control.
F) MARGERIT
Consejo superior de informática del ministerio de administraciones públicas de España MARGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información). 1997
Es una metodología de análisis y gestión de riesgos de los sistemas de información de las administraciones públicas, emitida en el año 1997 por el consejo superior de informática y recoge las recomendaciones de las directivas de la Unión Europea en materia de seguridad de sistemas de información, esta metodología presenta un objetivo definido en el estudio de los riesgos que afectan los sistemas de información y el entorno de ellos haciendo unas recomendaciones de las medidas apropiadas que deberían adoptarse para conocer, prevenir, evaluar y controlar los riesgos investigados. Margerit desarrolla el concepto de control de riesgos en las guías de procedimientos, técnicas, desarrollo de aplicaciones, personal y cumplimiento de normas legales.
G)EDP
La E.D.P. Auditors Foundation (EDPAF) fundada en 1976, es otra entidad de carácter educativo e investigativo en los temas sobre estándares para la auditoría de los sistemas de información.
Esta fundación ha investigado sobre controles en los sistemas de información, generando los diez estándares generales de auditoría de sistemas y el código de ética para los auditores de sistemas que relacionamos a continuación.
Para verificar si se están aplicando las medidas de control más apropiadas para la salvaguarda e integridad de la información y de los sistemas en prevención de riesgos de fraude, pérdida, manipulación, fallos de servicio, etc., el papel de la auditoría informática es muy importante.
La auditoría informática consiste en una revisión profunda y detallada de todos los elementos de que dispone una empresa en el área de sistemas de información.
Una "Guía de Seguridad Informática"
Ministerio de Administraciones públicas (http://www.csi.map.es/csi/criterios/seguridad/index.html) [19 Ene 2007]
Esta publicación del Ministerio de Administraciones Públicas (MAP), recoge los requisitos fundamentales de la seguridad informática, de cara a garantizar la integridad, la confidencialidad y la disponibilidad de los Sistemas de Información.
En su contenido destacan lo siguientes apartados:
• Gestión global de la seguridad de la información
• Política de seguridad
• Organización y planificación de la seguridad
• Análisis y gestión de riesgos
• Identificación y clasificación de activos a proteger
• Salvaguardas ligadas al personal
• Seguridad física
• Autenticación
• Confidencialidad
• Integridad
• Disponibilidad
• Control de acceso
• Acceso a través de redes
• Firma electrónica
• Protección de soportes de información y copias de respaldo
• Desarrollo y explotación de sistemas
• Gestión y registro de incidencias
• Plan de contingencias
Auditoría y control de seguridad
2) Un "Check list" de Auditoría Informática
Para proyectar el desarrollo de la estrategia es necesario elaborar un plan de trabajo que permita medir el alcance de la auditoría en puntos clave y administrar eficientemente los recursos de tiempo personal que sean asignados. [comentario]
Web recomendada: Un ejemplo de Check List de seguridad referido a las páginas web,
Guía del Gobierno de Chile: (http://www.guiaweb.gob.cl/guia/checklists/seguridad.htm).
Se documentan las áreas de riesgo examinadas en esta auditoría, como por ejemplo:
PLANIFICACIÓN DE LA AUDITORIA
CENTRO DE CÁLCULO___________________________________
OBJETIVO GENERAL DEL TRABAJO A REALIZAR__________
______________________________________________________
______________________________________________________
______________________________________________________
ALCANCE DEL TRABAJO A REALIZAR (Áreas de Revisión)
• Planificación y organización de sistemas.
• Seguridad física y lógica
• Plan de contingencias y documentación
• Origen, captura y validación de datos
• Procesamiento y actualización de datos
• Salidas, utilización y control de resultados
• Integridad y seguridad de los sistemas y de los datos
• Terminales y comunicación de datos
AUDITORES ASIGNADOS.
Supervisor_______________________ Senior ________________
Junior_________________________________________________
DURACION ESTIMADA______ Horas____ Días____ Semanas___
FECHA INICIACION______ FECHA TERMINACION_________
Y para cada punto a analizar se dispone de un listado con los objetivos y procedimientos de auditoría. Por ejemplo, para el "sistema de aire acondicionado" los objetivos y procedimientos de auditoría:
C. SISTEMA DE AIRE ACONDICIONADO (TEMPERATURA, FILTRACION Y HUMEDAD)
Objetivo de Auditoría:
Verificar la suficiencia del sistema de aire acondicionado en cuanto a:
• Temperatura
• Ventilación
• Filtración
• Humedad
• Protección
• Respaldo
Procedimientos de Auditoría:
1. ¿Se usa el sistema exclusivamente para el centro de cálculo?
2. ¿Los revestimientos de los conductos y los filtros están hechos en materiales no combustibles?
3. ¿Se suministran reguladores de corrientes de aire contra incendio?
4. ¿El compresor está alejado del centro de cálculo?
5. ¿La torre de enfriamiento está suficientemente protegida?
6. ¿Existe un sistema de aire acondicionado de respaldo?
7. Las tomas de aire:
a. ¿Están cubiertas con mallas protectoras?
b. ¿Están ubicadas a mayor altura que el nivel de la calle?
c. ¿Están ubicadas para evitar que entren elementos contaminan tes o escombros?
________________________________________
3) Regulación internacional sobre Auditoría de Sistemas de Información
En materia de Auditoría de Sistemas de Información existen varias metodologías desde el enfoque de control a nivel internacional. Algunas de las más importantes para los profesionales de la contabilidad y la auditoría son:
• ISACA (COBIT)
• COSO
• AICPA (SAS)
• IFAC (NIA)
• SAC
• MARGERIT
• EDP
A) ISACA-COBIT
The Information Systems Audit and Control Foundation, ISACA (http://www.isaca.org). Es la asociación lider en Auditoría de Sistemas, con 23.000 miembros en 100 países.
ISACA propone la metodología COBIT ® (Control Objectives for Information and related Technology). Es un documento realizado en el año de 1996 y revisado posteriormente, dirigido a auditores, administradores y usuarios de sistemas de información, que tiene como objetivos de control la efectividad y la eficiencia de las operaciones; confidencialidad e integridad de la información financiera y el cumplimiento de las leyes y regulaciones.
COBIT [19-ene-2007]
________________________________________
COBIT (http://www.isaca.org/cobit.htm). Objetivos de Control para la Información y Tecnologías Afines. Está disponible en español el Resumen Ejecutivo, Marco de Referencia, Objetivos de Control, Directrices de Auditoría y Conjunto de Herramientas de Implementación.
El COBIT se desarrolla a través de varios capítulos: planificación y organización, adquisición e implementación, desarrollo, soporte y control.
• Planificación y organización
Po1 Definición de un plan estratégico
Po2 Definición de la arquitectura de información
Po3 Determinación de la dirección tecnológica
Po4 Definición de organización y relaciones
Po5 Administración de la inversión
Po6 Comunicación de las políticas
Po7 Administración de los recursos humanos
Po8 Asegurar el cumplimiento con los requerimientos Externos
Po9 Evaluación de riesgos
Po10 Administración de proyectos
Po11 Administración de la calidad
• Adquisición e implementación
A11. Identificación de soluciones automatizadas
A12. Adquisición y mantenimiento del software aplicativo
A13. Adquisición y mantenimiento de la infraestructura tecnológica
A14. Desarrollo y mantenimiento de procedimientos
A15. Instalación y aceptación de los sistemas
A16. Administración de los cambios
• Prestación y soporte
Ds1. Definición de los niveles de servicios
Ds2. Administrar los servicios de terceros
Ds3. Administrar la capacidad y rendimientos
Ds4. Asegurar el servicio continuo
Ds5. Asegurar la seguridad de los sistemas
Ds6. Entrenamiento a los usuarios
Ds7. Identificar y asignar los costos
Ds8. Asistencia y soporte a los clientes
Ds9. Administración de la configuración
Ds10. Administración de los problemas
Ds11. Administración de los datos
Ds12. Administración de las instalaciones
Ds13. Administración de la operación
• Control
M1. Monitoreo del cumplimiento de los objetivos de los procesos de tecnología de la información.
M2. Obtener realización de las evaluaciones independientes
B) COSO
The Committee of Sponsoring Organizations of the Treadway Commission's Internal Control - Integrated Framework (COSO).
Publicado en 1992 hace recomendaciones a los contables de gestión de cómo evaluar, informar e implementar sistemas de control, teniendo como objetivo de control la efectividad y eficiencia de las operaciones, la información financiera y el cumplimiento de las regulaciones que explica en los componentes del ambiente de control, valoración de riesgos, actividades de control, información y comunicación, y el monitoreo.
C) AICPA-SAS
The American Institute of Certified Public Accountants' Consideration of the Internal Control Structure in a Financial Statement Audit (SAS 55), que ha sido modificado por el (SAS 78), 1995.
Da una guía a los auditores externos sobre el impacto del control interno en la planificación y desarrollo de una auditoría de estados financieros de las empresas, presentado como objetivos de control la información financiera, la efectividad y eficiencia de las operaciones y el cumplimiento de regulaciones, que desarrolla en los componentes de ambiente de control, valoración de riesgo, actividades de control, información, comunicación y monitoreo.
Systrust, la respuesta de AICPA y the Canadian Institute of Chartered Accountants CICA)
Systrust (http://infotech.aicpa.org/...) es un producto lanzado por AICPA y CICA para que los CPA (Contables colegiados) asesoren en temas de auditoría informática.
"SysTrustTM Principles and Criteria for Systems Reliability" utiliza los siguientes cuatro principios para evaluar si un sistema de información es fiable:
• Disponibilidad
• Seguridad
• Integridad
Que se puede mantener
D) IFAC - NIA
La Federación Internacional de Contables IFAC (http://www.ifac.org) emitió las Normas Internacionales de Auditoría NIA 15, 16 y 20 en 1991.
IFAC muestra en la NIA 15 (Auditoría en Entornos Informatizados) una referencia de controles para procesamiento electrónico de datos y la necesidad de estos cuando estamos en ambientes donde los instrumentos tradicionales del papel y demás pistas de auditoría no son visibles para los contables en el momento de realizar su trabajo.
La NIA 16 (Técnicas de Auditoría Asistida por Computador) describe técnicas y procedimientos de auditoría que se pueden hacer en entornos informatizados con ayuda de los computadores y otras tecnologías.
La NIA 20 nos presenta los efectos de un entorno informatizado en la evaluación de sistemas de información contables. Junto con las demás normas dan una guía al auditor de los controles en general a tener en cuenta en un ambiente informatizado y en las aplicaciones que procesan la información, así como técnicas de auditoría asistidas por computador y su importancia.
Para aprender más: Descargue en IFAC el documento en pdf "Information Security Governance": (http://www.ifac.org/Members/DownLoads/Info_Security_final.pdf_1.pdf)
E) SAC
The Institute of Internal Auditors Research Foundation's Systems Auditability and Control (SAC).
Realizado en 1991 y revisado posteriormente. Ofrece una guía de estándares y controles para los auditores internos en el área de auditoría de sistemas de información y tecnología. Tiene como objetivos de control la efectividad y eficiencia de las operaciones, la integridad de la información financiera y el cumplimiento de normas y regulaciones que explica en el ambiente de control, sistemas manuales y automatizados y procedimientos de control.
F) MARGERIT
Consejo superior de informática del ministerio de administraciones públicas de España MARGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información). 1997
Es una metodología de análisis y gestión de riesgos de los sistemas de información de las administraciones públicas, emitida en el año 1997 por el consejo superior de informática y recoge las recomendaciones de las directivas de la Unión Europea en materia de seguridad de sistemas de información, esta metodología presenta un objetivo definido en el estudio de los riesgos que afectan los sistemas de información y el entorno de ellos haciendo unas recomendaciones de las medidas apropiadas que deberían adoptarse para conocer, prevenir, evaluar y controlar los riesgos investigados. Margerit desarrolla el concepto de control de riesgos en las guías de procedimientos, técnicas, desarrollo de aplicaciones, personal y cumplimiento de normas legales.
G)EDP
La E.D.P. Auditors Foundation (EDPAF) fundada en 1976, es otra entidad de carácter educativo e investigativo en los temas sobre estándares para la auditoría de los sistemas de información.
Esta fundación ha investigado sobre controles en los sistemas de información, generando los diez estándares generales de auditoría de sistemas y el código de ética para los auditores de sistemas que relacionamos a continuación.
Suscribirse a:
Entradas (Atom)
