MODELOS DE CALIDAD EN AUDITORÍA
Tema II.-ESTÁNDARES Y MODELOS DE CALIDAD EN AUDITORIA
Los Estándares de Auditoria y Aseguramiento de SI
Definen requisitos obligatorios para la auditoria y el reporte de Sistemas de Información e Informan a: Los auditores de SI respecto al nivel mínimo de desempeño aceptable requerido para cumplir con las responsabilidades profesionales. La dirección y otras partes interesadas en las expectativas de la profesión con respecto al trabajo de sus profesionales.
Análisis crítico
Los estándares y aseguramiento SI de auditoría tiene la gran ventaja de proveerbos de los mejores auditores ya que esta definen requisitos obligatorios que ayudan al auditor a mejorar su metodología y adquirir mas conocimientos de su área.
De esta manera el auditor tendrá un desempeñó aceptable para sus responsabilidades diarias
Autora: Naurys Toro
Principios De Los Estándares
Salvar brechas entre riesgos del proceso de gestión, necesidades de control y aspectos técnicos Determinar el alcance de las actuaciones e identificar los controles mínimos Observar e incorporar estándares y regulaciones nacionales o internacionales
Los objetivos de las normas ISACA.
El objetivo principal es promover la educación de sus miembros, el uso compartido de recursos, el establecimiento de una red de contactos profesionales y una amplia gama de beneficios adicionales a nivel local, orientados al mejoramiento y al desarrollo de sus capacidades individuales relacionadas con la práctica de la auditoria, el control y la seguridad de sistemas de información. Los objetivos específicos son:
- Promover la educación y la mejora del conocimiento y las habilidades de sus miembros en las disciplinas de la auditoria, el aseguramiento, el control y la seguridad de los sistemas de información.
- Incentivar el intercambio fluido de información, así como de estándares, investigaciones y enfoques aplicables a estas disciplinas.
- Realizar presentaciones periódicas sobre estos tópicos.
- Establecerse como un líder de opinión en la comunidad profesional y académica sobre el gobierno de TI como una disciplina profesional que ayuda al logro de los objetivos de las empresas.
Análisis crítico los objetivos de las normas ISACA
El principal objetivo es brindar el acceso a herramientas y técnicas actualizadas en auditoria, control y seguridad de tecnología de información, dando apoyo a los objetivos de las empresas por medio del desarrollo, provisión y promoción de la investigación, normativas, competencias y prácticas para el gobierno efectivo, control y aseguramiento de la información, sistemas y tecnología.
Autor: Kevin Montana
- Promover la educación y la mejora del conocimiento y las habilidades de sus miembros en las disciplinas de la auditoria, el aseguramiento, el control y la seguridad de los sistemas de información.
- Incentivar el intercambio fluido de información, así como de estándares, investigaciones y enfoques aplicables a estas disciplinas.
- Realizar presentaciones periódicas sobre estos tópicos.
- Establecerse como un líder de opinión en la comunidad profesional y académica sobre el gobierno de TI como una disciplina profesional que ayuda al logro de los objetivos de las empresas.
Análisis crítico los objetivos de las normas ISACA
El principal objetivo es brindar el acceso a herramientas y técnicas actualizadas en auditoria, control y seguridad de tecnología de información, dando apoyo a los objetivos de las empresas por medio del desarrollo, provisión y promoción de la investigación, normativas, competencias y prácticas para el gobierno efectivo, control y aseguramiento de la información, sistemas y tecnología.
Autor: Kevin Montana
Estándar de la ISACA modelo por dominios COBIT
ISACA lanzó el 10 de abril de 2012 la nueva edición de este marco de referencia. COBIT 5 es la última edición del framework mundialmente aceptado, el cual proporciona una visión empresarial del Gobierno de TI que tiene a la tecnología y a la información como protagonistas en la creación de valor para las empresas.
COBIT 5 se basa en COBIT 4.1, y a su vez lo amplía mediante la integración de otros importantes marcos y normas como Val IT y Risk IT, Information Technology Infrastructure Library (ITIL ®) y las normas ISO relacionadas en esta norma.
COBIT 5 ayuda a empresas de todos los tamaños a:
- Optimizar los servicios el coste de las TI y la tecnología
- Apoyar el cumplimiento de las leyes, reglamentos, acuerdos contractuales y las políticas
- Gestión de nuevas tecnologías de información
COBIT, tramita que los cumplientos cada innovación tecnológica se cumplan. A través de las leyes que proporciona el mismo. Ante un adefesio empresarial.
Autora: Gabriela Chirino
Dominios de COBIT
El conjunto de lineamientos y estándares internacionales conocidos como COBIT, define un marco de referencia que clasifica los procesos de las unidades de tecnología de información de las organizaciones en cuatro "dominios" principales, a saber:
- PLANIFICACION Y ORGANIZACION: Este dominio cubre la estrategia y las tácticas y se refiere a la identificación de la forma en que la tecnología de información puede contribuir de la mejor manera al logro de los objetivos del negocio. Además, la consecución de la visión estratégica necesita ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, deberán establecerse una organización y una infraestructura tecnológica apropiadas.
- ADQUISION E IMPLANTACION: Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas, desarrolladas o adquiridas, así como implementadas e integradas dentro del proceso del negocio. Además, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes.
- SOPORTE Y SERVICIOS: En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad. Con el fin de proveer servicios, deberán establecerse los procesos de soporte necesarios. Este dominio incluye el procesamiento de los datos por sistemas de aplicación, frecuentemente clasificados como controles de aplicación.
- MONITOREO: Todos los procesos necesitan ser evaluados regularmente a través del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control.
Estos dominios agrupan objetivos de control de alto nivel, que cubren tanto los aspectos de información, como de la tecnología que la respalda. Estos dominios y objetivos de control facilitan que la generación y procesamiento de la información cumplan con las características de efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad.
Análisis crítico
Se encarga de definir y analizar la mejor estrategia en que se aplica la tecnología de la información para lograr los objetivos del negocio, teniendo en cuenta esto, la estrategia de TI debe ser desarrolladas o adquiridas cubriendo los mantenimientos del sistema y en producción. Dicho de esta manera y tomando en consideración la enreaga de servicion abarca la seguridad y monitoreo regular a través del tiempo.
Autora: Naurys Toro
Que se persigue, que área es su naturaleza
El COBIT es precisamente un modelo para auditar la gestión y control de los sistemas de información y tecnología, orientado a todos los sectores de una organización, es decir, administradores IT, usuarios y por supuesto, los auditores involucrados en el proceso. El COBIT es un modelo de evaluación y monitoreo que enfatiza en el control de negocios y la seguridad IT y que abarca controles específicos de IT desde una perspectiva de negocios.
Las siglas COBIT significan Objetivos de Control para Tecnología de Información y Tecnologías relacionadas (Control Objectives for Information Systems and related Technology). El modelo es el resultado de una investigación con expertos de varios países, desarrollado por ISACA (Information Systems Audit and Control Association).
COBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado la forma en que trabajan los profesionales de tecnología. Vinculando tecnología informática y prácticas de control, el modelo COBIT consolida y armoniza estándares de fuentes globales prominentes en un recurso crítico para la gerencia, los profesionales de control y los auditores.
COBIT se aplica a los sistemas de información de toda la empresa, incluyendo los computadores personales y las redes. Está basado en la filosofía de que los recursos TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la información pertinente y confiable que requiere una organización para lograr sus objetivos.
Brindar buenas prácticas a través de un marco de trabajo de dominios y procesos, y presentar las actividades de una manera manejable y lógica. Estas prácticas están enfocadas más al control que a la ejecución.
Análisis crítico
Se encarga principalmente de una gestión u control de los sistemas de los diferentes sectores de la organización, usuarios y los auditores, enfatiza en el control y seguridad desde en punto de vista de negocios. Dicho esto se genera una metodología de trabajo diferente, vinculando diferentes herramientas tecnológicas, garantizando prácticas presentadas de una manera manejable y lógica
Autor: Kevin Montana
Análisis crítico
Se encarga principalmente de una gestión u control de los sistemas de los diferentes sectores de la organización, usuarios y los auditores, enfatiza en el control y seguridad desde en punto de vista de negocios. Dicho esto se genera una metodología de trabajo diferente, vinculando diferentes herramientas tecnológicas, garantizando prácticas presentadas de una manera manejable y lógica
Autor: Kevin Montana
Iso 9000 270001
Es una norma internacional que permite el aseguramiento, la confidencialidad e integridad de los datos y de la información, así como de los sistemas que la procesan.
El estándar ISO 27001:2013 para los Sistemas Gestión de la Seguridad de la Información permite a las organizaciones la evaluación del riesgo y la aplicación de los controles necesarios para mitigarlos o eliminarlos.
La aplicación de ISO-27001 significa una diferenciación respecto al resto, que mejora la competitividad y la imagen de una organización.
La Gestión de la Seguridad de la Información se complementa con las buenas prácticas o controles establecidos en la norma ISO 27002.
Análisis Critico
Este permite la validación o aseguramiento de la información. Especificar la operación de cada uno de sus estandares y cada nivel de servicio que implementa la misma.
Autora: Gabriela Chirino
Los objetivos de las Iso 9000 2700001.
Análisis Critico
Este permite la validación o aseguramiento de la información. Especificar la operación de cada uno de sus estandares y cada nivel de servicio que implementa la misma.
Autora: Gabriela Chirino
Es analizar y gestionar los riesgos basados en los procesos. Resulta muy útil el análisis y la gestión de riesgos basados en los procesos ya que evalúa y controla a la organización en relación a los diferentes riesgos a los que se encuentra sometido el sistema de información.
Análisis crítico
Analiza y evalúa cada unos de los riesgos que se puedan presentar durante las pruebas que se le realicen al sistema de información. Resulta de gran utilidad ya que nos ofrece una visión diferente al momento de analizar cada uno de los procesos dentro de la organización.
Autora: Naurys Toro
Dominios de Iso 9000 270001
Analiza y evalúa cada unos de los riesgos que se puedan presentar durante las pruebas que se le realicen al sistema de información. Resulta de gran utilidad ya que nos ofrece una visión diferente al momento de analizar cada uno de los procesos dentro de la organización.
Autora: Naurys Toro
Existen 5 motivos por los que debemos conocer mejor la norma ISO 27001, y éstos son:
Dominios, objetivos de control y controles
El número de dominios ISO 27001:2013 se ha incrementado. El número total de controles se ha reducido notablemente. En la nueva ISO 27001 existen 14 dominios, 35 objetivos de control y 114 controles. Uno de los grandes cambios que se han producido en éste área es la importancia que tiene la evaluación y aprendizaje de los eventos de seguridad de TI que se centra en el programa de respuesta a incidentes.
Análisis Critico
Esta me permite la la integridad y confidencialidad de cada unos de los datos y de cada información que procesan. Realmente complementa las practicas establecidas en la misma.
Autora: Gabriela Chirino
Análisis crítico Dominios de Iso 9000 270001
Es el proceso de gestión del riesgo, al que se le ha querido ofrecer una gran flexibilidad. Este proceso consiste en identificar todos los riesgos que existen y sus propietarios, analizarlos y gestionar un plan de tratamiento de los mismos que tenga en cuenta la integridad, la disponibilidad y la confidencialidad, es necesario intentar así adaptar este proceso a la norma ISO 31000.
Autor: Kevin Montana
Análisis Critico
Esta me permite la la integridad y confidencialidad de cada unos de los datos y de cada información que procesan. Realmente complementa las practicas establecidas en la misma.
Autora: Gabriela Chirino
Análisis crítico Dominios de Iso 9000 270001
Es el proceso de gestión del riesgo, al que se le ha querido ofrecer una gran flexibilidad. Este proceso consiste en identificar todos los riesgos que existen y sus propietarios, analizarlos y gestionar un plan de tratamiento de los mismos que tenga en cuenta la integridad, la disponibilidad y la confidencialidad, es necesario intentar así adaptar este proceso a la norma ISO 31000.
Autor: Kevin Montana
Que se persigue, que área es su naturaleza
ISO/IEC 27001 se divide en 11 secciones más el anexo A; las secciones 0 a 3 son introductorias (y no son obligatorias para la implementación), mientras que las secciones 4 a 10 son obligatorias, lo que implica que una organización debe implementar todos sus requerimientos si quiere cumplir con la norma. Los controles del Anexo A deben implementarse sólo si se determina que corresponden en la Declaración de aplicabilidad.
De acuerdo con el Anexo SL de las Directivas ISO/IEC de la Organización Internacional para la Normalización, los títulos de las secciones de ISO 27001 son los mismos que en ISO 22301:2012, en la nueva ISO 9001:2015 y en otras normas de gestión, lo que permite integrar más fácilmente estas normas.
Sección 0 – Introducción – explica el objetivo de ISO 27001 y su compatibilidad con otras normas de gestión.
Sección 1 – Alcance – explica que esta norma es aplicable a cualquier tipo de organización.
Sección 2 – Referencias normativas – hace referencia a la norma ISO/IEC 27000 como estándar en el que se proporcionan términos y definiciones.
Sección 3 – Términos y definiciones – de nuevo, hace referencia a la norma ISO/IEC 27000.
Sección 4 – Contexto de la organización – esta sección es parte de la fase de Planificación del ciclo PDCA y define los requerimientos para comprender cuestiones externas e internas, también define las partes interesadas, sus requisitos y el alcance del SGSI.
Sección 5 – Liderazgo – esta sección es parte de la fase de Planificación del ciclo PDCA y define las responsabilidades de la dirección, el establecimiento de roles y responsabilidades y el contenido de la política de alto nivel sobre seguridad de la información.
Sección 6 – Planificación – esta sección es parte de la fase de Planificación del ciclo PDCA y define los requerimientos para la evaluación de riesgos, el tratamiento de riesgos, la Declaración de aplicabilidad, el plan de tratamiento de riesgos y la determinación de los objetivos de seguridad de la información.
Sección 7 – Apoyo – esta sección es parte de la fase de Planificación del ciclo PDCA y define los requerimientos sobre disponibilidad de recursos, competencias, concienciación, comunicación y control de documentos y registros.
Sección 8 – Funcionamiento – esta sección es parte de la fase de Planificación del ciclo PDCA y define la implementación de la evaluación y el tratamiento de riesgos, como también los controles y demás procesos necesarios para cumplir los objetivos de seguridad de la información.
Sección 9 – Evaluación del desempeño – esta sección forma parte de la fase de Revisión del ciclo PDCA y define los requerimientos para monitoreo, medición, análisis, evaluación, auditoría interna y revisión por parte de la dirección.
Sección 10 – Mejora – esta sección forma parte de la fase de Mejora del ciclo PDCA y define los requerimientos para el tratamiento de no conformidades, correcciones, medidas correctivas y mejora continua.
Análisis crítico Que se persigue, que área es su naturaleza
Es el proceso con el objetivo de controlar de una manera fácil y eficaz el desarrollo del Sistema de Gestión de Calidad bajo la norma ISO 9001, las organizaciones hacen uso, entre otras herramientas, del Software ISOTools Excellence, que permite y facilita el control del sistema garantizando la obtención de óptimos beneficios.
Autor: Kevin Montana
Análisis Crítico II
Para que el trabajo de los auditores sea eficaz, se deben
cumplir con algunos requerimientos, entre ellos están la formación de los
mismos. El cual se rigen por ISACA, que apoya a los auditores a nivel
profesional. También se obtiene a nivel
informático la seguridad de los mismos, como resguardar cada información que
cada empresa obtiene por confianza de los clientes.Cabe destacar que entre
estos se deben cumplir las normas de acuerdo a su funcionamiento. Se puede
decir que el avance tecnológico ha sido de manera muy notable, de tal manera
que la seguridad a través del tiempo debe ir avanzando, para ello, los gestores
de seguridad.
Autor: Chirino Gabriela
Análisis Critico II
Es de suma importancia que toda empresa que desarrolle software y realicen auditorias de sistemas, cuente con un personal de calidad que tenga conocimientos sobre el tema para cumplir con las actividades asignadas, donde la idea principal es mitigar al máximo las brechas que estén presentes dentro del sistema. Tomando en cuenta los estándares existentes en el medio y así mismo, siguiendo las normativas ISACA y sus modelos. El COBIT nos permite conocer las 4 etapas para determinar si nuestra auditoria esta funcionando de manera correcta, siguiendo estos procesos garantizaremos eficiencia, confidencialidad, integridad, entre otros.
Autor: Toro Naurys
Para que la auditoria suele dar forma a lo que se denomina como "auditorías de calidad", en líneas generales son procesos sistemáticos, independientes y documentados que buscan determinar a qué distancia está una empresa de alcanzar sus metas en el terreno de la gestión de calidad y cuál es el alcance de las mismas, buscando una nueva visión, esta debe estar integrada a la gestión total de la calidad haciendo pleno uso de los diferentes instrumentos y herramientas de gestión a los efectos de lograr mayores niveles de prestación de sus servicios.
Autor: Kevin Montana
a la fecha no observe el video asignado, gracias
ResponderEliminar