sábado, 19 de octubre de 2019

Los objetivos de las normas ISACA

L
Los objetivos de las normas ISACA
Cruz Guerra

ISACA es una asociación independiente, global y sin fines de lucro. Están comprometidos con el desarrollo, la adopción y uso de conocimiento y prácticas líderes en la industria de TI. Estos conocimientos y prácticas tienen uso y aceptación a nivel mundial.

ISACA® ayuda a los profesionales globales a liderar, adaptar y asegurar la confianza en un mundo digital en evolución ofreciendo conocimiento, estándares, relaciones, acreditación y desarrollo de carrera innovadores y de primera clase. Establecida en 1969, ISACA es una asociación global sin ánimo de lucro de 140 000 profesionales en 180 países
El objetivo principal es promover la educación de sus miembros, el uso compartido de recursos, el establecimiento de una red de contactos profesionales y una amplia gama de beneficios adicionales a nivel local, orientados al mejoramiento y al desarrollo de sus capacidades individuales relacionadas con la práctica de la auditoria, el control y la seguridad de sistemas de información. Los objetivos específicos son:
  • Promover la educación y la mejora del conocimiento y las habilidades de sus miembros en las disciplinas de la auditoria, el aseguramiento, el control y la seguridad de los sistemas de información.
  • Incentivar el intercambio fluido de información, así como de estándares, investigaciones y enfoques aplicables a estas disciplinas.
  • Realizar presentaciones periódicas sobre estos tópicos.
  • Establecerse como un líder de opinión en la comunidad profesional y académica sobre el gobierno de TI como una disciplina profesional que ayuda al logro de los objetivos de las empresas.
Análisis crítico
efsfdf

en No hay comentarios:

Los Estándares de Auditoria y Aseguramiento de SI


Cruz Guerra
Los Estándares de Auditoria y Aseguramiento de SI
La naturaleza especializada de la auditoría y el aseguramiento de los sistemas de información (SI), así como las habilidades necesarias para llevarlos a cabo, requieren de estándares que sean específicamente aplicables a la auditoría y el aseguramiento de SI. El desarrollo y la difusión de los estándares de auditoría y aseguramiento de SI son una piedra angular de la contribución profesional de ISACA® a la comunidad de auditoría. Los estándares de auditoría y aseguramiento de SI definen los requerimientos obligatorios para la auditoría, el reporte e informe de SI:
·         Profesionales de auditoría y aseguramiento de SI con el nivel mínimo de desempeño aceptable exigido para cumplir con las responsabilidades profesionales indicadas en el Código de Ética Profesional de ISACA.
·         La dirección y otras partes interesadas en las expectativas de la profesión con respecto al trabajo de sus profesionales.
·         Poseedores de la designación de Auditor Certificado de Sistemas de Información (Certified Information Systems Auditor® , CISA® ) de los requerimientos que deben cumplir. El incumplimiento de estos estándares puede resultar en una investigación sobre la conducta del poseedor del certificado CISA por parte del Consejo de dirección de ISACA o del comité apropiado y, en última instancia, en sanciones disciplinarias.
Los profesionales de auditoría y aseguramiento de SI deben incluir una declaración en su trabajo, cuando corresponda, de que la asignación se ha llevado a cabo en conformidad con los estándares de auditoría y aseguramiento de SI de ISACA u otros estándares profesionales aplicables.
La estructura de ITAF™ para el profesional de auditoría y aseguramiento de SI brinda múltiples niveles de orientación:
·         Estándares, divididos en tres categorías:
o   Estándares generales (serie 1000): Los principios de orientación según los cuales operan los profesionales de auditoría y aseguramiento de SI. Se refieren a la realización de todas las asignaciones y se ocupan de la ética, independencia, objetividad, debido cuidado, conocimiento, competencia y habilidad de los profesionales de auditoría y aseguramiento de SI. Las declaraciones de los estándares (en negrita) son obligatorias.
o   Estándares de desempeño (serie 1200): Se refieren a la realización de la asignación; es decir, planificación y supervisión, alcance, riesgo e importancia, movilización de recursos, gestión de supervisión y asignaciones, evidencia de auditoría y aseguramiento, y la puesta en práctica del juicio profesional y debido cuidado.
o   Estándares de reportes (serie 1400): Se refieren a los tipos de reportes, medios de comunicación y a la información comunicada.
·         Lineamientos, que respaldan los estándares y también están divididos en tres categorías:
o   Lineamientos generales (serie 2000)
o   Lineamientos de desempeño (serie 2200)
o   Lineamientos de reportes (serie 2400)
·         Herramientas y técnicas, que brindan orientación adicional para los profesionales de auditoría y aseguramiento de SI; por ejemplo, libros blancos, programas de auditoría/aseguramiento de SI, la familia de productos de COBIT
La función de auditoría y aseguramiento de SI debe:
·         Preparar un Estatuto de la función de auditoría para definir las actividades de la función interna de auditoría y aseguramiento de SI con los detalles suficientes que comuniquen:
o    La autoridad, el propósito, las responsabilidades y las limitaciones de la función de auditoría y aseguramiento de SI
o    La Independencia y la responsabilidad de la función de auditoría y aseguramiento de SI - Las funciones y las responsabilidades del auditado durante la asignación de auditoría o la asignación de aseguramiento de SI
o    Los estándares profesionales que el profesional de auditoría y aseguramiento de SI respetará durante la realización de la asignación de auditoría y aseguramiento de SI
·         Revisar el estatuto de la función de auditoría al menos una vez por año, o con más frecuencia si cambian las responsabilidades.
·         Actualizar el estatuto de la función de auditoría según sea necesario para asegurar que el propósito y las responsabilidades hayan sido, y continúen, documentadas de manera adecuada.
Comunicar formalmente el estatuto de la función de auditoría al auditado para cada asignación de auditoría y aseguramiento de SI.
Análisis crítico

ffgfgdfgfdgfgdf
en No hay comentarios:

Dominios del COBIT


Dominios del COBIT
Cruz Guerra
El conjunto de lineamientos y estándares internacionales conocidos como COBIT, define un marco de referencia que clasifica los procesos de las unidades de tecnología de información de las organizaciones en cuatro "dominios" principales, a saber:
·         PLANIFICACION Y ORGANIZACION: Este dominio cubre la estrategia y las tácticas y se refiere a la identificación de la forma en que la tecnología de información puede contribuir de la mejor manera al logro de los objetivos del negocio. Además, la consecución de la visión estratégica necesita ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, deberán establecerse una organización y una infraestructura tecnológica apropiadas.
·         ADQUISION E IMPLANTACION: Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas, desarrolladas o adquiridas, así como implementadas e integradas dentro del proceso del negocio. Además, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes.
·         SOPORTE Y SERVICIOS: En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad. Con el fin de proveer servicios, deberán establecerse los procesos de soporte necesarios. Este dominio incluye el procesamiento de los datos por sistemas de aplicación, frecuentemente clasificados como controles de aplicación.
·         MONITOREO: Todos los procesos necesitan ser evaluados regularmente a través del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control.
Estos dominios agrupan objetivos de control de alto nivel, que cubren tanto los aspectos de información, como de la tecnología que la respalda. Estos dominios y objetivos de control facilitan que la generación y procesamiento de la información cumplan con las características de efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad.

Análisis crítico
rgdfgfgdg


en No hay comentarios:

Definición, Objetivos, Características y Justificativos


Cruz Guerra
Definición de Auditoría de sistemas
Es un proceso formal que es llevado adelante por especialistas en auditoría y en informática a efectos de verificar y asegurar que los recursos y procesos involucrados en la construcción y explotación de los sistemas de información cumplen con los procedimientos establecidos y se ajustan a criterios de integridad, eficiencia, seguridad, efectividad y legalidad.

Objetivos  
· Busca una mejor relación, costo – beneficio de los sistemas automáticos diseñados e implementados por el área de Procesamiento de datos.
·  Incrementa la satisfacción de los usuarios de los Sistemas computarizados.
· Asegura una mayor Integridad, Confidencialidad y Confiabilidad de la información mediante la recomendación de seguridad y control.
·  Conocer la situación actual del área informática y las actividades, esfuerzos necesarios para lograr los objetivos propuestos.
·  Brindar seguridad al personal, Datos, Hardware, Software e instalaciones.
· Minimizar existencia de riesgo usando la tecnología de información.
·  Decisiones de inversión, evitar gastos innecesarios.
·  Capacitación y educación sobre controles en los sistemas informáticos.


Características
·         La multiplicidad de usuarios es un fenómeno natural, si se considera que son estos los que realmente gestionan el negocio de la empresa, y no la informática. Los constructores de hardware y de productos de software inciden en este entorno de usuarios facilitando su utilización.
·         Tras algunas pruebas de desagregación desafortunadas, las organizaciones muestran tendencias a mantener centralizadas los ordenadores y periféricos de alta carga de información y la administración de los datos.
·         En efecto, la proliferación de centros de procesos de datos dedicados a explotaciones determinadas genera costos casi siempre fuera de presupuesto y debilidades de coordinación de fácil detección.
·         La descentralización de los datos no ha pasado de ser una teoría impracticable. La redundancia e inconsistencia de datos no son un lujo, si no que puede comprometer el propio sistema de información de la empresa.

  Justificativos
      ·      Aumento considerable e injustificado de presupuesto en el área de procesamiento de datos.
·      Desconocimiento en el nivel directivo de la situación informática de la empresa.
·      Falta total o parcial de seguridad que garantice la integridad del personal, equipos e información.
·      Descubrimiento de fraudes efectuados con el computador o criminalidad informática.
·   Descontento general de los usuarios por incumplimiento de los plazos y mala Calidad de los resultados. 


Análisis Crítico
Toda organización requiere de una administración de datos eficaz, eficiente y ajustada a la normativa legal. Es en ese sentido que la auditoría de sistemas ofrece confianza y seguridad en la administración de la información de la organización, dado que los centros computacionales son puntos estratégicos para las nuevas modalidades de delinquir a través de las tecnologías, es decir, son blancos apetecibles para la delincuencia digital. También es importante reseñar que la auditoría podría contribuir en la detección de errores en los sistemas de computo que generen información errónea.
en No hay comentarios:

viernes, 18 de octubre de 2019

Ley Especial Contra Los Delitos Informáticos


Cruz Guerra
Con el reciente desarrollo tecnológico, la delincuencia ha incursionado en nuevos campos como lo es el digital, acuñándose, en muchos casos, el término delitos informticos. La legislación venezolana para atender esta situación diseño y aprobó una ley denominada Ley Especial Contra Delitos Informáticos, con la cual  se enfrenta a esta nueva modalidad delincuencial. A continuación se muestra la ley mencionada:




Análisis crítico

Hoy día, gracias al desarrollo tecnológico, es posible ser victima de la delincuencia dentro de estos escenarios. Se distinguen crímenes, fraudes basados en el uso y por medio de las tecnologías, tales como la clonación de tarjetas electrónicas o de telecajeros, robo o destrucción de bases de datos, robo o usurpación de la propiedad intelectual, la extorsión, entre otros. En Venezuela, la tendencia experimenta un ascenso acelerado de este tipo de delitos. En tal sentido, La Ley  Especial Contra  los Delitos Informáticos tiene el firme propósito de proteger los sistemas que utilicen tecnologías de información, así como prevenir y sancionar los delitos cometidos contra o mediante el uso de tales tecnologías. Por consiguiente, la ley tipifica cinco clases de delitos para ser atendidos
  • Contra los sistemas que utilizan tecnologías de información
  • Contra la propiedad 
  • Contra la privacidad de las personas y de las comunicaciones
  • Contra niños y adolescentes.
  • Contra el orden económico
A mi modo de ver, este tipo de leyes reconoce que la informática, dada sus características actuales digitalización de imágenes, manejo de audio, respuestas en tiempo real, entre otras) no es infalible ya que es un potencial espacio para propiciar el fraude electrónico. También ofrece pautas para garantizar la seguridad informática, por ende, se minimiza la posibilidad de cometer fraude.


en No hay comentarios:

jueves, 17 de octubre de 2019

Delito Informático



Cruz Guerra
Producto de la digitalización, el anonimato y la información personal que se puede guardar en el entorno digital, los delincuentes han ampliado su campo de acción y los delitos y amenazas a la seguridad se han incrementado exponencialmente. Gracias al impacto globalizador de las Tecnologías,  la delincuencia también se ha expandido a esa dimensión, tomando el escenario digital como espacio delincuencial. En tal sentido,  se ha acuñado el término Delito informático, delito cibernético o ciberdelito, lpara hacer referencia a toda aquella acción antijurídica que se realiza en el entorno digital, espacio digital o de Internet. 
Los delitos informáticos son aquellas actividades ilícitas o antijurídicas que:
  • Se cometen mediante el uso de entornos digitales, redes, blockchaim, computadoras, sistemas informáticos u otros dispositivos de las nuevas tecnologías de información y comunicación (la informática es el medio o instrumento para realizar un hecho anti jurídico).


  • Tienen por objeto causar daños, provocar pérdidas o impedir el uso de sistemas informáticos (delitos informáticos).


    • Análisis critico
    Desde mi punto de vista el delito informático es una especie de crimen electrónico fundamentado en operaciones ilícitas realizadas por y a través de Internet. El creciente uso de Internet, así como las potencialidades que ofrecen las TIC han abierto un caudal por donde la delincuencia ha encontrado espacios en los que delinquir.
    en No hay comentarios:

    Equipo de trabajo de Auditoría en Informática

    Equipo de trabajo de Auditoría en Informática
    en No hay comentarios:
    Suscribirse a: Entradas (Atom)