NORMATIVAS Y/O ESTÁNDARES INTERNACIONALES

CAPITULO 3

3. NORMATIVAS Y/O ESTÁNDARES INTERNACIONALES.

En vista de continuos cambios en Tecnología de Información, el desarrollo de este capítulo concerniente a normas y/o estándares internacionales, pretende difundir las normativas que se han venido desarrollando conforme ha ido evolucionado la tecnología.

Estas normativas constituyen el fundamento para el progreso efectivo en el campo de los controles en el área de sistemas y de información.

En este capítulo se documentarán algunas leyes, normas y estándares internacionales que hablan del riesgo como aspecto importante a analizar en toda la organización.

3.1. Ley Sarbanes – Oxley

La Ley Sarbanes-Oxley de 2002 promulgada en los Estados Unidos a raíz de los “escándalos contables” al abrir el nuevo Siglo XXI, lleva mucho más lejos las disposiciones sobre la obligación de la gerencia de asegurar adecuados controles internos.

Dentro de la ley Sarbanes Oxley, se encuentra la sección 404 que hace referencia al tema de Administración de Riesgo de TI, la cual se muestra a continuación:

3.1.1. SEC. 404: Evaluación de la Gerencia de los Controles Internos: Regulaciones Requeridas.- La Comisión prescribirá regulaciones requiriendo que cada informe anual requerido por la sección 13 (a) ó 15 (d) del Acta de Intercambio de Valores de 1934 contenga un informe de control interno, el cual :

 determinará la responsabilidad de la gerencia por establecer y mantener una estructura adecuada de control interno y los procedimientos para información financiera, y

 contendrá una evaluación, al final del año fiscal más reciente del emisor, de la estructura de control interno y los procedimientos del emisor para información financiera.

3.1.1.2. Evaluación e Informe del Control Interno: Con respecto a la evaluación del control interno requerido por la sub-sección (a), cada firma de contabilidad pública registrada que prepara o emite el informe de auditoria para el emisor testificará, e informará sobre la evaluación hecha por la gerencia del emisor. Una testificación bajo esta sub-sección será hecha de acuerdo con las normas para compromisos de testificación emitidas o adoptadas por la Junta. La testificación no estará sujeta a un compromiso separado.

3.2.- Normas COBIT: Control Objectives for Information and related Technology

La Information Systems Audit and Control Foundation (ISACF) desarrolló los Objetivos de Control para la Información y Tecnología relacionada (COBIT) para servir como una estructura generalmente aplicable y prácticas de seguridad para el control de la tecnología de la información. Esta estructura COBIT le permite a la gerencia comparar la seguridad y prácticas de control de los ambientes de TI.

COBIT se aplica a los sistemas de información de toda la empresa, incluyendo las computadoras personales, mini computadoras y ambientes distribuidos. Esta basado en la filosofía de que los recursos de TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la información pertinente y confiable que requiere una organización para lograr sus objetivos.

Por lo tanto, el objetivo principal de COBIT es el desarrollo de políticas claras y buenas prácticas para la seguridad y el control de Tecnología de Información, con el fin de obtener la aprobación y el apoyo de las entidades comerciales, gubernamentales y profesionales en todo el mundo. La meta de COBIT es desarrollar estos objetivos de control principalmente a partir de la perspectiva de los objetivos y necesidades de la empresa.

3.2.1. Audiencia: Administración, Usuarios y Auditores.- COBIT está diseñado para ser utilizado por tres audiencias distintas:

3.2.1.1. Administración / Gerencia: Para ayudarlos a lograr un balance entre los riesgos y las inversiones en control en un ambiente de tecnología de información frecuentemente impredecible.

3.2.1.2. Usuarios: Para obtener una garantía en cuanto a la seguridad y controles de los servicios de tecnología de información proporcionados internamente o por terceras partes.

3.2.1.3. Auditores: Para soportar su opinión y/o proporcionar consejos a la Administración sobre los controles internos.

3.2.2. Principios.-

FIGURA 3.1.

PRINCIPIOS DE COBIT

3.2.3. Procesos de TI.- La estructura de COBIT se define a partir de una premisa simple: “Los recursos de las Tecnologías de Información (TI) se han de gestionar mediante un conjunto de procesos agrupados de forma natural para que proporcionen la información que la empresa necesita para alcanzar sus objetivos”.

FIGURA 3.2.

NIVELES DE COBIT

3.2.3.1. Dominios: Agrupación natural de procesos, normalmente corresponden a un dominio o una responsabilidad organizacional.

3.2.3.2. Procesos: Conjuntos o series de actividades unidas con delimitación o cortes de control.

3.2.3.3. Actividades: Acciones requeridas para lograr un resultado medible.

Se definen 34 objetivos de control generales, uno para cada uno de los procesos de las TI. Estos procesos están agrupados en cuatro grandes dominios. De estos se tomará en consideración aquellos que se refieren a riesgos.

3.2.4. Proceso 9: Análisis de Riesgo.- Dentro del Dominio: Planificación y Organización (primer dominio), se encuentra un proceso referente al tema, denominado Análisis de Riesgo y cuyo objetivo es asegurar el logro de los objetivos de TI y responder a las amenazas hacia la provisión de servicios de TI

3.2.4.1. Actividad 1: Evaluación de Riesgos del Negocio: Objetivo de Control: La Gerencia deberá establecer un marco de referencia de evaluación sistemática de riesgos. Este

...