UNIVERSIDAD NACIONAL DE COLOMBIA SEDE MANIZALES

ADMINISTRACIN DE SISTEMAS INFORMTICOS

AUDITORIA DE SISTEMAS II

TRABAJO: COMPILACIN BIBLIOGRFICA ESTNDARES Y DIRECTRICES DE AUDITORIA

PRESENTADO POR: MARIA ALEJANDRA HURTADO PARRA 907028

MANIZALES, OCTUBRE DEL 2010

TABLA DE CONTENIDO INTRODUCCIN ................................................................................................ 3 HISTORIA Y EVOLUCIN ................................................................................. 4 MARCO TERICO ............................................................................................. 5 ANLISIS DE AS/NZ 4360, NIST SP800-34 Y NTC 5254 .................................. 6 AS/NZ 4360 (PRINCIPAL) ................................................................................. 6 NIST SP 800-34 ................................................................................................ 12 CICLO DE VIDA DEL SISTEMA ....................................................................... 13 NTC 5254 ......................................................................................................... 15 RESUMEN ........................................................................................................ 16 CONCLUSIONES Y OBSERVACIONES .......................................................... 18 COMPARATIVO CON COBIT........................................................................... 19 BIBLIOGRAFA ................................................................................................. 20

INTRODUCCIN En toda organizacin existen posibles daos que pueden alterar el funcionamiento normal de sus operaciones, la factibilidad de estos daos se mide a travs del riesgo. Para contextualizar la temtica a desarrollar, primero se va a dar una breve introduccin al tema de gestin del riesgo y algunos trminos importantes. Cuando se usa la expresin riesgo, se quiere tratar sobre la vulnerabilidad de un bien ante un potencial perjuicio o dao, este bien puede ser fsico o intangible, tomando como ejemplo de un bien fsico, a un edificio o equipos de cmputo y como bien intangible, la informacin importante, tal como cifras financieras. Es importante diferenciar el riesgo del peligro, el riesgo es la probabilidad de que ocurra un dao, en cambio, el peligro, es la probabilidad de que ocurra un suceso que conlleve a un dao. Continuando con el riesgo, existen varios tipos: Riesgo laboral, geolgico, financiero, y biolgico. Ahora, teniendo claros estos conceptos, es necesario saber que han existido distintas organizaciones y trabajos encargados de promover normas y estndares para el manejo del riesgo (tales como INCONTEC, ANSI, ISO, COBIT, ITIL, entre otras), que permiten las empresas adaptar estos modelos para su funcionamiento y mejorar de procesos. A continuacin se mostrara un anlisis de algunos de estos estndares y normas. Tomando el contexto internacional y nacional.

HISTORIA Y EVOLUCIN

Como parte de los trabajos iniciales y ms importantes sobre gestin del riesgo, se crea a finales de los 90s, el estndar australiano as/nz 4360, el cual permita el establecimiento e implementacin del proceso de administracin de riesgos involucrando el establecimiento del contexto y la identificacin, anlisis, evaluacin, tratamiento, comunicacin y el monitoreo en curso de los riesgos. En un contexto ms cercano, en el 2002 surge las norma NIST sp 800-34, como producto del trabajo entre el laboratorio de tecnologas de informacin y el instituto nacional de estndares y tecnologa, ambos de Estados Unidos, esta norma proporciona instrucciones, recomendaciones y consideraciones para el gobierno de TI, permitiendo implementar medidas cautelares para recuperar los servicios de TI, despus de una emergencia o interrupcin del funcionamiento de los sistemas. En el 2004 y adaptndose en nuestro contexto nacional surge la Norma Tcnica Colombiana 5264, la cual acoge la gran mayora de trminos enmarcados en la as/nz 4360 y acentundolos en el contexto Colombiano.

MARCO TERICO

Riesgo Es la probabilidad de que una amenaza se convierta en un desastre. La vulnerabilidad o las amenazas, por separado, no representan un peligro. Pero si se juntan, se convierten en un riesgo, o sea, en la probabilidad de que ocurra un desastre. Sin embargo los riesgos pueden reducirse o manejarse. Si somos cuidadosos en nuestra relacin con el ambiente, y si estamos conscientes de nuestras debilidades y vulnerabilidades frente a las amenazas existentes, podemos tomar medidas para asegurarnos de que las amenazas no se conviertan en desastres.

Gestin del Riesgo La gestin del riesgo no solo nos permite prevenir desastres. Tambin nos ayuda a practicar lo que se conoce como desarrollo sostenible. El desarrollo es sostenible cuando la gente puede vivir bien, con salud y felicidad, sin daar el ambiente o a otras personas a largo plazo. Por ejemplo, se puede ganar la vida por un tiempo cortando rboles y vendiendo la madera, pero si no se siembran ms rboles de los que se corta, pronto ya no habr rboles y el sustento se habr acabado. Entonces no es sostenible. Cuando no se implementa un plan de riesgos, la organizacin carece de un soporte para el contexto estratgico de la organizacin, para sus metas, objetivos y la naturaleza de su negocio, no se asegurara el correcto funcionamiento en todos los niveles de la organizacin.

ANLISIS DE AS/NZ 4360, NIST SP800-34 Y NTC 5254

AS/NZ 4360 (PRINCIPAL) Sin duda es el elemento inicializador y uno de los ms completos que trata sobre la gestin del riesgo, en su operacin utiliza trminos importantes los cuales son tambin utilizados en sus derivadas que se explicaran despus. rbol de eventos: Una tcnica que describe el rango y secuencia posibles de los productos que podran surgir de un evento iniciado. rbol de fallas: Un mtodo de ingeniera de sistemas para representar las combinaciones lgicas de varios estados del sistema y causas posibles que pueden contribuir a un evento especificado (denominado evento superior o top event). Anlisis de riesgo: Un uso sistemtico de la informacin disponible para determinar cuan frecuentemente pueden ocurrir eventos especificados y la magnitud de sus consecuencias. Anlisis de sensibilidad: Examina cmo varan los resultados de un clculo o modelo a medida que se cambian los supuestos o hiptesis individuales. Consecuencia: El producto de un evento expresado cualitativa o cuantitativamente, sea este una prdida, perjuicio, desventaja o ganancia. Podra haber un rango de productos posibles asociados a un evento. Control de riesgos: La parte de administracin de riesgos que involucra la implementacin de polticas, estndares, procedimientos y cambios fsicos para eliminar o minimizar los riesgos adversos. Costo: De las actividades, tanto directas como indirectas, involucrando cualquier impacto negativo, incluyendo prdidas de dinero, de tiempo, de mano de obra, interrupciones, problemas de relaciones, polticas e intangibles. Evaluacin de riesgo: El proceso global de anlisis de riesgo y evaluacin de riesgo, es utilizado para determinar las prioridades de administracin de riesgos comparando el nivel de riesgo respecto de estndares predeterminados, niveles de riesgo objetivos u otro criterio. Evento: Un incidente o situacin, que ocurre en un lugar particular durante un intervalo de tiempo particular. Frecuencia: Una medida del coeficiente de ocurrencia de un evento expresado como la cantidad de ocurrencias de un evento en un tiempo dado.

Monitoreo: Comprobar, supervisar, observar crticamente, o registrar el progreso de una actividad, accin o sistema en forma sistemtica para identificar cambios. Prdida: Cualquier consecuencia negativa, financiera o de otro tipo. Probabilidad: La probabilidad de un evento especfico o resultado, medido por el coeficiente de eventos o resultados especficos en relacin a la cantidad total de posibles eventos o resultados. La probabilidad se expresa como un nmero entre 0 y 1, donde 0 indica un evento o resultado imposible y 1 indica un evento o resultado cierto. Riesgo residual: El nivel restante de riesgo luego de tomar medidas de tratamiento del riesgo. Riesgo: La posibilidad de que suceda algo que tendr un impacto sobre los objetivos. Se lo mide en trminos de consecuencias y probabilidades. Tratamiento de riesgos: Seleccin e implementacin de opciones apropiadas para tratar el riesgo.

La operacin de la gestin de riesgos en esta norma se basa en las actividades de: establecimiento de propsitos, polticas de administracin de riesgos, planeamiento y recursos, programa de implementacin, revisin general. Los elementos principales de la administracin de riesgos son: 1. Comunicar y consultar: Comunicar y consultar con interesados internos y externos segn corresponda en cada etapa del proceso de administracin de riesgos y concerniendo al proceso como un todo. 2. Establecer el contexto: Establecer el contexto estratgico, organizacional y de administracin de riesgos en el cual tendr lugar el resto del proceso. Deberan establecerse criterios contra los cuales se evaluarn los riesgos y definirse la estructura del anlisis. 3. Identificar riesgos: Identificar qu, por qu y cmo pueden surgir las cosas como base para anlisis posterior. 4. Analizar riesgos: Determinar los controles existentes y analizar riesgos en trminos de consecuencias y probabilidades en el contexto de esos controles. El anlisis debera considerar el rango de consecuencias potenciales y cun probable es que ocurran esas consecuencias. Consecuencias y probabilidades pueden ser combinadas para producir un nivel estimado de riesgo. 5. Evaluar riesgos: Comparar niveles estimados de riesgos contra los criterios preestablecidos.Esto posibilita que los riesgos sean ordenados como para identificar las prioridades de administracin. Si los niveles de riesgo establecidos son bajos, los riesgos podran caer en una categora aceptable y no se requerira un tratamiento.

6. Tratar riesgos: Aceptar y monitorear los riesgos de baja prioridad. Para otros riesgos, desarrollar e implementar un plan de administracin especfico que incluya consideraciones de fondeo. 7. Monitorear y revisar: Monitorear y revisar el desempeo del sistema de administracin de riesgos y los cambios que podran afectarlo. La administracin de riesgos se puede aplicar en una organizacin a muchos niveles. Se lo puede aplicar a nivel estratgico y a niveles operativos. Se lo puede aplicar a proyectos especficos, para asistir con decisiones especficas o para administrar reas especficas reconocidas de riesgo.

Ejemplo de calificacin de riesgos segn impacto:

Medidas de calificacin de la probabilidad de ocurrencia de un riesgo

Matriz de anlisis de riesgo R1 3 R2 R4

IMPACTO

R3

R6

R5

PROBABILIDAD Se puede evaluar el riesgo a travs de una matriz como la anterior, en este caso entre el rojo significa el color donde se encuentran los riesgos que pueden causar ms dao a la organizacin y el verde los riesgos que presentan menos daos.

Acciones para el control de riesgos Se pueden enfocar para controlar la probabilidad o el impacto, algunas pueden incluir procesos as: Reduccin de probabilidad Programas de auditoria y cumplimiento condiciones contractuales revisiones formales de requerimientos, especificaciones, diseo, ingeniera y operaciones inspecciones y controles de procesos administracin de inversiones y cartera administracin de proyectos mantenimiento preventivo aseguramiento de calidad, administracin y estndares investigacin y desarrollo, desarrollo tecnolgico capacitacin estructurada y otros programas supervisin comprobaciones acuerdos organizacionales controles tcnicos Reduccin de impacto planeamiento de contingencia arreglos contractuales condiciones contractuales caractersticas de diseo planes de recupero de desastres barreras de ingeniera y estructurales planeamiento de control de fraudes minimizar la exposicin a fuentes de riesgo planeamiento de cartera poltica y controles de precios separacin o reubicacin de una actividad y recursos relaciones pblicas

10

Ejemplo de formato de registro de riesgos

Ejemplo de formato de tratamiento de riesgos

Formato plan de accin de riesgos

11

NIST SP 800-34 La publicacin especial 800-34 del NIST, Planes de Contingencia Gua de Ayuda para los Sistemas de Informacin, proporciona las instrucciones, recomendaciones y consideraciones para la planificacin de contingencia de la informacin del sistema. La planificacin de contingencia se refiere a las medidas cautelares para recuperar los servicios de informacin del sistema despus de una interrupcin. Las medidas provisionales pueden incluir la reubicacin de los sistemas de informacin y operaciones a un lugar alternativo, la recuperacin de las funciones de sistema de informacin utilizando un equipo alternativo, o el desempeo de las funciones de sistema de informacin utilizando mtodos manuales. Tambin da las recomendaciones especficas de planificacin de contingencia para tres tipos de plataforma y proporciona estrategias y tcnicas comunes a todos los sistemas. Los sistemas cliente / servidor; Sistemas de telecomunicaciones, y Sistemas mainframe.(Unidad Central)

Se define la contingencia siguiendo siete pasos del proceso de planificacin que una organizacin puede aplicar para desarrollar y mantener un programa de planificacin de contingencia viable para sus sistemas de informacin. Estos siete pasos progresivos estn diseados para ser integrados en cada etapa del ciclo de vida del sistema de desarrollo.

1.

Desarrollar la declaracin poltica de planificacin de contingencia: Una poltica formal proporciona la autoridad y la orientacin necesaria para desarrollar un plan de contingencia efectivo. Llevar a cabo el negocio de anlisis de impacto (BIA business impact analysis): La BIA ayuda a identificar y dar prioridad a los sistemas de informacin y los componentes fundamentales para apoyar la misin de la organizacin y funciones de negocios. Una plantilla para el desarrollo de la BIA se proporciona para ayudar al usuario. Identificar los controles preventivos: Las medidas adoptadas para reducir los efectos de las interrupciones del sistema puede aumentar la disponibilidad del sistema y reducir los costos de ciclo de vida de contingencia. Crear estrategias de contingencia: A fondo las estrategias de recuperacin debe garantizar que el sistema se puede recuperar con rapidez y eficacia despus de una interrupcin. Desarrollar un sistema de informacin del plan de contingencia. El plan de contingencia debe contener orientaciones y procedimientos detallados para la restauracin de un sistema daado a nivel del sistema de seguridad de impacto y los requisitos de recuperacin. 12

2.

3.

4.

5.

6.

Asegrese de probar el plan y generar la formacin correspondiente: Se deben generar pruebas a las capacidades de recuperacin, mientras que la formacin prepara al personal para la activacin del plan de recuperacin Asegurar el mantenimiento del plan: El plan debe ser un documento vivo que se actualiza peridicamente para mantenerse al da con mejoras en el sistema y los cambios organizativos.

7.

CICLO DE VIDA DEL SISTEMA El desarrollo del ciclo de vida del sistema (SDLC) se refiere a todo el mbito de las actividades realizadas por los dueos de la informacin del sistema asociado con un sistema durante su vida til. El ciclo de vida, muestra en la Figura, comienza con la iniciacin y termina con la disposicin. Aunque la planificacin de contingencia se asocia con las actividades que ocurren en su mayora en la Fase de Operacin / mantenimiento, la identificacin y la integracin de las estrategias de contingencia y continuidad en todas las fases del ciclo de vida de la informacin del sistema permiten al propietario para construir capas de proteccin contra riesgos y facilitar la aplicacin de estrategias de recuperacin temprana y efectiva en en el desarrollo del sistema. Este enfoque reduce los costos generales de la planificacin de contingencia, mejora la capacidad de contingencia, y reduce los impactos de las operaciones del sistema cuando el plan de contingencia se aplica. Esta seccin presenta las formas ms comunes en los que las estrategias de contingencia pueden ser incorporados en todo el SDLC.

13

Iniciacin Los requisitos de planificacin de contingencia debe ser considerado cuando un nuevo sistema de informacin se concibe. Durante el inicio, a principios de consideraciones de planificacin de contingencia puede ponerse de manifiesto como los requisitos de informacin del sistema se identifican y que corresponden a sus funciones operativas relacionadas, una evaluacin del riesgo se lleva a cabo para entender lo que el sistema tendr la proteccin en contra, y los objetivos de la confidencialidad, integridad y disponibilidad de est. Requisitos de informacin de alta disponibilidad del sistema puede indicar que la duplicacin redundante, en tiempo real en un sitio alternativo y capacidades de conmutacin por error debe ser incorporado en el diseo del sistema. Del mismo modo, si el sistema est pensado como una aplicacin virtual, el diseo puede necesitar incluir caractersticas adicionales, tales como unidades de capacidad de auto-sanacin o de diagnstico. Adquisicin y Desarrollo Como conceptos iniciales evolucionan en el desarrollo de sistemas de informacin, soluciones especficas de contingencia se puede determinar. Al igual que en la fase de iniciacin, las consideraciones tcnicas de planificacin de contingencia en esta fase debe reflejar el sistema y los requisitos operacionales. El diseo debe incorporar la redundancia y robustez directamente en la arquitectura del sistema para optimizar la fiabilidad, mantenibilidad y disponibilidad durante la fase de operacin y mantenimiento . Implementacin / Evaluacin La estrategia de recuperacin seleccionado ya est documentada en el sector formal del Sistema de Informacin Plan de Contingencia en coordinacin con el Sistema de Prueba y Evaluacin (ST & E) de esfuerzo. A medida que el sistema experimenta una prueba inicial, las estrategias de contingencia tambin debe ser ejercida para resolver cualquier problema con los procedimientos. Resultados del ejercicio puede inducir modificaciones en los procedimientos de recuperacin y el plan de contingencia. Operaciones / Mantenimiento Cuando el sistema de informacin est en funcionamiento, los usuarios, administradores y gerentes deben mantener una prueba, capacitacin y programa de ejercicios que valida continuamente los procedimientos de contingencia y plan de estrategia de recuperacin tcnica. Ejercicios y pruebas deben llevarse a cabo de forma programada para garantizar que los procedimientos siguen siendo eficaces. Copias de seguridad completas e incrementales debe ser evaluada a cabo, almacenados fuera del sitio, rotar, y validada peridicamente. El plan de contingencia debe ser actualizado para reflejar los cambios en los procedimientos sobre la base de las lecciones aprendidas de las pruebas, ejercicios y reales interrupciones. Cuando el sistema de informacin se somete a mejoras o modificaciones, tales como cambios en las interfaces externas, estas modificaciones deben reflejarse en el 14

plan de contingencia. Coordinar y documentar los cambios en el plan se debe realizar de manera oportuna para mantener un plan eficaz. Eliminacin Las consideraciones de contingencia no deben descuidarse, ya que un sistema de informacin puede estar muy viejo y otro sistema lo reemplazara. Hasta que el nuevo sistema est en funcionamiento y en proceso de prueba (incluyendo sus capacidades de contingencia), ISCP el sistema original se debe mantener en un estado listo para su implementacin. Como los sistemas de legado se sustituyen, pueden proporcionar una valiosa capacidad como un sistema redundante en caso de prdida o fracaso del nuevo sistema de informacin. En algunos casos, las piezas del equipo (por ejemplo, discos duros, fuentes de alimentacin, chips de memoria, o tarjetas de red) de hardware que ha sido reemplazado pueden utilizarse como piezas de repuesto para los equipos operativos nuevos. Adems, los sistemas de legado de la informacin se puede utilizar como sistemas de pruebas para nuevas aplicaciones, permitiendo que los defectos del sistema potencialmente perjudicial pueda ser identificado y corregido en un entorno no productivo. NTC 5254 La administracin de Riesgos es una parte fundamental de la Gobernabilidad corporativa que busca contribuir eficientemente en la identificacin, anlisis, tratamiento, comunicacin y monitoreo de los riesgos del negocio. La norma tcnica Colombiana de gestin del riesgo 5254 es una traduccin idntica de la norma tcnica Australiana AS/NZ 4360:2004 de amplia aceptacin y reconocimiento a nivel mundial para la gestin de riesgos independiente de la industria o el negocio que desee emplearla. All tambin est consignada una vital recomendacin a los administradores de negocios: La Gestin de riesgos debe formar parte de la cultura organizacionalquienes gestionan el riesgo de forma eficaz y eficiente tienen ms probabilidad de alcanzar sus objetivos y hacerlo a menor costo. Este Estndar provee una gua genrica para el establecimiento e implementacin el proceso de administracin de riesgos involucrando el establecimiento del contexto y la identificacin, anlisis, evaluacin, tratamiento, comunicacin y el monitoreo en curso de los riesgos. Objeto Esta norma tiene como objeto proporcionar una gua para permitir a cualquier empresa el logro de: Mejor identificacin de oportunidades y amenazas Tener una base rigurosa para la toma de decisiones y la planificacin Gestin proactiva y no reactiva Mejorar la conformidad con la legislacin pertinente Mejorar la gestin de incidentes y la reduccin de las prdidas y el costo del ries

15

RESUMEN AS/NZ 4360 La gestin de riesgos tiene la finalidad de buscar el equilibrio apropiado entre el reconocimiento de oportunidades de obtener ganancias y la reduccin de las prdidas. Es parte integrante de las buenas prcticas de gestin y tambin es un elemento esencial para el buen gobierno corporativo. La norma AS/NZS 4360 suministra orientaciones genricas para la gestin de riesgos. Puede aplicarse a una gran variedad de actividades, decisiones u operaciones de cualquier entidad pblica, privada o comunitaria, grupos o individuos. Se trata de una instruccin amplia pero que permite la definicin de objetivos especficos de acuerdo con las necesidades de cada implementacin.

Beneficios Los principales beneficios de la AS/NZS 4360 para la empresa: Estandarizacin de la prctica de gestin de riesgos entre las diversas reas de la empresa. Implantacin de mecanismos de evaluacin de riesgos y revisin de procesos. Implantacin de mecanismos de control y tratamiento. Reduccin de riesgos para los procesos corporativos. Reduccin de costos provenientes de los riesgos. Adems de estos beneficios, la aplicacin de la norma AS/NZS 4360 le garantiza a la organizacin una base slida para la aplicacin de cualquier otra norma o metodologa de gestin de riesgos especfica para un determinado segmento

NIST SP 800-34
Esta gua presenta tres formatos de ejemplo para el desarrollo de un sistema de informacin del plan de contingencia sobre la base de bajo, moderado o alto nivel de impacto, como se define en Federal Information Processing Standard (FIPS) 199, Normas para la Clasificacin de Seguridad Federal de la Informacin y Sistemas de Informacin. Cada formato se definen tres fases que rigen las acciones que deben tomarse despus de una interrupcin del sistema. La activacin / Fase Notificacin describe el proceso de activacin del plan en base a los impactos y la interrupcin de la notificacin personal de recuperacin. Los detalles de la fase de recuperacin de un curso de accin sugerida para los equipos de recuperacin para las operaciones de restauracin del sistema en un sitio alternativo o el uso de las capacidades de contingencia. La fase final,

La reconstitucin, se incluyen actividades para probar y validar la capacidad y 16

funcionalidad del sistema y describe las acciones que se pueden tomar para devolver el sistema a condiciones normales de funcionamiento y preparar el sistema contra apagones en el futuro. Esta norma utilizar varios de los parmetros y actividades mencionados(as) en la as/nz 4360, por lo cual no se mencionaran ac. Adems maneja los siguientes procesos: Manejo de antecedentes, plan de contingencia, gestin del riesgo, tipo de plan (continuidad, recuperacin, soporte, comunicacin y recuperacin de desastres). Adems incorpora fases as: inicial (requerimientos y objetivos) desarrollo (conceptos y diseo) implementacin (pruebas iniciales) mantenimiento (usado por las dependencias)

NTC 5254
La administracin de Riesgos es una parte fundamental de la Gobernabilidad corporativa que busca contribuir eficientemente en la identificacin, anlisis, tratamiento, comunicacin y monitoreo de los riesgos del negocio. La Gestin de riesgos debe formar parte de la cultura organizacionalquienes gestionan el riesgo de forma eficaz y eficiente tienen ms probabilidad de alcanzar sus objetivos y hacerlo a menor costo. Elementos que conforman el proceso de gestin del riesgo 1. 2. 3. 4. 5. 6. 7. Comunicacin y consulta Establecer el contexto Identificar riesgos Analizar riesgos Evaluar riesgos Tratar los riesgos Monitoreo y revisin

17

CONCLUSIONES Y OBSERVACIONES El correcto manejo de las posibles situaciones de peligro dentro de una organizacin, significa estar preparado para posibles problemas y as evitar la una posible extincin de la organizacin. La organizacin no es un ente cerrado, por el contrario en el entorno hay muchos factores que podran determinar un posible cambio en las formas de operar de la organizacin, los cuales tienen propiedades de probabilidad e impacto. En la organizacin deben existir procesos de formacin que permitan a los integrantes poder afrontar situaciones de riesgo y aplicar medidas de control. La organizacin debe considerar mecanismos que permitan peridicamente evaluar las distintas dependencias de la organizacin y determinar posibles situaciones posibles de riesgo. Deben existir reglas que permitan la operacin para la solucin de problemas (plan de contingencia).

18

COMPARATIVO CON COBIT

Al igual que la normativa y estndares expuestos anteriormente COBIT implementa unos objetivos de control, los que permiten darle al departamento de TI un valor importante, COBIT determina, con el respaldo de las principales normas tcnicas internacionales, un conjunto de mejores prcticas para la seguridad, la calidad, la eficacia y la eficiencia en TI que son necesarias para alinear TI con el negocio, identificar riesgos, entregar valor al negocio, gestionar recursos y medir el desempeo, el cumplimiento de metas y el nivel de madurez de los procesos de la organizacin. Para obtener ms informacin acerca de Cobit, se puede consultar el link correspondiente en la bibliografa.

19

BIBLIOGRAFA http://www.softexpert.es/norma-asnzs.php Estndar Australiano as/nz 4360 http://csrc.nist.gov/publications/PubsSPs.htmlNIST sp800-34 - Gua para planes de contingencia en el departamento de TI. (ingles). http://es.wikipedia.org/wiki/Riesgo Riesgo y sus propiedades http://es.wikipedia.org/wiki/Instituto_Nacional_de_Est%C3%A1ndares_y_ Tecnolog%C3%ADa NIST http://www.isaca.org/cobit Sitio web COBIT

20