Conformarse (Adaptarse?) a las reglas en materia de gestin del riesgo y la seguridad. Mejor proteccin de la informacin confidencial de la empresa. Reduccin de riesgos de ataques. Recuperacin ms rpida y ms fcil de las operaciones despus de un ataque. Metodologa de seguridad estructurada y reconocida internacionalmente. Ley Sarvanes-Oxley(SOX) 1. Definicin: Es una ley de transparencia y control, emitida el 30 de julio de 2002. 2. Objetivos: Establecer o mejorar el ambiente de control interno de las empresas pblicas Definir y formalizar responsabilidades sobre su cumplimiento al CEO, CFO y auditores financieros. 3. Marco de aplicacin de SOX: La Ley se aplica a todas las empresas norteamericanas y extranjeras que cotizan en la bolsa de valores de Estados Unidos (empresas pblicas). Esto incluye a: La Casa Matriz Sus subsidiarias Sus afiliadas 4. Propuestas: algunas son Compaas cuyas acciones cotizan en bolsa. Debern establecer un comit de auditora y proveerlo de un adecuado financiamiento. Adems debern esperar por lo menos un ao antes de contratar a algn miembro del equipo de auditora para un cargo ejecutivo. Comit de auditora. Deber ser independiente de la compaa, es decir ninguno de los miembros podr trabajar para la compaa que cotiza en Bolsa. Ejecutivos: Estarn sujetos a sanciones penales de existir algn error material e intencional en los Estados Financieros. Informe COSO 1. Definicin: Se trata de un informe que establece una definicin comn del concepto de control interno y proporcin a un estndar mediante el cual las organizaciones pueden evaluar y mejorar sus sistemas de control. 2. Objetivos: Unificar criterios en lo relacionado al concepto de Control Interno Mejorar la calidad de la informacin financiera concentrndose en el manejo corporativo, las normas ticas y el control interno. 3. Control Interno: Es un proceso que involucra a todos los integrantes de la organizacin sin excepcin, diseado para dar un grado razonable de apoyo en cuanto a la obtencin de los objetivos en las siguientes categoras: Eficacia y eficiencia de las operaciones(O) Fiabilidad de la informacin financiera (F) Cumplimiento de las leyes y normas que son aplicables(C) 4. Componentes: Entorno de control Evaluacin de los riesgos Actividades de control Informacin y comunicacin Supervisin ITIL CMMI COBIT5 ENFOCADO EN EL NEGOCIO, ORIENTADO A PROCESO, BASADO EN CONTROLES Y DIRIGIDO POR MEDIDAS. Que es ISACA? Es un lder global proveedor de conocimientos, certificaciones, comunidad, promocin y educacin sobre aseguramiento y seguridad de los SS.II, gobierno empresarial y gestin de TI y riesgos relacionados con TI. Es una entidad independiente y sin nimos de lucro, fundada en 1969 la cual lleva a cabo conferencias internacionales, publica el ISACA Journal y desarrolla estndares internacionales de control y auditoria de SS.II que ayudan a sus miembros a asegurar la confianza en, y a aportar valor desde los SS.II La informacin es un recurso clave para cualquier empresa y desde que es creada hasta que es destruida la tecnologa es vital. Las tecnologas de la informacin estn avanzando cada vez ms y ms y se ha generalizado en las empresas y en entornos sociales, pblicos y de negocios Las empresas se esfuerzan en: Mantener informacin de alta calidad para soportar las decisiones de negocios Generar valor al negocio a travs de inversiones en TI Optimizar costos en servicios y tecnologas en TI Alcanzar la excelencia operativa mediante la aplicacin de tecnologas fiables y eficientes Cumplir con las leyes, regulaciones, acuerdos contractuales y polticas aplicables. Grandes empresas reconocen que las TI's son una parte importante de hacer negocios. Se debe trabajar de tal forma que se incluya a las TI's en el enfoque del gobierno y la gestin. COBIT5 provee de un marco de trabajo integral que ayuda a las empresas a alcanzar sus objetivos para el gobierno y la gestin de TI corporativas. Principios de COBIT5: Satisfacer las necesidades de todas las partes interesadas. Cubrir la empresa de extremo a extremo: COBIT5 no solo cubre las funciones de TI sino que trata la informacin y tecnologas relacionadas como activos que deben ser tratados como cualquier otro activo de la empresa. Aplicar un marco de referencia nico integrado: COBIT5 se alinea con otros estndares y marcos de trabajo por lo que se puede utilizar como marco principal para el gobierno y la gestin de TI. Hacer posible un enfoque holstico: COBIT5 define catalizadores (cualquier cosa que pueda ayudar a cumplir los objetivos de la empresa) para apoyar la implementacin de un sistema de gobierno y gestin global de TI de la empresa. Sus catalizadores son: Principios, Polticas y Marcos de Trabajo Procesos Estructuras Organizativas Cultura, tica y Comportamiento Informacin Servicios, Infraestructuras y Aplicaciones Personas, Habilidades y Competencias Separar al Gobierno de la gestin: en COBIT5 se establece una clara diferenciacin entre Gobierno y Gestin puesto que estas dos disciplinas engloban diferentes tipos de actividades, requieren distintos tipos de estructuras organizativas y sirven a diferentes propsitos. En lneas generales el gobierno se encarga de: Que se evalen las necesidades, condiciones y opciones de las partes interesadas Determinar que se alcanzan las metas acordadas, estableciendo la direccin a travs de la priorizacin y la toma de decisiones, midiendo el rendimiento y el cumplimiento respecto a la direccin y metas acordadas. La gestin planifica, construye, ejecuta y controla actividades acordes con la direccin establecida por el gobierno para alcanzar las metas. En general el gobierno es responsabilidad del directorio y la gestin del CEO. Necesidades que motivaron el desarrollo de COBIT5: Dar voz a todas las partes interesadas sobre que esperan de la informacin y tecnologas relacionadas. La dependencia del xito de una empresa en compaas y grupos de TI externos. Tratar con la constantemente creciente informacin. Qu informacin es til, cul no? Cmo utilizarla para la toma de decisiones? Tratar con TI muchas ms generalizadas que con el tiempo son ms y ms parte integral de la empresa. Proporcionar orientacin adicional en el mbito de la innovacin y las tecnologas emergentes. Cubrir completamente las responsabilidades funcionales de TI y del negocio, y todos los aspectos que llevan a la gestin y el gobierno eficaz de las TI de la empresa. Adquirir mejor control sobre soluciones de TI adquiridas y controladas por los usuarios Alcanzar por parte de la empresa: Creacin de valor a travs del uso efectivo e innovador de la TI de la empresa Satisfaccin del usuario de negocio con el nivel de compromiso y los servicios de las TI Cumplimiento de las leyes, reglamentos, acuerdos contractuales y las polticas internas relevantes Relaciones mejoradas entre las necesidades de negocio y metas de TI Enlazar y, cuando sea relevante, alinearse con otros marcos y estndares principales existentes en el mercado Capitulo 2: Principio 1: Satisfacer las necesidades de las partes interesadas Las empresas existen para generar valor para los accionistas. Por lo tanto este ser un objetivo de gobierno. Crear valor significa conseguir beneficios a un coste ptimo de los recursos mientras se optimiza el riesgo. Las empresas tienen muchas partes interesadas, y crear valor significa cosas diferentes -y a veces contradictorias- para cada uno de ellos. Las actividades de gobierno tratan sobre negociar y decidir entre los diferentes intereses en el valor de las partes interesadas. En consecuencia, el sistema de gobierno debe considerar a todas las partes interesadas al tomar decisiones sobre beneficios, evaluacin de riesgos y recursos. Para cada decisin, las siguientes preguntas pueden y deben hacerse: Para quin son los beneficios? Quin asume el riesgo? Qu recursos se requieren? Cascada de metas de COBIT5: Cada empresa existe en un contexto diferente con diferentes factores internos y externos por lo cual necesita un sistema de gobierno y gestin personalizado. La Cascada de metas es un mecanismo para traducir las necesidades de las partes interesadas en metas corporativas, metas relacionadas con las TI y metas catalizadoras especficas, tiles y a medida. Esto genera metas especficas en todos los niveles y areas de la empresa. Paso 1. Los motivos de las PI influyen en las necesidades de las PI Paso 2. Las necesidades de las PI desencadenan metas empresariales Paso 3. Cascada de metas de empresa a metas relacionadas con las TI El logro de metas empresariales requiere un nmero de resultados relacionados con las TI2, que estn representados por las metas relacionadas con la TI Paso 4. Cascada de metas relacionadas con las TI hacia metas catalizadoras Alcanzar metas relacionadas con las TI requiere la aplicacin satisfactoria y el uso de varios catalizadores.
Beneficios de la Cascada de Metas de COBIT5 La cascada de metas es importante porque permite la definicin de prioridades de implementacin, mejora y aseguramiento del gobierno de las TI de la empresa. En la prctica, la cascada de metas: -Define objetivos y metas relevantes y tangibles a varios niveles de responsabilidad -Filtra la base de conocimiento de COBIT 5, sobre la base de las metas corporativas, para extraer las guas relevantes a -incluir en proyectos especficos de implementacin, mejora o aseguramiento. -Identifica claramente y comunica cmo (algunas veces de forma muy operativa) los catalizadores son importantes para alcanzar metas de la empresa. Utilizando Cuidadosamente la Cascada de Metas de COBIT5 Las metas en cascada con sus tablas de relacin entre metas empresariales y las metas relacionadas con la TI y entre las metas relacionadas con la TI y catalizadores de COBIT 5 (incluyendo procesos) no contienen la verdad universal y los usuarios no deben intentar usarlo de una manera puramente mecnica, sino como una gua. Adaptando la Cascada de Metas de COBIT5 En otras palabras, cada empresa debe construir su propia cascada de metas, compararla con COBIT y luego refinarla. Capitulo 3: Principio 2: Cubrir la empresa de extremo a extremo COBIT5 contempla el gobierno y la gestion de las TI relacionadas desde una perspectiva extremo a extremo y para toda la empresa Esto significa: Integra el gobierno de la empresa TI se integra sin problemas en cualquier sistema de gobierno. Cubre todas las funciones y procesos necesarios para gobernar y gestionar la informacin corporativa y las tecnologas relacionadas. COBIT5 proporciona una vision integral y sistemica del gobierno y la gestion de la empresa TI. Enfoque de gobierno objetivo de gobierno -> catalizadores del gobierno <- roles, actividades y relaciones \> alcance del gobierno <|> </ Adems del objetivo de gobierno, los otros elementos principales del enfoque de gobierno incluye catalizadores, alcance y roles, actividades y relaciones. Catalizadores de Gobierno Los catalizadores de gobierno son los recursos organizativos para el gobierno, tales como marcos de referencia, principios, estructuras, procesos y prcticas, a travs de los que o hacia los que las acciones son dirigidas y los objetivos pueden ser alcanzados. Los catalizadores tambin incluyen los recursos corporativos, personas e informacin. Una falta de recursos o catalizadores puede afectar a la capacidad de la empresa de crear valor. Alcance de Gobierno El gobierno puede ser aplicado a toda la empresa, a una entidad, a un activo tangible o intangible, etc. Roles, Actividades y Relaciones Un ltimo elemento son los roles, actividades y relaciones de gobierno. Definen quin est involucrado en el gobierno, como se involucran, lo que hacen y cmo interactan, dentro del alcance de cualquier sistema de gobierno. Prop y Grupos d interes->delega->org. gobierno->estab. direccion->gestion->instr. y alinea->operaciones y ejecucion <-es responsable <-supervisa <- <- notifica <- Capitulo 4: Principio 3: Aplicar un marco de referencia unico integrado COBIT 5 es un marco de referencia nico e integrado porque: -Se alinea con otros estndares y marcos de referencia relevantes. -Es completo en cuanto a la cobertura de la empresa, proporcionando una base para integrar de manera efectiva otros marcos, estndares y prcticas utilizadas. Un marco general nico sirve como una fuente consistente e integrada de gua en un lenguaje comn, no-tcnico y tecnolgicamente agnstico. -Proporciona una arquitectura simple para estructurar los materiales de gua y producir un conjunto consistente. -Integra todo el conocimiento disperso previamente en los diferentes marcos de ISACA.
Capitulo 5: Principio 4: Hacer posible un enfoque holistico Catalizadores: Son factores que influyen sobre si algo funcionara. Son guiados por la cascada de metas, es decir objetivos de alto nivel relacionados con TI definen lo que diferentes catalizadores deberian conseguir. Catalizadores: -Principios, polticas y marcos de referencia son el vehculo para traducir el comportamiento deseado en guas prcticas para la gestin del da a da. -Los procesos describen un conjunto organizado de prcticas y actividades para alcanzar ciertos objetivos y producir un conjunto de resultados que soporten las metas generales relacionadas con TI. -Las estructuras organizativas son las entidades de toma de decisiones clave en una organizacin. -La Cultura, tica y comportamiento de los individuos y de la empresa son muy a menudo subestimados como factor de xito en las actividades de gobierno y gestin. -La informacin impregna toda la organizacin e incluye toda la informacin producida y utilizada por la empresa. La informacin es necesaria para mantener la organizacin funcionando y bien gobernada, pero a nivel operativo, la informacin es muy a menudo el producto clave de la empresa en s misma. -Los servicios, infraestructuras y aplicaciones incluyen la infraestructura, tecnologa y aplicaciones que proporcionan a la empresa, servicios y tecnologas de procesamiento de la informacin. -Las personas, habilidades y competencias estn relacionadas con las personas y son necesarias para poder completar de manera satisfactoria todas las actividades y para la correcta toma de decisiones y de acciones correctivas. Los catalizadores deben estar interconectados, es decir cada uno necesita de los demas para ser completamente efectivo. Adems cada uno produce un resultado para beneficio de otros catalizadores. Es por eso que cuando se trata de gobierno y gestion de la empresa TI, se pueden tomar buenas decisiones solo cuando se tiene en cuenta esta naturaleza sistemica del g y g. Dimensiones de los catalizadores: -Grupos de interes -Metas -Ciclo de vida -Buenas practicas Gestion del rendimiento de los catalizadores: Cuestiones a ser supervisadas: -Se consideran las necesidades de las partes interesadas? <- tratan con el resultado actual del catalizador -Se alcanzan los objetivos de los catalizadores? <- -Se gestiona el ciclo de vida? <- tratan con el resultado actual del catalizador -Se aplican las buenas practicas? <- Capitulo 6: Principio 5: Separar al gobierno de la gestion Dado el papel el gobierno (evaluar, orientar y vigilar) se requiere un conjunto de interacciones entre gobierno y gestion para obtener un sistema de gobierno eficiente y eficaz. Una empresa puede organizar sus procesos como crea conveniente, siempre y cuando las metas de gobierno y gestion queden cubiertas
COBIT5 no es prescriptivo
Seguridad de la Informacin 1. Definicin: La seguridad de la informacin es el conjunto de medidas preventivas y reactivas de las organizaciones y de los sistemas tecnolgicos que permiten resguardar y proteger la informacin buscando mantener la confidencialidad, la disponibilidad e integridad de la misma. SGSI 1. Definicin: Un Sistema de Gestin de Seguridad de la Informacin consiste en un conjunto de polticas y procedimientos que normalizan la gestin de la seguridad de la informacin, bien de toda la organizacin o bien de uno o varios procesos de negocio. ISO 27001(Anteriormente ISO 17799) 1. Definicin: Es un estndar que establece un marco de trabajo para definir, implementar, operar, monitorear, revisar, mantener y mejorar un SGSI, centrndose en la gestin de la seguridad como un proceso continuo en el tiempo. 2. Enfoque: Este estndar se basa en un enfoque por procesos, es decir la aplicacin de un sistema de procesos dentro de la organizacin, junto con la identificacin y las interacciones de stos. 3. Objetivos: Enmarcar la Seguridad dentro de la cultura y gestin de la organizacin. Garantizar la confidencialidad, disponibilidad e integracin de la informacin de la organizacin. 4. Beneficios: Se establece una metodologa de la gestin de la informacin que sea clara y eficiente. Reduce el riesgo de uso malicioso de la informacin. Los riesgos son controlados constantemente. Se garantiza el cumplimiento de las leyes en materia de gestin de la informacin. Se concientiza a la organizacin sobre la importancia de la seguridad. ISO 27002 1. Definicin: es una gua para, en distintos mbitos, conocer qu se puede hacer para mejorar la seguridad de la informacin. Expone una serie de apartados relacionados a la seguridad, adems de recomendaciones y buenas prcticas para la SI. 2. Estructura: Este estndar contiene 11 clusulas de control de seguridad conteniendo colectivamente un total de 39 categoras de seguridad principales y una clusula introductoria que presenta la evaluacin y tratamiento del riesgo. 3. Clusulas: Polticas de seguridad Organizacin de la seguridad de la informacin Gestin de archivos Seguridad ligada a los R.R.H.H Seguridad Fsica y del Entorno Gestin de comunicaciones y operaciones Control de accesos Adquisicin, desarrollo y mantenimiento de Sistemas de informacin Gestin de incidentes de seguridad de la informacin Gestin de continuidad del negocio Conformidad(se refiere a la correspondencia entre la realidad y el marco legal) Relacin entre la ISO 27001 y la 27002 La 27001 es una norma de gestin, es decir define como ejecutar un sistema, la SGSI, en cambio la 27002 es una norma que provee buenas prcticas y recomendaciones. La descripcin proporcionada por la ISO 27002, permite implementar los controles definidos en el Anexo A de la ISO 27001. Sin el marco de gestin de la ISO 27001, la ISO 27002 sera simplemente un esfuerzo aislado de unos pocos apasionados por la seguridad de la informacin, sin la aceptacin de la alta direccin y, por lo tanto, sin efectos reales sobre la organizacin. Relacin entre la serie 27000 y Cobit Los estndares ISO 27001 e ISO 27002 tienen un objetivo ms especfico que es la seguridad. Por lo que son especiales para la gestin de nivel inferior. En contraste la metodologa COBIT se dirige a las necesidades de alto nivel de la empresa, buscando mejorar la orientacin general del negocio a travs de los controles de TI y mtricas. Como tal, COBIT abastece a los de arriba. Sin embargo no tienen que competir entre s. De hecho, los tres se complementan entre s: Aunque ISO 27001 e ISO 27002 apuntan a la seguridad, COBIT acta como una especie de marco "paraguas" que ayuda a conectar a estas normas junto con otros marcos de gestin de TI. Auditora 1. Definicin: es la actividad consistente en la emisin de una opinin profesional sobre si el objeto sometido a anlisis presenta adecuadamente la realidad que pretende reflejar y/o cumple las condiciones que le han sido prescritas. 2. Elementos: Contenido: una opinin Condicin: profesional Justificacin: sustentada en determinados procedimientos Objeto: una determinada informacin obtenida en un cierto soporte Finalidad: determinar si la realidad responde a las expectativas que le son atribuidas, es decir su fiabilidad. Auditora Informtica 1. Definicin: es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema de la informacin salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organizacin y utiliza eficientemente los recursos. 2. Objeto: Sistemas Informticos 3. Finalidad: Operatividad eficiente segn normas establecidas
Procedimientos La opinin profesional se fundamenta y justifica por medio de unos procedimientos especficos que tienden a proporcionar una seguridad razonable de lo que se afirma. Para garantizar que se toman en consideracin todos los aspectos, reas, elementos, operaciones, circunstancias, etc. que sean significativas se establecen normas y procedimientos que en resumen harn que: 1. El trabajo se planificar apropiadamente y se supervisar adecuadamente. 2. Se estudiar y evaluar el sistema de control interno. 3. Se obtendr evidencia suficiente y adecuada. El auditor: Procesos: Son cualquier actividad que usa recursos y es manejada para permitir la transformacin de insumos en resultados-ya sean finales o parciales- se puede considerar un proceso Funciones: Controles: Tipos: Controles Preventivos Son aquellos que reducen la frecuencia con que ocurren las causas del riesgo, permitiendo cierto margen de violaciones . Ejemplos: Letrero "No fumar" para salvaguardar las instalaciones Sistemas de claves de acceso Controles detectivos Son aquellos que no evitan que ocurran las causas del riesgo sino que los detecta luego de ocurridos. Son los ms importantes para el auditor. En cierta forma sirven para evaluar la eficiencia de los controles preventivos. Ejemplo: Archivos y procesos que sirvan como pistas de auditora Procedimientos de validacin Controles Correctivos Ayudan a la investigacin y correccin de las causas del riesgo. La correccin adecuada puede resultar difcil e ineficiente, siendo necesaria la implantacin de controles detectivos sobre los controles correctivos, debido a que la correccin de errores es en s una actividad altamente propensa a errores. Controles generales organizativos: Polticas: Planificacin: Plan Estratgico de Informacin Plan Informtico Plan General de Seguridad Plan de Emergencia Ante Desastres Estndares: Procedimientos:
CAATS: Computer-Assisted Audit Techniques(tcnicas de auditora asistidas por computadoras) es un conjunto Las CAATS permiten: 1. Probar controles en aplicaciones 2. Seleccionar y monitorear transacciones. 3. Verificar datos. 4. Analizar programas de las aplicaciones. 5. Auditar centros de procesamiento de informacin. 6. Auditar el desarrollo de aplicaciones. Grafica RACI: Una grfica RACI identifica dada una serie de actividades y funciones, quin es Responsable (R), quin debe rendir cuentas (A), quin debe ser Consultado (C) y/o Informado (I) Normas de Auditoria ISACA: Responsabilidad y autoridad: La responsabilidad y autoridad de las funciones de auditora de sistemas de informacin deben ser correctamente documentadas en los estatutos de auditora. Independencia profesional: El auditor de sistemas debe ser independiente del auditado tanto de hecho como en apariencia. Relacin organizacional: La funcin de auditora de sistemas debe ser suficientemente independiente del rea que est siendo auditada para permitir la culminacin objetiva de la auditora. tica profesional y normas: El auditor de sistemas deber cumplir con el cdigo de tica profesional de la Asociacin. Competencia: El auditor de sistemas debe ser tcnicamente competente, teniendo las habilidades y conocimientos necesarios para llevar a cabo el trabajo de auditor. Educacin profesional continua: El auditor de sistemas deber mantener su competencia tcnica por medio de una apropiada educacin profesional continua. Planificacin: El auditor de sistemas debe planificar el trabajo de auditora para lograr los objetivos de auditora y cumplir con las normas de auditora aplicables. Desempeo del trabajo de auditora: El personal de auditora de sistemas deber ser apropiadamente supervisado para garantizar que los objetivos de la auditora sean logrados y que las normas de auditora profesional aplicables se cumplan. Evidencia: Durante el transcurso de la auditora, el auditor de sistemas deber obtener evidencia que sea suficiente fidedigna, relevante y til para lograr los objetivos de la auditora en forma efectiva. Preparacin de un informe: Al completar un trabajo de auditora, el auditor de sistemas debe presentar un informe a los destinatarios correspondientes. El informe de auditora debe establecer los objetivos, perodo de cobertura, naturaleza y alcance del trabajo de auditora llevado a cabo. Actividades para el seguimiento: El auditor de sistemas debe solicitar y evaluar la informacin apropiada sobre hallazgos relevantes que hayan tenido lugar anteriormente (conclusiones y recomendaciones) para determinar si las acciones apropiadas han sido implementadas oportunamente Los Estndares definen requisitos obligatorios para la auditora y el reporte de SI. Informan a: Los auditores de SI respecto al nivel mnimo de desempeo aceptable requerido para cumplir con las responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA. La direccin y otras partes interesadas en las expectativas de la profesin con respecto al trabajo de sus profesionales. Los poseedores de la designacin de Auditor Certificado de Sistemas de Informacin (Certified Information Systems Auditor, CISA) respecto a los requisitos que deben cumplir. El incumplimiento de estos estndares puede resultar en una investigacin de la conducta del poseedor del certificado CISA por parte de la Junta de Directores de ISACA o del comit apropiado de ISACA y, en ltima instancia, en sanciones disciplinarias. Las Directrices proporcionan asesoramiento en la aplicacin de los Estndares de Auditora de SI. El auditor de SI debe considerarlas al determinar cmo lograr la implementacin de los estndares, utilizar un buen juicio profesional en su aplicacin y estar dispuesto a justificar cualquier desviacin de las mismas. El objetivo de las Directrices de Auditora de SI es proporcionar mayor informacin con respecto a cmo cumplir con los Estndares de Auditora de SI. Los Procedimientos proporcionan ejemplos de procedimientos que podra seguir un auditor de SI en el curso de un contrato de auditora. Los documentos sobre procedimientos proporcionan informacin sobre cmo cumplir con los estndares al realizar trabajos de auditora de SI, pero no establecen los requisitos correspondientes. El objetivo de los Procedimientos de Auditora de SI es proporcionar mayor informacin con respecto a cmo cumplir con los Estndares de Auditora de SI.