Estndares

Por qu utilizar normas?

Conformarse (Adaptarse?) a las reglas en materia de gestin del riesgo y la seguridad.
Mejor proteccin de la informacin confidencial de la empresa.
Reduccin de riesgos de ataques.
Recuperacin ms rpida y ms fcil de las operaciones despus de un ataque.
Metodologa de seguridad estructurada y reconocida internacionalmente.
Ley Sarvanes-Oxley(SOX)
1. Definicin: Es una ley de transparencia y control, emitida el 30 de julio de 2002.
2. Objetivos:
Establecer o mejorar el ambiente de control interno de las empresas pblicas
Definir y formalizar responsabilidades sobre su cumplimiento al CEO, CFO y auditores
financieros.
3. Marco de aplicacin de SOX: La Ley se aplica a todas las empresas norteamericanas y extranjeras
que cotizan en la bolsa de valores de Estados Unidos (empresas pblicas). Esto incluye a:
La Casa Matriz
Sus subsidiarias
Sus afiliadas
4. Propuestas: algunas son
Compaas cuyas acciones cotizan en bolsa. Debern establecer un comit de auditora y
proveerlo de un adecuado financiamiento.
Adems debern esperar por lo menos un ao antes de contratar a algn miembro del
equipo de auditora para un cargo ejecutivo.
Comit de auditora. Deber ser independiente de la compaa, es decir ninguno de los
miembros podr trabajar para la compaa que cotiza en Bolsa.
Ejecutivos: Estarn sujetos a sanciones penales de existir algn error material e intencional
en los Estados Financieros.
Informe COSO
1. Definicin: Se trata de un informe que establece una definicin comn del concepto de control
interno y proporcin a un estndar mediante el cual las organizaciones pueden evaluar y
mejorar sus sistemas de control.
2. Objetivos:
Unificar criterios en lo relacionado al concepto de Control Interno
Mejorar la calidad de la informacin financiera concentrndose en el manejo corporativo,
las normas ticas y el control interno.
3. Control Interno: Es un proceso que involucra a todos los integrantes de la organizacin sin
excepcin, diseado para dar un grado razonable de apoyo en cuanto a la obtencin de los
objetivos en las siguientes categoras:
Eficacia y eficiencia de las operaciones(O)
Fiabilidad de la informacin financiera (F)
Cumplimiento de las leyes y normas que son aplicables(C)
4. Componentes:
Entorno de control
Evaluacin de los riesgos
Actividades de control
Informacin y comunicacin
Supervisin
ITIL
CMMI
COBIT5
ENFOCADO EN EL NEGOCIO, ORIENTADO A PROCESO, BASADO EN CONTROLES Y DIRIGIDO POR
MEDIDAS.
Que es ISACA? Es un lder global proveedor de conocimientos, certificaciones, comunidad, promocin y
educacin sobre aseguramiento y seguridad de los SS.II, gobierno empresarial y gestin de TI y riesgos
relacionados con TI. Es una entidad independiente y sin nimos de lucro, fundada en 1969 la cual lleva a
cabo conferencias internacionales, publica el ISACA Journal y desarrolla estndares internacionales de
control y auditoria de SS.II que ayudan a sus miembros a asegurar la confianza en, y a aportar valor
desde los SS.II
La informacin es un recurso clave para cualquier empresa y desde que es creada hasta que es destruida
la tecnologa es vital.
Las tecnologas de la informacin estn avanzando cada vez ms y ms y se ha generalizado en las
empresas y en entornos sociales, pblicos y de negocios
Las empresas se esfuerzan en:
Mantener informacin de alta calidad para soportar las decisiones de negocios
Generar valor al negocio a travs de inversiones en TI
Optimizar costos en servicios y tecnologas en TI
Alcanzar la excelencia operativa mediante la aplicacin de tecnologas fiables y eficientes
Cumplir con las leyes, regulaciones, acuerdos contractuales y polticas aplicables.
Grandes empresas reconocen que las TI's son una parte importante de hacer negocios. Se debe trabajar
de tal forma que se incluya a las TI's en el enfoque del gobierno y la gestin.
COBIT5 provee de un marco de trabajo integral que ayuda a las empresas a alcanzar sus objetivos para
el gobierno y la gestin de TI corporativas.
Principios de COBIT5:
Satisfacer las necesidades de todas las partes interesadas.
Cubrir la empresa de extremo a extremo: COBIT5 no solo cubre las funciones de TI sino que
trata la informacin y tecnologas relacionadas como activos que deben ser tratados como
cualquier otro activo de la empresa.
Aplicar un marco de referencia nico integrado: COBIT5 se alinea con otros estndares y marcos
de trabajo por lo que se puede utilizar como marco principal para el gobierno y la gestin de TI.
Hacer posible un enfoque holstico: COBIT5 define catalizadores (cualquier cosa que pueda
ayudar a cumplir los objetivos de la empresa) para apoyar la implementacin de un sistema de
gobierno y gestin global de TI de la empresa. Sus catalizadores son:
Principios, Polticas y Marcos de Trabajo
Procesos
Estructuras Organizativas
Cultura, tica y Comportamiento
Informacin
Servicios, Infraestructuras y Aplicaciones
Personas, Habilidades y Competencias
Separar al Gobierno de la gestin: en COBIT5 se establece una clara diferenciacin entre
Gobierno y Gestin puesto que estas dos disciplinas engloban diferentes tipos de actividades,
requieren distintos tipos de estructuras organizativas y sirven a diferentes propsitos. En lneas
generales el gobierno se encarga de:
Que se evalen las necesidades, condiciones y opciones de las partes interesadas
Determinar que se alcanzan las metas acordadas, estableciendo la direccin a travs de
la priorizacin y la toma de decisiones, midiendo el rendimiento y el cumplimiento
respecto a la direccin y metas acordadas.
La gestin planifica, construye, ejecuta y controla actividades acordes con la direccin
establecida por el gobierno para alcanzar las metas.
En general el gobierno es responsabilidad del directorio y la gestin del CEO.
Necesidades que motivaron el desarrollo de COBIT5:
Dar voz a todas las partes interesadas sobre que esperan de la informacin y tecnologas
relacionadas.
La dependencia del xito de una empresa en compaas y grupos de TI externos.
Tratar con la constantemente creciente informacin. Qu informacin es til, cul no? Cmo
utilizarla para la toma de decisiones?
Tratar con TI muchas ms generalizadas que con el tiempo son ms y ms parte integral de la
empresa.
Proporcionar orientacin adicional en el mbito de la innovacin y las tecnologas emergentes.
Cubrir completamente las responsabilidades funcionales de TI y del negocio, y todos los
aspectos que llevan a la gestin y el gobierno eficaz de las TI de la empresa.
Adquirir mejor control sobre soluciones de TI adquiridas y controladas por los usuarios
Alcanzar por parte de la empresa:
Creacin de valor a travs del uso efectivo e innovador de la TI de la empresa
Satisfaccin del usuario de negocio con el nivel de compromiso y los servicios de las TI
Cumplimiento de las leyes, reglamentos, acuerdos contractuales y las polticas internas
relevantes
Relaciones mejoradas entre las necesidades de negocio y metas de TI
Enlazar y, cuando sea relevante, alinearse con otros marcos y estndares principales existentes
en el mercado
Capitulo 2: Principio 1: Satisfacer las necesidades de las partes interesadas
Las empresas existen para generar valor para los accionistas. Por lo tanto este ser un objetivo
de gobierno. Crear valor significa conseguir beneficios a un coste ptimo de los recursos
mientras se optimiza el riesgo.
Las empresas tienen muchas partes interesadas, y crear valor significa cosas diferentes -y a
veces contradictorias- para cada uno de ellos. Las actividades de gobierno tratan sobre negociar
y decidir entre los diferentes intereses en el valor de las partes interesadas. En consecuencia, el
sistema de gobierno debe considerar a todas las partes interesadas al tomar decisiones sobre
beneficios, evaluacin de riesgos y recursos. Para cada decisin, las siguientes preguntas pueden
y deben hacerse: Para quin son los beneficios? Quin asume el riesgo? Qu recursos se
requieren?
Cascada de metas de COBIT5:
Cada empresa existe en un contexto diferente con diferentes factores internos y externos por lo
cual necesita un sistema de gobierno y gestin personalizado.
La Cascada de metas es un mecanismo para traducir las necesidades de las partes interesadas
en metas corporativas, metas relacionadas con las TI y metas catalizadoras especficas, tiles y a
medida. Esto genera metas especficas en todos los niveles y areas de la empresa.
Paso 1.
Los motivos de las PI influyen en las necesidades de las PI
Paso 2.
Las necesidades de las PI desencadenan metas empresariales
Paso 3.
Cascada de metas de empresa a metas relacionadas con las TI
El logro de metas empresariales requiere un nmero de resultados relacionados con las
TI2, que estn representados por las metas relacionadas con la TI
Paso 4.
Cascada de metas relacionadas con las TI hacia metas catalizadoras
Alcanzar metas relacionadas con las TI requiere la aplicacin satisfactoria y el uso de
varios catalizadores.

Beneficios de la Cascada de Metas de COBIT5
La cascada de metas es importante porque permite la definicin de prioridades de
implementacin, mejora y
aseguramiento del gobierno de las TI de la empresa.
En la prctica, la cascada de metas:
-Define objetivos y metas relevantes y tangibles a varios niveles de
responsabilidad
-Filtra la base de conocimiento de COBIT 5, sobre la base de las metas
corporativas, para extraer las guas relevantes a
-incluir en proyectos especficos de implementacin, mejora o aseguramiento.
-Identifica claramente y comunica cmo (algunas veces de forma muy
operativa) los catalizadores son importantes
para alcanzar metas de la empresa.
Utilizando Cuidadosamente la Cascada de Metas de COBIT5
Las metas en cascada con sus tablas de relacin entre metas empresariales y las
metas relacionadas con la TI y entre las
metas relacionadas con la TI y catalizadores de COBIT 5 (incluyendo procesos) no
contienen la verdad universal y los
usuarios no deben intentar usarlo de una manera puramente mecnica, sino como una
gua.
Adaptando la Cascada de Metas de COBIT5
En otras palabras, cada empresa debe construir su propia cascada de metas, compararla
con COBIT y luego refinarla.
Capitulo 3: Principio 2: Cubrir la empresa de extremo a extremo
COBIT5 contempla el gobierno y la gestion de las TI relacionadas desde una perspectiva extremo
a extremo y para toda la empresa
Esto significa:
Integra el gobierno de la empresa TI se integra sin problemas en cualquier sistema de
gobierno.
Cubre todas las funciones y procesos necesarios para gobernar y gestionar la
informacin corporativa y las
tecnologas relacionadas.
COBIT5 proporciona una vision integral y sistemica del gobierno y la gestion de la empresa TI.
Enfoque de gobierno
objetivo de gobierno -> catalizadores del gobierno <- roles, actividades y relaciones
\> alcance del gobierno <|> </
Adems del objetivo de gobierno, los otros elementos principales del enfoque de
gobierno incluye catalizadores, alcance y
roles, actividades y relaciones.
Catalizadores de Gobierno
Los catalizadores de gobierno son los recursos organizativos para el gobierno, tales
como marcos de referencia, principios,
estructuras, procesos y prcticas, a travs de los que o hacia los que las acciones son
dirigidas y los objetivos pueden
ser alcanzados. Los catalizadores tambin incluyen los recursos corporativos, personas e
informacin. Una falta
de recursos o catalizadores puede afectar a la capacidad de la empresa de crear valor.
Alcance de Gobierno
El gobierno puede ser aplicado a toda la empresa, a una entidad, a un activo tangible o
intangible, etc.
Roles, Actividades y Relaciones
Un ltimo elemento son los roles, actividades y relaciones de gobierno. Definen quin
est involucrado en el gobierno,
como se involucran, lo que hacen y cmo interactan, dentro del alcance de cualquier
sistema de gobierno.
Prop y Grupos d interes->delega->org. gobierno->estab. direccion->gestion->instr. y
alinea->operaciones y ejecucion
<-es responsable <-supervisa <- <-
notifica <-
Capitulo 4: Principio 3: Aplicar un marco de referencia unico integrado
COBIT 5 es un marco de referencia nico e integrado porque:
-Se alinea con otros estndares y marcos de referencia relevantes.
-Es completo en cuanto a la cobertura de la empresa, proporcionando una base para
integrar de manera efectiva otros
marcos, estndares y prcticas utilizadas. Un marco general nico sirve como una fuente
consistente e integrada de
gua en un lenguaje comn, no-tcnico y tecnolgicamente agnstico.
-Proporciona una arquitectura simple para estructurar los materiales de gua y producir
un conjunto consistente.
-Integra todo el conocimiento disperso previamente en los diferentes marcos de ISACA.

Capitulo 5: Principio 4: Hacer posible un enfoque holistico
Catalizadores:
Son factores que influyen sobre si algo funcionara. Son guiados por la cascada de metas,
es decir objetivos de alto nivel
relacionados con TI definen lo que diferentes catalizadores deberian conseguir.
Catalizadores:
-Principios, polticas y marcos de referencia son el vehculo para traducir el
comportamiento deseado en guas
prcticas para la gestin del da a da.
-Los procesos describen un conjunto organizado de prcticas y actividades para
alcanzar ciertos objetivos y producir
un conjunto de resultados que soporten las metas generales relacionadas con TI.
-Las estructuras organizativas son las entidades de toma de decisiones clave en
una organizacin.
-La Cultura, tica y comportamiento de los individuos y de la empresa son muy a
menudo subestimados como factor
de xito en las actividades de gobierno y gestin.
-La informacin impregna toda la organizacin e incluye toda la informacin
producida y utilizada por la empresa.
La informacin es necesaria para mantener la organizacin funcionando y bien
gobernada, pero a nivel operativo, la
informacin es muy a menudo el producto clave de la empresa en s misma.
-Los servicios, infraestructuras y aplicaciones incluyen la infraestructura,
tecnologa y aplicaciones que
proporcionan a la empresa, servicios y tecnologas de procesamiento de la
informacin.
-Las personas, habilidades y competencias estn relacionadas con las personas y
son necesarias para poder completar
de manera satisfactoria todas las actividades y para la correcta toma de
decisiones y de acciones correctivas.
Los catalizadores deben estar interconectados, es decir cada uno necesita de los demas
para ser completamente efectivo.
Adems cada uno produce un resultado para beneficio de otros catalizadores.
Es por eso que cuando se trata de gobierno y gestion de la empresa TI, se pueden tomar
buenas decisiones solo cuando se
tiene en cuenta esta naturaleza sistemica del g y g.
Dimensiones de los catalizadores:
-Grupos de interes
-Metas
-Ciclo de vida
-Buenas practicas
Gestion del rendimiento de los catalizadores:
Cuestiones a ser supervisadas:
-Se consideran las necesidades de las partes interesadas? <- tratan con
el resultado actual del catalizador
-Se alcanzan los objetivos de los catalizadores? <-
-Se gestiona el ciclo de vida? <- tratan con el resultado actual del
catalizador
-Se aplican las buenas practicas? <-
Capitulo 6: Principio 5: Separar al gobierno de la gestion
Dado el papel el gobierno (evaluar, orientar y vigilar) se requiere un conjunto de interacciones
entre gobierno y gestion
para obtener un sistema de gobierno eficiente y eficaz.
Una empresa puede organizar sus procesos como crea conveniente, siempre y cuando las metas
de gobierno y gestion queden cubiertas

COBIT5 no es prescriptivo




Seguridad de la Informacin
1. Definicin: La seguridad de la informacin es el conjunto de medidas preventivas y reactivas de
las organizaciones y de los sistemas tecnolgicos que permiten resguardar y proteger la
informacin buscando mantener la confidencialidad, la disponibilidad e integridad de la misma.
SGSI
1. Definicin: Un Sistema de Gestin de Seguridad de la Informacin consiste en un conjunto de
polticas y procedimientos que normalizan la gestin de la seguridad de la informacin, bien de
toda la organizacin o bien de uno o varios procesos de negocio.
ISO 27001(Anteriormente ISO 17799)
1. Definicin: Es un estndar que establece un marco de trabajo para definir, implementar, operar,
monitorear, revisar, mantener y mejorar un SGSI, centrndose en la gestin de la seguridad
como un proceso continuo en el tiempo.
2. Enfoque: Este estndar se basa en un enfoque por procesos, es decir la aplicacin de un sistema
de procesos dentro de la organizacin, junto con la identificacin y las interacciones de stos.
3. Objetivos:
Enmarcar la Seguridad dentro de la cultura y gestin de la organizacin.
Garantizar la confidencialidad, disponibilidad e integracin de la informacin de la
organizacin.
4. Beneficios:
Se establece una metodologa de la gestin de la informacin que sea clara y eficiente.
Reduce el riesgo de uso malicioso de la informacin.
Los riesgos son controlados constantemente.
Se garantiza el cumplimiento de las leyes en materia de gestin de la informacin.
Se concientiza a la organizacin sobre la importancia de la seguridad.
ISO 27002
1. Definicin: es una gua para, en distintos mbitos, conocer qu se puede hacer para mejorar la
seguridad de la informacin. Expone una serie de apartados relacionados a la seguridad, adems
de recomendaciones y buenas prcticas para la SI.
2. Estructura: Este estndar contiene 11 clusulas de control de seguridad conteniendo
colectivamente un total de 39 categoras de seguridad principales y una clusula introductoria
que presenta la evaluacin y tratamiento del riesgo.
3. Clusulas:
Polticas de seguridad
Organizacin de la seguridad de la informacin
Gestin de archivos
Seguridad ligada a los R.R.H.H
Seguridad Fsica y del Entorno
Gestin de comunicaciones y operaciones
Control de accesos
Adquisicin, desarrollo y mantenimiento de Sistemas de informacin
Gestin de incidentes de seguridad de la informacin
Gestin de continuidad del negocio
Conformidad(se refiere a la correspondencia entre la realidad y el marco legal)
Relacin entre la ISO 27001 y la 27002
La 27001 es una norma de gestin, es decir define como ejecutar un sistema, la SGSI, en cambio la
27002 es una norma que provee buenas prcticas y recomendaciones. La descripcin proporcionada por
la ISO 27002, permite implementar los controles definidos en el Anexo A de la ISO 27001.
Sin el marco de gestin de la ISO 27001, la ISO 27002 sera simplemente un esfuerzo aislado de unos
pocos apasionados por la seguridad de la informacin, sin la aceptacin de la alta direccin y, por lo
tanto, sin efectos reales sobre la organizacin.
Relacin entre la serie 27000 y Cobit
Los estndares ISO 27001 e ISO 27002 tienen un objetivo ms especfico que es la seguridad. Por lo que
son especiales para la gestin de nivel inferior. En contraste la metodologa COBIT se dirige a las
necesidades de alto nivel de la empresa, buscando mejorar la orientacin general del negocio a travs
de los controles de TI y mtricas. Como tal, COBIT abastece a los de arriba.
Sin embargo no tienen que competir entre s. De hecho, los tres se complementan entre s: Aunque ISO
27001 e ISO 27002 apuntan a la seguridad, COBIT acta como una especie de marco "paraguas" que
ayuda a conectar a estas normas junto con otros marcos de gestin de TI.
Auditora
1. Definicin: es la actividad consistente en la emisin de una opinin profesional sobre si el objeto
sometido a anlisis presenta adecuadamente la realidad que pretende reflejar y/o cumple las
condiciones que le han sido prescritas.
2. Elementos:
Contenido: una opinin
Condicin: profesional
Justificacin: sustentada en determinados procedimientos
Objeto: una determinada informacin obtenida en un cierto soporte
Finalidad: determinar si la realidad responde a las expectativas que le son atribuidas, es decir
su fiabilidad.
Auditora Informtica
1. Definicin: es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema
de la informacin salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo
eficazmente los fines de la organizacin y utiliza eficientemente los recursos.
2. Objeto: Sistemas Informticos
3. Finalidad: Operatividad eficiente segn normas establecidas



Procedimientos
La opinin profesional se fundamenta y justifica por medio de unos procedimientos especficos que
tienden a proporcionar una seguridad razonable de lo que se afirma.
Para garantizar que se toman en consideracin todos los aspectos, reas, elementos, operaciones,
circunstancias, etc. que sean significativas se establecen normas y procedimientos que en resumen
harn que:
1. El trabajo se planificar apropiadamente y se supervisar adecuadamente.
2. Se estudiar y evaluar el sistema de control interno.
3. Se obtendr evidencia suficiente y adecuada.
El auditor:
Procesos: Son cualquier actividad que usa recursos y es manejada para permitir la transformacin de
insumos en resultados-ya sean finales o parciales- se puede considerar un proceso
Funciones:
Controles:
Tipos:
Controles Preventivos
Son aquellos que reducen la frecuencia con que ocurren las causas del riesgo, permitiendo cierto
margen de violaciones .
Ejemplos: Letrero "No fumar" para salvaguardar las instalaciones
Sistemas de claves de acceso
Controles detectivos
Son aquellos que no evitan que ocurran las causas del riesgo sino que los detecta luego de ocurridos.
Son los ms importantes para el auditor. En cierta forma sirven para evaluar la eficiencia de los controles
preventivos.
Ejemplo: Archivos y procesos que sirvan como pistas de auditora
Procedimientos de validacin
Controles Correctivos
Ayudan a la investigacin y correccin de las causas del riesgo. La correccin adecuada puede resultar
difcil e ineficiente, siendo necesaria la implantacin de controles detectivos sobre los controles
correctivos, debido a que la correccin de errores es en s una actividad altamente propensa a errores.
Controles generales organizativos:
Polticas:
Planificacin:
Plan Estratgico de Informacin
Plan Informtico
Plan General de Seguridad
Plan de Emergencia Ante Desastres
Estndares:
Procedimientos:

CAATS: Computer-Assisted Audit Techniques(tcnicas de auditora asistidas por computadoras) es un
conjunto
Las CAATS permiten:
1. Probar controles en aplicaciones
2. Seleccionar y monitorear transacciones.
3. Verificar datos.
4. Analizar programas de las aplicaciones.
5. Auditar centros de procesamiento de informacin.
6. Auditar el desarrollo de aplicaciones.
Grafica RACI: Una grfica RACI identifica dada una serie de actividades y funciones, quin es
Responsable (R), quin debe rendir cuentas (A), quin debe ser Consultado (C) y/o Informado (I)
Normas de Auditoria ISACA:
Responsabilidad y autoridad: La responsabilidad y autoridad de las funciones de auditora de sistemas
de informacin deben ser correctamente documentadas en los estatutos de auditora.
Independencia profesional: El auditor de sistemas debe ser independiente del auditado tanto de hecho
como en apariencia.
Relacin organizacional: La funcin de auditora de sistemas debe ser suficientemente independiente
del rea que est siendo auditada para permitir la culminacin objetiva de la auditora.
tica profesional y normas: El auditor de sistemas deber cumplir con el cdigo de tica profesional de
la Asociacin.
Competencia: El auditor de sistemas debe ser tcnicamente competente, teniendo las habilidades y
conocimientos necesarios para llevar a cabo el trabajo de auditor.
Educacin profesional continua: El auditor de sistemas deber mantener su competencia tcnica por
medio de una apropiada educacin profesional continua.
Planificacin: El auditor de sistemas debe planificar el trabajo de auditora para lograr los objetivos de
auditora y cumplir con las normas de auditora aplicables.
Desempeo del trabajo de auditora: El personal de auditora de sistemas deber ser apropiadamente
supervisado para garantizar que los objetivos de la auditora sean logrados y que las normas de auditora
profesional aplicables se cumplan.
Evidencia: Durante el transcurso de la auditora, el auditor de sistemas deber obtener evidencia que
sea suficiente fidedigna, relevante y til para lograr los objetivos de la auditora en forma efectiva.
Preparacin de un informe: Al completar un trabajo de auditora, el auditor de sistemas debe presentar
un informe a los destinatarios correspondientes. El informe de auditora debe establecer los objetivos,
perodo de cobertura, naturaleza y alcance del trabajo de auditora llevado a cabo.
Actividades para el seguimiento: El auditor de sistemas debe solicitar y evaluar la informacin
apropiada sobre hallazgos relevantes que hayan tenido lugar anteriormente (conclusiones y
recomendaciones) para determinar si las acciones apropiadas han sido implementadas oportunamente
Los Estndares definen requisitos obligatorios para la auditora y el reporte de SI. Informan a:
Los auditores de SI respecto al nivel mnimo de desempeo aceptable requerido para cumplir
con las responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA.
La direccin y otras partes interesadas en las expectativas de la profesin con respecto al
trabajo de sus profesionales.
Los poseedores de la designacin de Auditor Certificado de Sistemas de Informacin (Certified
Information Systems Auditor, CISA) respecto a los requisitos que deben cumplir. El
incumplimiento de estos estndares puede resultar en una investigacin de la conducta del
poseedor del certificado CISA por parte de la Junta de Directores de ISACA o del comit
apropiado de ISACA y, en ltima instancia, en sanciones disciplinarias.
Las Directrices proporcionan asesoramiento en la aplicacin de los Estndares de Auditora de SI. El
auditor de SI debe considerarlas al determinar cmo lograr la implementacin de los estndares, utilizar
un buen juicio profesional en su aplicacin y estar dispuesto a justificar cualquier desviacin de las
mismas. El objetivo de las Directrices de Auditora de SI es proporcionar mayor informacin con
respecto a cmo cumplir con los Estndares de Auditora de SI.
Los Procedimientos proporcionan ejemplos de procedimientos que podra seguir un auditor de SI en el
curso de un contrato de auditora. Los documentos sobre procedimientos proporcionan informacin
sobre cmo cumplir con los estndares al realizar trabajos de auditora de SI, pero no establecen los
requisitos correspondientes. El objetivo de los Procedimientos de Auditora de SI es proporcionar mayor
informacin con respecto a cmo cumplir con los Estndares de Auditora de SI.