UNIVERSIDAD NACIONAL DE COLOMBIA

SEDE MANIZALES

ADMINISTRACIN DE SISTEMAS INFORMTICOS

AUDITORIA DE SISTEMAS II

TRABAJO:
COMPILACIN BIBLIOGRFICA ESTNDARES Y DIRECTRICES DE
AUDITORIA

PRESENTADO POR:
MARIA ALEJANDRA HURTADO PARRA 907028

MANIZALES, OCTUBRE DEL 2010

TABLA DE CONTENIDO
INTRODUCCIN ................................................................................................ 3
HISTORIA Y EVOLUCIN ................................................................................. 4
MARCO TERICO ............................................................................................. 5
ANLISIS DE AS/NZ 4360, NIST SP800-34 Y NTC 5254 .................................. 6
AS/NZ 4360 (PRINCIPAL) ................................................................................. 6
NIST SP 800-34 ................................................................................................ 12
CICLO DE VIDA DEL SISTEMA ....................................................................... 13
NTC 5254 ......................................................................................................... 15
RESUMEN ........................................................................................................ 16
CONCLUSIONES Y OBSERVACIONES .......................................................... 18
COMPARATIVO CON COBIT........................................................................... 19
BIBLIOGRAFA ................................................................................................. 20

INTRODUCCIN
En toda organizacin existen posibles daos que pueden alterar el
funcionamiento normal de sus operaciones, la factibilidad de estos daos se
mide a travs del riesgo. Para contextualizar la temtica a desarrollar, primero
se va a dar una breve introduccin al tema de gestin del riesgo y algunos
trminos importantes.
Cuando se usa la expresin riesgo, se quiere tratar sobre la vulnerabilidad de
un bien ante un potencial perjuicio o dao, este bien puede ser fsico o
intangible, tomando como ejemplo de un bien fsico, a un edificio o equipos de
cmputo y como bien intangible, la informacin importante, tal como cifras
financieras. Es importante diferenciar el riesgo del peligro, el riesgo es la
probabilidad de que ocurra un dao, en cambio, el peligro, es la probabilidad de
que ocurra un suceso que conlleve a un dao. Continuando con el riesgo,
existen varios tipos: Riesgo laboral, geolgico, financiero, y biolgico. Ahora,
teniendo claros estos conceptos, es necesario saber que han existido distintas
organizaciones y trabajos encargados de promover normas y estndares para
el manejo del riesgo (tales como INCONTEC, ANSI, ISO, COBIT, ITIL, entre
otras), que permiten las empresas adaptar estos modelos para su
funcionamiento y mejorar de procesos. A continuacin se mostrara un anlisis
de algunos de estos estndares y normas. Tomando el contexto internacional y
nacional.

HISTORIA Y EVOLUCIN

Como parte de los trabajos iniciales y ms importantes sobre gestin del

riesgo, se crea a finales de los 90s, el estndar australiano as/nz 4360, el cual
permita el establecimiento e implementacin del proceso de administracin de
riesgos involucrando el establecimiento del contexto y la identificacin, anlisis,
evaluacin, tratamiento, comunicacin y el monitoreo en curso de los riesgos.
En un contexto ms cercano, en el 2002 surge las norma NIST sp 800-34,
como producto del trabajo entre el laboratorio de tecnologas de informacin y
el instituto nacional de estndares y tecnologa, ambos de Estados Unidos,
esta norma proporciona instrucciones, recomendaciones y consideraciones
para el gobierno de TI, permitiendo implementar medidas cautelares para
recuperar los servicios de TI, despus de una emergencia o interrupcin del
funcionamiento de los sistemas. En el 2004 y adaptndose en nuestro contexto
nacional surge la Norma Tcnica Colombiana 5264, la cual acoge la gran
mayora de trminos enmarcados en la as/nz 4360 y acentundolos en el
contexto Colombiano.

MARCO TERICO

Riesgo
Es la probabilidad de que una amenaza se convierta en un desastre. La
vulnerabilidad o las amenazas, por separado, no representan un peligro. Pero
si se juntan, se convierten en un riesgo, o sea, en la probabilidad de que ocurra
un desastre. Sin embargo los riesgos pueden reducirse o manejarse. Si somos
cuidadosos en nuestra relacin con el ambiente, y si estamos conscientes de
nuestras debilidades y vulnerabilidades frente a las amenazas existentes,
podemos tomar medidas para asegurarnos de que las amenazas no se
conviertan en desastres.

Gestin del Riesgo

La gestin del riesgo no solo nos permite prevenir desastres. Tambin nos
ayuda a practicar lo que se conoce como desarrollo sostenible. El desarrollo es
sostenible cuando la gente puede vivir bien, con salud y felicidad, sin daar el
ambiente o a otras personas a largo plazo. Por ejemplo, se puede ganar la
vida por un tiempo cortando rboles y vendiendo la madera, pero si no se
siembran ms rboles de los que se corta, pronto ya no habr rboles y el
sustento se habr acabado. Entonces no es sostenible.
Cuando no se implementa un plan de riesgos, la organizacin carece de un
soporte para el contexto estratgico de la organizacin, para sus metas,
objetivos y la naturaleza de su negocio, no se asegurara el correcto
funcionamiento en todos los niveles de la organizacin.

ANLISIS DE AS/NZ 4360, NIST SP800-34 Y NTC 5254

AS/NZ 4360 (PRINCIPAL)

Sin duda es el elemento inicializador y uno de los ms completos que trata
sobre la gestin del riesgo, en su operacin utiliza trminos importantes los
cuales son tambin utilizados en sus derivadas que se explicaran despus.
rbol de eventos: Una tcnica que describe el rango y secuencia posibles de
los productos que podran surgir de un evento iniciado.
rbol de fallas: Un mtodo de ingeniera de sistemas para representar las
combinaciones lgicas de varios estados del sistema y causas posibles que
pueden contribuir a un evento especificado (denominado evento superior o top
event).
Anlisis de riesgo: Un uso sistemtico de la informacin disponible para
determinar cuan frecuentemente pueden ocurrir eventos especificados y la
magnitud de sus consecuencias.
Anlisis de sensibilidad: Examina cmo varan los resultados de un clculo o
modelo a medida que se cambian los supuestos o hiptesis individuales.
Consecuencia: El producto de un
evento expresado cualitativa o
cuantitativamente, sea este una prdida, perjuicio, desventaja o ganancia.
Podra haber un rango de productos posibles asociados a un evento.
Control de riesgos: La parte de administracin de riesgos que involucra la
implementacin de polticas, estndares, procedimientos y cambios fsicos para
eliminar o minimizar los riesgos adversos.
Costo: De las actividades, tanto directas como indirectas, involucrando
cualquier impacto negativo, incluyendo prdidas de dinero, de tiempo, de
mano de obra, interrupciones, problemas de relaciones, polticas e intangibles.
Evaluacin de riesgo: El proceso global de anlisis de riesgo y evaluacin de
riesgo, es utilizado para determinar las prioridades de administracin de riesgos
comparando el nivel de riesgo respecto de estndares predeterminados,
niveles de riesgo objetivos u otro criterio.
Evento: Un incidente o situacin, que ocurre en un lugar particular durante un
intervalo de tiempo particular.
Frecuencia: Una medida del coeficiente de ocurrencia de un evento expresado
como la cantidad de ocurrencias de un evento en un tiempo dado.

Monitoreo: Comprobar, supervisar, observar crticamente, o registrar el

progreso de una actividad, accin o sistema en forma sistemtica para
identificar cambios.
Prdida: Cualquier consecuencia negativa, financiera o de otro tipo.
Probabilidad: La probabilidad de un evento especfico o resultado, medido por
el coeficiente de eventos o resultados especficos en relacin a la cantidad total
de posibles eventos o resultados. La probabilidad se expresa como un nmero
entre 0 y 1, donde 0 indica un evento o resultado imposible y 1 indica un evento
o resultado cierto.
Riesgo residual: El nivel restante de riesgo luego de tomar medidas de
tratamiento del riesgo.
Riesgo: La posibilidad de que suceda algo que tendr un impacto sobre los
objetivos. Se lo mide en trminos de consecuencias y probabilidades.
Tratamiento de riesgos: Seleccin e implementacin de opciones apropiadas
para tratar el riesgo.

La operacin de la gestin de riesgos en esta norma se basa en las actividades

de: establecimiento de propsitos, polticas de administracin de riesgos,
planeamiento y recursos, programa de implementacin, revisin general.
Los elementos principales de la administracin de riesgos son:
1. Comunicar y consultar: Comunicar y consultar con interesados
internos y externos segn corresponda en cada etapa del proceso de
administracin de riesgos y concerniendo al proceso como un todo.
2. Establecer el contexto: Establecer el contexto estratgico,
organizacional y de administracin de riesgos en el cual tendr lugar el
resto del proceso. Deberan establecerse criterios contra los cuales se
evaluarn los riesgos y definirse la estructura del anlisis.
3. Identificar riesgos: Identificar qu, por qu y cmo pueden surgir las
cosas como base para anlisis posterior.
4. Analizar riesgos: Determinar los controles existentes y analizar riesgos
en trminos de consecuencias y probabilidades en el contexto de esos
controles. El anlisis debera considerar el rango de consecuencias
potenciales y cun probable es que ocurran esas consecuencias.
Consecuencias y probabilidades pueden ser combinadas para producir
un nivel estimado de riesgo.
5. Evaluar riesgos: Comparar niveles estimados de riesgos contra los
criterios preestablecidos.Esto posibilita que los riesgos sean ordenados
como para identificar las prioridades de administracin. Si los niveles de
riesgo establecidos son bajos, los riesgos podran caer en una categora
aceptable y no se requerira un tratamiento.

6. Tratar riesgos: Aceptar y monitorear los riesgos de baja prioridad. Para

otros riesgos, desarrollar e implementar un plan de administracin
especfico que incluya consideraciones de fondeo.
7. Monitorear y revisar: Monitorear y revisar el desempeo del sistema de
administracin de riesgos y los cambios que podran afectarlo.
La administracin de riesgos se puede aplicar en una organizacin a
muchos niveles. Se lo puede aplicar a nivel estratgico y a niveles
operativos. Se lo puede aplicar a proyectos especficos, para asistir con
decisiones especficas o para administrar reas especficas reconocidas
de riesgo.

Ejemplo de calificacin de riesgos segn impacto:

Medidas de calificacin de la probabilidad de ocurrencia de un riesgo

Matriz de anlisis de riesgo

R1

R2

IMPACTO

R4

R3

R6

R5

PROBABILIDAD
Se puede evaluar el riesgo a travs de una matriz como la anterior, en este
caso entre el rojo significa el color donde se encuentran los riesgos que pueden
causar ms dao a la organizacin y el verde los riesgos que presentan menos
daos.

Acciones para el control de riesgos

Se pueden enfocar para controlar la probabilidad o el impacto, algunas pueden
incluir procesos as:
Reduccin de probabilidad
Programas de auditoria y cumplimiento
condiciones contractuales
revisiones formales de requerimientos, especificaciones, diseo,
ingeniera y operaciones
inspecciones y controles de procesos
administracin de inversiones y cartera
administracin de proyectos
mantenimiento preventivo
aseguramiento de calidad, administracin y estndares
investigacin y desarrollo, desarrollo tecnolgico
capacitacin estructurada y otros programas
supervisin
comprobaciones
acuerdos organizacionales
controles tcnicos
Reduccin de impacto

planeamiento de contingencia
arreglos contractuales
condiciones contractuales
caractersticas de diseo
planes de recupero de desastres
barreras de ingeniera y estructurales
planeamiento de control de fraudes
minimizar la exposicin a fuentes de riesgo
planeamiento de cartera
poltica y controles de precios
separacin o reubicacin de una actividad y recursos
relaciones pblicas

10

Ejemplo de formato de registro de riesgos

Ejemplo de formato de tratamiento de riesgos

Formato plan de accin de riesgos

11

NIST SP 800-34
La publicacin especial 800-34 del NIST, Planes de Contingencia Gua de
Ayuda para los Sistemas de Informacin, proporciona las instrucciones,
recomendaciones y consideraciones para la planificacin de contingencia de la
informacin del sistema. La planificacin de contingencia se refiere a las
medidas cautelares para recuperar los servicios de informacin del sistema
despus de una interrupcin. Las medidas provisionales pueden incluir la
reubicacin de los sistemas de informacin y operaciones a un lugar
alternativo, la recuperacin de las funciones de sistema de informacin
utilizando un equipo alternativo, o el desempeo de las funciones de sistema
de informacin utilizando mtodos manuales. Tambin da las recomendaciones
especficas de planificacin de contingencia para tres tipos de plataforma y
proporciona estrategias y tcnicas comunes a todos los sistemas.
Los sistemas cliente / servidor;
Sistemas de telecomunicaciones, y
Sistemas mainframe.(Unidad Central)

Se define la contingencia siguiendo siete pasos del proceso de planificacin

que una organizacin puede aplicar para desarrollar y mantener un programa
de planificacin de contingencia viable para sus sistemas de informacin. Estos
siete pasos progresivos estn diseados para ser integrados en cada etapa del
ciclo de vida del sistema de desarrollo.

1.

Desarrollar
la
declaracin
poltica
de
planificacin
de
contingencia: Una poltica formal proporciona la autoridad y la
orientacin necesaria para desarrollar un plan de contingencia efectivo.

2.

Llevar a cabo el negocio de anlisis de impacto (BIA business

impact analysis): La BIA ayuda a identificar y dar prioridad a los
sistemas de informacin y los componentes fundamentales para apoyar
la misin de la organizacin y funciones de negocios. Una plantilla para el
desarrollo de la BIA se proporciona para ayudar al usuario.

3.

Identificar los controles preventivos: Las medidas adoptadas para

reducir los efectos de las interrupciones del sistema puede aumentar la
disponibilidad del sistema y reducir los costos de ciclo de vida de
contingencia.

4.

Crear estrategias de contingencia: A fondo las estrategias de

recuperacin debe garantizar que el sistema se puede recuperar con
rapidez y eficacia despus de una interrupcin.

5.

Desarrollar un sistema de informacin del plan de contingencia. El

plan de contingencia debe contener orientaciones y procedimientos
detallados para la restauracin de un sistema daado a nivel del sistema
de seguridad de impacto y los requisitos de recuperacin.
12

6.

Asegrese de probar el plan y generar la formacin

correspondiente: Se deben generar pruebas a las capacidades de
recuperacin, mientras que la formacin prepara al personal para la
activacin del plan de recuperacin

7.

Asegurar el mantenimiento del plan: El plan debe ser un documento

vivo que se actualiza peridicamente para mantenerse al da con mejoras
en
el
sistema
y
los
cambios
organizativos.

CICLO DE VIDA DEL SISTEMA

El desarrollo del ciclo de vida del sistema (SDLC) se refiere a todo el mbito de
las actividades realizadas por los dueos de la informacin del sistema
asociado con un sistema durante su vida til. El ciclo de vida, muestra en la
Figura, comienza con la iniciacin y termina con la disposicin. Aunque la
planificacin de contingencia se asocia con las actividades que ocurren en su
mayora en la Fase de Operacin / mantenimiento, la identificacin y la
integracin de las estrategias de contingencia y continuidad en todas las fases
del ciclo de vida de la informacin del sistema permiten al propietario para
construir capas de proteccin contra riesgos y facilitar la aplicacin de
estrategias de recuperacin temprana y efectiva en en el desarrollo del
sistema. Este enfoque reduce los costos generales de la planificacin de
contingencia, mejora la capacidad de contingencia, y reduce los impactos de
las operaciones del sistema cuando el plan de contingencia se aplica. Esta
seccin presenta las formas ms comunes en los que las estrategias de
contingencia pueden ser incorporados en todo el SDLC.

13

Iniciacin
Los requisitos de planificacin de contingencia debe ser considerado cuando
un nuevo sistema de informacin se concibe. Durante el inicio, a principios de
consideraciones de planificacin de contingencia puede ponerse de manifiesto
como los requisitos de informacin del sistema se identifican y que
corresponden a sus funciones operativas relacionadas, una evaluacin del
riesgo se lleva a cabo para entender lo que el sistema tendr la proteccin en
contra, y los objetivos de la confidencialidad, integridad y disponibilidad de
est. Requisitos de informacin de alta disponibilidad del sistema puede indicar
que la duplicacin redundante, en tiempo real en un sitio alternativo y
capacidades de conmutacin por error debe ser incorporado en el diseo del
sistema. Del mismo modo, si el sistema est pensado como una aplicacin
virtual, el diseo puede necesitar incluir caractersticas adicionales, tales como
unidades de capacidad de auto-sanacin o de diagnstico.
Adquisicin y Desarrollo
Como conceptos iniciales evolucionan en el desarrollo de sistemas de
informacin, soluciones especficas de contingencia se puede determinar. Al
igual que en la fase de iniciacin, las consideraciones tcnicas de planificacin
de contingencia en esta fase debe reflejar el sistema y los requisitos
operacionales. El diseo debe incorporar la redundancia y robustez
directamente en la arquitectura del sistema para optimizar la fiabilidad,
mantenibilidad y disponibilidad durante la fase de operacin y mantenimiento
.
Implementacin / Evaluacin
La estrategia de recuperacin seleccionado ya est documentada en el sector
formal del Sistema de Informacin Plan de Contingencia en coordinacin con el
Sistema de Prueba y Evaluacin (ST & E) de esfuerzo. A medida que el
sistema experimenta una prueba inicial, las estrategias de contingencia
tambin debe ser ejercida para resolver cualquier problema con los
procedimientos. Resultados del ejercicio puede inducir modificaciones en los
procedimientos de recuperacin y el plan de contingencia.
Operaciones / Mantenimiento
Cuando el sistema de informacin est en funcionamiento, los usuarios,
administradores y gerentes deben mantener una prueba, capacitacin y
programa de ejercicios que valida continuamente los procedimientos de
contingencia y plan de estrategia de recuperacin tcnica. Ejercicios y pruebas
deben llevarse a cabo de forma programada para garantizar que los
procedimientos siguen siendo eficaces. Copias de seguridad completas e
incrementales debe ser evaluada a cabo, almacenados fuera del sitio, rotar, y
validada peridicamente. El plan de contingencia debe ser actualizado para
reflejar los cambios en los procedimientos sobre la base de las lecciones
aprendidas de las pruebas, ejercicios y reales interrupciones. Cuando el
sistema de informacin se somete a mejoras o modificaciones, tales como
cambios en las interfaces externas, estas modificaciones deben reflejarse en el
14

plan de contingencia. Coordinar y documentar los cambios en el plan se debe

realizar de manera oportuna para mantener un plan eficaz.
Eliminacin
Las consideraciones de contingencia no deben descuidarse, ya que un sistema
de informacin puede estar muy viejo y otro sistema lo reemplazara. Hasta que
el nuevo sistema est en funcionamiento y en proceso de prueba (incluyendo
sus capacidades de contingencia), ISCP el sistema original se debe mantener
en un estado listo para su implementacin. Como los sistemas de legado se
sustituyen, pueden proporcionar una valiosa capacidad como un sistema
redundante en caso de prdida o fracaso del nuevo sistema de informacin. En
algunos casos, las piezas del equipo (por ejemplo, discos duros, fuentes de
alimentacin, chips de memoria, o tarjetas de red) de hardware que ha sido
reemplazado pueden utilizarse como piezas de repuesto para los equipos
operativos nuevos. Adems, los sistemas de legado de la informacin se puede
utilizar como sistemas de pruebas para nuevas aplicaciones, permitiendo que
los defectos del sistema potencialmente perjudicial pueda ser identificado y
corregido en un entorno no productivo.
NTC 5254
La administracin de Riesgos es una parte fundamental de la Gobernabilidad
corporativa que busca contribuir eficientemente en la identificacin, anlisis,
tratamiento, comunicacin y monitoreo de los riesgos del negocio. La norma
tcnica Colombiana de gestin del riesgo 5254 es una traduccin idntica de la
norma tcnica Australiana AS/NZ 4360:2004 de amplia aceptacin y
reconocimiento a nivel mundial para la gestin de riesgos independiente de la
industria o el negocio que desee emplearla. All tambin est consignada una
vital recomendacin a los administradores de negocios: La Gestin de riesgos
debe formar parte de la cultura organizacionalquienes gestionan el riesgo de
forma eficaz y eficiente tienen ms probabilidad de alcanzar sus objetivos y
hacerlo a menor costo.
Este Estndar provee una gua genrica para el establecimiento e
implementacin el proceso de administracin de riesgos involucrando el
establecimiento del contexto y la identificacin, anlisis, evaluacin,
tratamiento, comunicacin y el monitoreo en curso de los riesgos.
Objeto
Esta norma tiene como objeto proporcionar una gua para permitir a cualquier
empresa el logro de:

Mejor identificacin de oportunidades y amenazas

Tener una base rigurosa para la toma de decisiones y la planificacin
Gestin proactiva y no reactiva
Mejorar la conformidad con la legislacin pertinente
Mejorar la gestin de incidentes y la reduccin de las prdidas y el costo
del ries

15

RESUMEN
AS/NZ 4360
La gestin de riesgos tiene la finalidad de buscar el equilibrio apropiado entre el
reconocimiento de oportunidades de obtener ganancias y la reduccin de las
prdidas. Es parte integrante de las buenas prcticas de gestin y tambin es
un elemento esencial para el buen gobierno corporativo. La norma AS/NZS
4360 suministra orientaciones genricas para la gestin de riesgos. Puede
aplicarse a una gran variedad de actividades, decisiones u operaciones de
cualquier entidad pblica, privada o comunitaria, grupos o individuos. Se trata
de una instruccin amplia pero que permite la definicin de objetivos
especficos de acuerdo con las necesidades de cada implementacin.

Beneficios
Los principales beneficios de la AS/NZS 4360 para la empresa:
Estandarizacin de la prctica de gestin de riesgos entre las diversas reas
de la empresa.
Implantacin de mecanismos de evaluacin de riesgos y revisin de procesos.
Implantacin de mecanismos de control y tratamiento.
Reduccin de riesgos para los procesos corporativos.
Reduccin de costos provenientes de los riesgos.
Adems de estos beneficios, la aplicacin de la norma AS/NZS 4360 le
garantiza a la organizacin una base slida para la aplicacin de cualquier otra
norma o metodologa de gestin de riesgos especfica para un determinado
segmento

NIST SP 800-34
Esta gua presenta tres formatos de ejemplo para el desarrollo de un sistema
de informacin del plan de contingencia sobre la base de bajo, moderado o alto
nivel de impacto, como se define en Federal Information Processing Standard
(FIPS) 199, Normas para la Clasificacin de Seguridad Federal de la
Informacin y Sistemas de Informacin. Cada formato se definen tres fases que
rigen las acciones que deben tomarse despus de una interrupcin del
sistema. La activacin / Fase Notificacin describe el proceso de activacin del
plan en base a los impactos y la interrupcin de la notificacin personal de
recuperacin. Los detalles de la fase de recuperacin de un curso de accin
sugerida para los equipos de recuperacin para las operaciones de
restauracin del sistema en un sitio alternativo o el uso de las capacidades de
contingencia.
La fase final,

La reconstitucin, se incluyen actividades para probar y validar la capacidad y

16

funcionalidad del sistema y describe las acciones que se pueden tomar para
devolver el sistema a condiciones normales de funcionamiento y preparar el
sistema contra apagones en el futuro.
Esta norma utilizar varios de los parmetros y actividades mencionados(as) en
la as/nz 4360, por lo cual no se mencionaran ac. Adems maneja los
siguientes procesos: Manejo de antecedentes, plan de contingencia, gestin
del riesgo, tipo de plan (continuidad, recuperacin, soporte, comunicacin y
recuperacin de desastres).
Adems incorpora fases as:

inicial (requerimientos y objetivos)

desarrollo (conceptos y diseo)
implementacin (pruebas iniciales)
mantenimiento (usado por las dependencias)

NTC 5254
La administracin de Riesgos es una parte fundamental de la Gobernabilidad
corporativa que busca contribuir eficientemente en la identificacin, anlisis,
tratamiento, comunicacin y monitoreo de los riesgos del negocio. La Gestin
de riesgos debe formar parte de la cultura organizacionalquienes gestionan
el riesgo de forma eficaz y eficiente tienen ms probabilidad de alcanzar sus
objetivos y hacerlo a menor costo.
Elementos que conforman el proceso de gestin del riesgo
1.
2.
3.
4.
5.
6.
7.

Comunicacin y consulta
Establecer el contexto
Identificar riesgos
Analizar riesgos
Evaluar riesgos
Tratar los riesgos
Monitoreo y revisin

17

CONCLUSIONES Y OBSERVACIONES
El correcto manejo de las posibles situaciones de peligro dentro de una
organizacin, significa estar preparado para posibles problemas y as
evitar la una posible extincin de la organizacin.
La organizacin no es un ente cerrado, por el contrario en el entorno
hay muchos factores que podran determinar un posible cambio en las
formas de operar de la organizacin, los cuales tienen propiedades de
probabilidad e impacto.
En la organizacin deben existir procesos de formacin que permitan a
los integrantes poder afrontar situaciones de riesgo y aplicar medidas de
control.
La organizacin debe considerar mecanismos que permitan
peridicamente evaluar las distintas dependencias de la organizacin y
determinar posibles situaciones posibles de riesgo.
Deben existir reglas que permitan la operacin para la solucin de
problemas (plan de contingencia).

18

COMPARATIVO CON COBIT

Al igual que la normativa y estndares expuestos anteriormente COBIT

implementa unos objetivos de control, los que permiten darle al departamento
de TI un valor importante, COBIT determina, con el respaldo de las principales
normas tcnicas internacionales, un conjunto de mejores prcticas para la
seguridad, la calidad, la eficacia y la eficiencia en TI que son necesarias para
alinear TI con el negocio, identificar riesgos, entregar valor al negocio,
gestionar recursos y medir el desempeo, el cumplimiento de metas y el nivel
de madurez de los procesos de la organizacin.
Para obtener ms informacin acerca de Cobit, se puede consultar el link
correspondiente
en
la
bibliografa.

19

BIBLIOGRAFA
http://www.softexpert.es/norma-asnzs.php
Estndar Australiano as/nz 4360
http://csrc.nist.gov/publications/PubsSPs.htmlNIST sp800-34 - Gua para
planes de contingencia en el departamento de TI. (ingles).
http://es.wikipedia.org/wiki/Riesgo
Riesgo y sus propiedades
http://es.wikipedia.org/wiki/Instituto_Nacional_de_Est%C3%A1ndares_y_
Tecnolog%C3%ADa
NIST
http://www.isaca.org/cobit
Sitio web COBIT

20