ESTÁNDARES APLICABLES A LA www.ticalcanze.

tk

AUDITORIA EN SISTEMAS DE
INFORMACION
www.ticalcanze.tk

INTRODUCCIÓN

La naturaleza especial de la Auditoría de Sistemas de Información, y las capacidades

necesarias para la realización de dichas auditorías, requieren estándares de aplicación
específica a la auditoría de sistemas. Por lo mismo que la información es un activo vital
para el éxito y la continuidad en el mercado de cualquier organización.
El aseguramiento de dicha información y de los sistemas que la procesan es, por tanto, un
objetivo de primer nivel para la organización.
Para la adecuada gestión de la seguridad de la información, es necesario implantar un
sistema que aborde esta tarea de una forma metódica, documentada y basada en unos
objetivos claros de seguridad y una evaluación de los riesgos a los que está sometida la
información de la organización.

Para fines de orden mostramos los Organismos de Normalización de auditoria de sistemas

de información:

Internacionales: ISO/IEC/UIT-T
Europeos: CEN/CENELEC/ETSI
Americano: COPANT
Español: AENOR

www.ticalcanze.tk Página 1
www.ticalcanze.tk

ESTANDARES APLICABLES A LA AUDITORIA DE SISTEMAS DE INFORMACION

A continuación una serie de estándares generales que guían el desarrollo de

proyectos de SI:

A. Directrices Gerenciales de COBIT, desarrollado por la Information Systems Audit and

Control Association (ISACA):

 Las Directrices Gerenciales son un marco internacional de referencias que abordan

las mejores prácticas de auditoría y control de sistemas de información. Permiten
que la gerencia incluya, comprenda y administre los riesgos relacionados con la
tecnología de información y establezca el enlace entre los procesos de
administración, aspectos técnicos, la necesidad de controles y los riesgos
asociados.

B. The Management of the Control of data Information Technology, desarrollado por el

Instituto Canadiense de Contadores Certificados (CICA):
 Este modelo está basado en el concepto de roles y establece responsabilidades
relacionadas con seguridad y los controles correspondientes. Dichos roles están
clasificados con base en siete grupos: administración general, gerentes de
sistemas, dueños, agentes, usuarios de sistemas de información, así como
proveedores de servicios, desarrollo y operaciones de servicios y soporte de
sistemas. Además, hace distinción entre los conceptos de autoridad,
responsabilidad y responsabilidad respecto a control y riesgo previo al
establecimiento del control, en términos de objetivos, estándares y técnicas
mínimas a considerar.

C. Estándares de administración de calidad y aseguramiento de calidad ISO 9000,

desarrollados por la Organización Internacional de Estándares (ISO):

 La colección ISO 9000 es un conjunto de estándares y directrices que apoyan a las

organizaciones a implementar sistemas de calidad efectivos, para el tipo de
trabajo que ellos realizan.

D. SysTrust – Principios y criterios de confiabilidad de Sistemas, desarrollados por la

Asociación de Contadores Públicos (AICPA) y el CICA:

 Este servicio pretende incrementar la confianza de la alta gerencia, clientes y

socios, con respecto a la confiabilidad en los sistemas por una empresa o actividad
en particular. Este modelo incluye elementos como: infraestructura, software de
cualquier naturaleza, personal especializado y usuarios, procesos manuales y
automatizados, y datos. El modelo persigue determinar si un sistema de

www.ticalcanze.tk Página 2
www.ticalcanze.tk

información es confiable, (i.e. si un sistema funciona sin errores significativos, o

fallas durante un periodo de tiempo determinado bajo un ambiente dado).

E. Modelo de Evolución de Capacidades de software (CMM), desarrollado por el Instituto

de Ingeniería de Software (SEI):

 Este modelo hace posible evaluar las capacidades o habilidades para ejecutar, de
una organización, con respecto al desarrollo y mantenimiento de sistemas de
información. Consiste en 18 sectores clave, agrupados alrededor de cinco niveles
de madurez. Se puede considerar que CMM es la base de los principios de
evaluación recomendados por COBIT, así como para algunos de los procesos de
administración de COBIT.

F. Administración de sistemas de información: Una herramienta de evaluación práctica,

desarrollado por la Directiva de Recursos de Tecnología de Información (ITRB):

 Este es una herramienta de evaluación que permite a entidades gubernamentales,

comprender la implementación estratégica de tecnología de información y
comunicación electrónica que puede apoyar su misión e incrementar sus
productos y servicios.

G. Ingeniería de seguridad de sistemas – Modelo de madurez de capacidades (SSE – CMM),

desarrollado por la agencia de seguridad nacional (NSA) con el apoyo de la Universidad
de Carnegie Mellon:

 Este modelo describe las características esenciales de una arquitectura de

seguridad organizacional para tecnología de información y comunicación
electrónica, de acuerdo con las prácticas generalmente aceptadas observadas en
las organizaciones.

www.ticalcanze.tk Página 3
www.ticalcanze.tk

ESTÁNDARES ESPECIFICOS

1. ISO 27001: Esta norma contiene los requisitos del sistema de gestión de seguridad de la
información. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se
certifican por auditores externos los SGSI de las organizaciones. Enumera en forma de
resumen los objetivos de control y controles que desarrolla la ISO 27002.
Esta norma internacional (27001) especifica los requisitos para establecer, implantar,
poner en funcionamiento, controlar, revisar, mantener y mejorar un SGSI documentado
dentro del contexto global de los riesgos de negocio de la organización. Especifica los
requisitos para la implantación de los controles de seguridad hechos a medida de las
necesidades de organizaciones individuales o partes de las mismas

2. ISO 15504 (Spice): Sistema de calidad de productos software, combina ideas de CMM e
ISO 9000.

Sus derivados:
ISO 15504-2, modelo de madurez
ISO 15504-3, requisitos para evaluación de procesos
ISO 15504-6, competencia, formación, etc.

 Propósito
Evaluación del proceso de Ingeniería
Mejora de proceso de ingeniería
Determinación de capacidades (madurez)

 Dirigida a:
Adquiridores
Suministradores
Evaluadores

Permite la evaluación de procesos software en organizaciones que realicen alguna de las

actividades del ciclo de vida del software:
Adquisición
Suministro
Desarrollo
Operación
Mantenimiento
Evolución
Soporte

www.ticalcanze.tk Página 4
www.ticalcanze.tk

¿Qué ventajas aporta esta norma a las empresas de desarrollo y mantenimiento

software?

Pueden contar con una norma ISO, internacional y abierta.

Integración más fácil con otras normas ISO del sector TIC, como son: ISO 27000 de
seguridad, ISO 20000 de servicios de IT e ISO 9000.
Evalúa por niveles de madurez, la evaluación más extendida entre los modelos de
mejora.
Normalmente, tiene un menor coste de certificación que otros modelos similares.
Existen certificaciones de prestigio, como por ejemplo la otorgada por AENOR.
Facilita auto evaluación.
Toma en cuenta el contexto del proceso que se evalúa.
Entregar una nota del perfil del proceso
Se ocupa de qué tan adecuadas son las prácticas, en relación al propósito del
proceso.
Es aplicable para todos los dominios y tamaños de organizaciones.

3. ISO 12207: Este estándar "establece un marco de referencia común para los procesos del
ciclo de vida software, con una terminología bien definida, que puede ser referenciada por
la industria del software”
Tiene como objetivo principal proporcionar una estructura común para que compradores,
proveedores, desarrolladores, personal de mantenimiento, operadores, gestores y
técnicos involucrados en el desarrollo de software usen un lenguaje común. Contiene
procesos, actividades y tareas para aplicar durante la adquisición de un sistema que
contiene software, un producto software puro o un servicio software, y durante el
suministro, desarrollo, operación y mantenimiento de productos software.

4. ISO/IEC 17799 (denominada también como ISO 27002) es un estándar para la seguridad
de la información. Este estándar internacional de alto nivel para la administración de la
seguridad de la información, fue publicado por la ISO en diciembre de 2000 con el objeto
de desarrollar un marco de seguridad sobre el cual trabajen las organizaciones.

Se define como una guía en la implementación del sistema de administración de la

seguridad de la información, se orienta a preservar los siguientes principios de la seguridad
informática:

Confidencialidad. Asegurar que únicamente personal autorizado tenga acceso a la

información.

Integridad. Garantizar que la información no será alterada, eliminada o destruida por

entidades no autorizadas.

www.ticalcanze.tk Página 5
www.ticalcanze.tk

Disponibilidad. Asegurar que los usuarios autorizados tendrán acceso a la información

cuando la requieran.

TENDENCIAS DE LOS ESTÁNDARES Y DE LAS MEJORES PRÁCTICAS.

Es importante considerar la forma en que los estándares y las mejores prácticas van
evolucionando, además de conocer qué tanto ha cambiado su uso por parte de las
organizaciones.

Se ha visto que existen procesos de evolución como a continuación se menciona:

Evolución en los estándares y marcos referenciales de la madurez de procesos.

Evolución de estándares de administración de proyectos y de desarrollo de
software comercial.
Evolución de estándares de software militar.

CONCLUSIÓN

Las tendencias de estándares que van surgiendo, van paralelas con lo que ha sucedido
aceleradamente en el sector privado, esto es, dado que se han gestado numerosos
proyectos de sistemas de información que han fracasado, y la dura realidad del
incumplimiento de los mismos con las necesidades propias de los clientes y del negocio en
sí, ha habido un incremento dramático en el número de organizaciones en el sector
privado que están persiguiendo agresivamente el uso de estándares y mejores prácticas,
como su estrategia primordial de supervivencia en el mercado.

www.ticalcanze.tk Página 6