Gobierno Corporativo

Es la distribución de derechos y responsabilidades entre los diferentes

participantes en la corporación, tales como la Junta, los gerentes, los accionistas
y otras partes interesadas.

Explica las reglas y procedimientos para tomar decisiones sobre los asuntos
corporativos. Provee también la estructura a través de la cual se fijan los objetivos
de la compañía y los medios para lograr dichos objetivos y monitorear el
desempeño.

Gobierno de TI
El gobierno ayuda a asegurar el alineamiento de TI con los objetivos de la
organización.

El gobierno de TI es un término incluyente que abarca sistemas de información,

tecnología y comunicación; negocios, aspectos legales y todas las partes
interesadas como los directores, la alta gerencia, los propietarios de los procesos,
los proveedores de TI, los usuarios y los auditores.

La tecnología de información, es considerada como parte integral de esa

estrategia.

Cumplimiento legal y normativo

ISACA (Information Systems Audit and Control Association)
Asociación internacional que apoya y patrocina el desarrollo de metodologías y
certificaciones para la realización de actividades auditoría y control en sistemas
de información.
Certificaciones:

CISA - Certified Information Systems Auditor, certificación de auditores de

sistemas de información.
CISM - Certified Information Security Manager, certificación de gestores de
seguridad.
CGEIT - Certified in the Governance of Enterprise IT, certificación de gestores de
la gobernanza empresarial TI.
CRISC - Certified in Risk and Information Systems Control, certificación de gestores
de control de riesgos en sistemas de información.

COBIT (Control Objectives for Information and related Technology)

Es un marco de gobierno de las tecnologías de información que proporciona
una serie de herramientas para que la gerencia pueda conectar los
requerimientos de control con los aspectos técnicos y los riesgos del negocio
COBIT permite el desarrollo de las políticas y buenas prácticas para el control
de las tecnologías en toda la organización.

ISO 27000 es un conjunto de estándares internacionales sobre la Seguridad de

la Información. La familia ISO 27000 contiene un conjunto de buenas prácticas
para el establecimiento, implementación, mantenimiento y mejora de Sistemas
de Gestión de la Seguridad de la Información.
Un Sistema de Gestión de la Seguridad de la Información es un conjunto de
políticas y procedimientos que sirven para estandarizar la gestión de la Seguridad
de la Información. A continuación les dejamos algunos detalles de cada uno de
los estándares que están incluidos en la familia de ISO 27000.

 ISO 27000: contiene el vocabulario en el que se apoyan el resto de normas.

Es similar a una guía/diccionario que describe los términos de todas las
normas de la familia.
 ISO 27001: es el conjunto de requisitos para implementar un SGSI. Es la
única norma certificable de las que se incluyen en la lista y consta de una
parte principal basada en el ciclo de mejora continua y un Anexo A, en el
que se detallan las líneas generales de los controles propuestos por el
estándar.
 ISO 27002: se trata de una recopilación de buenas prácticas para la
Seguridad de la Información que describe los controles y objetivos de
control. Actualmente cuentan con 14 dominios, 35 objetivos de control y
114 controles.
 ISO 27003: es una guía de ayuda en la implementación de un SGSI. Sirve
como apoyo a la norma 27001, indicando las directivas generales
necesarias para la correcta implementación de un SGSI. Incluye
instrucciones sobre cómo lograr la implementación de un SGSI con éxito.
 ISO 27004: describe una serie de recomendaciones sobre cómo realizar
mediciones para la gestión de la Seguridad de la Información. Especifica
cómo configurar métricas, qué medir, con qué frecuencia, cómo medirlo
y la forma de conseguir objetivos.
 ISO 27005: es una guía de recomendaciones sobre cómo abordar la
gestión de riesgos de seguridad de la información que puedan
comprometer a las organizaciones. No especifica ninguna metodología
de análisis y gestión de riesgos concreta, pero incluye ejemplos de posibles
amenazas, vulnerabilidades e impactos.
 ISO 27006: es un conjunto de requisitos de acreditación para las
organizaciones certificadoras.
 ISO 27007: es una guía para auditar SGSIs. Establece qué auditar y cuando,
cómo asignar los auditores adecuados, la planificación y ejecución de la
auditoría, las actividades claves, etc.

Cumplimiento legal y normativo

SOX
Abarca temas como el buen gobierno corporativo, la responsabilidad de los
administradores, la transparencia, y otras importantes limitaciones al trabajo de
los auditores.

COSO
Proporciona un marco de referencia aplicable a cualquier organización,
contiene las principales directivas para la implantación, gestión y control de un
sistema de control.

HIPPA
Ley de Responsabilidad y Transferibilidad de Seguros Médicos. Protege la
cobertura del seguro médico para los trabajadores y sus familias. La Ley
contempla principalmente la protección de la cobertura del seguro médico
cuando una persona cambia o pierde su trabajo.

ITIL (Biblioteca de Infraestructura de Tecnologías de Información)

Conjunto de conceptos y buenas prácticas usadas para la gestión de servicios
de tecnologías de la información, el desarrollo de tecnologías de la información
y las operaciones relacionadas con la misma en general, servir como guía que
abarca toda infraestructura, desarrollo y operaciones de TI.
PCI-DSS (Payment Card Industry – Data Security Standard)
Es un estándar de seguridad que define el conjunto de requerimientos para
gestionar la seguridad, definir políticas y procedimientos de seguridad,
arquitectura de red, diseño de software y todo tipo de medidas de protección
que intervienen en el tratamiento, procesado o almacenamiento de información
de tarjetas de crédito. Su finalidad, la reducción del fraude relacionado con las
tarjetas de pago e incrementar la seguridad de estos datos.

Conceptos de auditoría
Auditoria
Proceso sistemático independiente y documentado para obtener evidencia y
evaluarla de manera objetiva, con el fin de determinar si se cumplen los criterios
a revisar.
Criterios de auditoría
Grupo de políticas, procedimientos o requisitos usados como referencia y contra
los cuales se compara la evidencia de auditoría.
Evidencia de la auditoría
Registros, declaraciones de hechos o cualquier otra información que son
pertinentes para los criterios de auditoría y que son verificables (competente y
suficiente).
Hallazgos de la auditoría
Resultados de la evaluación de la evidencia de la auditoría recopilada frente a
los criterios de auditoría.
La auditoría interna es un sistema de control interno de la empresa y consiste en
el conjunto de medidas, políticas y procedimientos establecidos en una
organización, para proteger su activo, minimizar riesgos, incrementar la eficacia
de los procesos operativos y optimizar y rentabilizar, en definitiva, el negocio.
La auditoría externa realiza un análisis y control exhaustivos, la cual es totalmente
ajena a la actividad de la empresa, con el objetivo de emitir una opinión
imparcial e independiente sobre el sistema de operación de la empresa y su
control interno.

Herramientas para la evaluación de vulnerabilidades

Se pueden utilizar diversas herramientas para conocer la situación real de las TI y
mejorar su seguridad.
La revisión analiza y evalúa:
•Parches del SO
•Seguridad del sistema de archivos
•Cuentas de usuarios
•Servicios y aplicaciones instaladas
•Protocolos y servicios de red
•Control de accesos a los recursos
•Registro y auditoría de eventos

Existen distintos estándares para asegurar la calidad de los trabajos realizados y

su evaluación por parte de terceros:
Open Source Security Testing Methodology, del ISECOM (Institute for Security and
Open Methodologies), que es un manual con una serie de secciones
compuestas por módulos que incluye las distintas pruebas que se podrían realizar
en una auditoría de seguridad.
OWASP Open Web Aplication Security Project
Evalúa la seguridad en aplicaciones web
Guideline on Network Security Testing, definida en el estándar NIST SP 800-42
El estándar CVE Common Vulnerabilities and Exposures, vulnerabilidades y
exposiciones comunes, identifica distintas vulnerabilidades, asigna un
identificador único a cada vulnerabilidad publicada facilitando su seguimiento
y control.
El Proceso de Auditoría de TI
1.Desarrollar e implementar una estrategia de auditoría de TI, basada en riesgos
de la Organización en cumplimiento con estándares y mejores prácticas de
Auditoría de TI.
2.Planear Auditorías específicas para validar que la TI y los sistemas de negocio
estén protegidos y controlados.
3.Llevar a cabo auditorías en conformidad con los estándares y mejores prácticas
de auditoría de TI para lograr los objetivos planeados de auditoría.
4.Comunicar los hallazgos y riesgos potenciales a los accionistas clave.
5.Asesorar sobre la implementación de la administración de riesgos y las
prácticas de control dentro de la organización al tiempo que se mantiene la
independencia.