Documentos de Académico
Documentos de Profesional
Documentos de Cultura
EXTENSIÓN CHONE
CARRERA:
INGENIERÍA EN SISTEMAS
CURSO/PARALELO:
9 NO “A”
TEMA:
Marco Integral de Control Interno COSO
COBIT5
ISO 27001
ISO 17799
MATERIA:
EVALUACION Y AUDITORIA DE SISTEMAS
DOCENTE:
ING. FABRICIO RIVADENEIRA
ESTUDIANTE:
PALMA LOOR TANIA YADIRA
PERIODO LECTIVO:
2022-2023 (P2)
INTRODUCCION
Hoy en día las empresa u organizaciones sin importar su categoría, buscan la
competitividad, mediante el fortalecimiento en la gestión de sus procesos administrativos,
con el fin de manejar de la forma más eficaz los recursos que posee; alcanzando los
objetivos propuestos mediante una toma de decisión acertada, que satisfaga las
necesidades de los clientes con los productos o servicios que oferta.
Por estos motivos y con el fin de llevar un mejor control de la información y mitigar las
vulnerabilidades que pueden suscitar, desde muchos años atrás existen diferentes
metodologías como las normas ISO que continuamente se encuentran desarrollando,
mejorando e innovando; permitiendo una mejor gestión de los riesgos. Para el área de
tecnologías de la información, por ejemplo, existe la norma ISO 270001; esta normativa
proporciona las directrices para establecer un proceso de gestión de seguridad de la
información (SGSI), mediante el establecimiento de las mejores prácticas para gestionar,
prevenir y mitigar vulnerabilidades internas y externas. Es por ello que la presente
investigación tiene como objetivo realizar un estudio comparativo de las metodologías
COBIT 5 y COSO, teniendo en cuenta que estas parten de las normas ISO que
generalmente está dividida en múltiples documentos de control, cada uno enfocado a un
área o escenario de análisis especifico; por ello se pretende identificar los aspectos más
importantes de las ISO 27001, ISO 17799, los cuales han sido considerados al momento
de desarrollar las metodologías COBIT 5 y COSO y finalmente se realizará una
comparación de estas dos las metodologías en el ámbito de la gestión de riesgo de
información y riesgo informático.
Según Global Survey on Risk Management and Internal Control IFAC (2016): El control
interno es una parte integrada del sistema de gobierno y de la gestión de riesgos de una
organización, que se entiende efectuada y activamente supervisada por el órgano de
gobierno de la organización, la dirección y otro personal para aprovechar las
oportunidades y contrarrestar las amenazas de acuerdo con la estrategia de gestión de
riesgos y las políticas de Control Interno establecidas por el órgano de gobierno
para alcanzar los objetivos de una organización.
COBIT5
COBIT representa una guía de mejores prácticas para garantizar un gobierno y una
administración efectivos de TI en una organización; permite alinear los objetivos de TI
con los objetivos institucionales. En su versión COBIT 2019, provee un modelo práctico
para crear un programa de gobierno que se adapte a las necesidades de cada organización,
así como un modelo de madurez, e introduce nuevos conceptos para garantizar una
implementación más sencilla y personalizada. COBIT 2019 garantiza el uso optimizado
de recursos y mejor eficiencia en la administración de la información y de la tecnología
(ISACA, 2019).
COBIT es empleado en todo el mundo por quienes tienen como responsabilidad primaria
los procesos de negocio y la tecnología, aquellos de quien depende la tecnología y la
información confiable, y los que proveen calidad, confiabilidad y control de TI.
principios de COBIT 5
ISO 27001
Según (Aguilera, 2015)ISO 27001 es una norma internacional emitida por la
Organización Internacional de Normalización (ISO) y describe cómo gestionar la
seguridad de la información en una empresa. La revisión mas reciente de esta norma fue
publicada en 2013 y ahora su nombre completo es ISO/IEC 27001:2013. La primera
revisión se publico en 2005 y fue desarrollada en base a la norma británica BS 7799-2.
¿Qué Busca Esta Norma?
Importancia de la norma
La norma ISO 27001 es importante, ya que está describe Cómo gestionar la seguridad de
la información en una organización, también permite que una empresa sea certificada;
esto significa que una entidad de certificación Independiente confirma que la seguridad
de la información ha sido implementada en esa organización en cumplimiento con la
norma ISO 27001. Así pues, otorga múltiples ventajas, tales como cumplir con los
requerimientos legales, así como obtener una ventaja comercial, reducir costos y una
mejor organización. Además, puede ser implementada en cualquier organización del
mundo, mostrando así su superioridad ante cualquier otra Norma.
ISO 17799
La norma ISO 27001 facilita los requisitos que se deben adoptar para poder implementar
un Sistema de Gestión de Seguridad de la Información, con lo que se podrá mantener la
información de la organización de una forma segura ante cualquier posible amenaza. La
norma NTP-ISO/IEC 17799 es una norma técnica peruana que ayuda a implementar
también medidas de seguridad en las organizaciones, mejorando el rendimiento de la
organización y aumenta su valor añadido ante las demás organizaciones del mismo sector.
El objetivo de la norma NTP-ISO/IEC 17799 es dirigir y dar soporte a la gestión de la
seguridad de la información en concordancia con los requisitos de la organización, la
legislación y las regulaciones.
La gerencia tiene que establecer de forma clara las líneas que va a seguir la política de
seguridad y manifestar el apoyo y compromiso a la Seguridad de la Información,
publicando y manteniendo una política de seguridad en toda la empresa.
Políticas de seguridad
Organización de la seguridad
Clasificación y control de activos
Seguridad del personal
Seguridad física y del entorno
Gestión de comunicaciones y operaciones
Control de accesos
Desarrollo y mantenimiento de sistemas
Gestión de la continuidad
Conformidad
Que cubren todo el ámbito de gestión de la seguridad planteando sobre ellas 36 objetivos
de control y un total de 127 controles que nos pueden servir para validar el grado de
adecuación a la norma. En cualquier caso, es importante darse cuenta que será una labor
prioritaria adaptar la ISO17799, y más concretamente el peso que se da a cada una de las
áreas de la norma, a las características concretas del ámbito de aplicación del Plan director
que se quiere elaborar. Más detallado, se definen las siguientes áreas de control.
CONCLUSIONES
En tiempos donde las organizaciones están expuestas a diferentes tipos de riesgos,
el Control Interno servirá como base para realizar una gestión integral de los mismos, así
se podrá minimizar el impacto que pueden generar dentro de una organización en un
periodo de tiempo determinado.
Bibliografía
Aguilera, E. (2015). Norma iso 27001. Obtenido de
https://es.slideshare.net/edicksonaguilera/norma-iso-27001-49377536