• Author / Uploaded
• Mario Andres Aguirre Villarroel

• Categories
• Itil
• Cobit
• Tecnología de información y comunicaciones
• Seguridad de información
• Calidad (comercial)

Citation preview

Una empresa de tecnología necesita mejorar su posición en el mercado, y para ello establece como objetivo estratégico para este año definir objetivos de control en sus procesos, de tal forma de mejorar la gestión y el gobierno TI de la empresa. Usted como auditor informático, ¿qué marco de trabajo o estándar recomendaría adherir?

Justifique su respuesta.

Buenas días estimada Profesora Mailim y compañeros de IACC: Para comenzar mi intervención del foro 1 de la semana 2 según el contenido de la semana 2 el cual nos enseña en el marco y los estándares ISO 19011, ITIL, COSO, COBIT e ISO 27001, compartiré una breve descripción de cada uno de estos estándares para complementar mi recomendación a la compañía como ejemplo de este ejercicio. ISO 19.011: Norma Internacional proporciona orientación sobre la gestión de los programas de auditoría, la realización de auditorías internas o externas de sistemas de gestión de la calidad y/o ambiental, así como sobre la competencia y la evaluación de los auditores. Un asunto que se destaca en esta norma es que los usuarios pueden aplicar para el desarrollo de sus propias necesidades de auditoría. (ISOTools 2018) ITIL: es una colección de las mejores prácticas observadas en la industria de TI. Es un conjunto de libros en los cuales se encuentran documentados todos los procesos referentes a la provisión de servicios de tecnología de información hacia las organizaciones. Una de sus ventajas es la entrega de servicios enfocados al cliente, mejorando con ello la calidad de los mismos y relación entre el cliente y el departamento de IT. (ISOTools 2018) COSO: es un documento que contiene las principales directivas para la implantación, gestión y control de un sistema de control. Está diseñado para identificar los eventos que potencialmente puedan afectar a la entidad y para administrar los riesgos, proveer seguridad razonable para la administración y para la junta directiva de la organización orientada al logro de los objetivos del negocio. (ISOTools 2018) COBIT: Se define como una buena práctica para el control de la información, TI y los riesgos que conllevan. COBIT se utiliza para implementar el gobierno de IT y mejorar los controles de IT. Contiene objetivos de control, directivas de aseguramiento, medidas de desempeño y resultados, factores críticos de éxito y modelos de madurez. (ISOTools 2018) ISO 27.001: es una norma internacional que permite el aseguramiento, la confidencialidad e integridad de los datos y de la información, así como de los sistemas que la procesan. permite a las

organizaciones la evaluación del riesgo y la aplicación de los controles necesarios para mitigarlos o eliminarlos. (ISOTools 2018) Después de haber definido cada marco, estándar y norma, ahora me enfocare en mi recomendación para poder auditar a la compañía en este ejerció para poder ejecutar de mejor manera la auditoría referente al control de los procesos para mejorar la gestión y gobierno TI. Como parte de la Auditoria recomendaría al Departamento de Informática en coordinación con el Departamento de Control Interno poder utilizar la norma ISO 19.011 el cual va a determinar que necesidades se requieren auditar dentro de los procesos de gestión y gobierno TI para poder dar orientaciones necesarias a que auditara. Además, recomendaría en diseñar toda la documentación en el marco COSO para planificar las directrices de mi sistema de auditoria para poder administrar los recursos necesarios para orientar el logro de los objetivos alcanzados dentro de la auditoria. Ahora, como se solicita que se debe velar por el Gobierno de TI, aconsejo principalmente las buenas prácticas COBIT ya que esta orientado a estas áreas y conceptos articulado con la ISO 27.001 el cual aseguramos la integridad de los datos y de la información dentro de la compañía. En síntesis, para auditar la compañía en el ejercicio, recomendaría al Departamento de Control Interno las normas y buenas practicas ISO 19.011, ISO 27.001, COSO y COBIT. Quedo a sus ordenes por cualquier duda o consulta que deseen realizar. Su servidor. MAAV.

Buenas noches estimados compañeros y profesora. Respondiendo al presente foro plasmaré la siguiente información: una de las principales recomendaciones o acciones que debe tomar en cuenta la empresa para mejorar es buscar definir las necesidades de la estructura que deben ser identificadas por medio de la auditoría, así como también las debilidades propias. De la misma manera, se debe buscar incorporar un proceso de comunicación interna que permita informar lo efectuado, lo planeado y las mejoras obtenidas. Además, se recomienda incorporar recursos de tecnología informática al proceso de auditorías, privilegiando de esta manera la eficacia, eficiencia y simplicidad en los resultados de las revisiones, también, se recomienda conservar estrechas relaciones profesionales con otras gerencias de auditoría a fin de intercambiar estrategias, criterios y resultados. Dentro del marco de trabajo propondría suministrar las bases necesarias para posicionar a la auditoría como un agente de cambio en la organización a fin de implementar la auto evaluación del control. Una de las recomendaciones más importantes sería plantear un cambio práctico,

preparando a los auditores como facilitadores de la auto evaluación del control. Por otro lado, es importante adherir los siguientes criterios a este marco de trabajo:        

Fortalecimiento de la información. Fortalecimiento de la calidad de la información. Estructura del cubo, capacidad que brinda COBIT. Dominio. Patrón de madurez. Valoración de riesgos. Actividades de control. Monitoreo y aprendizaje.

Foro 2

Una empresa de telecomunicaciones ofrece a través de su Datacenter los servicios de hosting, housing, y servidor dedicado virtual. El gerente de la empresa desea hacer una auditoría informática, pero no tiene claro qué norma de trabajo/estándar debe utilizar. ¿Qué le recomendaría usted, ITIL o 27001? Fundamente su respuesta considerando una comparación entre las características de cada norma.

Buenas días estimada Profesora Mailim y compañeros de IACC: Para comenzar mi intervención del foro 2 de la semana 2 según el contenido de la semana 2 referente a que norma o buena practica recomendaría a la empresa que presta servicios en Data Center para apoyar la auditoria que el gerente desea realizar a sus procesos, a continuación, detallo según mi experiencia laboral y parte del contenido de esta semana la recomendación para la gerencia. Podemos deducir que la gerencia de la empresa de telecomunicaciones tiene la intención de mejorar sus servicios y sus prácticas de gestión para poder lograr tener un mejor control de los procesos informáticos, la meta, evolucionar su gestión a las nuevas tendencias que están vigentes hoy en día en materia de gestión y seguridad de la información. Como especialista recomendaría a la gerencia que pudieran adoptar los artículos y conceptos para su auditoria de la norma ISO 27.001 la cual sirve para el sector público y el sector privado ya que cuenta con la estandarización internacional de los procesos de la seguridad de la información. La norma ISO 27001 permite tramitar la seguridad de la información como también se articula con el marco ITIL los cuales se centran en los servicios TI de gestión. Esto se puede explicar en una comparación para la toma de decisión de la gerencia la cual ellos quieren aplicar la auditoria a su empresa de Telecomunicaciones. Como la gerencia no tiene claro como realizar la auditoria informática, nosotros, como especialistas en la seguridad y auditoria TIC tendríamos que plantearle lo siguiente con la siguiente información: NORMA ISO 27001 Se plantea al gerente que esta norma es un modelo internacional las cuales precisan requisitos que se deberán establecer para implementar las mejoras de manera continua al SGSTI. Enfatizar que esta norma se aplica a cualquier tipo de organización que sea del sector publico y privador, y si requiere certificación, esto es opcional, pero seria de gran importancia que como DATA CENTER pudiera lograr certificarse en la NORMA ISO 27.001 para darle prestigio a sus prestaciones para que sus clientes tengan certeza de que su información se encuentre segura y están en buenas manos. Sin embargo, a partir la seguridad de la información existe un aspecto crítico en cuanto a la gestión de servicios y la calidad de estos servicios de TI. Por lo tanto, ITIL cubre la seguridad de la información como uno de los procesos de apoyo y se integra la seguridad de la información en la mayoría de procesos. MARCO ITIL Se debe explicar a la gerencia que este ese marco es más indirecto, aunque se puede articular con la norma ISO 27.001 porque cuenta con un conjunto de mejoras de buenas prácticas para la

gestión de servicios TI, esta ofrece la orientación necesaria sobre las presentaciones de los servicios de calidad como procesos de sus funciones y las capacidades que tengan los servicios el cual ayuda a detallar la implementación de la norma. Después de haber planteado las comparaciones y diferencias, concluimos que ambas normas son importantes, ya que una ayuda a la otra, siempre predomina en la toma de decisión la norma ISO 27.001 ya que marco ITIL permitan usar material suplementario que puede auxiliar a la empresa para suministrar servicios al cliente y sobre todo con la seguridad adecuada. La norma internacional ISO 27001 organizan una gran cantidad de requisitos para poder implementar una Técnica de Gestión de Seguridad de la Información, de una forma rápida y sencilla, además, la norma ISO 27001 permite suministrar una solución a todas estas mejoras o protecciones que plantean a la hora de efectuar un Sistema de Gestión de Seguridad de la Información en la empresa de telecomunicaciones. Queda a sus órdenes para cualquier duda o aclaración. Su servidor. MAAV