• Author / Uploaded
• Tati

Citation preview

CERTIFICACIÓN CRISC Y EMPRESAS CERTIFICADORAS EN AUDITORIA DE SISTEMAS

PRESENTADO POR:

TATIANA SUAREZ ACELAS CARLOS JULIAN NAVARRO SUAREZ

DOCENTE: RUY FERNANDO RUIZ MOJICA

UNIVERSITARIA DE INVESTIGACIÓN Y DESARROLLO - UDI FACULTAD DE INGENIERÍA DE SISTEMAS AUDITORIA DE SISTEMAS BUCARAMANGA 2016 1. AUDITORIA DE SISTEMAS

La auditoría de sistemas ha ido tomando gran auge ya que las empresas ven necesario garantizar que el uso que se hace de las tecnologías no representa ningún problema para ellas mismas ni para todos los entes involucrados con la misma (clientes internos, proveedores, clientes externos). Haciendo un análisis de la definición planteada por G.A Rivas podemos decir que la auditoría de sistemas es un conjunto de técnicas, actividades y procedimientos. El auditor de sistemas no es una persona que debe inventarse las cosas, debe ejercer la profesión siguiendo unas técnicas de trabajo y realizando actividades que permiten conducir a buen resultado si se siguen de forma adecuada, destinadas a analizar lo que encuentra, evaluar la magnitud de lo que encuentra, verificar que lo que inicialmente le han comentado es cierto y recomendar alternativas o soluciones en asuntos relativos a la planificación, control, eficacia de la empresa en el uso de las tecnologías, seguridad y adecuación del servicio informático de la empresa por lo que comprende un examen metódico, seguir una metodología para poder capturar la información, discontinuo para que esto acabe sesgando la propia evolución de la empresa en temas informáticos y puntual del servicio informático en vistas a mejorar en rentabilidad, seguridad y eficacia. La seguridad siempre es relativa nunca es absoluta y una empresa es tan segura como su eslabón más débil. La auditoría de sistemas debe mantener ciertas características como nos menciona ISACA en sus normas las cuales deben tener en cuenta: ● Debe ser realizada con criterios de eficiencia, eficacia y economía: Empleo de técnicas y enfoques apropiados en el plan de auditoría y al determinar prioridades para la asignación de los recursos. ● Emplear un enfoque de auditoría basado en riesgos: Identificar y evaluar riesgos relevantes. ● La labor de la auditoría de seguridad de información debe ser supervisada.

● Debe estar basada en evidencia suficiente, confiable y pertinente: Que permita alcanzar los objetivos de auditoría y obtener conclusiones objetivas y razonables del resultado de la auditoría. ● Determinar la naturaleza, plazos y alcance de los procedimientos de auditoría que adelantará. ● Realizada con actitud de escepticismo profesional. ● Considerar la materialidad de la auditoría y su relación con el riesgo de auditoría 1.1. ESTÁNDARES Y MARCOS DE REFERENCIA DE LA AUDITORÍA DE SISTEMAS (Sosa) ● ● ● ●

COBIT: Control Objectives for Information and related Technology ITIL: The Information Technology Infrastructure Library ISO 20000: Estándar internacional en gestión de servicios de TI COSO: Committee of Sponsoring Organizations of the Treadway

Commission ● ISO 27001: Estándar internacional para la implementación de SGSI ● MAGERIT: "Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información” (creado en España por Consejo Superior de Administración Electrónica) ● ISO 27005: Estándar para la administración del riesgo de seguridad de la información

2. ISACA

ISACA® (isaca.org) ayuda a los profesionales globales a liderar, adaptar y asegurar la confianza en un mundo digital en evolución ofreciendo conocimiento, estándares, relaciones, acreditación y desarrollo de carrera innovadores y de primera clase. Establecida en 1969, ISACA es una asociación global sin ánimo de lucro de 140.000 profesionales en 180 países. ISACA también ofrece Cybersecurity Nexus TM (CSX), un recurso integral y global en ciberseguridad, y COBIT®, un marco de negocio para gobernar la tecnología de la empresa. ISACA adicionalmente promueve el avance y certificación de habilidades y conocimientos críticos para el negocio, a través de las certificaciones globalmente respetadas: Certified Information Systems Auditor® (CISA®), Certified Information Security Manager® (CISM®), Certified in the Governance of Enterprise IT® (CGEIT®) y Certified in Risk and Information Systems Control™ (CRISC™). La asociación tiene más de 200 capítulos en todo el mundo. Como una asociación mundial independiente, sin fines de lucro, ISACA se involucra en el desarrollo, la adopción y el uso de los conocimientos y prácticas de los sistemas de información aceptados y líderes en la industria mundial. Anteriormente conocida como la Asociación de Auditoría y Control de Sistemas de Información, ISACA ahora va por sus siglas solamente, para reflejar la amplia gama de profesionales de IT a los que sirve.

Dentro de las actividades de ISACA se encuentra el desarrollo y administración de 4 certificaciones líderes en la industria:

● CISA: Certificado de Auditor de Sistemas de Información (Certified Information Systems Auditor) una designación respetada a nivel mundial para profesionales con experiencia en auditoria de sistemas, control y seguridad. Más de 118.000 profesionales han obtenido la certificación CISA desde su creación en 1978.

● CISM: Certificado en administración de seguridad de la información. (Certified Information Security Manager), una innovadora designación para líderes que manejan seguridad de la información de una organización. Más de 28.000 profesionales han obtenido la certificación CISM desde que se estableció en 2002. ● CGEIT: Certificado en gobernanza de empresas TI (Certified in the Governance of Enterprise IT), para profesionales que administran, proporcionan servicios de asesoramiento y/o aseguramiento, y/o de alguna manera apoyan el gobierno de una empresa IT. Más de 6.000 profesionales han obtenido la certificación CGEIT desde que se estableció en 2007. ● CRISC: Certificado en Sistemas de Información de Riesgos y Control (Certified in Risk and Information Systems Control), para profesionales IT con experiencia en identificación de riesgos, evaluación, respuesta y seguimiento a los riesgos, control de diseño, implementación, monitoreo y mantenimiento de sistemas de información. Más de 18.000 profesionales han sido certificados desde el inicio en el año 2010. ISACA se basa en una red global de profesionales líderes que desarrollan sus programas de certificación. Con acceso a expertos de todo el mundo, ISACA está definiendo cómo los riesgos IT están siendo gestionados en los actuales y futuros ambientes empresariales. (ISACA, s.f.)

3. CRISC (Certified in Risk and Information Systems Control)

Trayectoria

Director de Riesgos - (Chief risk officer (CRO))

Profesional Enfoque de la

Manejo de Riesgos - (Risk Management)

certificación Trabajo a

Identificar, evaluar y manejar riesgos a través del desarrollo,

desempeñar.

implementación y mantenimiento de controles a sistemas de información.

Requerimientos

Evidenciar mínimo tres (3) años de experiencia en riesgos y controles a sistemas de información.

Fue Introducido en 2010, el Certificado en Sistemas de Información de Riesgos y Control (CRISC) es una nueva certificación ofrecida por ISACA y se basa en la propiedad intelectual de la asociación, investigación de mercado independiente y los aportes de expertos en la materia de todo el mundo. La certificación CRISC está diseñada para aquellas personas expertas en gestión de riesgos de TI, así como el diseño, la implementación, el monitoreo y el mantenimiento de controles sobre sistemas de información. CRISC es la única certificación que prepara y habilita a los profesionales IT para los desafíos únicos de la gestión de riesgos empresariales y los posiciona para convertirse en socios estratégicos de la empresa.

3.1. BENEFICIOS DE CRISC Experimentar la credibilidad, reconocimiento y recompensa que vienen con una capacidad demostrada para gestionar el riesgo empresarial a través de un control eficaz de los sistemas de información.

CRISC es la evaluación actual más rigurosa que se encuentra disponible para evaluar el desempeño en gestión de riesgos de los profesionales IT y otros empleados dentro de una empresa o institución financiera. Aquellos que adquieren la certificación CRISC ayudan a las empresas a entender el riesgo empresarial, y tienen el conocimiento técnico para implementar controles apropiados en los sistemas de información.

3.2. CERTIFICACIÓN CRISC ● Denota para toda la vida un símbolo de prestigio, conocimiento y experiencia como profesional del riesgo ● Aumenta su valor a su organización, ya que busca administrar los riesgos de IT. ● Le da una ventaja competitiva frente a sus compañeros cuando busca escalar en el trabajo. ● Le da acceso a la comunidad global de conocimiento y mayor parte del pensamiento hasta la fecha en la gestión de riesgos IT de ISACA. ● Le ayuda a lograr un alto nivel profesional a través de requerimientos de ISACA para la continua educación y conducta ética.

3.3. REQUISITOS PARA LA CERTIFICACIÓN CRISC ● La conclusión con éxito del examen CRISC. ● Información en sistemas de gestión de riesgos IT y control de la información. ● Adhesión del Código de Ética Profesional. ● Adhesión de la política de educación profesional continua (CPE). ● Son requeridos para la certificación, tres (3) o más años de experiencia laboral acumulativa realizando las tareas de un profesional de CRISC en al menos dos (2) dominios de CRISC, de los cuales uno debe ser en el Dominio 1 ó 2. No hay sustituciones ni convalidaciones por experiencia. o Dominio 1—Identificación de riesgos de TI (27%) o Dominio 2—Evaluación de riesgos de TI (28%) o Dominio 3—Mitigación y respuesta al riesgo (23%) o Dominio 4—Informes y monitoreo sobre control y riesgo (22%)

3.4. ¿POR QUE LOS EMPLEADORES CONTRATAN CRISCs? CRISCs

proporciona

profesionalismo

adicional

a

cualquier

organización,

demostrando un nivel cuantificable de conocimientos, educación continua y adhesión a estándares de conducta ética establecido por ISACA. Empleados CRISCs ● Construyen una mayor comprensión sobre el impacto de los riesgos IT y cómo se relaciona con toda la organización. ● Asegurar el desarrollo de planes más eficaces para mitigar el riesgo. ● Establecer una perspectiva común y lenguaje sobre el riesgo IT que pueda establecer estándares para la empresa (ISACA, s.f.)

4. COBIT

COBIT fue originalmente un acrónimo de (Objetivos de Control para la información y tecnologías relacionadas). Ahora se utiliza en forma corta, COBIT se utiliza para identificar el nombre del marco. Su sigla en inglés se refiere a Control Objectives for Information and Related Technology y es un conjunto de mejores prácticas para el manejo de información creado por la Asociación para la Auditoría y Control de Sistemas de Información (ISACA), y el

Instituto de Administración de las Tecnologías de la Información (ITGI) en 1992.

Cobit es un marco de referencia para la dirección de IT, así como también de herramientas de soporte que permite a la alta dirección reducir la brecha entre las necesidades de control, cuestiones técnicas y los riesgos del negocio. Cobit permite el desarrollo de políticas claras y buenas prácticas para el control de TI en las organizaciones. Cobit enfatiza el cumplimiento normativo, ayuda a las organizaciones a aumentar el valor obtenido de TI, facilita su alineación y simplifica

la

implementación

del

marco

de

referencia

de

Cobit.

El propósito de Cobit es brindar a la Alta Dirección de una compañía confianza en los sistemas de información y en la información que estos produzcan. Cobit permite entender cómo dirigir y gestionar el uso de tales sistemas así como establecer un código de buenas prácticas a ser utilizado por los proveedores de sistemas. Cobit suministra las herramientas para supervisar todas las actividades relacionadas con IT. (ISACA, s.f.)

COBIT 5 es producto de la mejora estratégica de ISACA impulsando la próxima generación de guías sobre el Gobierno y la Administración de la información y los Activos Tecnológicos de las Organizaciones. Construido sobre más de 15 años de aplicación práctica, ISACA desarrolló COBIT 5 para cubrir las necesidades de los

interesados, y alinearse a las actuales tendencias sobre técnicas de gobierno y administración relacionadas con la TI. (Camelo, 2010)

COBIT 5 es el marco de gestión y de negocio global para el gobierno y la gestión de las TI de la empresa. El marco COBIT 5 para el gobierno y la gestión de la empresa de TI es una optimización de negocios de punta y hoja de ruta de crecimiento que aprovecha las prácticas probadas, liderazgo mundial y herramientas innovadoras para inspirar la innovación de TI y de negocio de los combustibles éxito COBIT 5 ofrece un marco integral que ayuda a las empresas en la consecución de sus objetivos para el gobierno y la gestión de activos de información empresarial y tecnología (IT). En pocas palabras, que ayuda a las empresas crean valor óptimo de TI mediante el mantenimiento de un equilibrio entre la obtención de beneficios y la optimización de los niveles de riesgo y la utilización de recursos. COBIT 5 le permite ser gobernado y administrado de manera integral para toda la empresa, teniendo en el negocio completo de extremo a extremo y de TI áreas funcionales de responsabilidad, teniendo en cuenta los intereses relacionados con TI de

grupos de interés internos y externos. COBIT 5 es genérico y útil para las empresas de todos los tamaños, ya sea comercial, sin fines de lucro o en el sector público. 4.1. ¿QUIÉN ESTÁ UTILIZANDO COBIT 5? COBIT 5 se utiliza en todo el mundo por aquellos que tienen la responsabilidad principal de los procesos de negocio y tecnología, dependen de la tecnología de la información pertinente y fiable, y proporcionar calidad, fiabilidad y control de la información y la tecnología relacionada. 4.2. EXAMEN COBIT (IT Service, s.f.) ISACA ofrece a los profesionales que tienen un dominio del contenido del curso de Fundamentos de COBIT 5 la oportunidad de demostrar sus conocimientos mediante la adopción de un examen y obtener un certificado. Estos profesionales entienden los problemas de gestión que enfrentan las organizaciones de TI de hoy y saben cómo utilizar COBIT para responder a estos desafíos. Estos profesionales han utilizado los elementos de COBIT, en la práctica, y están preparados para aplicaciones recomendadas de COBIT para proyectos en toda la empresa. El Examen consta de 50 preguntas de selección múltiple y requiere una puntuación

● ● ● ● ● ●

de

50%

o

más

para

pasar.

Certificación mundial asignada al participante Examen gestionado por APMG Contiene 50 preguntas de opción múltiple Tiene una duración de 40 minutos No se permite libro abierto Se gana con un mínimo de 25 respuestas acertadas correctamente, es

decir 50% ● Se realiza vía web ● Idioma del examen disponible en Español latinoamericano

En conclusión COBIT 5 une los cinco principios que permiten a la Organización construir un marco efectivo de Gobierno y Administración basado en una serie

holística de siete habilitadores, que optimizan la inversión en tecnología e información así como su uso en beneficio de las partes interesadas.

5. Referencias Camelo, L. (28 de Julio de 2010). Seguridad de la Información en Colombia. Obtenido de http://seguridadinformacioncolombia.blogspot.com.co/2010/07/que-escobit.html ISACA. (s.f.). Cobit 5. Obtenido de http://www.isaca.org/COBIT/pages/default.aspx ISACA. (s.f.). Information Technology - Information Security - Information Assurance. Obtenido de https://www.isaca.org/ IT Service. (s.f.). Fundamentos Cobit 5. Obtenido de http://www.itservice.com.co/fundamentoscobit5 Sosa, N. O. (s.f.). Pontificia Universidad Javeriana. Obtenido de http://www.javeriana.edu.co/personales/hbermude/Audire/novs.pdf