Imagen abstracta de una mujer sentada en libros y estudiando en una computadora portátil

Ensayo de Estandares.

Descargar como DOCX, PDF
S
Sole Leraguii

Este documento presenta los pasos requeridos para implementar la norma ISO 27001 en una organización. Describe brevemente la norma ISO 27001 y su proceso de implementación, el cual involucra 15 pasos clave como obtener apoyo de la dirección, realizar una evaluación de riesgos, desarrollar procedimientos y controles, implementar programas de capacitación, auditar el sistema de gestión, y revisar periódicamente el sistema por parte de la dirección. Además, discute que aunque esta norma se usa comúnmente en México, puede ser

1 de 19
Descargado 10 veces
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
UNIVERSIDAD VERACRUZANA FACULTAD DE ADMINISTRACIÓN CARRERA: LICENCIATURA EN SISTEMAS COMPUTACIONALES ADMINISTRATIVOS EXPERIENCIA EDUCATIVA: ADMINISTRACIÓN DE TECNOLOGÍAS DE INFORMACIÓN EJERCICIOS CATEDRÁTICO: TORRES GASTELÚ CARLOS ARTURO INTEGRANTE: JULIETA ORTIZ REYES 7TO. BLOQUE H. VERACRUZ, VER. DICIEMBRE DEL 2011
INTRODUCCION El uso de Tecnologías de Información (TI) tiene el potencial para ser el mayor impulsor de riqueza económica en el siglo XXI además de que TI ya es crítica para el éxito empresarial, proporciona oportunidades para obtener una ventaja competitiva y ofrece medios para incrementar la productividad, e incluso hará aún más en el futuro. El creciente uso de estándares y mejores prácticas han generado nuevos desafíos y demandas por guías de implementación, una de ellas es la creación de conciencia del propósito del negocio y los beneficios de estas prácticas, así como también la ayuda de tomas de decisiones sobre: ¿Cuáles practicas utilizar? y ¿Cómo integrarlas con las políticas y los procedimientos internos? Por otra parte la adaptación de estándares y nuevas prácticas a los requerimientos específicos de la organización. Debido a su naturaleza técnica los estándares y las mejores prácticas de TI normalmente son conocidas por los expertos (profesionales, gerentes y asesores de TI) quienes pueden adoptarlos y utilizarlos con la mejor intención, sin embargo potencialmente no tienen un enfoque de negocio por lo que algunos gerentes funcionales entienden poco acerca de su real propósito y no están preparados para influir sobre su utilización. Hoy en día las normas de tecnología son empleadas en las empresas a nivel mundial debido a la necesidad de estandarizar procesos para ofrecer una mejor calidad en los servicios. A continuación se mencionan algunas de las normas más utilizadas en el mundo y se detalla brevemente la manera en que se implementan, también se realiza un enfoque de las normas aplicadas en el contexto mexicano donde se selecciona el estándar más adecuado para emplear en una PYME mexicana, así como el procedimiento para emplearlo y ciertas recomendaciones que se requieren para dicha implementación.
DESARROLLO ISO 27001 (International Organization For Standardization) Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información. La implantación de ISO/IEC 27001 en una organización es un proyecto que suele tener una duración entre 6 y 12 meses, dependiendo del grado de madurez en seguridad de la información y el alcance, entendiendo por alcance el ámbito de la organización que va a estar sometido al Sistema de Gestión de la Seguridad de la Información. En general, es recomendable la ayuda de consultores externos. Esta norma es usada en México pero es difícil de que sea implementada en una PYME debido a que son muy pocas las que han adecuado previamente de forma rigurosa sus sistemas de información y sus procesos de trabajo a las exigencias de las normativas legales de protección de datos. Pasos que se requieren para su implementación 1. Obtener el apoyo de la dirección Esto puede parecer un tanto obvio y, generalmente, no es tomado con la seriedad que merece. Pero, es el principal motivo en el fracaso de los proyectos para la implementación de la norma ISO 27001 ya que la dirección no destina suficientes recursos humanos para que trabajen en el proyecto ni suficiente dinero. 2. Tomarlo como un proyecto Como ya se ha dicho, la implementación de la norma ISO 27001 es un tema complejo que involucra diversas actividades, a muchas personas y puede demandar varios meses (o más de un año). Si no se define claramente qué es lo que se hará, quién lo hará y en qué período de tiempo es probable que nunca se termine el trabajo.
3. Definir el alcance Si se trata de una gran organización, probablemente tenga sentido implementar la norma ISO 27001 solamente en una parte de la misma, reduciendo significativamente de esta forma, los riesgos del proyecto. 4. Redactar una Política de SGSI La Política de SGSI es el documento más importante en un SGSI: no debe ser demasiado detallado pero debe definir algunos temas básicos sobre la seguridad de la información en la organización. Pero ¿cuál es su objetivo si no es minucioso? El objetivo es que la dirección defina qué desea lograr y cómo controlarlo. 5. Definir la metodología de Evaluación de riesgos La evaluación de riesgos es la tarea más compleja del proyecto para la norma ISO 27001; su objetivo es definir las reglas para identificar los activos, las vulnerabilidades, las amenazas, las consecuencias y las probabilidades, como también definir el nivel aceptable de riesgo. Si esas reglas no están definidas claramente, no podrá encontrarse en una situación en la que se obtendrían resultados inservibles. 6. Realizar la evaluación y el tratamiento de riesgos Aquí, se debe que implementar lo que se definió en el paso anterior. En organizaciones más grandes puede demandar varios meses, por lo tanto, se debe coordinar esta tarea con mucho cuidado. Lo importante es obtener una visión integral de los peligros sobre la información de la organización. El objetivo del proceso de tratamiento de riesgos es reducir los riesgos no aceptables. En este paso, se debe redactar un Informe sobre la evaluación de riesgos que documente todos los pasos tomados durante el proceso de evaluación y tratamiento de riesgos. También es necesario conseguir la aprobación de los riesgos residuales; ya sea en un documento separado o como parte de la Declaración de aplicabilidad.
7. Redactar la Declaración de aplicabilidad Luego de finalizar el proceso de tratamiento de riesgos, se sabrá exactamente qué controles del Anexo se necesitan. El objetivo de este documento (generalmente denominado DdA) es enumerar todos los controles, definir cuáles son aplicables y cuáles no, definir los motivos de esa decisión, los objetivos que se lograrán con los controles y describir cómo se implementarán. La Declaración de aplicabilidad también es el documento más apropiado para obtener la autorización de la dirección para implementar el SGSI. 8. Redactar el Plan de tratamiento del riesgo Justo cuando se pensaba que se había resuelto todos los documentos relacionados con el riesgo, aquí aparece otro. El objetivo del Plan de tratamiento del riesgo es definir claramente cómo se implementarán los controles de la DdA, quién lo hará, cuándo, con qué presupuesto, etc. Este documento es, en realidad, un plan de implementación enfocado sobre sus controles; sin el cual, usted no podría coordinar los pasos siguientes del proyecto. 9. Determinar cómo medir la eficacia de los controles Otra tarea que, generalmente, es subestimada. El tema aquí es, si no se puede medir lo que se ha hecho, ¿cómo se puede estar seguro de que se ha logrado el objetivo? Por lo tanto, hay que determinar cómo se medirá el logro de los objetivos establecidos tanto para todo el SGSI como para cada control aplicable de la Declaración de aplicabilidad. 10. Implementación de controles y procedimientos obligatorios Es más fácil decirlo que hacerlo. Aquí es cuando se debe implementar los cuatro procedimientos obligatorios y los controles correspondientes.
Esta es, habitualmente, la tarea más riesgosa del proyecto ya que, generalmente, implica la aplicación de nuevas tecnologías pero, sobre todo, la implementación de nuevas conductas en la organización. Muchas veces las nuevas políticas y procedimientos son necesarios (en el sentido que el cambio es necesario) y las personas, generalmente, se resisten al cambio; es por ello que la siguiente tarea (capacitación y concienciación) es vital para prevenir ese riesgo. 11. Implementar programas de capacitación y concienciación Si se quiere que los empleados implementen todas las nuevas políticas y procedimientos, primero se les debe explicar por qué son necesarios y se debe capacitarlos para que puedan actuar según lo esperado. La falta de estas actividades es el segundo motivo principal por el fracaso del proyecto para la implementación de la norma ISO 27001. 12. Hacer funcionar el SGSI Esta es la parte en que ISO 27001 se transforma en una rutina diaria dentro de la organización. La palabra más importante aquí es: “registros”. A los auditores les encantan los registros; sin registros le resultará muy difícil probar que una actividad se haya realizado realmente. Pero, ante todo, los registros deberían ayudarle. Con ellos, se puede supervisar qué está sucediendo, y sabrá si realmente si los empleados (y proveedores) están realizando sus tareas según lo requerido. 13. Supervisión del SGSI ¿Qué está sucediendo en su SGSI? ¿Cuántos incidentes tiene? ¿De qué tipo? ¿Todos los procedimientos se efectúan correctamente? Aquí es donde se cruzan los objetivos de los controles con la metodología de medición; debe verificar si los resultados que obtiene cumplen con lo que se estableció en los objetivos. Si no se cumplen, es evidente que algo está mal y debe aplicar medidas correctivas y/o preventivas.
14. Auditoría interna Muchas veces las personas no son conscientes de que están haciendo algo mal (por otro lado, a veces sí lo saben pero no quieren que nadie lo descubra). Pero no ser consciente de los problemas existentes o potenciales puede dañar a su organización, por eso debe realizar auditorías internas para descubrir este tipo de cosas. Lo importante aquí no es activar medidas disciplinarias, sino aplicar medidas correctivas y/o preventivas. (Dilemas con los auditores internos de las normas ISO 27001 y BS 25999-2) 15. Revisión por parte de la dirección La dirección no tiene que configurar el cortafuegos, pero sí debe saber qué está sucediendo en el SGSI; es decir, si todo el mundo ejecutó sus tareas, si el SGSI obtiene los resultados deseados, etc. 16. Medidas correctivas y preventivas El objetivo del sistema de gestión es garantizar que todo lo que está mal (las denominadas “no conformidades”) sea corregido o, con algo de suerte, evitado. Por lo tanto, la norma ISO 27001 requiere que las medidas correctivas y preventivas se apliquen sistemáticamente; es decir, que se identifique la raíz de una no conformidad y se solucione y se controle.
ISO 17799 La norma ISO 17799 Es el sistema de gestión de seguridad de la información (informational security management Systems, ISMS) reconocido internacionalmente, dicha norma define a la información como un activo que tiene valor en la organización, y como todos los activos es imperativo mantener su valor para el éxito de una organización. Esta norma Proporciona las pautas para la implementación basada en las sugerencias que deben ser consideradas por una organización para poder construir un programa comprensivo de gestión de seguridad de la información. Implementación la norma ISO 17799 ofrece instrucciones y recomendaciones para la administración de la seguridad. También ofrece una estructura para identificar e implementar soluciones para los siguientes riesgos: Política de seguridad: escribir y comunicar la política de seguridad de la compañía Organización de seguridad: definir los roles y las responsabilidades. Monitorear a los socios y a las empresas tercerizadas Clasificación y control de activos: llevar un inventario de los bienes de la compañía y definir cuán críticos son así como sus riesgos asociados Seguridad del personal: contratación, capacitación y aumento de concientización relacionadas a la seguridad Seguridad física y del entorno: área de seguridad, inventarios del equipamiento de seguridad Comunicación / Administración de operaciones: procedimientos en caso de accidente, plan de recuperación, definición de niveles de servicio y tiempo de recuperación, protección contra programas ilegales, etc. Control de acceso: establecimiento de controles de acceso a diferentes niveles (sistemas, redes, edificios, etc.) Desarrollo y mantenimiento del sistema: consideración de la seguridad en sistemas desde el diseño hasta el mantenimiento Plan de continuidad empresarial: definición de necesidades en términos de disponibilidad, recuperación de tiempo y establecimiento de ejercicios de emergencia Contratación: respeto por la propiedad intelectual, las leyes y las reglamentaciones de la compañía Una compañía debe empezar definiendo una aproximación a la evaluación de riesgo. Durante este acercamiento, se debe llevar a cabo una revisión de todas las violaciones potenciales de Seguridad. Esto no debe relacionarse solamente a los sistemas de TI, sino que debe abarcar toda la información delicada dentro de su organización.
Las técnicas que se utilizan en una evaluación de riesgo son las siguientes: 1. Identificar los riesgos de los activos físicos e informativos de su compañía. 2. Evaluar los riesgos identificados en todas las áreas de control de seguridad. 3. Identificar y evaluar opciones para el tratamiento de riesgos y tomar acción para administrar y manejar los riesgos apropiadamente. 4. Seleccionar un sistema de controles con eficiencia de costos y con objetivos que son apropiados para administrar y tratar los riesgos. 5. Preparar una Declaración de Aplicación. Este documento presenta objetivos de control, controles seleccionados y liga los resultados de evaluación de riesgos y procesos de tratamiento de riesgos. Una vez que la aproximación de la evaluación de riesgo ha sido establecida, el próximo paso que se debe tomar para implementar el ISO 17799 es llevar a cabo una auditoria interna.
COSO El control interno(COSO) se entiende como el proceso que ejecuta la administración con el fin de evaluar operaciones especificas con seguridad razonable en tres principales categorías: Efectividad y eficiencia operacional, confiabilidad de la información financiera y cumplimiento de políticas, leyes y normas. El control interno posee cinco componentes que pueden ser implementados en todas las compañías de acuerdo a las características administrativas, operacionales y de tamaño; los componentes son: un ambiente de control, una valoración de riesgos, las actividades de control (políticas y procedimientos), información y comunicación y finalmente el monitoreo o supervisión. Implementación La implementación del control interno implica que cada uno de sus componentes estén aplicados a cada categoría esencial de la empresa convirtiéndose en un proceso integrador y dinámico permanentemente, como paso previo cada entidad debe establecer los objetivos, políticas y estrategias relacionadas entre sí con el fin de garantizar el desarrollo organizacional y el cumplimiento de las metas corporativas; aunque el sistema de control interno debe ser intrínseco a la administración de la entidad y busca que esta sea más flexible y competitiva en el mercado se producen ciertas limitaciones inherentes que impiden que el sistema como tal sea 100% confiable y donde cabe un pequeño porcentaje de incertidumbre, por esta razón se hace necesario un estudio adecuado de los riesgos internos y externos con el fin de que el control provea una seguridad razonable para la categoría a la cual fue diseñado, estos riesgos pueden ser atribuidos a fallas humanas como la toma de decisiones erróneas, simples equivocaciones o confabulaciones de varias personas, es por ello que es muy importante la contratación de personal con gran capacidad profesional, integridad y valoreséticos así como la correcta asignación de responsabilidades bien delimitadas donde se interrelacionan unas con otras con el fin de que no se rompa la cadena de control fortaleciendo el ambiente de aplicación del mismo, cada persona es un eslabón que garantiza hasta cierto punto la eficiencia y efectividad de la cadena, cabe destacar que la responsabilidad principal en la aplicación del control interno en la organización debe estar siempre en cabeza de la administración o alta gerencia con el fin de que exista un compromiso real a todos los niveles de la empresa, siendo función del departamento de auditoría interna o quien haga sus veces, la adecuada evaluación o supervisión independiente del sistema con el fin de garantizar la actualización, eficiencia y existencia a través del tiempo, estas evaluaciones pueden ser continuas o puntuales sin tener una frecuencia predeterminada o fija, así mismo es conveniente mantener una correcta documentación con el fin de analizar los alcances de la evaluación, niveles de autorización, indicadores de desempeño e impactos de las deficiencias encontradas, estos análisis deben detectar en un momento oportuno como los cambios internos o externos del contexto empresarial pueden afectar el desarrollo o aplicación de las políticas en función de la consecución de los objetivos para su correcta evaluación.
COBIT Cobit es un marco de referencia para la dirección de IT, asi como también de herramientas de soporte que permite a la alta dirección reducir la brecha entre las necesidades de control, cuestiones técnicas y los riesgos del negocio. Cobit permite el desarrollo de políticas claras y buenas prácticas para el control de TI en las organizaciones. Cobit enfatiza el cumplimiento normativo, ayuda a las organizaciones a aumentar el valor obtenido de TI, facilita su alineación y simplifica la implementación del marco de referencia de Cobit. El propósito de COBIT es brindar a la alta dirección de una compañía confianza en los sistemas de información y en la información que estos produzcan COBIT permite entender cómo dirigir y gestionar el uso de tales sistemas así como establecer un código de buenas prácticas a ser utilizado por los proveedores de sistemas de Cobit suministra las herramientas para supervisar todas las actividades relacionadas con IT. Ventajas de Cobit: Cobit es un marco de referencia aceptado mundialmente de gobierno IT basado en estándares y mejores prácticas de la industria. Una vez implementado, es posible asegurarse de que IT se encuentra efectivamente alineado con las metas del negocio, y orientar su uso para obtener ventajas competitivas. Suministra un lenguaje común que le permite a los ejecutivos de negocios comunicar sus metas, objetivos y resultados con Auditores, IT y otros profesionales. Proporciona las mejores prácticas y herramientas para monitorear y gestionar las actividades de IT. El uso de sistemas usualmente requiere de una inversión que necesita ser adecuadamente gestionada. Ayuda a los ejecutivos a entender y gestionar las inversiones en IT a través de sus ciclo de vida, así como también proporcionándoles métodos para asegurarse que IT entregara los beneficios esperados. La diferencia entre compañías que gestionan adecuadamente sus recursos IT y las que no es enorme. Cobit permite el desarrollo de políticas claras y buenas prácticas para la gestión de IT. Su marco de referencia permite gestionar los riesgos de IT y asegurar el cumplimiento, la continuidad, seguridad y privacidad.
Al ser Cobit reconocida y aceptada internacionalmente como una herramienta de gestión, su implementación es un indicativo de la seriedad de una organización. Ayuda a Empresas y profesionales de IT a demostrar su competitividad ante las demás compañías. Así como existen procesos genéricos de muchos tipos de negocios, existen estándares y buenas practicas específicos para IT que deben seguirse por las compañías cuando se soportan en IT, en donde Cobit agrupa tales estándares y entrega un marco de referencia para su implementación y gestión. Una vez se identifican e implementan los principios relevantes de Cobit para una compañía, se obtiene plena confianza en que todos los recursos de sistemas están siendo gestionados efectivamente. Que resultados se obtienen al implementar Cobit: El ciclo de vida de costos de IT será mas transparente y predecible. IT entregara información de mayor calidad y en menor tiempo. IT brindara servicios con mayor calidad y todos los proyectos apoyados en IT serán mas exitosos. Los requerimientos de seguridad y privacidad serán más fácilmente identificados, y su implementación podrá ser mas fácilmente monitoreada. Todos los riesgos asociados a IT serán gestionados con mayor efectividad. El cumplimiento de regulaciones relacionadas a IT serán una práctica normal dentro de su gestión.
ITIL ITIL, Information Technology Infrastructure Library, es una colección de las mejores prácticas observadas en la industria de TI. Es un conjunto de libros en los cuales se encuentran documentados todos los procesos referentes a la provisión de servicios de tecnología de información hacia las organizaciones. ITIL por medio de procedimientos, roles, tareas, y responsabilidades que se pueden adaptar a cualquier organización de TI, genera una descripción detallada de mejores prácticas, que permitirán tener mejor comunicación y administración en la organización de TI. Proporciona los elementos necesarios para determinar objetivos de mejora y metas que ayuden a la organización a madurar y crecer. ITIL fue desarrollada al reconocer que las organizaciones dependen cada vez más de la Informática para alcanzar sus objetivos corporativos. Esta dependencia en aumento ha dado como resultado una necesidad creciente de servicios informáticos de calidad que se correspondan con los objetivos del negocio, y que satisfagan los requisitos y las expectativas del cliente. A través de los años, el énfasis pasó de estar sobre el desarrollo de las aplicaciones TI a la gestión de servicios TI. La aplicación TI (a veces nombrada como un sistema de información) sólo contribuye a realizar los objetivos corporativos si el sistema está a disposición de los usuarios y, en caso de fallos o modificaciones necesarias, es soportado por los procesos de mantenimiento y operaciones. A lo largo de todo el ciclo de los productos TI, la fase de operaciones alcanza cerca del 70-80% del total del tiempo y del coste, y el resto se invierte en el desarrollo del producto (u obtención). De esta manera, los procesos eficaces y eficientes de la Gestión de Servicios TI se convierten en esenciales para el éxito de los departamentos de TI. Esto se aplica a cualquier tipo de organización, grande o pequeña, pública o privada, con servicios TI centralizados o descentralizados, con servicios TI internos o suministrados por terceros. En todos los casos, el servicio debe ser fiable, consistente, de alta calidad, y de coste aceptable.
Las ventajas de ITIL para los clientes y usuarios • Mejora la comunicación con los clientes y usuarios finales a través de los diversos puntos de contacto acordados. • Los servicios se detallan en lenguaje del cliente y con más detalles. • Se maneja mejor la calidad y los costos de los servicios. • La entrega de servicios se enfoca mas al cliente, mejorando con ello la calidad de los mismos y relación entre el cliente y el departamento de IT. • Una mayor flexibilidad y adaptabilidad de los servicios. UNE ISO/IEC 20000 La norma ISO/IEC20000 es la primera norma en el mundo específicamente dirigida a la gestión de los servicios de TI (Tecnologías de la Información). Fue desarrollada en respuesta a la necesidad de establecer procesos y procedimientos para minimizar los riesgos en los negocios provenientes de un colapso técnico del sistema de TI de las organizaciones. El objetivo de esta fase inicial es desarrollar una guía para la implantación en el entorno PYME que basado en la norma UNE-ISO/IEC 20000-1:2007, permita articular un método de implantación más asequible y flexible para las empresas que presten servicios dentro del sector TI.
La TI (tecnología de la información) es imprescindible en las empresas de hoy en día. Sin embargo, las preocupaciones en torno a los servicios de TI tanto internos como subcontratados crecen debido a que estos servicios no se ajustan a las necesidades de empresas y clientes. Una solución reconocida a este problema es utilizar un sistema de gestión de servicios de TI (SGSTI) basado en ISO/IEC 20000, la norma internacional para gestión de servicios de TI. La certificación para esta norma permite demostrar de una forma independiente a los clientes que la entidad cumple con las mejores prácticas. ISO/IEC 20000 se basa en BS 15000, la norma británica reconocida internacionalmente, y la sustituye. ISO/IEC 20000 se ha publicado en dos partes: La parte uno es la especificación para la gestión de servicios que abarca la gestión de servicios de TI. Ésta es la parte que se puede auditar y establece unos requisitos mínimos que deben cumplirse para obtener la certificación. La parte dos es el código profesional para la gestión de servicios, que describe las mejores prácticas para los procesos de gestión de servicios en el ámbito de la especificación. La ISO/IEC 20000 es aplicable a cualquier organización, pequeña o grande, en cualquier sector o parte del mundo donde confían en los servicios de TI. La norma es particularmente aplicable para proveedores de servicios internos de TI, tales como departamentos de Información Tecnológica, proveedores externos de TI o incluso organizaciones subcontratadas.
La norma está impactando positivamente en algunos de los sectores que necesitan TI tales como subcontratación de negocios, Telecomunicaciones, Finanzas y el Sector Público. Implantación Para comenzar la implantación del Sistema de Gestión basado en Procesos es indispensable conocer la situación previa de las organizaciones participantes. Esto se hará mediante una evaluación inicial, GAP análisis con respecto a la norma. Una vez conocida la situación de cada organización, basándose en las Recomendaciones de Mejora, cada PYME deberá elaborar un Plan de proyecto de acuerdo con sus objetivos y limitaciones. La posterior puesta en práctica de dicho plan, en base al plan de proyecto, siempre con la ayuda de Consultores expertos. SARBANES-OXLEY La Ley Sarbanes-Oxley, conocida también como SarOx ó SOA (por sus siglas en inglés Sarbanes Oxley Act), es la ley que regula las funciones financieras contables y de auditoría y penaliza en una forma severa, el crimen corporativo y de cuello blanco. Debido a los múltiples fraudes, la corrupción administrativa, los conflictos de interés, la negligencia y la mala práctica de algunos profesionales y ejecutivos que conociendo los códigos de ética, sucumbieron ante el atractivo de ganar dinero fácil y a través de empresas y corporaciones engañando a socios, empleados y grupos de interés, entre ellos sus clientes y proveedores. Las empresas mexicanas que cotizan sus acciones en el mercado de valores de Estados Unidos tendrán que cubrir costos que representarán entre el 0.1 y 0.24 por ciento de sus ventas para cumplir, a partir de diciembre de este año, con los requisitos de la Ley Sarbanes Oxley, que si bien entró en vigor en 2003, para las empresas extranjeras la sección 404 exige su cumplimiento a partir de diciembre próximo. Se calcula que el mercado para consultores que asesorarán a las empresas mexicanas en el cumplimiento de esta ley podría llegar hasta los 10 millones de dólares. El Instituto Mexicano de Contadores Públicos estima que una de las áreas que exigirán mayor reorganización en las empresas mexicanas serán sus sistemas de información y sus esquemas de control; de hecho será necesario contar con procesos empresariales digitales.
Más de 1,300 compañías extranjeras cuyas acciones cotizan en la SEC deberán cumplir en los próximos meses con la Ley Sarbanes Oxley; 500 de ellas son canadienses, 108 británicas, 86 israelíes, 41 mexicanas, 41 brasileñas, 35 holandesas, 34 francesas, 31 japonesas, y el resto proviene de otros 47 países. Empresas donde se aplica La ley Sarbanes Oxley: La ley Sarbanes Oxley es aplicada para aquellas empresas que a partir del 15 de Noviembre del 2004 generen más de 75 millones de dólares al año. Nuestro país en este 2004 va a exportar cerca de 16200 millones de dólares y en gran porcentaje a empresas transnacionales ubicadas en nuestro país . En este aspecto es cuando la ley afecta a las empresas mexicanas. Imaginemos que una maquiladora de pantalones de mezclilla no puede entregar a tiempo un lote de la empresa Levi´s, es lógico pensar que una empresa de esta importancia a nivel mundial no tiene proveedores únicos, ellos están consientes del riesgo que se puede tener al trabajar con una sola compañía y es por eso que tienen empresas alternas para cualquier contingencia. Si la empresa maquiladora no atiende el pedido que Levi´s le ha solicitado esta última puede hacer rescindir el contrato de la maquiladora teniendo como consecuencia la desaparición completa de la empresa y por consiguiente el despido impresionante de trabajadores. Por otro lado, esto obliga a las empresas mexicanas a tener un verdadero control de sus procesos internos para poder asegurar que van a poder cumplir con los acuerdos aceptados. Es importe decir que el hacer las cosas más rápido y con una mejor eficiencia e inteligencia dará a las empresas mexicanas un buen posicionamiento y una ventaja competitiva contra sus posibles competidores. BASILEA II Basilea II es el segundo de los Acuerdos de Basilea. Dichos acuerdos consisten en recomendaciones sobre la legislación y regulación bancaria y son emitidos por el Comité de supervisión bancaria de Basilea. El propósito de Basilea II, publicado inicialmente en junio de 2004, es la creación de un estándar internacional que sirva de referencia a los reguladores bancarios, con objeto de establecer los requerimientos de capital necesarios, para asegurar la protección de las entidades frente a los riesgos financieros y operativos.
El beneficio global de la propuesta de Basilea II en México sería: -Creación de incentivos para mejorar los procedimientos de evaluación de riesgos. -Mejoras en el sistema de gobierno corporativo. Nuevos modelos internos de riesgo. -Cambio cultural: Necesidad de concienciar a la dirección. -La administración de riesgos requerirá nuevas y sofisticadas herramientas de información, y -Las necesidades de información requieren grandes inversiones en tecnología. Es probable, que las instituciones financieras pequeñas tengan que ser vendidas, fusionadas ó adquiridas.
CONCLUSIÓN Examinando con detenimiento las normas: ISO 27001, ISO 17799, COSO, ITIL, COBIT, UNE ISO/IEC 20000, SARBANES-OXLEY y BASILEA II, se llega a la conclusión que es muy importante implementar elementos de gestión de riesgos en las Micro, Pequeñas y medianas empresas para prevenir riesgos, por tanto la mayoría de estas son utilizadas en México, y más que nada , en la actualidad , podemos encontrar , una gran cantidad de pymes Mexicanas que han implementado o se encuentran en proceso de implantación de la combinación : COBIT-ITIL-ISO 227001. Siendo COBIT e ITIL las más usadas en México. Por otra parte se estima que en los próximos meses el 41%de las empresas Mexicanas deberán cumplir con la ley SARBANES – OXLEY. Aunque para las Pymes es mucho más viable y fundamental de implementar la norma ITIL en las áreas que supongan el máximo de beneficio para la organización. En México las mayorías de las empresas son muy pequeñas, trabajan en un entorno familiar y no realizan inversiones en tecnología, lo que dificulta la implementación de algunas de las normas antes mencionadas sin embargo, muchas empresas, que cuentan con una organización estable pueden hacer uso de la ISO 227001, porque deben de detallar sus métodos y estandarizar procedimientos con el fin de mejorar la calidad de sus productos o servicios.

Más contenido relacionado

PPT
Aplicaciones de las funciones en los automóviles
Raul Hernandez Llanos
 
PPTX
Introducción a los métodos númericos
Tensor
 
PDF
Métodos numéricos método de la secante
HELIMARIANO1
 
DOCX
Propiedades de determinantes y las operaciones de fila y columna.Determinante...
Carlita Vaca
 
PPTX
Otras cartas de control II
Laura Marcela Bernal
 
PDF
Función gamma
Jair Ospino Ardila
 
PDF
Solucionario analisis matematico I
Amparocecilia
 
PPTX
Aplicaciones del cálculo a la ingeniería
Abel Rivera Cervantes
 
Aplicaciones de las funciones en los automóviles
Raul Hernandez Llanos
 
Introducción a los métodos númericos
Tensor
 
Métodos numéricos método de la secante
HELIMARIANO1
 
Propiedades de determinantes y las operaciones de fila y columna.Determinante...
Carlita Vaca
 
Otras cartas de control II
Laura Marcela Bernal
 
Función gamma
Jair Ospino Ardila
 
Solucionario analisis matematico I
Amparocecilia
 
Aplicaciones del cálculo a la ingeniería
Abel Rivera Cervantes
 

La actualidad más candente (20)

PDF
Limites trigonométricos
Silvio Chávez Acevedo
 
DOCX
Practica 2 organica, destilacion simple
Gabi Armenta
 
PPTX
PRISMA:TRONCO DE PRISMA
carolina5_sandoval
 
PDF
Ecuaciones diferenciales lineales de primer orden y aplicaciones(tema 1)
Yerikson Huz
 
PDF
Problemas resueltos 1oct_max
Juan Timoteo Cori
 
PPT
Prueba de hipotesis(1)
amy Lopez
 
PPT
Transformacion lineal
armando jose estaba quevedo
 
PPTX
Prueba de hipotesis sobre la media con varianza desconocida
Karina Ruiz
 
PPS
serie de taylor
Emmanuel Sarmiento
 
PPTX
Definicion de error
Tensor
 
PPTX
DERIVADAS PARCIALES DE ORDEN SUPERIOR
Ethel Sullcaray
 
PDF
Ecuaciones Diferenciales - Ecuaciones de Segundo orden
Kike Prieto
 
PDF
Solucionario ecuaciones diferenciales
Daniel Mg
 
DOCX
Ejercicios estadistica
Jessenia Cuadra
 
PPTX
Recursividad
Lester Sanchez
 
PPTX
Metodos de raices
cyndy
 
DOCX
Reporte.tubode stefan
Carlos Mtz
 
PPT
Ecuacion de cauchy euler
seralb
 
PDF
Problemas selectos de fenomenos de transporte
Alberto Cristian
 
DOCX
Calor especifico de un metal. Informe de fisica By Jairo A. Marchena M. USB. ...
Universidad Simon Bolivar (Bquilla-Col)
 
Limites trigonométricos
Silvio Chávez Acevedo
 
Practica 2 organica, destilacion simple
Gabi Armenta
 
PRISMA:TRONCO DE PRISMA
carolina5_sandoval
 
Ecuaciones diferenciales lineales de primer orden y aplicaciones(tema 1)
Yerikson Huz
 
Problemas resueltos 1oct_max
Juan Timoteo Cori
 
Prueba de hipotesis(1)
amy Lopez
 
Transformacion lineal
armando jose estaba quevedo
 
Prueba de hipotesis sobre la media con varianza desconocida
Karina Ruiz
 
serie de taylor
Emmanuel Sarmiento
 
Definicion de error
Tensor
 
DERIVADAS PARCIALES DE ORDEN SUPERIOR
Ethel Sullcaray
 
Ecuaciones Diferenciales - Ecuaciones de Segundo orden
Kike Prieto
 
Solucionario ecuaciones diferenciales
Daniel Mg
 
Ejercicios estadistica
Jessenia Cuadra
 
Recursividad
Lester Sanchez
 
Metodos de raices
cyndy
 
Reporte.tubode stefan
Carlos Mtz
 
Ecuacion de cauchy euler
seralb
 
Problemas selectos de fenomenos de transporte
Alberto Cristian
 
Calor especifico de un metal. Informe de fisica By Jairo A. Marchena M. USB. ...
Universidad Simon Bolivar (Bquilla-Col)
 
Publicidad

Similar a Ensayo de Estandares. (20)

PPTX
Introducción a los sistemas de gestión de seguridad
Edgardo Ortega
 
PPT
ANALISIS COBIT
japaricio2180
 
DOC
ISO 27001 by Lomparte Sanchez
Renzo Lomparte
 
PDF
Consecuencias de la implementación ISO 9001:2008 en organizaciones del ámbito...
Fabián Descalzo
 
PPTX
NTC-ISO 31000
William Alejandro Rico Mora
 
DOCX
Trabajo de auditoria
Jm-king Andeson
 
PDF
ISO 27001 by Lomparte Sanchez
Renzo Lomparte
 
PDF
Material consulta_ci
Carito Ibarra
 
PDF
Capitulo I CNTOL DE OPR
AGMisael
 
DOCX
Cristina gavilanes auditoriainformatica_1bimestre
mcgavilanes
 
DOCX
Implementación de un Sistema d Gestión
carloscastro712
 
PDF
27001:2013 Seguridad orientada al negocio
Fabián Descalzo
 
PPTX
Cobit-PresentaciónFinal - control interno
Juan Carlos Herrera Manterola
 
PDF
Informe final
Uriel Aguirre
 
PDF
Metodologia de BSC.pdf
JoaquinResendiz2
 
PPTX
Software de control de proceso
Autoridad Nacional de Asuntos Maritimos
 
DOCX
Resumencapitulo1
Antony Quispe Paitan
 
PPT
Seguridad Informatica, Governanza De Ti Y Cobit
YAMJ2010
 
PPTX
Diana plata tical uptc
Diroplan
 
PDF
MONITOREAR Y EVALUAR DENTRO DE COBIT5 .pdf
BraySC
 
Introducción a los sistemas de gestión de seguridad
Edgardo Ortega
 
ANALISIS COBIT
japaricio2180
 
ISO 27001 by Lomparte Sanchez
Renzo Lomparte
 
Consecuencias de la implementación ISO 9001:2008 en organizaciones del ámbito...
Fabián Descalzo
 
NTC-ISO 31000
William Alejandro Rico Mora
 
Trabajo de auditoria
Jm-king Andeson
 
ISO 27001 by Lomparte Sanchez
Renzo Lomparte
 
Material consulta_ci
Carito Ibarra
 
Capitulo I CNTOL DE OPR
AGMisael
 
Cristina gavilanes auditoriainformatica_1bimestre
mcgavilanes
 
Implementación de un Sistema d Gestión
carloscastro712
 
27001:2013 Seguridad orientada al negocio
Fabián Descalzo
 
Cobit-PresentaciónFinal - control interno
Juan Carlos Herrera Manterola
 
Informe final
Uriel Aguirre
 
Metodologia de BSC.pdf
JoaquinResendiz2
 
Software de control de proceso
Autoridad Nacional de Asuntos Maritimos
 
Resumencapitulo1
Antony Quispe Paitan
 
Seguridad Informatica, Governanza De Ti Y Cobit
YAMJ2010
 
Diana plata tical uptc
Diroplan
 
MONITOREAR Y EVALUAR DENTRO DE COBIT5 .pdf
BraySC
 
Publicidad

Ensayo de Estandares.

  • 1. UNIVERSIDAD VERACRUZANA FACULTAD DE ADMINISTRACIÓN CARRERA: LICENCIATURA EN SISTEMAS COMPUTACIONALES ADMINISTRATIVOS EXPERIENCIA EDUCATIVA: ADMINISTRACIÓN DE TECNOLOGÍAS DE INFORMACIÓN EJERCICIOS CATEDRÁTICO: TORRES GASTELÚ CARLOS ARTURO INTEGRANTE: JULIETA ORTIZ REYES 7TO. BLOQUE H. VERACRUZ, VER. DICIEMBRE DEL 2011
  • 2. INTRODUCCION El uso de Tecnologías de Información (TI) tiene el potencial para ser el mayor impulsor de riqueza económica en el siglo XXI además de que TI ya es crítica para el éxito empresarial, proporciona oportunidades para obtener una ventaja competitiva y ofrece medios para incrementar la productividad, e incluso hará aún más en el futuro. El creciente uso de estándares y mejores prácticas han generado nuevos desafíos y demandas por guías de implementación, una de ellas es la creación de conciencia del propósito del negocio y los beneficios de estas prácticas, así como también la ayuda de tomas de decisiones sobre: ¿Cuáles practicas utilizar? y ¿Cómo integrarlas con las políticas y los procedimientos internos? Por otra parte la adaptación de estándares y nuevas prácticas a los requerimientos específicos de la organización. Debido a su naturaleza técnica los estándares y las mejores prácticas de TI normalmente son conocidas por los expertos (profesionales, gerentes y asesores de TI) quienes pueden adoptarlos y utilizarlos con la mejor intención, sin embargo potencialmente no tienen un enfoque de negocio por lo que algunos gerentes funcionales entienden poco acerca de su real propósito y no están preparados para influir sobre su utilización. Hoy en día las normas de tecnología son empleadas en las empresas a nivel mundial debido a la necesidad de estandarizar procesos para ofrecer una mejor calidad en los servicios. A continuación se mencionan algunas de las normas más utilizadas en el mundo y se detalla brevemente la manera en que se implementan, también se realiza un enfoque de las normas aplicadas en el contexto mexicano donde se selecciona el estándar más adecuado para emplear en una PYME mexicana, así como el procedimiento para emplearlo y ciertas recomendaciones que se requieren para dicha implementación.
  • 3. DESARROLLO ISO 27001 (International Organization For Standardization) Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información. La implantación de ISO/IEC 27001 en una organización es un proyecto que suele tener una duración entre 6 y 12 meses, dependiendo del grado de madurez en seguridad de la información y el alcance, entendiendo por alcance el ámbito de la organización que va a estar sometido al Sistema de Gestión de la Seguridad de la Información. En general, es recomendable la ayuda de consultores externos. Esta norma es usada en México pero es difícil de que sea implementada en una PYME debido a que son muy pocas las que han adecuado previamente de forma rigurosa sus sistemas de información y sus procesos de trabajo a las exigencias de las normativas legales de protección de datos. Pasos que se requieren para su implementación 1. Obtener el apoyo de la dirección Esto puede parecer un tanto obvio y, generalmente, no es tomado con la seriedad que merece. Pero, es el principal motivo en el fracaso de los proyectos para la implementación de la norma ISO 27001 ya que la dirección no destina suficientes recursos humanos para que trabajen en el proyecto ni suficiente dinero. 2. Tomarlo como un proyecto Como ya se ha dicho, la implementación de la norma ISO 27001 es un tema complejo que involucra diversas actividades, a muchas personas y puede demandar varios meses (o más de un año). Si no se define claramente qué es lo que se hará, quién lo hará y en qué período de tiempo es probable que nunca se termine el trabajo.
  • 4. 3. Definir el alcance Si se trata de una gran organización, probablemente tenga sentido implementar la norma ISO 27001 solamente en una parte de la misma, reduciendo significativamente de esta forma, los riesgos del proyecto. 4. Redactar una Política de SGSI La Política de SGSI es el documento más importante en un SGSI: no debe ser demasiado detallado pero debe definir algunos temas básicos sobre la seguridad de la información en la organización. Pero ¿cuál es su objetivo si no es minucioso? El objetivo es que la dirección defina qué desea lograr y cómo controlarlo. 5. Definir la metodología de Evaluación de riesgos La evaluación de riesgos es la tarea más compleja del proyecto para la norma ISO 27001; su objetivo es definir las reglas para identificar los activos, las vulnerabilidades, las amenazas, las consecuencias y las probabilidades, como también definir el nivel aceptable de riesgo. Si esas reglas no están definidas claramente, no podrá encontrarse en una situación en la que se obtendrían resultados inservibles. 6. Realizar la evaluación y el tratamiento de riesgos Aquí, se debe que implementar lo que se definió en el paso anterior. En organizaciones más grandes puede demandar varios meses, por lo tanto, se debe coordinar esta tarea con mucho cuidado. Lo importante es obtener una visión integral de los peligros sobre la información de la organización. El objetivo del proceso de tratamiento de riesgos es reducir los riesgos no aceptables. En este paso, se debe redactar un Informe sobre la evaluación de riesgos que documente todos los pasos tomados durante el proceso de evaluación y tratamiento de riesgos. También es necesario conseguir la aprobación de los riesgos residuales; ya sea en un documento separado o como parte de la Declaración de aplicabilidad.
  • 5. 7. Redactar la Declaración de aplicabilidad Luego de finalizar el proceso de tratamiento de riesgos, se sabrá exactamente qué controles del Anexo se necesitan. El objetivo de este documento (generalmente denominado DdA) es enumerar todos los controles, definir cuáles son aplicables y cuáles no, definir los motivos de esa decisión, los objetivos que se lograrán con los controles y describir cómo se implementarán. La Declaración de aplicabilidad también es el documento más apropiado para obtener la autorización de la dirección para implementar el SGSI. 8. Redactar el Plan de tratamiento del riesgo Justo cuando se pensaba que se había resuelto todos los documentos relacionados con el riesgo, aquí aparece otro. El objetivo del Plan de tratamiento del riesgo es definir claramente cómo se implementarán los controles de la DdA, quién lo hará, cuándo, con qué presupuesto, etc. Este documento es, en realidad, un plan de implementación enfocado sobre sus controles; sin el cual, usted no podría coordinar los pasos siguientes del proyecto. 9. Determinar cómo medir la eficacia de los controles Otra tarea que, generalmente, es subestimada. El tema aquí es, si no se puede medir lo que se ha hecho, ¿cómo se puede estar seguro de que se ha logrado el objetivo? Por lo tanto, hay que determinar cómo se medirá el logro de los objetivos establecidos tanto para todo el SGSI como para cada control aplicable de la Declaración de aplicabilidad. 10. Implementación de controles y procedimientos obligatorios Es más fácil decirlo que hacerlo. Aquí es cuando se debe implementar los cuatro procedimientos obligatorios y los controles correspondientes.
  • 6. Esta es, habitualmente, la tarea más riesgosa del proyecto ya que, generalmente, implica la aplicación de nuevas tecnologías pero, sobre todo, la implementación de nuevas conductas en la organización. Muchas veces las nuevas políticas y procedimientos son necesarios (en el sentido que el cambio es necesario) y las personas, generalmente, se resisten al cambio; es por ello que la siguiente tarea (capacitación y concienciación) es vital para prevenir ese riesgo. 11. Implementar programas de capacitación y concienciación Si se quiere que los empleados implementen todas las nuevas políticas y procedimientos, primero se les debe explicar por qué son necesarios y se debe capacitarlos para que puedan actuar según lo esperado. La falta de estas actividades es el segundo motivo principal por el fracaso del proyecto para la implementación de la norma ISO 27001. 12. Hacer funcionar el SGSI Esta es la parte en que ISO 27001 se transforma en una rutina diaria dentro de la organización. La palabra más importante aquí es: “registros”. A los auditores les encantan los registros; sin registros le resultará muy difícil probar que una actividad se haya realizado realmente. Pero, ante todo, los registros deberían ayudarle. Con ellos, se puede supervisar qué está sucediendo, y sabrá si realmente si los empleados (y proveedores) están realizando sus tareas según lo requerido. 13. Supervisión del SGSI ¿Qué está sucediendo en su SGSI? ¿Cuántos incidentes tiene? ¿De qué tipo? ¿Todos los procedimientos se efectúan correctamente? Aquí es donde se cruzan los objetivos de los controles con la metodología de medición; debe verificar si los resultados que obtiene cumplen con lo que se estableció en los objetivos. Si no se cumplen, es evidente que algo está mal y debe aplicar medidas correctivas y/o preventivas.
  • 7. 14. Auditoría interna Muchas veces las personas no son conscientes de que están haciendo algo mal (por otro lado, a veces sí lo saben pero no quieren que nadie lo descubra). Pero no ser consciente de los problemas existentes o potenciales puede dañar a su organización, por eso debe realizar auditorías internas para descubrir este tipo de cosas. Lo importante aquí no es activar medidas disciplinarias, sino aplicar medidas correctivas y/o preventivas. (Dilemas con los auditores internos de las normas ISO 27001 y BS 25999-2) 15. Revisión por parte de la dirección La dirección no tiene que configurar el cortafuegos, pero sí debe saber qué está sucediendo en el SGSI; es decir, si todo el mundo ejecutó sus tareas, si el SGSI obtiene los resultados deseados, etc. 16. Medidas correctivas y preventivas El objetivo del sistema de gestión es garantizar que todo lo que está mal (las denominadas “no conformidades”) sea corregido o, con algo de suerte, evitado. Por lo tanto, la norma ISO 27001 requiere que las medidas correctivas y preventivas se apliquen sistemáticamente; es decir, que se identifique la raíz de una no conformidad y se solucione y se controle.
  • 8. ISO 17799 La norma ISO 17799 Es el sistema de gestión de seguridad de la información (informational security management Systems, ISMS) reconocido internacionalmente, dicha norma define a la información como un activo que tiene valor en la organización, y como todos los activos es imperativo mantener su valor para el éxito de una organización. Esta norma Proporciona las pautas para la implementación basada en las sugerencias que deben ser consideradas por una organización para poder construir un programa comprensivo de gestión de seguridad de la información. Implementación la norma ISO 17799 ofrece instrucciones y recomendaciones para la administración de la seguridad. También ofrece una estructura para identificar e implementar soluciones para los siguientes riesgos: Política de seguridad: escribir y comunicar la política de seguridad de la compañía Organización de seguridad: definir los roles y las responsabilidades. Monitorear a los socios y a las empresas tercerizadas Clasificación y control de activos: llevar un inventario de los bienes de la compañía y definir cuán críticos son así como sus riesgos asociados Seguridad del personal: contratación, capacitación y aumento de concientización relacionadas a la seguridad Seguridad física y del entorno: área de seguridad, inventarios del equipamiento de seguridad Comunicación / Administración de operaciones: procedimientos en caso de accidente, plan de recuperación, definición de niveles de servicio y tiempo de recuperación, protección contra programas ilegales, etc. Control de acceso: establecimiento de controles de acceso a diferentes niveles (sistemas, redes, edificios, etc.) Desarrollo y mantenimiento del sistema: consideración de la seguridad en sistemas desde el diseño hasta el mantenimiento Plan de continuidad empresarial: definición de necesidades en términos de disponibilidad, recuperación de tiempo y establecimiento de ejercicios de emergencia Contratación: respeto por la propiedad intelectual, las leyes y las reglamentaciones de la compañía Una compañía debe empezar definiendo una aproximación a la evaluación de riesgo. Durante este acercamiento, se debe llevar a cabo una revisión de todas las violaciones potenciales de Seguridad. Esto no debe relacionarse solamente a los sistemas de TI, sino que debe abarcar toda la información delicada dentro de su organización.
  • 9. Las técnicas que se utilizan en una evaluación de riesgo son las siguientes: 1. Identificar los riesgos de los activos físicos e informativos de su compañía. 2. Evaluar los riesgos identificados en todas las áreas de control de seguridad. 3. Identificar y evaluar opciones para el tratamiento de riesgos y tomar acción para administrar y manejar los riesgos apropiadamente. 4. Seleccionar un sistema de controles con eficiencia de costos y con objetivos que son apropiados para administrar y tratar los riesgos. 5. Preparar una Declaración de Aplicación. Este documento presenta objetivos de control, controles seleccionados y liga los resultados de evaluación de riesgos y procesos de tratamiento de riesgos. Una vez que la aproximación de la evaluación de riesgo ha sido establecida, el próximo paso que se debe tomar para implementar el ISO 17799 es llevar a cabo una auditoria interna.
  • 10. COSO El control interno(COSO) se entiende como el proceso que ejecuta la administración con el fin de evaluar operaciones especificas con seguridad razonable en tres principales categorías: Efectividad y eficiencia operacional, confiabilidad de la información financiera y cumplimiento de políticas, leyes y normas. El control interno posee cinco componentes que pueden ser implementados en todas las compañías de acuerdo a las características administrativas, operacionales y de tamaño; los componentes son: un ambiente de control, una valoración de riesgos, las actividades de control (políticas y procedimientos), información y comunicación y finalmente el monitoreo o supervisión. Implementación La implementación del control interno implica que cada uno de sus componentes estén aplicados a cada categoría esencial de la empresa convirtiéndose en un proceso integrador y dinámico permanentemente, como paso previo cada entidad debe establecer los objetivos, políticas y estrategias relacionadas entre sí con el fin de garantizar el desarrollo organizacional y el cumplimiento de las metas corporativas; aunque el sistema de control interno debe ser intrínseco a la administración de la entidad y busca que esta sea más flexible y competitiva en el mercado se producen ciertas limitaciones inherentes que impiden que el sistema como tal sea 100% confiable y donde cabe un pequeño porcentaje de incertidumbre, por esta razón se hace necesario un estudio adecuado de los riesgos internos y externos con el fin de que el control provea una seguridad razonable para la categoría a la cual fue diseñado, estos riesgos pueden ser atribuidos a fallas humanas como la toma de decisiones erróneas, simples equivocaciones o confabulaciones de varias personas, es por ello que es muy importante la contratación de personal con gran capacidad profesional, integridad y valoreséticos así como la correcta asignación de responsabilidades bien delimitadas donde se interrelacionan unas con otras con el fin de que no se rompa la cadena de control fortaleciendo el ambiente de aplicación del mismo, cada persona es un eslabón que garantiza hasta cierto punto la eficiencia y efectividad de la cadena, cabe destacar que la responsabilidad principal en la aplicación del control interno en la organización debe estar siempre en cabeza de la administración o alta gerencia con el fin de que exista un compromiso real a todos los niveles de la empresa, siendo función del departamento de auditoría interna o quien haga sus veces, la adecuada evaluación o supervisión independiente del sistema con el fin de garantizar la actualización, eficiencia y existencia a través del tiempo, estas evaluaciones pueden ser continuas o puntuales sin tener una frecuencia predeterminada o fija, así mismo es conveniente mantener una correcta documentación con el fin de analizar los alcances de la evaluación, niveles de autorización, indicadores de desempeño e impactos de las deficiencias encontradas, estos análisis deben detectar en un momento oportuno como los cambios internos o externos del contexto empresarial pueden afectar el desarrollo o aplicación de las políticas en función de la consecución de los objetivos para su correcta evaluación.
  • 11. COBIT Cobit es un marco de referencia para la dirección de IT, asi como también de herramientas de soporte que permite a la alta dirección reducir la brecha entre las necesidades de control, cuestiones técnicas y los riesgos del negocio. Cobit permite el desarrollo de políticas claras y buenas prácticas para el control de TI en las organizaciones. Cobit enfatiza el cumplimiento normativo, ayuda a las organizaciones a aumentar el valor obtenido de TI, facilita su alineación y simplifica la implementación del marco de referencia de Cobit. El propósito de COBIT es brindar a la alta dirección de una compañía confianza en los sistemas de información y en la información que estos produzcan COBIT permite entender cómo dirigir y gestionar el uso de tales sistemas así como establecer un código de buenas prácticas a ser utilizado por los proveedores de sistemas de Cobit suministra las herramientas para supervisar todas las actividades relacionadas con IT. Ventajas de Cobit: Cobit es un marco de referencia aceptado mundialmente de gobierno IT basado en estándares y mejores prácticas de la industria. Una vez implementado, es posible asegurarse de que IT se encuentra efectivamente alineado con las metas del negocio, y orientar su uso para obtener ventajas competitivas. Suministra un lenguaje común que le permite a los ejecutivos de negocios comunicar sus metas, objetivos y resultados con Auditores, IT y otros profesionales. Proporciona las mejores prácticas y herramientas para monitorear y gestionar las actividades de IT. El uso de sistemas usualmente requiere de una inversión que necesita ser adecuadamente gestionada. Ayuda a los ejecutivos a entender y gestionar las inversiones en IT a través de sus ciclo de vida, así como también proporcionándoles métodos para asegurarse que IT entregara los beneficios esperados. La diferencia entre compañías que gestionan adecuadamente sus recursos IT y las que no es enorme. Cobit permite el desarrollo de políticas claras y buenas prácticas para la gestión de IT. Su marco de referencia permite gestionar los riesgos de IT y asegurar el cumplimiento, la continuidad, seguridad y privacidad.
  • 12. Al ser Cobit reconocida y aceptada internacionalmente como una herramienta de gestión, su implementación es un indicativo de la seriedad de una organización. Ayuda a Empresas y profesionales de IT a demostrar su competitividad ante las demás compañías. Así como existen procesos genéricos de muchos tipos de negocios, existen estándares y buenas practicas específicos para IT que deben seguirse por las compañías cuando se soportan en IT, en donde Cobit agrupa tales estándares y entrega un marco de referencia para su implementación y gestión. Una vez se identifican e implementan los principios relevantes de Cobit para una compañía, se obtiene plena confianza en que todos los recursos de sistemas están siendo gestionados efectivamente. Que resultados se obtienen al implementar Cobit: El ciclo de vida de costos de IT será mas transparente y predecible. IT entregara información de mayor calidad y en menor tiempo. IT brindara servicios con mayor calidad y todos los proyectos apoyados en IT serán mas exitosos. Los requerimientos de seguridad y privacidad serán más fácilmente identificados, y su implementación podrá ser mas fácilmente monitoreada. Todos los riesgos asociados a IT serán gestionados con mayor efectividad. El cumplimiento de regulaciones relacionadas a IT serán una práctica normal dentro de su gestión.
  • 13. ITIL ITIL, Information Technology Infrastructure Library, es una colección de las mejores prácticas observadas en la industria de TI. Es un conjunto de libros en los cuales se encuentran documentados todos los procesos referentes a la provisión de servicios de tecnología de información hacia las organizaciones. ITIL por medio de procedimientos, roles, tareas, y responsabilidades que se pueden adaptar a cualquier organización de TI, genera una descripción detallada de mejores prácticas, que permitirán tener mejor comunicación y administración en la organización de TI. Proporciona los elementos necesarios para determinar objetivos de mejora y metas que ayuden a la organización a madurar y crecer. ITIL fue desarrollada al reconocer que las organizaciones dependen cada vez más de la Informática para alcanzar sus objetivos corporativos. Esta dependencia en aumento ha dado como resultado una necesidad creciente de servicios informáticos de calidad que se correspondan con los objetivos del negocio, y que satisfagan los requisitos y las expectativas del cliente. A través de los años, el énfasis pasó de estar sobre el desarrollo de las aplicaciones TI a la gestión de servicios TI. La aplicación TI (a veces nombrada como un sistema de información) sólo contribuye a realizar los objetivos corporativos si el sistema está a disposición de los usuarios y, en caso de fallos o modificaciones necesarias, es soportado por los procesos de mantenimiento y operaciones. A lo largo de todo el ciclo de los productos TI, la fase de operaciones alcanza cerca del 70-80% del total del tiempo y del coste, y el resto se invierte en el desarrollo del producto (u obtención). De esta manera, los procesos eficaces y eficientes de la Gestión de Servicios TI se convierten en esenciales para el éxito de los departamentos de TI. Esto se aplica a cualquier tipo de organización, grande o pequeña, pública o privada, con servicios TI centralizados o descentralizados, con servicios TI internos o suministrados por terceros. En todos los casos, el servicio debe ser fiable, consistente, de alta calidad, y de coste aceptable.
  • 14. Las ventajas de ITIL para los clientes y usuarios • Mejora la comunicación con los clientes y usuarios finales a través de los diversos puntos de contacto acordados. • Los servicios se detallan en lenguaje del cliente y con más detalles. • Se maneja mejor la calidad y los costos de los servicios. • La entrega de servicios se enfoca mas al cliente, mejorando con ello la calidad de los mismos y relación entre el cliente y el departamento de IT. • Una mayor flexibilidad y adaptabilidad de los servicios. UNE ISO/IEC 20000 La norma ISO/IEC20000 es la primera norma en el mundo específicamente dirigida a la gestión de los servicios de TI (Tecnologías de la Información). Fue desarrollada en respuesta a la necesidad de establecer procesos y procedimientos para minimizar los riesgos en los negocios provenientes de un colapso técnico del sistema de TI de las organizaciones. El objetivo de esta fase inicial es desarrollar una guía para la implantación en el entorno PYME que basado en la norma UNE-ISO/IEC 20000-1:2007, permita articular un método de implantación más asequible y flexible para las empresas que presten servicios dentro del sector TI.
  • 15. La TI (tecnología de la información) es imprescindible en las empresas de hoy en día. Sin embargo, las preocupaciones en torno a los servicios de TI tanto internos como subcontratados crecen debido a que estos servicios no se ajustan a las necesidades de empresas y clientes. Una solución reconocida a este problema es utilizar un sistema de gestión de servicios de TI (SGSTI) basado en ISO/IEC 20000, la norma internacional para gestión de servicios de TI. La certificación para esta norma permite demostrar de una forma independiente a los clientes que la entidad cumple con las mejores prácticas. ISO/IEC 20000 se basa en BS 15000, la norma británica reconocida internacionalmente, y la sustituye. ISO/IEC 20000 se ha publicado en dos partes: La parte uno es la especificación para la gestión de servicios que abarca la gestión de servicios de TI. Ésta es la parte que se puede auditar y establece unos requisitos mínimos que deben cumplirse para obtener la certificación. La parte dos es el código profesional para la gestión de servicios, que describe las mejores prácticas para los procesos de gestión de servicios en el ámbito de la especificación. La ISO/IEC 20000 es aplicable a cualquier organización, pequeña o grande, en cualquier sector o parte del mundo donde confían en los servicios de TI. La norma es particularmente aplicable para proveedores de servicios internos de TI, tales como departamentos de Información Tecnológica, proveedores externos de TI o incluso organizaciones subcontratadas.
  • 16. La norma está impactando positivamente en algunos de los sectores que necesitan TI tales como subcontratación de negocios, Telecomunicaciones, Finanzas y el Sector Público. Implantación Para comenzar la implantación del Sistema de Gestión basado en Procesos es indispensable conocer la situación previa de las organizaciones participantes. Esto se hará mediante una evaluación inicial, GAP análisis con respecto a la norma. Una vez conocida la situación de cada organización, basándose en las Recomendaciones de Mejora, cada PYME deberá elaborar un Plan de proyecto de acuerdo con sus objetivos y limitaciones. La posterior puesta en práctica de dicho plan, en base al plan de proyecto, siempre con la ayuda de Consultores expertos. SARBANES-OXLEY La Ley Sarbanes-Oxley, conocida también como SarOx ó SOA (por sus siglas en inglés Sarbanes Oxley Act), es la ley que regula las funciones financieras contables y de auditoría y penaliza en una forma severa, el crimen corporativo y de cuello blanco. Debido a los múltiples fraudes, la corrupción administrativa, los conflictos de interés, la negligencia y la mala práctica de algunos profesionales y ejecutivos que conociendo los códigos de ética, sucumbieron ante el atractivo de ganar dinero fácil y a través de empresas y corporaciones engañando a socios, empleados y grupos de interés, entre ellos sus clientes y proveedores. Las empresas mexicanas que cotizan sus acciones en el mercado de valores de Estados Unidos tendrán que cubrir costos que representarán entre el 0.1 y 0.24 por ciento de sus ventas para cumplir, a partir de diciembre de este año, con los requisitos de la Ley Sarbanes Oxley, que si bien entró en vigor en 2003, para las empresas extranjeras la sección 404 exige su cumplimiento a partir de diciembre próximo. Se calcula que el mercado para consultores que asesorarán a las empresas mexicanas en el cumplimiento de esta ley podría llegar hasta los 10 millones de dólares. El Instituto Mexicano de Contadores Públicos estima que una de las áreas que exigirán mayor reorganización en las empresas mexicanas serán sus sistemas de información y sus esquemas de control; de hecho será necesario contar con procesos empresariales digitales.
  • 17. Más de 1,300 compañías extranjeras cuyas acciones cotizan en la SEC deberán cumplir en los próximos meses con la Ley Sarbanes Oxley; 500 de ellas son canadienses, 108 británicas, 86 israelíes, 41 mexicanas, 41 brasileñas, 35 holandesas, 34 francesas, 31 japonesas, y el resto proviene de otros 47 países. Empresas donde se aplica La ley Sarbanes Oxley: La ley Sarbanes Oxley es aplicada para aquellas empresas que a partir del 15 de Noviembre del 2004 generen más de 75 millones de dólares al año. Nuestro país en este 2004 va a exportar cerca de 16200 millones de dólares y en gran porcentaje a empresas transnacionales ubicadas en nuestro país . En este aspecto es cuando la ley afecta a las empresas mexicanas. Imaginemos que una maquiladora de pantalones de mezclilla no puede entregar a tiempo un lote de la empresa Levi´s, es lógico pensar que una empresa de esta importancia a nivel mundial no tiene proveedores únicos, ellos están consientes del riesgo que se puede tener al trabajar con una sola compañía y es por eso que tienen empresas alternas para cualquier contingencia. Si la empresa maquiladora no atiende el pedido que Levi´s le ha solicitado esta última puede hacer rescindir el contrato de la maquiladora teniendo como consecuencia la desaparición completa de la empresa y por consiguiente el despido impresionante de trabajadores. Por otro lado, esto obliga a las empresas mexicanas a tener un verdadero control de sus procesos internos para poder asegurar que van a poder cumplir con los acuerdos aceptados. Es importe decir que el hacer las cosas más rápido y con una mejor eficiencia e inteligencia dará a las empresas mexicanas un buen posicionamiento y una ventaja competitiva contra sus posibles competidores. BASILEA II Basilea II es el segundo de los Acuerdos de Basilea. Dichos acuerdos consisten en recomendaciones sobre la legislación y regulación bancaria y son emitidos por el Comité de supervisión bancaria de Basilea. El propósito de Basilea II, publicado inicialmente en junio de 2004, es la creación de un estándar internacional que sirva de referencia a los reguladores bancarios, con objeto de establecer los requerimientos de capital necesarios, para asegurar la protección de las entidades frente a los riesgos financieros y operativos.
  • 18. El beneficio global de la propuesta de Basilea II en México sería: -Creación de incentivos para mejorar los procedimientos de evaluación de riesgos. -Mejoras en el sistema de gobierno corporativo. Nuevos modelos internos de riesgo. -Cambio cultural: Necesidad de concienciar a la dirección. -La administración de riesgos requerirá nuevas y sofisticadas herramientas de información, y -Las necesidades de información requieren grandes inversiones en tecnología. Es probable, que las instituciones financieras pequeñas tengan que ser vendidas, fusionadas ó adquiridas.
  • 19. CONCLUSIÓN Examinando con detenimiento las normas: ISO 27001, ISO 17799, COSO, ITIL, COBIT, UNE ISO/IEC 20000, SARBANES-OXLEY y BASILEA II, se llega a la conclusión que es muy importante implementar elementos de gestión de riesgos en las Micro, Pequeñas y medianas empresas para prevenir riesgos, por tanto la mayoría de estas son utilizadas en México, y más que nada , en la actualidad , podemos encontrar , una gran cantidad de pymes Mexicanas que han implementado o se encuentran en proceso de implantación de la combinación : COBIT-ITIL-ISO 227001. Siendo COBIT e ITIL las más usadas en México. Por otra parte se estima que en los próximos meses el 41%de las empresas Mexicanas deberán cumplir con la ley SARBANES – OXLEY. Aunque para las Pymes es mucho más viable y fundamental de implementar la norma ITIL en las áreas que supongan el máximo de beneficio para la organización. En México las mayorías de las empresas son muy pequeñas, trabajan en un entorno familiar y no realizan inversiones en tecnología, lo que dificulta la implementación de algunas de las normas antes mencionadas sin embargo, muchas empresas, que cuentan con una organización estable pueden hacer uso de la ISO 227001, porque deben de detallar sus métodos y estandarizar procedimientos con el fin de mejorar la calidad de sus productos o servicios.