LAS NORMAS ISO 9000 27001 . 27002 -COSO -COBIT

-


 Las Normas ISO 

Las normas ISO 9000 son un conjunto de estándares internacionales que ayudan a las organizaciones a gestionar y mejorar la calidad de sus productos y servicios esto con la finalidad de garantizar la calidad constante.

Siguiendo estas normas, las organizaciones pueden:

·       Diseñar sistemas de calidad efectivos: Esto involucra definir los procesos clave, documentarlos y asegurarse de que se sigan.

·       Identificar y cumplir con los requisitos del cliente: Las normas ISO 9000 enfatizan en entender las necesidades de los clientes y asegurarse de que los productos o servicios las satisfacen.

·       Mejorar continuamente: Las normas ISO 9000 alientan a las organizaciones a buscar constantemente formas de mejorar sus procesos y productos.

En resumen, las normas ISO 9000 no son un producto tangible, sino una metodología para establecer y mantener sistemas de calidad efectivos dentro de cualquier organización.

Beneficios de las normas ISO 9000:

·       Mejora la satisfacción del cliente: Al garantizar que los productos y servicios cumplen con los requisitos del cliente, aumenta la confianza y la fidelidad.

·       Aumenta la eficiencia y la productividad: Al optimizar los procesos y eliminar los errores, se reduce el tiempo y el dinero que se gastan en reprocesos.

·       Reduce los costos: La mejora en la eficiencia y la productividad conduce a una reducción de los costos operativos.

·       Abre nuevas oportunidades de negocio: La certificación ISO 9000 puede ser un factor decisivo para ganar licitaciones y acceder a nuevos mercados.

·       Mejora la imagen de la empresa: Demuestra el compromiso de la organización con la calidad y la mejora continua.

Las normas ISO 9000 son aplicables a cualquier tipo de organización, independientemente de su tamaño, sector o actividad.

Implementar las normas ISO 9000 en la tecnología puede ser un proceso complejo, pero beneficioso. A continuación, te presento algunos pasos a seguir:

1. Planificación:

·       Define el alcance de la implementación: Decide qué áreas de tu organización se verán afectadas por la norma ISO 9000.

·       Establece objetivos: Define qué quieres lograr con la implementación de la norma ISO 9000.

·       Crea un plan de implementación: Describe los pasos que seguirás para implementar la norma ISO 9000, incluyendo plazos y responsables.

2. Formación:

·       Capacita a tu personal: Es fundamental que todos los empleados comprendan los requisitos de la norma ISO 9000 y cómo aplicarlos en su trabajo.

·       Proporciona formación específica sobre las herramientas y tecnologías que se utilizarán para la gestión de la calidad.

3. Documentación:

·       Desarrolla un sistema de documentación: Este sistema debe incluir políticas, procedimientos, instrucciones de trabajo y registros relacionados con la gestión de la calidad.

·       Asegúrate de que la documentación sea clara, precisa y esté actualizada.

4. Implementación:

·       Pon en práctica los requisitos de la norma ISO 9000 en tu organización.

·       Supervisa y mide el desempeño del sistema de gestión de la calidad.

5. Mejora continua:

·       Revisa y mejora continuamente el sistema de gestión de la calidad.

·       Busca oportunidades para mejorar la eficiencia y la eficacia de los procesos.

Herramientas tecnológicas para la implementación de la norma ISO 9000:

·       Software de gestión de la calidad: Este software puede ayudarte a automatizar tareas, como la gestión de documentos, registros y no conformidades.

·       Plataformas de formación online: Estas plataformas te permiten capacitar a tu personal de forma flexible y eficiente.

·       Herramientas de colaboración: Estas herramientas te ayudan a mejorar la comunicación y el trabajo en equipo entre los empleados.

 

·       ISO 27001: Sistema de Gestión de Seguridad de la Información (SGSI)

o   Define los requisitos para implementar, mantener y mejorar continuamente un SGSI.

o   Se centra en el marco o estructura para la gestión de la seguridad de la información.

o   Permite a las organizaciones certificarse por un organismo acreditado, demostrando su compromiso con la seguridad de la información.

·       ISO 27002: Controles de seguridad de la información

o   Proporciona una serie de recomendaciones y buenas prácticas para implementar controles de seguridad de la información.

o   Abarca controles en áreas como control de acceso, seguridad de la operación, seguridad de las comunicaciones y gestión de incidentes.

o   No se puede certificar bajo la norma ISO 27002, pero sirve como una guía para cumplir con los requisitos de la ISO 27001.

Requisitos de la Norma ISO 27001 para la Implementación de un SGSI

La norma ISO 27001 define un conjunto de requisitos que una organización debe cumplir para implementar y mantener un Sistema de Gestión de Seguridad de la Información (SGSI) efectivo. Estos requisitos se dividen en 10 secciones:

1. Contexto de la organización:

·       Comprensión de la organización y su contexto: Se analiza el entorno interno y externo de la organización, incluyendo sus partes interesadas y los riesgos y oportunidades relacionados con la seguridad de la información.

·       Determinación de los requisitos de las partes interesadas: Se identifican las necesidades y expectativas de las partes interesadas relevantes, como clientes, empleados, reguladores y socios.

·       Definición del alcance del SGSI: Se establece qué áreas de la organización estarán bajo el alcance del SGSI.

2. Liderazgo:

·       Compromiso de la alta dirección: La alta dirección debe demostrar su compromiso con la seguridad de la información y el SGSI.

·       Política de seguridad de la información: Se define la política de seguridad de la información, la cual debe ser documentada, comunicada y comprendida por toda la organización.

·       Roles, responsabilidades y autoridades: Se asignan roles, responsabilidades y autoridades para la gestión de la seguridad de la información.

3. Planificación:

·       Análisis de riesgos y oportunidades: Se realiza un análisis para identificar, evaluar y tratar los riesgos y oportunidades relacionados con la seguridad de la información.

·       Objetivos de seguridad de la información: Se establecen objetivos de seguridad de la información mensurables y alineados con el contexto de la organización.

·       Planificación de la acción: Se desarrolla un plan de acción para la implementación y mejora del SGSI.

4. Soporte:

·       Recursos: Se asignan los recursos necesarios para la implementación y mantenimiento del SGSI.

·       Competencia: Se asegura que el personal tenga la competencia y formación necesarias para cumplir con sus roles en el SGSI.

·       Toma de conciencia: Se sensibiliza y capacita a todo el personal sobre la importancia de la seguridad de la información y el SGSI.

5. Operación:

·       Planificación y control operacional: Se planifican y controlan los procesos de la organización para asegurar que se cumplen los requisitos de seguridad de la información.

·       Gestión de activos: Se identifican, controlan y protegen los activos de información de la organización.

·       Control de acceso: Se implementan controles de acceso para restringir el acceso a la información a las personas autorizadas.

·       Seguridad de las operaciones: Se asegura la seguridad de las operaciones del SGSI, incluyendo la gestión de incidentes y la continuidad del negocio.

6. Medición, análisis y mejora:

·       Seguimiento, medición, análisis y evaluación: Se realiza un seguimiento y medición del desempeño del SGSI, incluyendo la eficacia de los controles de seguridad.

·       Auditoría interna: Se realizan auditorías internas para evaluar el cumplimiento del SGSI con la norma ISO 27001.

·       Revisión por la dirección: La alta dirección revisa el SGSI de forma periódica para asegurar su eficacia y continuidad.

7. No conformidad y acción correctiva:

·       No conformidad, acción correctiva y mejora continua: Se establece un proceso para identificar, corregir y prevenir las no conformidades con los requisitos del SGSI.

8. Mejora:

·       Mejora continua: Se busca la mejora continua del SGSI mediante la implementación de acciones correctivas, preventivas y de mejora.

9. Implementación y operación:

·       Implementación y operación del SGSI: Se implementa y opera el SGSI de acuerdo con los requisitos de la norma ISO 27001.

10. Mejora:

·       Mejora continua del SGSI: Se busca la mejora continua del SGSI mediante la revisión y actualización de los controles de seguridad.

Es importante destacar que la norma ISO 27001 no es un modelo prescriptivo, sino que ofrece flexibilidad a las organizaciones para adaptar su SGSI a sus necesidades y contexto específicos.

Controles de Seguridad de la Información en la Norma ISO 27002

La norma ISO 27002 proporciona una lista de 114 controles de seguridad de la información agrupados en 14 dominios. Estos controles son recomendaciones que las organizaciones pueden implementar para proteger sus activos de información.

Los 14 dominios de la norma ISO 27002 son:

1.    Seguridad de la información y gestión de activos: Se enfoca en la protección de los activos de información de la organización, incluyendo su clasificación, control y manejo.

2.    Control de acceso: Regula quién tiene acceso a la información y a los recursos del sistema, y cómo se gestionan los permisos y roles de acceso.

3.    Seguridad de los recursos humanos: Aborda la seguridad del personal, incluyendo la selección, formación y concientización sobre la seguridad de la información.

4.    Seguridad física y ambiental: Protege los activos físicos de la organización, como los equipos, centros de datos y el entorno físico en general.

5.    Seguridad de las operaciones: Establece medidas para asegurar la seguridad de los procesos y operaciones de la organización, incluyendo la gestión de incidentes y la continuidad del negocio.

6.    Seguridad de las comunicaciones: Protege la información durante su transmisión y almacenamiento, incluyendo el uso de redes, correo electrónico y dispositivos móviles.

7.    Adquisición, desarrollo y mantenimiento de sistemas de información: Define los requisitos de seguridad para la adquisición, desarrollo y mantenimiento de sistemas de información.

8.    Gestión de la relación con los proveedores: Establece los criterios para la selección y gestión de proveedores de servicios de TI, asegurando la protección de la información.

9.    Gestión de incidentes de seguridad de la información: Describe el proceso para la identificación, respuesta y recuperación ante incidentes de seguridad.

10. Mejora continua: Promueve la mejora continua del SGSI mediante la revisión y actualización de los controles de seguridad.

11. Cumplimiento: Asegura el cumplimiento de las leyes y regulaciones aplicables a la seguridad de la información.

Algunos ejemplos de controles de seguridad de la información en la norma ISO 27002 son:

·       Control de acceso: Implementar un sistema de autenticación y autorización para controlar el acceso a los recursos del sistema.

·       Seguridad física: Implementar medidas de seguridad física para proteger los equipos y centros de datos, como control de acceso, videovigilancia y sistemas de detección de intrusiones.

·       Copia de seguridad y recuperación de desastres: Implementar un plan de copia de seguridad y recuperación de desastres para asegurar la disponibilidad de la información en caso de un incidente.

·       Gestión de incidentes: Implementar un proceso para la identificación, respuesta y recuperación ante incidentes de seguridad.

·       Concientización sobre la seguridad: Implementar un programa de formación y concientización sobre la seguridad de la información para el personal.

Es importante destacar que la norma ISO 27002 no es una lista exhaustiva de controles, y que las organizaciones pueden seleccionar e implementar los controles que sean más relevantes para su contexto y necesidades específicas.



¿Qué es COBIT?

 

COBIT es un marco de gestión de TI y gobierno administrado por ISACA. Proporciona controles sobre la tecnología de la información. Se organizan los procesos relacionados con el TI y apoyan el cumplimiento de los requisitos del negocio:

  • Utilizar de forma eficaz la información. Se deberá tener en cuenta las condiciones de tiempo y entrega.
  • Asignación eficaz de los recursos.
  • Para proteger la información contra accesos no autorizados.
  • Integridad de contenido de información.
  • Disponibilidad exigida por los procesos de negocio.
  • Cumplir con los requisitos legales.
  • Fiabilidad de la información utilizada para tomar decisiones.

El marco de procesos COBIT, se divide en cuatro dominios:

·       Planificar y organizar

·       Adquirir y poner en práctica

·       Entregar y dar soporte

·       Monitorear y evaluar

Para cada proceso, COBIT define las entradas, salidas, actividades principales, objetivos y medidas de rendimiento. COBIT tiene mayor nivel de detalle en procesos, pero carece de detalles Ha sido promovido por ISACA desde su primera versión en 1996 y actualmente se encuentra disponible la versión COBIT 2019. En la primera versión del marco de trabajo, COBIT se estableció como un acrónimo que significa Control Objetives for Information and Related Technology (Objetivos de Control para la Información y Tecnología Relacionada) y su público objetivo inicial eran los auditores de TI. La versión actual considera diversas partes interesadas, no solamente la función de TI de una empresa, sino a otros interesados como la Junta Directiva, Dirección Ejecutiva, Auditoría, etc.

La TI empresarial significa toda la tecnología y procesamiento de la información que una empresa utiliza para lograr sus objetivos, independientemente de dónde ocurra dentro de la empresa. En otras palabras, la TI empresarial no se limita al Depto. de TI de una organización.

¿Para qué sirve?

COBIT sirve para proveer gobierno y gestión para la función de TI y hace una clara distinción entre estas dos disciplinas que abarcan distintos tipos de actividades, requieren distintas estructuras organizativas y sirven a diferentes propósitos.

El gobierno asegura que:

  • Las necesidades, condiciones y opciones de las partes interesadas se evalúan para determinar objetivos empresariales equilibrados y acordados.
  • La dirección se establece a través de la priorización y la toma de decisiones.

El desempeño y el cumplimiento se monitorean en relación con la dirección y los objetivos acordados.

En la mayoría de las empresas, el gobierno en general es responsabilidad de la Junta Directiva o Consejo de Dirección bajo el liderazgo de su Presidente.

Por su parte, la gestión tiene que ver con planificar, construir, ejecutar y monitorear actividades en línea con la dirección establecida por el órgano de gobierno para alcanzar los objetivos de la empresa. En la mayoría de las empresas, la gestión es responsabilidad de la dirección ejecutiva bajo el liderazgo del director general ejecutivo (CEO).

COBIT define los componentes para crear y sostener un sistema de gobierno: procesos, estructuras organizativas, políticas y procedimientos, flujos de información, cultura y comportamientos, habilidades e infraestructura, elementos conocidos en el modelo como Catalizadores.

COBIT define los factores de diseño que deberían ser considerados por la empresa para crear un sistema de gobierno más adecuado y trata los asuntos de gobierno mediante la agrupación de componentes de gobierno relevantes dentro de objetivos de gobierno y gestión que pueden gestionarse según los niveles de capacidad requeridos.

técnicos para apoyar la aplicación.

¿Cómo puede la norma ISO 27001 interactuar con COSO y COBIT?

 

Básicamente, COSO, COBIT e ISO 27001 tienen los siguientes aspectos en común:

 

·       Impulsado por objetivos: Mientras COSO y COBIT tienen objetivos claramente definidos, la norma ISO 27001 requiere que los objetivos de seguridad de información sean definidos por cada empresa en función de su contexto en términos de confidencialidad, integridad y disponibilidad, para asegurar que la seguridad y los procesos de la empresa se integran.

·       Proceso orientado: Los tres marcos que hacen uso del enfoque basado en procesos organizan las actividades, y esto se puede utilizar para formar una visión sistemática de cómo pueden interactuar.

·       Utilización de controles. En COSO los controles son genéricos, con el objetivo de cubrir una mayor cantidad de procesos de negocio. COBIT reduce su ámbito de aplicación a las tecnologías de la información. ISO 27001 se centra en la seguridad de la información. Esto se puede traducir en oportunidades para solaparlos y optimizar las acciones de mejora.

COSO

 

El Comité de Organizaciones Patrocinadoras (COSO, por sus siglas en inglés) surgió en 1985 por iniciativa de cinco organizaciones privadas de Estados Unidos relacionadas con la Contabilidad, las Finanzas y la Auditoría.

Como misión principal, se destaca la gestión de riesgos corporativos, el control interno y la disuasión del fraude. En otras palabras, se trata de un estándar de alto nivel, pensado para la gobernanza y estrategia corporativa.

¿Cómo funciona el COSO?

El documento COSO II dice que la evaluación de riesgos involucra un proceso dinámico e interactivo para identificar y analizar riesgos que afectan el logro de objetivos de la entidad, dando la base para determinar cómo los riesgos deben ser administrados.

¿Cuáles son los 5 componentes del COSO?

El informe COSO es una metodología para implementar un sistema de control interno. Está integrado por 5 componentes, a saber: ambiente de control, evaluación de riesgos, actividades de control, información y comunicación y actividades de monitoreo, las actividades de control son las políticas y procedimientos que ayudan a asegurar que se están llevando a cabo las directrices administrativas. Se establecen con el propósito de garantizar que las metas de la empresa se alcancen.

 


Estudiantes:

Karelys Borjas V-27.797.270

Carlos Fernàndez V-19.465.768

Keily Parada V-23.925.443 

Sandra Espinal V-15.794.254

 

 

Comentarios

  1. Keily Parada11 de abril de 2024, 11:56 a.m.

    El COBIT es precisamente un modelo para auditar la gestión y control de los sistemas de información y tecnología, orientado a todos los sectores de una organización, es decir, administradores IT, usuarios y por supuesto, los auditores involucrados en el proceso.

    COSO: Permite aplicar el control interno a cualquier tipo de entidad y de acuerdo con sus necesidades. Presenta un enfoque basado en principios que proporcionan flexibilidad y se pueden aplicar a nivel de entidad, a nivel operativo y a nivel funcional.

    ISO 9000: es un conjunto de normas de control de calidad y gestión de calidad, establecidas por la Organización Internacional de Normalización. Se pueden aplicar en cualquier tipo de organización o actividad orientada a la producción de bienes o servicios

    ResponderBorrar

Publicar un comentario

Entradas más populares de este blog

ANÁLISIS DE LA LEY CONTRA DELITOS INFORMÁTICOS - (KEILY PARADA)

-
  República Bolivariana de Venezuela Ministerio del Poder Popular Para la Educación Universitaria Universidad Nacional Experimental de la Gran Caracas Unexca - Sede La Floresta Postgrado en Auditoría de Tecnología de Información Financiera y Seguridad de Datos Auditoría de Sistemas Turno Nocturno Sección: B Análisis de la Ley contra delitos informáticos Integrante: Keily Parada 23925443 Profesor: Miguel Angel Martínez Caracas, Junio 2024 Análisis de la Ley Especial Contra Delitos Informáticos en Venezuela La Ley Especial Contra Delitos Informáticos (LEC), publicada en Gaceta Oficial N° 37.313 del 30 de noviembre de 2001, tiene como objetivo principal la protección integral de los sistemas que emplean tecnologías de información, así como la prevención y sanción de los delitos cometidos contra tales sistemas o cualquiera de sus componentes, o de los delitos cometidos mediante el uso de dichas tecnologías. Aspectos Clave de la Ley: Tipificación de Delitos Informáticos: La L
Leer más

La auditoria de sistemas, auditoria interna y nuevas tecnologias, crisis de auditoria en el mundo y fases de la auditoria: estrategias

-
¿Qué es una auditoría de sistemas? Una auditoría de sistemas es un proceso independiente y objetivo que evalúa los sistemas de información de una organización para garantizar que sean confiables, seguros y eficientes. Se centra en examinar los controles internos de la organización para identificar riesgos, evaluar su efectividad y recomendar mejoras. ¿Cuáles son los objetivos de una auditoría de sistemas? Los objetivos de una auditoría de sistemas son: Garantizar la confiabilidad de la información:  La información debe ser precisa, completa y confiable para que la organización pueda tomar decisiones informadas. Proteger la seguridad de la información:  La información debe protegerse contra el acceso no autorizado, la divulgación, la alteración o la destrucción. Garantizar la eficiencia de los sistemas de información:  Los sistemas de información deben ser eficientes y efectivos para apoyar las operaciones de la organización. Cumplimiento de las regulaciones:  Los sistemas de informació
Leer más