Estándares de Auditoría de Sistemas
La Naturaleza
de la Auditoría de Sistemas de Información, y las capacidades necesarias para
la realización de dichas auditorías, requieren estándares de aplicación
específica a la auditoría de sistemas. Por lo mismo que la información es un
activo vital para el éxito y la continuidad en el mercado de cualquier
organización. El aseguramiento de dicha información y de los sistemas que la
procesan es, por tanto, un objetivo de primer nivel para la organización. Para
la adecuada gestión de la seguridad de la información, es necesario implantar
un sistema que aborde esta tarea de una forma metódica, documentada y basada en
unos objetivos claros de seguridad y una evaluación de los riesgos a los que
está sometida la información de la organización.
Estándares Aplicables a
la Auditoría de Sistemas de Información
•Directrices
Gerenciales de COBIT, desarrollado por la Information Systems Audit and Control
Association (ISACA)
•The Management of the Control of data Information Technology, desarrollado por el Instituto Canadiense de Contadores Certificados (CICA)
•Administración de la inversión de tecnología de Inversión: un marco para la evaluación y mejora del proceso de madurez, desarrollado por la Oficina de Contabilidad General de los Estados Unidos (GAO)
•Los estándares de administración de calidad y aseguramiento de calidad ISO 9000, desarrollados por la Organización Internacional de Estándares (ISO).
•SysTrust – Principios y criterios de confiabilidad de Sistemas, desarrollados por la Asociación de Contadores Públicos (AICPA) y el CICA
•El Modelo de Evolución de Capacidades de software (CMM), desarrollado por el Instituto de Ingeniería de Software (SEI)
•Administración de sistemas de información: Una herramienta de evaluación práctica, desarrollado por la Directiva de Recursos de Tecnología de Información.
•Guía para el cuerpo de conocimientos de administración de proyectos, desarrollado por el comité de estándares del instituto de administración de proyectos.
•Ingeniería de seguridad de sistemas – Modelo de madurez de capacidades (SSE – CMM), desarrollado por la agencia de seguridad nacional (NSA) con el apoyo de la Universidad de Carnegie Mellon.
•Administración de seguridad de información: Aprendiendo de organizaciones líderes, desarrollado por la Oficina de Contabilidad General de los Estados Unidos (GAO)
Alcance de los
estándares
Directrices Gerenciales
de COBIT, desarrollado por la information Systems Audit and Control Association
(ISACA)
Las
Directrices Gerenciales son un marco internacional de referencias que abordan
las mejores prácticas de auditoría y control de sistemas de información.
Permiten que la gerencia incluya, comprenda y administre los riesgos
relacionados con la tecnología de información y establezca el enlace entre los
procesos de administración, aspectos técnicos, la necesidad de controles y los
riesgos asociados.
The Management of the
Control of data Information Technology, desarrollado por el Instituto
Canadiense de Contadores Certificados (CICA)
Este modelo
está basado en el concepto de roles y establece responsabilidades relacionadas
con seguridad y los controles correspondientes. Dichos roles están clasificados
con base en siete grupos: administración general, gerentes de sistemas, dueños,
agentes, usuarios de sistemas de información, así como proveedores de
servicios, desarrollo y operaciones de servicios y soporte de sistemas. Además,
hace distinción entre los conceptos de autoridad, responsabilidad y
responsabilidad respecto a control y riesgo previo al establecimiento del
control, en términos de objetivos, estándares y técnicas mínimas a considerar.
Administración de la
inversión de tecnología de Inversión: un marco para la evaluación y mejora del
proceso de madurez, desarrollado por la Oficina de Contabilidad General de los
Estados Unidos (GAO)
Este modelo identifica los procesos críticos, asegurando el éxito de las inversiones en tecnología de información y comunicación electrónicas. Además los organiza en cinco niveles de madurez, similar al modelo CMM.
Estándares de
administración de calidad y aseguramiento de calidad ISO 9000, desarrollados
por la Organización Internacional de Estándares (ISO)
La colección
ISO 9000 es un conjunto de estándares y directrices que apoyan a las
organizaciones a implementar sistemas de calidad efectivos, para el tipo de
trabajo que ellos realizan.
SysTrust – Principios y
criterios de confiabilidad de Sistemas, desarrollados por la Asociación de
Contadores Públicos (AICPA) y el CICA
Este servicio pretende incrementar la confianza de la alta gerencia, clientes y socios, con respecto a la confiabilidad en los sistemas por una empresa o actividad en particular. Este modelo incluye elementos como: infraestructura, software de cualquier naturaleza, personal especializado y usuarios, procesos manuales y automatizados, y datos. El modelo persigue determinar si un sistema de información es confiable, (i.e. si un sistema funciona sin errores significativos, o fallas durante un periodo de tiempo determinado bajo un ambiente dado).
Modelo de Evolución de
Capacidades de software (CMM), desarrollado por el Instituto de Ingeniería de
Software (SEI)
Este modelo hace posible evaluar las capacidades o habilidades para ejecutar, de una organización, con respecto al desarrollo y mantenimiento de sistemas de información. Consiste en 18 sectores clave, agrupados alrededor de cinco niveles de madurez. Se puede considerar que CMM es la base de los principios de evaluación recomendados por COBIT, así como para algunos de los procesos de administración de COBIT.
Administración de
sistemas de información: Una herramienta de evaluación práctica, desarrollado
por la Directiva de Recursos de Tecnología de Información (ITRB)
Este es una
herramienta de evaluación que permite a entidades gubernamentales, comprender
la implementación estratégica de tecnología de información y comunicación
electrónica que puede apoyar su misión e incrementar sus productos y servicios.
Guía para el cuerpo de
conocimientos de administración de proyectos, desarrollado por el comité de
estándares del instituto de administración de proyectos
Esta guía está enfocada en las mejores prácticas sobre administración de
proyectos. Se refiere a aspectos sobre los diferentes elementos necesarios para
una administración exitosa de proyectos de cualquier naturaleza. En forma
precisa, este documento identifica y describe las prácticas generalmente
aceptadas de administración de proyectos que pueden ser implementadas en las
organizaciones.
Ingeniería de seguridad
de sistemas – Modelo de madurez de capacidades (SSE – CMM), desarrollado por la
agencia de seguridad nacional (NSA) con el apoyo de la Universidad de Carnegie
Mellon
Este modelo describe las características esenciales de una arquitectura de seguridad organizacional para tecnología de información y comunicación electrónica, de acuerdo con las prácticas generalmente aceptadas observadas en las organizaciones.
Administración de
seguridad de información: Aprendiendo de organizaciones líderes, desarrollado
por la Oficina de Contabilidad General de los Estados Unidos (GAO)
Este modelo considera ocho organizaciones privadas reconocidas como líderes respecto a seguridad en cómputo. Este trabajo hace posible la identificación de 16 prácticas necesarias para asegurar una adecuada administración de la seguridad de cómputo, las cuáles deben ser suficientes para incrementar significativamente el nivel de administración de seguridad en tecnología de información y comunicación electrónica.
Calidad del producto
software y la norma ISO/IEC 25000
La calidad
del producto junto con la calidad del proceso son los aspectos más importantes
actualmente en el desarrollo de Software. En calidad del producto recientemente
ha aparecido una nueva versión de la norma ISO/IEC 9126: la norma ISO/IEC
25000. Esta proporciona una guía para el uso de las nuevas series de estándares
internacionales, llamados Requisitos y Evaluación de Calidad de Productos de
Software (SQuaRE). Constituyen una serie de normas basadas en la ISO 9126 y en
la ISO 14598 (Evaluación del Software), y su objetivo principal es guiar el
desarrollo de los productos de software con la especificación y evaluación de
requisitos de calidad. Establece criterios para la especificación de requisitos
de calidad de productos software, sus métricas y su evaluación.
No hay comentarios:
Publicar un comentario