ISO 27000 Y 27001

Metodologia de Analisis y Gestion de Riesgos de los Sistemas de Informacion (MAGERIT)

COMENTARIO

De acuerdo a lo evidenciado en el vídeo, MAGERIT es una metodología que brinda un valor agregado a la organización dando mayor confiabilidad en los sistemas de información que utilizan las compañías para la información manejada en cada uno de los procesos llevados a cabo por cada área funcional.

Este mecanismo de análisis de riesgos en los sistemas de información, brinda mayor confiabilidad tanto para la entidad que lo usa, como para los usuarios externos de la información que en el se maneja ya que con su aplicación se logra encontrar los riesgos a los que están expuestos los sistemas de información; pudiendo así tomar una desicion acerca de lo que se quiere hacer con estas incertidumbres bien sea aceptarlos,mitigarlos, eliminarlos, o compartirlos. En caso de que se decida mitigarlos, la compañía deberá recurrir a cierto tipos de controles para poder obtener un riesgo residual es decir un riesgo tolerable; con el fin de que no tenga un impacto significativo dentro del sistema de información y no afecte la información que en el se encuentra; pues de esta manera la finalidad del sistema de información dentro de la compañía no se perderá.

Control Objectives for Information and related Technology (COBIT)

COBIT es un marco de referencia integrado para el control de tecnologías de la información creado en 1992 que tiene la capacidad de:

• Establecer un nivel apropiado de control
• Integrar las practicas de tecnologías de la información
• Aprovechar con eficiencia y eficacia la información para generar beneficios en las compañías.

En 1998 se realizo otra versión de COBIT en donde desarrollaba una función de comprensión y administración de riesgos en las compañías; seguidamente en el año 2000 se desarrollan guías de este marco de referencia con el fin de resolver las necesidades de la administración en cuanto a las tecnologías de información; mas tarde en el año 2005 se da a conocer la cuarta versión de COBIT en donde se establece un enfoque mas gerencial y complejo a los estándares de tecnología de la información y finalmente en el año 2007 se realiza un cambio en el concepto de control para la tecnología de información en las organizaciones y finalmente en el 2012 se implemento el gobierno corporativo de tecnologías de información COBIT 5. 

El COBIT 5 se realiza con el objetivo de lograr 5 principios.

1. Satisfacer las necesidades de las partes interesadas: Crear valor a las partes interesadas por medio de la obtención de beneficios, optimizacion de riesgos y optimizacion de recursos.
2. Cubrir la compañía de forma integral:Cubre todos los procesos y funciones de la organización.
3. Aplicar un solo marco integrado:Se encuentra en la capacidad de reemplazar marcos como ISO
4. Habilitar un enfoque holistico: Hacer que la jerarquía organizacional cumpla con sus funciones de manera adecuada para lograr implementar este marco en toda la organización.
5. Separar el gobierno de la administración: Ya que cada uno posee funciones, propositos, estructuras y actividades distintas.

De acuerdo a lo anterior se dará a conocer el cubo COBIT:

Tomada de : http://image.slidesharecdn.com/

En la parte superior del cubo encontramos los requisitos que debe cumplir la información obtenida en una organización con el fin de lograr sus objetivos objetivos.

• Efectividad: La información debe brindarse de manera oportuna, correcta y utilizable
• Eficiencia; La información debe ser generada de manera que se optimizan los recursos del negocio es decir siendo mas productivo y económico.
• Confidencialidad: Esto quiere decir que la información debe protegida de ser divulgada sin autorización.
• Integridad: Valida y precisa de acuerdo a las políticas éticas de las compañías.
• Disponibilidad: Estar disponible en el momento en el que se necesita en los procesos. 
• Cumplimiento: La información debe estar acorde con las normas y regulaciones aplicables al negocio.
• Confiabilidad: La información debe reflejar la situación del negocio con el fin de brindar seguridad a la toma de decisiones acertada.

Por otra parte, la cara derecha del  cubo representa los recursos necesarios para responder a los requerimientos del negocio hacia la tecnología de información.

• Aplicaciones: Hace referencia a los sistemas de usuarios y procedimientos manuales que procesan información.
• Información: Datos de entrada, procesados y generados, que son utilizados en todas las áreas del negocio.
• Infraestructura: Se refiere a la tecnologías e instalaciones que facilitan el procesamiento de aplicaciones.
• Personas: Se refiere al capital humano que realiza la planeacion, organización, implementacion y adquisición de los sistemas de información.

Y finalmente, los procesos desarrollados en las tecnologías de información, con el fin de suplir los requerimientos de la organización:

• Dominios: 

• Procesos: 

• Actividades:

Beneficios de implementar COBIT :

• Cumple los requerimientos de COSO en cuanto a tecnologías de información
• Comprensión para la gerencia acerca de las tecnologías de información
• Entendimiento de todas las partes interesadas en relación a la funcionalidad de COBIT.

Tal como se ha expuesto anteriormente COBIT en comparación a COSO es aplicado y especializado en las tecnologías de información; lo cual indica que si se lograra la implementacion y buen uso de los dos, podrían encaminar y lograr satisfactoriamente el éxito de los objetivos organizacionales propuestos en las empresas en que se apliquen.

Bibliografia 

http://www.isaca.org/cobit/pages/default.aspx

http://www.javeriana.edu.co/personales/hbermude/Audire/jarb.pdf

http://cobitcuatrouno.blogspot.com.co/p/actividades-del-ti.html

Committee of Sponsoring Organizations of the Treadway Commission (COSO)

El comité se organizó en el año 1985 con el fin de promover la comisión nacional de Reporte de fraude financiero. Las asociaciones que promueven y financian COSO son:

*La Asociación Americana de Contadores (AAA)
*Instituto Americano de Contadores Certificados (AICPA)
*Asociación Internacional de Ejecutivos de Finanzas (FEI)

*Instituto de Contadores Gerenciales (IMA)
*El Instituto de Auditores Internos (IIA)

Su misión proporcionar liderazgo de pensamiento por medio de marcos de referencia y guías de gestión del riesgo empresarial, control interno y prevención de fraude, y su visión ser líder en el mercado global en cuanto al desarrollo de guías en áreas de riesgo y control, permitiendo la reducción de fraude y el buen gobierno organizacional.

El control interno es un proceso llevado a cabo por la administración, junta directiva y el resto de la entidad con la finalidad de brindar seguridad razonable en cuanto la consecución de objetivos operacionales, de información y de cumplimiento que posee la entidad.
El marco de control interno I se publicó en el año 1992, mientras que el de COSO II-ERM se dio en el 2004 como cumplimiento a los requerimientos de la ley Sarbanes Oxley originada por los diferentes escándalos financieros (Enron, WorldCom) . De acuerdo a lo anterior se obtuvo:

                                Tomada de: http://es.slideshare.net/jorgemanriquechavez/

                                 evaluacion-y-control-de-servicios-ontológicos

En la parte superior del cubo se pueden observar los objetivos fundamentales:

Objetivos de operación: Son aquellos que hacen referencia a la efectividad y eficiencia de las operaciones de la organización.

Objetivos de reporte: Estos hacen referencia a la información tanto financiera como no financiera de la entidad en donde se abarcan aspectos como confiabilidad, oportunidad y transparencia de la información

Objetivos de cumplimiento: En él se referencian todas las leyes y regulaciones a las que se encuentra sujeta la entidad.

En el COSO II se agregan:

Objetivos Estratégicos: objetivos establecidos al más alto nivel, y relacionados con el establecimiento de la misión y visión de la compañía.

Al frente del cubo se evidencian los siguientes componentes del control interno: 

Ambiente de control: Es la base de los demás elementos del control interno, es aquí donde se establece la filosofía de la organización en cuanto a la gestión de riesgo, valores éticos y todo aquello que conlleva a la estructura organización.

Establecimiento de objetivos: Los objetivos deben establecerse con anterioridad al descubrimiento de posibles circunstancias que eviten el logro de los mismos, deben alinearse con la estrategia de la compañía buscando el cumplimiento de la misión y visión.

Identificación de acontecimientos: Es aquí donde debe existir un análisis detallado de cada uno de los factores que pueden influenciar en la incertidumbre que existe al logro de los objetivos como por ejemplo aspectos económicos, sociales, políticos, personal, la infraestructura, la tecnología, entre otros. Entre más aspectos se evalúan habrá mayor confiabilidad de los riesgos obtenidos.

Evaluación de riesgos: Para el establecimiento de los posibles efectos de cada uno de los riesgos en el logro de los objetivos, es necesario saber la probabilidad de ocurrencia y el impacto que generaría en cada actividad, iniciando desde la evaluación del riesgo inherente con metodologías tanto cualitativas como cuantitativas.

Respuesta al riesgo: es aquí donde se da a conocer la respuesta de la entidad frente a los riesgos las cuales pueden ser: evitar, reducir, compartir o aceptar. Una vez se de la respuesta a cada uno de los riesgos obtenidos anteriormente se deberá evaluar el riesgo residual.

Actividades de control: son las políticas y procedimientos que utiliza la entidad para lograr mitigar los riesgos a un nivel aceptable.

Información y comunicación: Trata de la adecuación de la información en cada uno de los niveles del control interno con el fin de que el ERM funcione más efectivamente en la organización.

Supervisión: Es el monitoreo que se la da al sistema de control interno, para asegurar su funcionamiento eficiente dentro de la organización.

En el COSO II se obtuvo una especialización de la evaluación de riesgos dividiéndola en: Establecimiento de objetivos, identificación de eventos y evaluación de riesgos.

Por su parte el lado derecho de cada cubo encontramos los niveles a los cuales se efectúa la evaluación del control interno. En él se demuestra que COSO es aplicable a todos los niveles de la organización comenzando desde los más altos niveles jerárquicos hasta los más básicos como los operacionales.

Para concluir, es notable que la implementacion del control interno en las compañías brinda mayor confiabilidad, credibilidad y transparencia de la información que obtienen los usuarios, logrando así reconocimiento y prestigio en la calidad de los procesos que se ejecutan a diario con el fin de obtener bienes y servicios de calidad.

Bibliografia

http://www2.deloitte.com/content/dam/Deloitte/mx/Documents/risk/COSO-Sesion1.pdf
www.coso.org/
http://www.eafit.edu.co/escuelas/administracion/consultorio-contable/Documents/boletines/auditoria-control/b5.pdf
http://interamerican-usa.com/articulos/Leyes/Ley-Sar-Oxley.htm

Contrapartida 430 y 431

En la contrapartida 430, se ve expresada la importancia de llevar a cabo la implementacion de los sistemas de información contables computarizados, en las Pymes. Por la estructura de este tipo de Compañías, se puede evidenciar de una forma mas detallada como actúan los sistemas de información en cada una de las áreas que la componen. Es por ello que si gran parte de las Pymes Implementaran los SIC, se lograría organización tanto en la estructura, como en las funciones operativas de cada uno de los empleados, evitando así varios tipos de errores  y dificultades que se presentan a diario; logrando optimizar los procesos y dando a la información contable la importancia que merece en la toma de decisiones, lo cual ayudaría a ser mas eficaces en ello para el logro de los objetivos organizacionales. Siendo las Pymes un porcentaje significativo de las compañías en Colombia seria de gran utilidad para el sector empresarial que estas compañías sean mas eficientes de lo que son, satisfaciendo las necesidades de los clientes internos como externos logrando así una ventaja competitiva y un mejoramiento en la economía del país.

Por su parte, en la contrapartida 431, como primera instancia nos indican algunas de las dificultades que se pueden presentar al implementar un sistema de información contable; ya que esta, es una nueva herramienta que se implementa en las compañías, los empleados como seres humanos que son se encuentran ansiosos por el cambio y en algunos casos se presentan miedos. Es por ello, que las organizaciones así como desean optimizar sus sistemas de información, deben brindar al capital humano, las herramientas necesarias para utilizarlo correctamente, y así mismo poder lograr el resultado que se espera. La manera mas indicada para estos casos es capacitar al personal en el sistema que se implementa, brindándoles un entorno completo del nuevo sistema de información; de esta manera, ellos podrán, acoplarse al cambio mas fácilmente y darle la utilidad que realmente genera para la compañía.

Bibliografia

Arciria, Khadyd, Contrapartida 430, noviembre 21 del 2011.

Arciria, Khadyd, Contrapartida 431, noviembre 21 del 2011.

Auditoria y Control Interno

Hardware y Software en los sistemas de información

Un sistema de información esta compuesto por dos elementos fundamentales el hardware y el software. El Hardware se conoce como la parte física, aquello que  puede ser percibido por medio del tacto; este a su vez se divide en externo e interno.Externo como por ejemplo el monitor el cual nos permite ver lo que sucede cada vez que damos una instrucción con comandos por medio del teclado y del mouse. Interno como el disco duro en donde encontramos el almacenamiento de toda la información contenida en videos, programas, archivos, entre otros, la  memoria RAM la cual se encarga de abrir con mayor eficiencia los archivos y programas y finalmente la CPU vista como un micro chip que procesa instrucciones para ser ejecutadas y llevar a cabo los objetivos que se esperan obtener, dentro de ella se encuentra la unidad aritmética encargada de realizar las operaciones numéricas, unidad de control encargada de la gestión de los diferentes tipos de instrucciones dentro de un tiempo determinado; al igual que un procesador quad-core el cual tiene la capacidad de ejecutar cuatro tipos de instrucciones al mismo tiempo.

Por otra parte, el Software son las instrucciones necesarias para realizar ciertas tareas como por ejemplo el office en el se encuentran programas como word, excel, power point entre otros, los cuales cumplen con cierto tipos de funciones especificas ya que en algunos de ellos existen fines netamente escritos como en otros son numéricos y así para cada tipo de programas que existe en los computadores o medios tecnológicos.

El hardware puede ser visto como una cocina la cual incluye todos los implementos necesarios para llevar a cabo la preparación de diferentes tipos de alimentos, ya que es allí donde la idea de una receta se convierte en un comestible. De la misma manera una receta de Software es una serie de instrucciones escritas las cuales indican como convertir las materias primas en un plato exquisito para el consumo humano; si solo en ello se quedara seria una idea inútil, pero en el momento en el que se lleve a cabo comienza a adquirir el valor funcional que merece.

En el mundo empresarial el software es de gran utilidad ya que por medio de el se obtienen varios beneficios como la conexión remota de varios equipos, pues lo único que necesitan es acceder a un usuario y contraseña el cual les abrirá el programa indicado para la realización de alguna de sus funciones en donde se  delimitaran sus tareas y al mismo tiempo se medirá  la eficiencia que se puede llegar a obtener en la realización de cierto tipo de funciones que pueden llegar a ser realmente tediosas para los empleados si los sistemas operativos no fueran tan eficientes como en realidad lo son.

   

          Bibliografía

• Mentor en línea (2011).Definición de Hardware y Software. De https://www.youtube.com/watch?v=gD9ffRHyZqs
• ClearappSoftware (2011). Network Inventory Advisor- Get network software & hardware details. De https://www.youtube.com/watch?v=KIlOCsYT8Hc
•  KarBytes (2011). Intro to computer architecture. De https://www.youtube.com/watch?v=HEjPop-aK_w
• CAVSI, (2012).Diferencia entre Hardware y Software. Recuperado de http://www.cavsi.com/preguntasrespuestas/cual-es-la-diferencia-entre-hardware-y-software/