17-10-2019 AUDITORIA

INFORMÁTICA

Nelson Paguay
 IMPLEMENTACIÓN DE GOBIERNO DE TI: ISO17799, COSO I, COSO II

ISO 17799
Surge de la norma británica BS 7799, y se define como una guía protocolar en la implementación del
sistema de administración de la seguridad de la información. En general proporciona las pautas para
la implementación basada en las sugerencias que deben ser consideradas por una organización para
poder construir un programa comprensivo de gestión de seguridad de la información.
Se orienta a preservar los siguientes principios:
 Confidencialidad: asegurar que, únicamente, personal autorizado tenga acceso a la
información.
 Integridad: garantizar que la información no será alterada, eliminada o destruida por entidades
no autorizadas; preservando exactitud y completitud de la misma y de los métodos de su
procesamiento.
 Disponibilidad: cerciorar que los usuarios autorizados tendrán acceso a la información cuando
la requieran y sus medios asociados.
La Norma ISO/IEC 17799 establece diez dominios de control que cubren (casi) por completo la
Gestión de la Seguridad de la Información:
1. Políticas de seguridad: el estándar define como obligatorias las políticas de seguridades
documentadas y procedimientos internos de la organización que permitan su actualización y
revisión por parte de un Comité de Seguridad.
2. Aspectos organizativos: establece el marco formal de seguridad que debe integrar una
organización.
3. Clasificación y control de activos: el análisis de riesgos generará el inventario de activos que
deberá ser administrado y controlado con base en ciertos criterios de clasificación y etiquetado
de información, es decir, los activos serán etiquetados de acuerdo con su nivel de
confidencialidad.
4. Seguridad ligada al personal: contrario a lo que uno se puede imaginar, no se orienta a la
seguridad del personal desde la óptica de protección civil, sino a proporcionar controles a las
acciones del personal que opera con los activos de información. Su objetivo es contar con los
elementos necesarios para mitigar el riesgo inherente a la interacción humana, o sea, establecer
claras responsabilidades por parte del personal en materia de seguridad de la información.
5. Seguridad física y del entorno: identificar los perímetros de seguridad, de forma que se puedan
establecer controles en el manejo de equipos, transferencia de información y control de los
accesos a las distintas áreas con base en el tipo de seguridad establecida.
6. Gestión de comunicaciones y operaciones: integrar los procedimientos de operación de la
infraestructura tecnológica y de controles de seguridad documentados, que van desde el control
de cambios en la configuración de los equipos, manejo de incidentes, administración de
aceptación de sistemas, hasta el control de código malicioso.
7. Control de accesos: habilitar los mecanismos que permitan monitorear el acceso a los activos
de información, que incluyen los procedimientos de administración de usuarios, definición de
responsabilidades o perfiles de seguridad y el control de acceso a las aplicaciones.
8. Desarrollo y mantenimiento de sistemas: la organización debe disponer de procedimientos
que garanticen la calidad y seguridad de los sistemas desarrollados para tareas específicas de la
organización.
 9. Gestión de continuidad del negocio: el sistema de administración de la seguridad debe integrar
los procedimientos de recuperación en caso de contingencias, los cuales deberán ser revisados
de manera constante y puestos a prueba con la finalidad de determinar las limitaciones de los
mismos.
10. Cumplimiento o conformidad de la legislación: la organización establecerá los
requerimientos de seguridad que deben cumplir todos sus proveedores, socios y usuarios; éstos
se encontrarán formalizados en los contratos o convenios.

En el año 2007 la norma ISO 17799 pasa a formar parte de la familia de normas ISO 27000, y es
renombrada como la norma ISO 27002.

COSO I Y COSO II

¿Qué es COSO?

Organización voluntaria del sector privado, establecida en los EEUU, dedicada a proporcionar
orientación a la gestión ejecutiva y las entidades de gobierno sobre los aspectos fundamentales de
organización de este, la ética empresarial, control interno, gestión del riesgo empresarial, el fraude, y
la presentación de informes financieros. COSO ha establecido un modelo común de control interno
contra el cual las empresas y organizaciones pueden evaluar sus sistemas de control. En esta
presentación se expondrá exclusivamente lo relativo al Control Interno.

Informe COSO.

Hace más de una década el Committee of Sponsoring Organizations of the Treadway Commission,
conocido como COSO, publicó el Internal Control - Integrated Framework (COSO I) para facilitar a
las empresas a evaluar y mejorar sus sistemas de control interno. Desde entonces ésta metodología se
incorporó en las políticas, reglas y regulaciones y ha sido utilizada por muchas compañías para
mejorar sus actividades de control hacia el logro de sus objetivos.

Hacia fines de Septiembre de 2004, como respuesta a una serie de escándalos, e irregularidades que
provocaron pérdidas importante a inversionistas, empleados y otros grupos de interés, nuevamente el
Committee of Sponsoring Organizations of the Treadway Commission, publicó el Enterprise Risk
Management - Integrated Framework (COSO II) y sus Aplicaciones técnicas asociadas, el cual amplía
el concepto de control interno, proporcionando un foco más robusto y extenso sobre la identificación,
evaluación y gestión integral de riesgo.

Este nuevo enfoque no sustituye el marco de control interno, sino que lo incorpora como parte de él,
permitiendo a las compañías mejorar sus prácticas de control interno o decidir encaminarse hacia un
proceso más completo de gestión de riesgo.
A nivel organizacional, este documento destaca la necesidad de que la alta dirección y el resto de la
organización comprendan cabalmente la trascendencia del control interno, la incidencia del mismo
sobre los resultados de la gestión, el papel estratégico a conceder a la auditoría y esencialmente la
consideración del control como un proceso integrado a los procesos operativos de la empresa y no
como un conjunto pesado, compuesto por mecanismos burocráticos.
A nivel regulatorio o normativo, el Informe COSO ha pretendido que cuando se plantee cualquier
discusión o problema de control interno, tanto a nivel práctico de las empresas, como a nivel de
auditoría interna o externa, o en los ámbitos académicos o legislativos, los interlocutores tengan una
referencia conceptual común, lo cual hasta ahora resultaba complejo, dada la multiplicidad de
definiciones y conceptos divergentes que han existido sobre control interno.
Objetivos
Establecer una definición común de control interno que responda a las necesidades de las distintas
partes.
Facilitar un modelo en base al cual las empresas y otras entidades, cualquiera sea su tamaño y
naturaleza, puedan evaluar sus sistemas de control interno

ESTRUCTURA DE COSO I
COSO I
AMBIENTE DE CONTROL: Es el fundamento de todos los demás componentes del control interno,
proporcionando disciplina y estructura.

EVALUACION DE RIESGO: Identificación y análisis de los riesgos relevantes para la consecución

de los objetivos, constituyendo una base para determinar cómo se deben administrar los riesgos.

ACTIVIDAD DE CONTROL: Políticas y procedimientos que ayudan a segura que las directivas
administrativas se lleven a cabo.

INFORMACION COMUNICACIONAL: Identificación, obtención y comunicación de información

pertinente en una forma y en un tiempo que les permita a los empleados cumplir con sus
responsabilidades.

MONITOREO _Proceso que valora el desempeño de sistema en el tiempo.

COSO II
COMPONENTE DEL COSO II.
Ambiente interno: Sirve como la base fundamental para los otros componentes del ERM, dándole
disciplina y estructura.
Dentro de la empresa sirve para que los empleados creen conciencia de los riesgos que se pueden
presentar en la empresa.

ESTABLECIMIENTOS DE OBJETIVOS. Es importante para que la empresa prevenga los

riesgos, tenga una identificación de los eventos, una evaluación del riesgo y una clara respuesta a los
riesgos en la empresa.
La empresa debe tener una meta clara que se alineen y sustenten con su visión y misión, pero siempre
teniendo en cuenta que cada decisión con lleva un riesgo que debe ser previsto por la empresa.

IDENTIFICACIÓN DE EVENTOS: Se debe identificar los eventos que afectan los objetivos de la
organización, aunque estos sean positivos, negativos o ambos, para que la empresa los pueda enfrentar
y proveer de la mejor forma posible.
La empresa debe identificar los eventos y debe diagnosticarlos como oportunidades o riesgos. Para
que pueda hacer frente a los riesgos y aprovechar las oportunidades.
RESPUESTA AL RIESGO: Una vez evaluado el riesgo la gerencia identifica y evalúa posibles
repuestas al riesgo en relación a las necesidades de la empresa.
Las respuestas al riesgo pueden ser:
Evitarlo: se discontinúan las actividades que generan riesgo.
Reducirlo: se reduce el impacto o la probabilidad de ocurrencia o ambas
Compartirlo: se reduce el impacto o la probabilidad de ocurrencia al transferir o compartir una
porción del riesgo.
Aceptarlo: no se toman acciones que afecten el impacto y probabilidad de ocurrencia del riesgo.

INFORMACIÓN Y COMUNICACIÓN: La información es necesaria en todos los niveles de la

organización para hacer frente a los riesgos identificando, evaluando y dando respuesta a los riesgos.
La comunicación se debe realizar en sentido amplio y fluir por toda la organización en todos los
sentidos.
Debe existir una buena comunicación con los clientes, proveedores, reguladores y accionistas.

MONITOREO. Sirve para monitorear que el proceso de administración de los riesgos sea efectivo
a lo largo del tiempo y que todos los componentes del marco ERM funcionen adecuadamente.
El monitoreo se puede medir a través de:
Actividades de monitoreo continuo
Evaluaciones puntuales
Una combinación de ambas formas
Bibliografía
http://es.kioskea.net/contents/600-iso-17799
http://es.slideshare.net/marieu.enriquez/norma-iso-17799
http://es.slideshare.net/lauramiranda16/norma-iso-17799-15652263
http://es.wikipedia.org/wiki/ISO/IEC_27002