Estndares y

Normatividad

ISACA
ISACA es el acrnimo de Information Systems Audit and Control Association
(Asociacin de Auditora y Control de Sistemas de Informacin)
ISACAlanz 18 guasde auditora y aseguramiento de sistemas de
informacin (SI) para ayudar a los profesionales de seguridad a
garantizar la calidad y consistencia de sus trabajos de auditora.
Los documentos buscan darle confianzaa las empresas de que
sus reportes de auditora son fiables, as como darles un panorama
claro de cmo los sistemas de TI estn generando valor de negocio.

De estos 18 documentos, quince son actualizaciones para apoyar

los estndares de auditora y aseguramiento de SI que entraron en
vigor en noviembre de 2013, y tres son totalmente nuevos.
Las guas estn disponibles enwww.isaca.org/guidelinesy en el IT
Assurance Framework (ITAF) de ISACA, ahora en su tercera edicin.
El marco est disponible sin costo enwww.isaca.org/itaf

Estndares de Auditora
Introducidos en 1988, los Estndares de Auditoria y Aseguramiento
de SI definen los requerimientos obligatorios para la auditora y
verificacin de sistemas de informacin.
Mantienen informada a la direccin de las expectativas
respecto al trabajo de los profesionales, asegurando que
entiendan el nivel mnimo de desempeo aceptable que se requiere
para satisfacer dichas responsabilidades. Quienes cuentan con la
certificacin Certified Information Systems Auditor (CISA) deben
cumplir con estos estndares.

Esta actualizacin incluye 17 estndares que se estructuraron para incluir

la correcta definicin de trminos clave, ofrecer mayor claridad y alinearse
con otros organismos globales de auditora. Estn divididos en tres
categoras:
-Estndares generales (serie 1000) Estos estndares se enfocan en
los principios rectores bajo los cuales opera la profesin de aseguramiento
de SI. Estos principios se aplican al rumbo de todas las designaciones e
incluyen temas como tica, independencia, objetividad, diligencia,
conocimiento, competencia y habilidades.
-Estndares de desempeo (serie 1200) Se ocupan de la direccin
del proyecto, etapas como la planeacin y supervisin. Aspectos como el
riesgo y materialidad, movilizacin de recursos, supervisin y
administracin de las asignaciones.

-Estndares de reporteo (serie 1400) Estos estndares abordan los

tipos de reportes, medios de comunicacin y la informacin
difundida.
Los Estndares de Auditoria y Aseguramiento de SI se incluyen en el
texto ITAFT: Un Marco de Prcticas Profesionales para la
Auditoria/Aseguramiento de SI, que ofrece una sola fuente en la cual
los profesionales de la auditoria y el aseguramiento de SI pueden
encontrar el Cdigo de tica Profesional de ISACA, estndares y
lineamientos.

Los Lineamientos de Auditora y Aseguramiento de SI de ISACA

tambin se actualizaron para alinearse con los estndares y con el
marco de referencia COBIT 5. A finales de este ao estar disponible
un borrador para su discusin.

Estndares Profesionales y cdigo de

tica
-Legislacin y reglamentacin en materia de comunicacin, en la que se presentan
ejemplos de marcos legislativos y reglamentarios generales de comunicacin
nacional e internacional.
-rganos de regulacin, en la que figuran los consejos de prensa y redes
profesionales pertinentes existentes, y se exponen brevemente los distintos tipos
de mediadores del mbito de la comunicacin. Asimismo, en esta seccin se
encuentran ejemplos de consejos de prensa o mediadores que han arbitrado y
resuelto casos de denuncias contra la prensa.
-Cdigos de tica, que contiene enlaces a los cdigos de tica y normas
profesionales basados en la autorregulacin.
-La seccin de Recursos, en la que se recoge material sobre la responsabilizacin y
la autorregulacin de los medios de comunicacin, por ejemplo publicaciones,
sitios web y contactos tiles, que proporcionan ms informacin pertinente sobre

Diseo de Polticas
Las polticas son una serie de instrucciones documentadas que
indican la forma en que se llevan a cabo determinados procesos
dentro de una organizacin, tambin describen cmo se debe
tratar un determinado problema o situacin.
Este documento est dirigido principalmente al personal interno
de la organizacin, aunque hay casos en que tambin personas
externas quedan sujetas al alcance de las polticas.

Las polticas pueden considerarse como un conjunto de leyes

obligatorias propias de una organizacin, y son dirigidas a un
pblico mayor que las normas pues las polticas proporcionan
las instrucciones generales, mientras que las normas indican
requisitos tcnicos especficos.
Las normas, por ejemplo, definiran la cantidad de bits de la
llave secreta que se requieren en un algoritmo de cifrado. Por
otro lado, las polticas simplemente definiran la necesidad de
utilizar un proceso de cifrado autorizado cuando se enve
informacin confidencial a travs de redes pblicas, tales como
Internet.

Anlisis de Riesgo y Vulnerabilidad

Es un documento producto del proceso metodolgico del estudio de
los factores propios y externos que se relacionan con la seguridad de
una instalacin, este deber ser realizado por profesionales con
experiencia y adems con la participacin de especialistas afines,
para detectar riesgos y vulnerabilidades, definir la problemtica
operacional de seguridad, emitir recomendaciones y servir de base
para la formulacin de planes y programas.
El estudio de seguridad tiene su origen de la doctrina castrense,
como proceso tiene fases de planeamiento, diagnstico, evaluacin,
colusiones y recomendaciones. Es importante la observacin y
comprobacin de peligros, riesgos, actos y condiciones sub.
Estndares, deficiencias y vulnerabilidades.

Ejecucin de la Auditora Informtica

Proceso de recoleccin y evaluacin de evidencia para determinar
si los SI y los recursos relacionados: salvaguardan adecuadamente
los activos, mantienen la integridad de los datos y del sistema,
proveen informacin relevante y confiable.
Alcanzan efectivamente los objetivos organizacionales, consumen
los recursos eficientemente, y cuentan con controles internos que
provean una seguridad razonable de que los objetivos
operacionales y de control sern satisfechos y de que los eventos
no deseados sern prevenidos o detectados y corregidos de
manera oportuna

Procedimientos Generales de Auditoria

-Entendimiento del rea u objeto a auditar
-Valoracin de riesgos y plan general de auditora
-Planeacin detallada de la auditora
-Revisin preliminar del rea u objeto a auditar
-Evaluacin del rea u objeto a auditar
-Pruebas de cumplimiento
-Pruebas sustantivas
-Reporte (comunicacin de resultados)
-Seguimiento

Metodologa
-Definicin del alcance
-Definicin de los objetivos de auditora
-Definicin del programa de trabajo

Fases de una Auditora

Identificar:
-El rea a auditar
-El propsito de la auditora
-Los sistemas especficos, funciones o unidades de la organizacin a ser
incluidas en la revisin.
-Las habilidades tcnicas y recursos necesarios
-Las fuentes de informacin para pruebas o revisin tales como
diagramas de flujo funcionales, polticas, estndares, procedimientos y
papeles de trabajo de auditoras anteriores.
-Ubicacin de las instalaciones a auditar.