Acreditaciones, Certificaciones y Marcos de Referencia

Conceptos.

Una acreditacion,  es cuando un organismo diferente e independiente, da una garantia por escrito, sobre un producto o servicio, que cumple con requisitos especificos, este organismo cuando finaliza este proceso emite un ceritificado, si los requerimientos son cumplidos.

Marco de Referencia, es un conjunto de conversiones conceptos y teorias , que se relacionan directamente con el desarrollo de un tema.

Un estándar, recoge el trábajo de grupos como comites o fabricantes que contiene las especificaciones tecnicas y mejores practicas en la experiencia profesional con el objeto de ser utilizada como regulación o Guia.

Mientras se avanza en la gestión digital, es necesario poder garantizar que los procesos de negocio contengan controles y garanticen la adecuada gestión de la información y seguridad de la misma, al mismo tiempo se exige de manera civil o por ley las responsabilidades sobre los procesos.

Los controles de los procesos deben estar alineados con los estandares o con las regulaciones vigentes, la evaluacion de los riesgos pueden estar sometidos a estas regulaciones. El objetivo de la auditoria, es validar la existencia y efectivas de los controles de acuerdo a unos predeterminados estandares.


Seguridad y riesgos de la información en las organizaciones.


Las ISO dan una guia de revision de item por item para poder hacer compliance con esta. Dentro de las regulaciones mas importantes a nivel internacional tenemos la ISO 27001, que dentro del estandar de Sistema de Gestión de la seguridad de la información es Certificable, el resto de las ISO son solo guias o presentaciones de buenas practicas.

  • ISO 27000, presenta los estandares internacionales y buenas practicas de seguridad de la información en las organizaciones.
  • ISO 27001, Certificable, contiene  los requisitos del SGSI.
  • ISO 27002, es una guia de buenas prácticas que describe los objetivos de control y controles recomendables enc uanto a seguridad de la información.
  • ISO 27005, normativa dedicada exclusivamente a al gestion de riesgos en  seguridad de la información.
  • ISO 27007, guia para auditar el sistema de gestión de la seguridad de la información.
  • ENS Esquema nacional de seguridad ( Es español, en Chile no es vigente).
  • NIST SP 800-30, ofrece las pautas para la gestion de riesgo.

El marco de Cobit 5 (2012)

  Ayuda a las organizaciones a crear un valor optimo, entre la realización de beneficios y la optimización de los niveles de riesgo y utilización de recursos. Los principios son genericos y son utiles para las organizaciones de cualquier tamaño estas sean comerciales, o sin fines de lucro. Esta debe estar soportado por el negocio, y nos ayuda a gobernar  el servicio de TI, segun los beneficios que estos otorgan a la misma.


 Principios de Cobit

  1. Satisfacer las necesidadesd e las partes interesadas
  2. Cubrir la organizacion de forma integral
  3. Aplicar un solo marco integrado
  4. Habilitar un enfoque holistico
  5. Separar el gobierno de la administración 
Es importante saber separar lo que es gobierno del TI vs la Administración de TI, esto ayuda a poder separar estas tareas que son diferentes en relación a como se gestiona y los objetivos de cada una. Una de las diferencias principales entre el gobierno TI y la Administración TI es que el primero se enfoca en una guia a seguir dependiendo del negocio, se establecen las necesidades tecnicas las cuales se alinean a beneficiar el negocio, el segundo es la administración de estos activos declarados en el Gobierno TI, el como configurar, que configuraciones va a tener etc.

Habilitadores de Cobit

Optimizan la inversion en tecnologia e información asi como su uso en beneficio de las partes interesadas.

  • Procesos
  • Estructuras organizacionales
  • cultura Etica y comportamiento
  • Información 
  • Servicios infraestructura y aplicaciones
  • Personas habilidades y competencias.

 Control Interno


Se define como un proceso efectuado por la dirección y el resto del personal de una entidad, diseñado con el objetivo de proporcionar un grado de seguridad razonable en cuanto a la consecución de los objetivos dentro de las siguientes categorias:

  • Eficacia y eficiencia de las operaciones
  • Confiabilidad de la información financiera
  • Cumplimiento de las leyes reglamentos y normas.

COSO (Marco de control interno empresarial)



Consta de 5 componentes relacionados entre si, estos estan diseñados para la empresa en un todo.
  1. Ambiente de control
  2. Evaluacion de riesgo
  3. Actividades de control
  4. Información y comunicación
  5. Supervisión y monitoreo