AUDITORIA Y SEGURIDAD EN SSISTEMAS DE INFORMACIN INFORME N2: Estndares 12207, 15504,

Ugaz Vitteri, Fiorella - 47000 09-01-2014

ESTNDARES GENERALES PARA LA AUDITORIA EN SISTEMAS DE INFORMACIN

ISO/IEC 12207

Modelo para la mejora y evaluacin de los procesos de desarrollo y mantenimiento de sistemas y productos de software. Software Life-Cycle Process. Establecida por la ISO ORGANIZACIN DE STANDARES INTERNACIONALES.
1. ESTRUCTURA:

La estructura del estndar ha sido concebida de manera que pueda ser adaptada a las necesidades de cualquiera que lo use. Para conseguirlo, el estndar se basa en dos principios fundamentales: Modularidad y responsabilidad. Con la modularidad se pretende conseguir procesos con un mnimo acoplamiento y una mxima cohesin. En cuanto a la responsabilidad, se busca establecer un responsable para cada proceso, facilitando la aplicacin del estndar en proyectos en los que pueden existir distintas personas u organizaciones involucradas, no importando el uso que se le d a este.

2. PROCESOS:

Los procesos se clasifican en tres tipos: Procesos principales, procesos de soporte y procesos de la organizacin. Los procesos de soporte y de organizacin deben existir independientemente de la organizacin y del proyecto ejecutado. Los procesos principales se instancian de acuerdo con la situacin particular.

Procesos principales. Adquisicin. Suministro. Desarrollo. Operacin. Mantenimiento. Procesos de soporte.

Verificacin. Validacin. Revisin conjunta. Auditora. Resolucin de problemas. Procesos de la organizacin. Gestin.

AUDITORIA Y SEGURIDAD EN SSISTEMAS DE INFORMACIN INFORME N2: Estndares 12207, 15504,

Ugaz Vitteri, Fiorella - 47000 09-01-2014

Documentacin Gestin de la configuracin. Aseguramiento de calidad.

Infraestructura. Mejora. Recursos Humanos.

3. VERSIONES: ISO/IEC 12207:1995. Primera publicacin. ISO/IEC 12207:1995/Amd 1:2002. Primera modificacin. ISO/IEC 12207:1995/Amd 2:2004. Segunda modificacin.

ISO/IET 15504

Esta norma est orientada a los procesos de ciclo de vida del software de la organizacin ISO. Establece un proceso de ciclo de vida para el software que incluye procesos y actividades que se aplican desde la definicin de requisitos, pasando por la adquisicin y configuracin de los servicios del sistema, hasta la finalizacin de su uso. Establecida por la ISO ORGANIZACIN DE STANDARESINTERNACIONALES 1. CARACTERSTICAS: Establece un marco y los requisitos para cualquier proceso de evaluacin de procesos y proporciona requisitos para los modelos de evaluacin de los procesos. Proporciona tambin requisitos para cualquier modelo de evaluacin de organizaciones. Proporciona guas para la definicin de las competencias de un evaluador de procesos. Actualmente tiene 10 partes: de la 1 a las 7 completas y de la 8 a la 10 en fase de desarrollo. Comprende: evaluacin de procesos, mejora de procesos, determinacin de capacidad. Proporciona, en su parte 5, un Modelo de evaluacin de procesos para los procesos de ciclo de vida del software definidos en el estndar ISO/IEC 12207 que define los procesos del ciclo de vida del desarrollo, mantenimiento y operacin de los sistemas de software. Proporciona, en su parte 6, un Modelo de evaluacin de procesos para los procesos de ciclo de vida del sistema definidos en el estndar ISO/IEC 15288 que define los procesos del ciclo de vida del desarrollo, mantenimiento y operacin de sistemas.

AUDITORIA Y SEGURIDAD EN SSISTEMAS DE INFORMACIN INFORME N2: Estndares 12207, 15504,

Ugaz Vitteri, Fiorella - 47000 09-01-2014

Proporcionar, en su parte 8, un Modelo de evaluacin de procesos para los procesos de servicios TIC que sern definidos en el estndar ISO/IEC 20000-4 que definir los procesos contenidos en la norma ISO/IEC 20000-1.

Equivalencia y compatibilidad con CMMI. ISO forma parte del panel elaborador del modelo CMMI y SEI mantiene la compatibilidad y equivalencia de sta ltima con 15504. Sin embargo CMMI-DEV an no es un modelo conforme con esta norma (segn lo requiere la norma ISO 15504 para todo modelo de evaluacin de procesos).

ISO 27001

La informacin tiene una importancia fundamental para el funcionamiento y decisiva para la supervivencia de la organizacin. El hecho de disponer de la certificacin segn ISO 27001 le ayuda a gestionar y proteger sus valiosos activos de informacin. ISO 27001 es la nica norma internacional auditable que define los requisitos para un sistema de gestin de la seguridad de la informacin (SGSI). La norma se ha concebido para garantizar la seleccin de controles de seguridad adecuados y proporcionales. Ello ayuda a proteger los activos de informacin y otorga confianza a cualquiera de las partes interesadas, sobre todo a los clientes. La norma adopta un enfoque por procesos para establecer, implantar, operar, supervisar, revisar, mantener y mejorar un SGSI.

1. Beneficios
Puede aportar las siguientes ventajas a la organizacin: Demuestra la garanta independiente de los controles internos y cumple los requisitos de gestin corporativa y de continuidad de la actividad comercial. Demuestra independientemente que se respetan las leyes y normativas que sean de aplicacin. Proporciona una ventaja competitiva al cumplir los requisitos contractuales y demostrar a los clientes que la seguridad de su informacin es primordial. Verifica independientemente que los riesgos de la organizacin estn correctamente identificados, evaluados y gestionados al tiempo que formaliza unos procesos, procedimientos y documentacin de proteccin de la informacin.

AUDITORIA Y SEGURIDAD EN SSISTEMAS DE INFORMACIN INFORME N2: Estndares 12207, 15504,

Ugaz Vitteri, Fiorella - 47000 09-01-2014

Demuestra el compromiso de la cpula directiva de su organizacin con la seguridad de la informacin. El proceso de evaluaciones peridicas ayuda a supervisar continuamente el rendimiento y la mejora.

ISO 27002

ISO/IEC 27002 (anteriormente denominada ISO 17799) es un estndar para la seguridad de la informacin publicado por primera vez como ISO/IEC 17799:2000 por la International Organization for Standardization y por la Comisin Electrotcnica Internacional en el ao 2000, con el ttulo de Information technology - Security techniques - Code of practice for information security management. Tras un periodo de revisin y actualizacin de los contenidos del estndar, se public en el ao 2005 el documento actualizado denominado ISO/IEC 17799:2005. El estndar ISO/IEC 17799 tiene su origen en el British Standard BS 7799-1 que fue publicado por primera vez en 1995. 1. Directrices del estndar: ISO/IEC 17799 proporciona recomendaciones de las mejores prcticas en la gestin de la seguridad de la informacin a todos los interesados y responsables en iniciar, implantar o mantener sistemas de gestin de la seguridad de la informacin. La seguridad de la informacin se define en el estndar como "la preservacin de la confidencialidad (asegurando que slo quienes estn autorizados pueden acceder a la informacin), integridad (asegurando que la informacin y sus mtodos de proceso son exactos y completos) y disponibilidad (asegurando que los usuarios autorizados tienen acceso a la informacin y a sus activos asociados cuando lo requieran)". La versin de 2005 del estndar incluye las siguientes once secciones principales: 1. Poltica de Seguridad de la Informacin. 2. Organizacin de la Seguridad de la Informacin. 3. Gestin de Activos de Informacin. 4. Seguridad de los Recursos Humanos. 5. Seguridad Fsica y Ambiental.

AUDITORIA Y SEGURIDAD EN SSISTEMAS DE INFORMACIN INFORME N2: Estndares 12207, 15504, 6. Gestin de las Comunicaciones y Operaciones. 7. Control de Accesos.

Ugaz Vitteri, Fiorella - 47000 09-01-2014

8. Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin. 9. Gestin de Incidentes en la Seguridad de la Informacin. 10. Gestin de Continuidad del Negocio. 11. Cumplimiento. Dentro de cada seccin, se especifican los objetivos de los distintos controles para la seguridad de la informacin. Para cada uno de los controles se indica asimismo una gua para su implantacin. El nmero total de controles suma 133 entre todas las secciones aunque cada organizacin debe considerar previamente cuntos sern realmente los aplicables segn sus propias necesidades.

INDEPENDENCIA

2. Estndar General No. 1 Actitud y Apariencia. En todos los asuntos relacionados con auditora, El Auditor de Sistemas de Informacin. Deber ser independiente del auditado en actitud y apariencia. 3. Estndar General No. 2. Relacin Organizacional. La funcin de auditora de sistemas de informacin deber ser lo suficientemente independiente del rea que est auditando, para permitir la obtencin del objetivo de la Auditora. 4. Estndar General No. 3. Cdigo de tica Profesional El auditor de Sistemas deber adherirse al Cdigo de tica Profesional de la Fundacin de Auditores de E.D.P.

AUDITORIA Y SEGURIDAD EN SSISTEMAS DE INFORMACIN INFORME N2: Estndares 12207, 15504,

Ugaz Vitteri, Fiorella - 47000 09-01-2014

COMPETENCIA TCNICA

2.

Estndar General No. 4 Habilidades y Conocimiento. El auditor de Sistemas de Informacin deber ser tcnicamente competente, y poseer las capacidades y conocimientos necesarios para desempear su trabajo de Auditor.

3. Estndar General No. 5. Educacin Profesional Continua. El auditor de Sistemas de Informacin deber mantener competencia tcnica mediante una apropiada educacin continua.

EJECUCIN DE TRABAJO

1. Estndar General No. 6. Planeacin y Supervisin. Las Auditorias de Sistemas de Informacin deben ser planeadas y supervisadas para asegurar que los objetivos de la auditora se alcanzan y se satisface el cumplimiento de estos estndares. 2. Estndar General No. 7. Requerimiento de Evidencia Durante el curso de la auditora, el auditor de Sistemas de Informacin deber obtener evidencia esencial y suficiente para soportar los hallazgos y conclusiones reportados. 3. Estndar General No. 8. Debido cuidado Profesional. El debido cuidado Profesional debe ser el ejercicio en todos los aspectos del trabajo del Auditor de Sistemas de Informacin, incluyendo la observancia de auditoria aplicables.

AUDITORIA Y SEGURIDAD EN SSISTEMAS DE INFORMACIN INFORME N2: Estndares 12207, 15504,

Ugaz Vitteri, Fiorella - 47000 09-01-2014

REPORTE
1. Estndar General No. 9. Reporte del Alcance de la Auditora. En la preparacin de reportes, el auditor de sistemas de informacin, deber plantear los objetivos de la auditoria, el periodo de cubrimiento y la naturaleza y extensin del trabajo de auditora ejecutado. 2. Estndar General No. 10. Reporte de hallazgos y conclusiones. En la preparacin de reportes, el auditor de sistemas de informacin deber plantear los hallazgos y conclusiones relacionados con el trabajo de auditora ejecutado, al igual que cualquier excepcin calificacin que el auditor tenga con respecto a la auditora.