Normas

10.- Explica con tus propias palabras los beneficios de utilizar normas internacionales:

A mi punto de vista utilizar normas interacionales te lleva a crear una estandarizacion

de los procesos o tareas que se realizan en la organizacion, facilita ampliamente llevar

a cabo dichas funciones, puesto que ya existen las normas preestablecidas, si embargo me

parece de suma importancia conocer plenamente las normas para no caer en violacioes de las

mismas y provocar alguna anomalia o errores, e incluso algo mayor en el aspecto legal.

11.- Explica brevemente el proceso de adaptacion:

La adaptacion es un proceo paulatino que te lleva poco a poco acostumbrarte a un proceso

nuevo, alguna tarea nueva, simplemente a algun cambio, no se espera que inmediatamente

exista una costumbre cuando acabamos de conocer algo nuevo, sin embargo una buena actitud

puede llevarte a desarrollar la capacidad de adaptacion de manera mas eficaz que las demas

personas.

12.- Escribe una reflexion del uso de las normas y las ventajas de utilizarlas:

El uso de las normas es escencial en la sociedad y tambien dentro de las organizaciones o

instituciones, es una manera de regular la conducta o comportamiento, a la vez a controlar

las tareas o procesos que se necesitan realizar, es de vital importancia conocer a fondo

las normas que regulan nuestro entorno para evitar entrar en conflictos sin saberlo, esa

es la ventaja de utilizar normas en nuestro entorno, sabiendo respetarlas la sociedad u

organizacion fluye en un ambiente pacifico, aparte que se pueden utilizar como ejemplo

para generar la cultura del respeto y la buena conducta.

Normas y Procedimientos de Auditoria

1.- Menciona el origen de las normas y procedimientos de auditoria: Su origen es una de las comisiones normativas más antiguas y trascendentes de nuestro Instituto es la Comisión de Normas y Procedimientos de Auditoria (denominada así desde octubre de 1971), la cual fue establecida en el año de 1955, con el propósito fundamental de determinar los procedimientos de auditoria recomendables para el examen de los estados financieros que sean sometidos a la opinión del contador público

.2.- Menciona los objetivos de las normas y procedimientos de auditoria: Son cuatro objetivos principales:

* Determinar las normas de auditoria a que deberá sujetarse el contador público independiente que emita dictámenes para terceros, con el fin de confirmar la veracidad, pertinencia o relevancia y suficiencia de información de su competencia;

* Determinar procedimientos de auditoria para el examen de los estados financieros que sean sometidos a dictamen de contador público;
* Determinar procedimientos a seguir en cualquier trabajo de auditoria, en sentido amplio, que lleve acabo el contador público cuando actúa en forma independiente; y
* Hacer las recomendaciones de índole práctica que resulten necesarias como complemento de los pronunciamientos técnicos de carácter general emitidos por la propia Comisión, teniendo en cuenta las situaciones particulares que con mayor frecuencia se presentan a los auditores en la práctica de su profesión.

3.- ¿Que requisitos de calidad deben reunir los miembros de la auditoria?
* Entrenamiento técnico y capacidad profesional.

* Cuidado y diligencia profesionales.

* Independencia.

4.- ¿Que son las normas de auditoria?, Menciona su clasificacion:
* Normas personales.
* Normas de ejecucióon de trabajo.
* Normas de información.

5.- ¿Que son los pocedimientos de auditoria y para que sirven?

Respuesta-

Los procedimientos de auditoría, son el conjunto de técnicas de investigación aplicables a una partida o a un grupo de hechos y circunstancias relativas a los estados financieros sujetos a examen, mediante los cuales, el contador público obtiene las bases para fundamentar su opinión.

6.- ¿Que es el monitoreo? Y describir los 4 tipos brevemente.

Dentro de las organizaciones todos los procesos necesitan ser evaluados a través del tiempo para verificar su calidad en cuanto a las necesidades de control, integridad y confidencialidad, este es precisamente el ámbito de esta técnica, a continuación se muestran los procesos de monitoreo:

*M1 Monitoreo del proceso.
*M2 Evaluar lo adecuado del control Interno.
*M3 Obtención de aseguramiento independiente.
*M4 Proveer auditoría independiente.

M1 Monitoreo del proceso Asegura el logro de los objetivos para los procesos de TI, lo cual se logra definiendo por parte de la gerencia reportes e indicadores de desempeño y la implementación de sistemas de soporte así como la atención regular a los reportes emitidos.Para ello la gerencia podrá definir indicadores claves de desempeño y factores críticos de éxito y compararlos con los niveles propuestos para evaluar el desempeño de los procesos de la organización.

M2 Evaluar lo adecuado del control Interno Asegura el logro de los objetivos de control interno establecidos para los procesos de TI, para ello se debe monitorear la efectividad de los controles internos a través de actividades administrativas, de supervisión, comparaciones, acciones rutinarias, evaluar su efectividad y emitir reportes en forma regular

M3 Obtención de aseguramiento independiente Incrementa los niveles de confianza entre la organización, clientes y proveedores, este proceso se lleva a cabo a intervalos regulares de tiempo.Para ello la gerencia deberá obtener una certificación o acreditación independiente de seguridad y control interno antes de implementar nuevos servicios de tecnología de información que resulten críticos, así como para trabajar con nuevos proveedores de servicios de tecnología de información, luego la gerencia deberá adoptar como trabajo rutinario tanto hacer evaluaciones periódicas sobre la efectividad de los servicios de tecnología de información, de los proveedores de estos servicios así como también asegurarse el cumplimiento de los compromisos contractuales de los servicios de tecnología de información y de los proveedores de dichos servicios.

M4 Proveer auditoría independiente. Incrementa los niveles de confianza de recomendaciones basadas en mejores prácticas de su implementación, lo que se logra con el uso de auditorías independientes desarrolladas a intervalos regulares de tiempo.Para ello la gerencia deberá establecer los estatutos para la función de auditoría, destacando en este documento la responsabilidad, autoridad y obligaciones de la auditoría.

7.- ¿Que es el ISO y para que sirve?

ISO 9000 es un conjunto de normas sobre calidad y gestión continua de calidad, establecidas por la Organización Internacional de Normalización (ISO). Se pueden aplicar en cualquier tipo de organización o actividad orientada a la producción de bienes o servicios. Las normas recogen tanto el contenido mínimo como las guías y herramientas específicas de implantación, como los métodos de auditoría. El ISO 9000 especifica la manera en que una organización ,opera sus estándares de calidad, tiempos de entrega y niveles de servicio. Existen más de 20 elementos en los estándares de este ISO que se relacionan con la manera en que los sistemas operan.

Sirve para:

*Estandarizar las actividades del personal que trabaja dentro de la organización por medio de la documentación

*Incrementar la satisfacción del cliente

*Medir y monitorizar el desempeño de los procesos

*Disminuir re-procesos

*Incrementar la eficacia y/o eficiencia de la organización en el logro de sus objetivos

*Mejorar continuamente en los procesos, productos, eficacia, etc.

*Reducir las incidencias de producción o prestación de servicios

8.-¿Que es y para que sirve el ISO 27000?

ISO 27000 es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.

Beneficios

• Establecimiento de una metodología de gestión de la seguridad clara y estructurada.

• Reducción del riesgo de pérdida, robo o corrupción de información.

• Los clientes tienen acceso a la información a través medidas de seguridad.

• Los riesgos y sus controles son continuamente revisados.

• Confianza de clientes y socios estratégicos por la garantía de calidad y confidencialidad comercial

• Las auditorías externas ayudan cíclicamente a identificar las debilidades del sistema y las áreas a mejorar

• Posibilidad de integrarse con otros sistemas de gestión (ISO 9001, ISO 14001, OHSAS 18001…).

• Continuidad de las operaciones necesarias de negocio tras incidentes de gravedad.

• Conformidad con la legislación vigente sobre información personal, propiedad intelectual y otras.

• Imagen de empresa a nivel internacional y elemento diferenciador de la competencia.

• Confianza y reglas claras para las personas de la organización.

• Reducción de costes y mejora de los procesos y servicio.

• Aumento de la motivación y satisfacción del personal.

• Aumento de la seguridad en base a la gestión de procesos en vez de en la compra sistemática de productos y tecnologías.

9.- Elige uno de los siguientes estandares internacionales ISO 27001, ISO 27002, ISO 27006 e ISO 27799 y desarrolla:

A. Origen y actualizaciones

B. Caracteristicas de la norma

C. Campo de aplicacion

D. Referencia

A.ISO/IEC 27001 es la única norma internacional auditable que define los requisitos para un sistema de gestión de la seguridad de la información (SGSI). La norma se ha concebido para garantizar la selección de controles de seguridad adecuados y proporcionales.Ello ayuda a proteger los activos de información y otorga confianza a cualquiera de las partes interesadas, sobre todo a los clientes. La norma adopta un enfoque por procesos para establecer, implantar, operar, supervisar, revisar, mantener y mejorar un SGSI. El estándar para la seguridad de la información ISO/IEC 27001 (Information technology - Security techniques - Information security management systems - Requirements) fue aprobado y publicado como estándar internacional en octubre de 2005 por International Organization for Standardization y por la comisión International Electrotechnical Commission.Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) según el conocido “Ciclo de Deming”: PDCA - acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prácticas descritas en ISO/IEC 17799 (actual ISO/IEC 27002) y tiene su origen en la norma BS 7799-2:2002, desarrollada por la entidad de normalización británica, la British Standards Institution (BSI).

B. Caracteristicas de la norma

ISO/IEC 27001 es la única norma internacional auditable que define los requisitos para un sistema de gestión de la seguridad de la información (SGSI). La norma se ha concebido para garantizar la selección de controles de seguridad adecuados y proporcionales.Ello ayuda a proteger los activos de información y otorga confianza a cualquiera de las partes interesadas, sobre todo a los clientes. La norma adopta un enfoque por procesos para establecer, implantar, operar, supervisar, revisar, mantener y mejorar un SGSI.

C. Campo de aplicacion

La implantación de ISO/IEC 27001 en una organización es un proyecto que suele tener una duración entre 6 y 12 meses, dependiendo del grado de madurez en seguridad de la información y el alcance, entendiendo por alcance el ámbito de la organización que va a estar sometido al Sistema de Gestión de la Seguridad de la Información (en adelante SGSI) elegido.

En general, es recomendable la ayuda de consultores externos. Aquellas organizaciones que hayan adecuado previamente de forma rigurosa sus sistemas de información y sus procesos de trabajo a las exigencias de las normativas legales de protección de datos (p.ej., en España la conocida LOPD y sus normas de desarrollo, siendo el más importante el Real Decreto 1720/2007, de 21 de diciembre de desarrollo de la Ley Orgánica de Protección de Datos) o que hayan realizado un acercamiento progresivo a la seguridad de la información mediante la aplicación de las buenas prácticas de ISO/IEC 27002, partirán de una posición más ventajosa a la hora de implantar ISO/IEC 27001.

El equipo de proyecto de implantación debe estar formado por representantes de todas las áreas de la organización que se vean afectadas por el SGSI, liderado por la dirección y asesorado por consultores externos especializados en seguridad informática generalmente Ingenieros o Ingenieros Técnicos en Informática, derecho de las nuevas tecnologías, protección de datos y sistemas de gestión de seguridad de la información (que hayan realizado un curso de implantador de SGSI).

Auditoria

De forma concreta.

La Auditoría es una función de dirección cuya finalidad es analizar y apreciar, con vistas a las eventuales las acciones correctivas, el control interno de las organizaciones para garantizar la integridad de su patrimonio, la veracidad de su información y el mantenimiento de la eficacia de sus sistemas de gestión.

Actividad que realiza.

-Planificacion del trabajo
-Evaluacion de riesgos
-Elaboracion de programas de auditoria
-Revision de informes de auditoria y papeles de trabajo
-Contacto con el cliente auditado

-Ejecucion de programa de auditoria
-Elaboracion de papeles de trabajo
-Elaboracion de informes de control interno

Contexto

Ejemplo

Existe una Aplicación de Seguridad que se llama SEOS, para Unix, que lo que hace es auditar el nivel de Seguridad en todos los servidores, como ser: accesos a archivos, accesos a directorios, que usuario lo hizo, si tenía o no tenía permiso, si no tenía permiso porque falló, entrada de usuarios a cada uno de los servidores, fecha y hora, accesos con password equivocada, cambios de password, etc. La Aplicación lo puede graficar, tirar en números, puede hacer reportes, etc.…"

Con el incremento de agresiones a instalaciones informáticas en los últimos años, se han ido originando acciones para mejorar la Seguridad Informática a nivel físico. Los accesos y conexiones indebidos a través de las Redes de Comunicaciones, han acelerado el desarrollo de productos de Seguridad lógica y la utilización de sofisticados medios criptográficos.

El sistema integral de seguridad debe comprender:
Elementos administrativos
Definición de una política de seguridad
Organización y división de responsabilidades
Seguridad física y contra catástrofes (incendio, terremotos, etc.)
Prácticas de seguridad del personal
Elementos técnicos y procedimientos
Sistemas de seguridad (de equipos y de sistemas, incluyendo todos los elementos, tanto redes como terminales.
Aplicación de los sistemas de seguridad, incluyendo datos y archivos
El papel de los auditores, tanto internos como externos
Planeación de programas de desastre y su prueba.

Referentes.

Segun Gustavo Alonso Cepeda

La recopilación y evaluación de datos sobre información de una entidad para determinar e informar sobre el grado de correspondencia entre la información y los criterios establecidos. La auditoría debe ser realizada por una persona competente e independiente.

Segun Kell Zeigler
Es el examen objetivo, sistemático y profesional de las operaciones ejecutadas con la finalidad de evaluarlas, verificarlas y emitir un informe que contenga comentarios, conclusiones y recomendaciones.

Auditoria Informatica

De forma concreta

La auditoría informática es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para determinar si un sistema de información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización, utiliza eficientemente los recursos, y cumple con las leyes y regulaciones establecidas. Permiten detectar de forma sistemática el uso de los recursos y los flujos de información dentro de una organización y determinar qué información es crítica para el cumplimiento de su misión y objetivos, identificando necesidades, duplicidades, costes, valor y barreras, que obstaculizan flujos de información eficientes.

Auditar consiste principalmente en estudiar los mecanismos de control que están implantados en una empresa u organización, determinando si los mismos son adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se deberían realizar para la consecución de los mismos. Los mecanismos de control pueden ser directivos, preventivos, de detección, correctivos o de recuperación ante una contingencia.

Actividades que realiza

*El análisis de la eficiencia de los Sistemas Informáticos
*La verificación del cumplimiento de la Normativa en este ámbito
*La revisión de la eficaz gestión de los recursos informáticos.

La auditoría informática sirve para mejorar ciertas características en la empresa como:
*Desempeño
*Fiabilidad
*Eficacia
*Rentabilidad
*Seguridad
*Privacidad

Contexto

Auditoria informática frente a un caso de espionaje informático en una empresa.

Una empresa sospechaba, que el sistema central de información estaba siendo manipulado por personal no autorizado. A consecuencia de lo antes mencionado se procedió a realizar una estricta auditoria informática.

El objeto del presente trabajo supone la intervención de un equipo de auditores informáticos, quienes cuentan con la asistencia de un Abogado, quien debe asesorarlos en materia de recolección de pruebas para poder verificar la eficaz iniciación de un proceso penal. Se trata de un espionaje informático cometido por un empleado de la empresa de cierto rango jerárquico, puede no existir el acceso ilegitimo, puesto que es factible que dicho empleado cuente con la autorización para acceder a la información valiosa.

En definitiva se trata de un individuo que efectúa la técnica de acceso no programado al sistema desde adentro de la empresa con el objetivo de obtener la información de sustancial valor comercial para la empresa, la que, generalmente es vendida a la competencia. El equipo de auditoria debe recaudar evidencias comprobatorias para confirmar que la empresa fue victima de un delito informático.

Es importante recolectar información de carácter estrictamente informático (impresiones de listados de archivos, carpetas, e.t.c. Se debe realizar la incautación de hardware, terminales, routers, e.t.c siempre y cuando se trate de material de propiedad de la empresa. Es importante que este material sea sellado con el fin de garantizar su inalterabilidad e intangibilidad lo que se supone por ejemplo que todos los puertos y entradas del hardware deben ser anulados de manera que no se puedan alterar.

Referntes

La información de la empresa y para la empresa, siempre importante, se ha convertido en un Activo Real de la misma, como sus Stocks o materias primas si las hay. Por ende, han de realizarse inversiones informáticas, materia de la que se ocupa la Auditoría de Inversión Informática.

Del mismo modo, los Sistemas Informáticos han de protegerse de modo global y particular: a ello se debe la existencia de la Auditoría de Seguridad Informática en general, o a la auditoría de Seguridad de alguna de sus áreas, como pudieran ser Desarrollo o Técnica de Sistemas.

Cuando se producen cambios estructurales en la Informática, se reorganiza de alguna forma su función: se está en el campo de la Auditoría de Organización Informática.

Estos tres tipos de auditorías engloban a las actividades auditoras que se realizan en una auditoría parcial. De otra manera: cuando se realiza una auditoria del área de Desarrollo de Proyectos de la Informática de una empresa, es porque en ese Desarrollo existen, además de ineficiencias, debilidades de organización, o de inversiones, o de seguridad, o alguna mezcla de ellas.

Auditor

Concretamente

Se llama auditor (o contralor en algunos países de América Latina) a la persona capacitada y experimentada que se designa por una autoridad competente, para revisar, examinar y evaluar los resultados de la gestión administrativa y financiera de una dependencia o entidad (dependencia= institución de gobierno, entidad= empresas particulares o sociedades) con el propósito de informar o dictaminar acerca de ellas, realizando las observaciones y recomendaciones pertinentes para mejorar su eficacia y eficiencia en su desempeño. Originalmente la palabra que se define significa "oidor" u "oyente".

Actividad que realiza

a) Consultar y consensuar con el cliente el alcance de la auditoría.
b) Obtener la información de respaldo relevante como ser los detalles de actividades, los productos, los servicios, en la empresa y sus areas de actuación, los detalles de previas auditorias realizadas al auditado.
c) Formación del equipo auditor.
d) Dirigir las actividades del equipo auditor.
e) Preparar las comunicaciones.
f) Coordinar la preparación de los documentos y procedimientos detallados de trabajo y reunir al equipo auditor.
g) Representar al equipo auditor en discusiones con el auditado, antes, durante y después de la auditoría.
h) Realizar los informes de la auditoría para el cliente.

Norma

Regla o conjunto de reglas que hay que seguir para llevar a cabo una acción, porque está establecido o ha sido ordenado de ese modo.

De forma mas concrecta

Las normas son documentos técnico-legales con las siguientes características:
Contienen especificaciones técnicas de aplicación voluntaria.
Son elaborados por consenso de las partes interesadas:
Fabricantes.
Administraciones.
Usuarios y consumidores.
Centros de investigación y laboratorios.
Asociaciones y Colegios Profesionales.
Agentes Sociales, etc.
Están basados en los resultados de la experiencia y el desarrollo tecnológico.
Son aprobados por un organismo nacional, regional o internacional de normalización reconocido.
Están disponibles al público.

Las normas ofrecen un lenguaje de punto común de comunicación entre las empresas, la Administración pública, los usuarios y consumidores. Las normas establecen un equilibrio socioeconómico entre los distintos agentes que participan en las transacciones comerciales, base de cualquier economía de mercado, y son un patrón necesario de confianza entre cliente y proveedor.

Ejemplos:

+NORMAS TECNICAS

+NORMAS DE ETIQUETA

+NORMAS MORALES

+NORMAS RELIGIOSAS

+NORMAS JURIDICAS

Estandar

Producto de software o hardware que cumple determinadas reglas fijadas por acuerdo internacional, nacional o industrial.

Que es lo más habitual o corriente, o que reúne las características comunes a la mayoría: medida estándar.