Estándares y certificaciones
14
Estándares de Auditoria Informática Estándares = Aseguramiento de la calidad.
-
Upload
jose-alvarado-robles -
Category
Technology
-
view
117 -
download
4
Transcript of Estándares y certificaciones
Estándares de Auditoria Informática
Estándares = Aseguramiento de la calidad.
Introducción
• Una auditoria se hace a base de reglas, directrices y buenas practicas de seguridad.
• Dentro de las directrices y practicas que podemos recordar en auditoria están el Control Interno Informático y los procesos de planificación, ejecución y dictamen.
• Existen estándares orientados a servir como base a estándares para auditorias de informática.
Estándares
• COBIT: significa ‘Objetivos de control de las tecnologías de la información’ tiene una serie de recursos que pueden servir de modelo de referencia para la gestión de TI, incluyendo un resumen ejecutivo, un framework, objetivos de control, mapas de auditoría, herramientas para su implementación y principalmente, una guía de técnicas de gestión.
• COBIT 5 se lanzó el 10 de abril del 2012 y esta enfocado en la generación de valor, calidad y manejo de riesgos.
Estándares
• ISO27001• Especifica los requisitos necesarios para
establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) según el conocido “Ciclo de Deming”: PDCA - acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar).
Estándares• Beneficios del ISO27001• Proporciona una ventaja competitiva al cumplir los requisitos
contractuales y demostrar a los clientes que la seguridad de su información es primordial.
• Verifica independientemente que los riesgos de la organización estén correctamente identificados, evaluados y gestionados al tiempo que formaliza unos procesos, procedimientos y documentación de protección de la información.
• Demuestra el compromiso de la cúpula directiva de su organización con la seguridad de la información.
• El proceso de evaluaciones periódicas ayuda a supervisar continuamente el rendimiento y la mejora.
Estándares
• ISO27002• Es la revisión de los estándares publicados en
la ISO27001 que se basaban en la calidad de los procesos de control interno y la organización de departamento de informática, el nuevo estándar agrega la parte de seguridad y la disponibilidad de la información.
Estándares
• Directrices de ISO27002• La seguridad de la información se define en el estándar
como:• La preservación de la confidencialidad (asegurando que
sólo quienes estén autorizados pueden acceder a la información).
• Integridad (asegurando que la información y sus métodos de proceso son exactos y completos) y
• Disponibilidad (asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran).
Certificaciones
Seguridad Informática
Introducción
• Las certificaciones son garantías sobre conocimientos técnicos que un profesional ha adquirido y lo acredita ante el manejo de una tecnología o proceso en especifico.
• Hace mas fácil que un profesional informático se introduzca al mercado laboral ya que puede compensar en cierta medida la falta de experiencia.
• Una persona certificada puede ganar entre un 10% a 20% mas que si no la tuviera.
• Tiene mas posibilidades de ascender de puesto
Certificaciones Importantes
• CISSP Certified Information System Security Professional
• CompTIA+ Security Professional• CISA Certified Information System Auditor• CCSP Cisco Certified Security Professional• CIA Certified Internal Auditor• PMP Project Management Professional
CISSP
• La certificación de seguridad mas demandada y reconocida internacionalmente.
• Se apoyan en la normas del instituto ISO.• Se basa en estándares CBK que incluyen:– Controles de acceso y metodología– Plan de recuperación ante desastres
• Tener un titulo universitario relacionado a la informática y aprobar un examen de $499 son necesarios para obtener el certificado.
CISA
• Es otro de los certificados de seguridad mas reconocidos internacionalmente.
• Solo personas con 1 año experiencia profesional o un titulo universitario en CC o auditoria pueden optar al certificado.
• Se enfoca al control interno y propio proceso de la auditoria.
• El certificado es valido solo si se siguen los procesos de educación continua.
CIA
• Es una certificación que garantiza que una persona es experta en hacer auditoria internas, el reconocimiento es global.
• La auditoria interna no solo se refiere a al control informático, sino de todas las áreas de la empresa.
• Se refiere a la capacidad de identificar riesgos y proponer controles correctivos.
• No existe ningún programa de formación, solo las guías de estudio, no hay requisitos para realizar el examen.
PMP
• Es una certificación ofrecida por el Project Management Institute (PMI) y garantiza que la persona que lo posea es capaz da gestionar grandes proyectos, cumplir con la calidad deseada y entregarlos en el tiempo negociado.
• La credencial se obtiene mediante la documentación de 3 a 5 años de experiencia en gestión de proyectos, completar 35 horas de formación relacionadas con la gestión de proyectos, y obteniendo un determinado porcentaje de las preguntas en un examen escrito de opción múltiple.
