> SMC.WP01 <

1

I. INTRODUCCION

Los aspectos de seguridad en cualquier organización son un

tema a considerarse con especial cuidado, sin importar el tipo de organización, pero más aún si es una organización con miras a ofrecer sus productos a nivel global, puesto que esto traerá consigo cada vez más a necesidad de interrelacionar su infraestructura de información. En el presente artículo se proporciona un panorama general de las necesidades y consideraciones que debe tener cualquier organización para obtener una certificación en el ámbito de seguridad de información, así como proporcionar un marco general de las necesidades a cubrir para dar cumplimiento a los lineamientos exigidos de la ley Sarbanes-Oxley en el tema de seguridad informática, teniendo como plataforma de inicio el estándar ISO9001.

II. SARBANES-OXLEY

La ley Sarbnes-Oxley (SOX), emitida en Julio de 2002, “regula las funciones financieras contables y de auditoría y penaliza en una forma severa, el crimen corporativo y de cuello banco” [1]. Originada por escándalos financieros que involucran quiebras de grandes corporaciones, “la ley pretendía establecer estándares más elevados en el control del fraude en la presentación financiera en los mercados. [3] En las reformas de esta ley se incluyen:

- Un organismo privado sin fines de lucro, llamado: compañía pública de vigilancia de contabilidad (PCAOB).

- La evaluación y la divulgación de la eficacia de los controles internos

- Los auditores externos y las juntas de auditor - La protección de los trabajadores - Aumento de penas para la provisión de intencional o

accidental de información financiera falsa.[2] Está orientada a “restablecer la confianza en los mercados de valores y reportes sobre la información financiera.” [3] El objetivo básico de la ley, es: “protección de los inversores, es decir que éstos últimos tengan información confiable y libre de posibles fraudes a la hora de tomar decisiones que afectan tanto a la compañía como a sus vidas privadas” [3]

¿Para quién aplica?

Cualquier gran empresa que cotiza en los Estados Unidos, cualquier empresa extranjera que cotiza en el comercio de los Estados Unidos, e incluso cualquier empresa privada que se esté preparando para su oferta pública, debe cumplir con la SOX. [2]

¿Qué requiere? - Certificación de la administración acerca del control

interno de la compañía. - Reporte de controles internos en información

financiera.[8]

¿Cómo está constituida? Consta de once capítulos cada uno dividido en secciones (o artículos) dentro de las cuales algunas de éstas son clave para la seguridad de la información, entre ellas:

Sección 302.-: Directivos de la compañía deben hacer representaciones relacionadas con la divulgación de controles, procedimientos y aseguramiento contra fraude Sección 404.- Directivos deben proveer una evaluación anual de la efectividad de los controles internos para el reporte de información financiera y obtener una certificación de los auditores externos respecto a que los controles son efectivos.[8] Ventajas de aplicar SOX

- La aplicación de SOX afecta directamente a controles financieros internos ya sean automatizados y manuales, dependiendo de la interpretación y regulaciones subsecuentes. (Artículos 302, 404 y 409)

- Controles generales (backup, DRP, seguridad) - Controles de aplicación (ERP, finanzas, etc.) - Confirma los informes financieros de la empresa,

atestiguando su exactitud - Asegura que estén establecidos y se mantengan - controles internos efectivos. - Permite que se auditen a los controles dentro del

periodo de 90 días previo al informe. - Informa de cualquier deficiencia en los controles

internos. - Informa de cualquier cambio en los controles internos. - SOX nos brinda la oportunidad de disponer de

información financiera en tiempo real (Articulo 409) [9]

Una implementación de Sistema de Calidad para el logro de los objetivos de Seguridad Informática Proceso IT Sarbanes-Oxley (SOx)

Molina Cruz, Sandra.

> SMC.WP01 <

2

II: DESDE ISO 9001 PASANDO POR ISO27001 HASTA LLEGAR

A SOX

Al tener una certificación en un sistema de gestión de calidad basado en la norma ISO 9001, surge el cuestionamiento ¿Puedo cumplir con los requerimientos de SOX respecto a seguridad de la información?, a primera instancias la respuesta concreta sería No, describo a continuación más detalles. La norma ISO 9001, especifica cómo deben ser los Sistemas de Gestión de Calidad (SGC). [10], es un conjunto de requerimientos contra los cuales el SGC de la organización es evaluado. Esta certificación asegura a los clientes que los procesos, vigentes de nuestra organización se miden con los estándares internacionales de calidad. En este contexto ningún requisito exige la gestión de la seguridad de información. El estándar aceptado internacionalmente para la seguridad de la información es: ISO/IEC 27001 ISMS (SGSI, sistema de gestión de seguridad de información), haciendo un comparativo la parte de “sistemas de gestión” es la misma en ambos estándares;” la filosofía de los sistemas de gestión… se basa en la fase de planificación (plan), implementación (Do), revisión (check) y actuación (Act) (PDCA). Planificar lo que desea lograr con el sistema de gestión; Implementación, lo realiza; en la fase de Revisión, controla permanentemente si ha logrado lo que planificó y en la fase de Actuación, debe hacer las mejoras; es decir, llenar el vacío entre lo que planificó y lo que consiguió. Aunque este ciclo fue inventado pensando en la gestión de calidad, se tomó como base para otros sistemas de gestión, entre ellos: seguridad de la información (ISO/IEC 27001). Por lo tanto algunos de los elementos que ha implementado para el sistema de gestión de calidad conforme a la ISO 9001, los podrá utilizar también para el sistema de gestión de seguridad de la información (SGSI), tales como:

Gestión de documentación: el procedimiento utilizado para la gestión de documentación en el SGC puede ser usado con el mismo objetivo en el SGSI, sólo con algunas pequeñas adaptaciones.

Auditoría interna: se puede utilizar el mismo procedimiento para el SGC y para el SGSI; aunque la auditoría interna concreta generalmente sería realizada por personas diferentes, ya que no es muy probable que una misma persona conozca en profundidad tanto sobre seguridad de la información como sobre calidad.

Acciones correctivas y preventivas: el procedimiento utilizado para el SGC puede ser usado con el mismo objetivo en el SGSI, aunque es probable que sean personas diferentes quienes resuelvan los temas relacionados con SGC o SGSI.

Gestión de recursos humanos: el mismo ciclo de planificación, capacitación y evaluación de recursos humanos se utiliza para ambos sistemas de gestión; naturalmente, la diferencia radica en el perfil de capacidades y conocimientos requeridos.

Revisión por parte de la gerencia: los principios de la revisión por parte de la gerencia son los mismos para ambos sistemas de gestión; aunque no sería recomendable realizar ambas revisiones en paralelo, la gerencia ya estará acostumbrada a tomar decisiones sobre el SGC; por lo tanto comprenderán mejor cómo tomar decisiones en el contexto del SGSI.

Establecimiento de objetivos comerciales y seguimiento de su cumplimiento: se fija el mismo mecanismo en ambas normas; por eso, la gerencia estará acostumbrada a una planificación sistemática de este tipo. [10]

La implementación de cualquiera de los dos estándares nos facilitara la implementación del otro, siendo más común que la organización este certificada en ISO9001 puesto que su uso, difusión y aplicación es de propósito general, teniendo así la ventaja de que si el SGC es maduro la implementación del ISO/IEC 27001 se realiza sin inconvenientes, puesto que “la gerencia comprenderá mejor los potenciales beneficios comerciales, al tiempo que todas las unidades de la organización estarán acostumbradas a la necesidad de definir procedimientos, responsabilidades y documentación precisos.”. [10]

Hasta ahora se tiene claro que para gestionar la seguridad de la información tendría adoptar las prácticas o mejor aún obtener la certificación en ISO 27001, y vuelve a surgir la pregunta: ¿Puedo cumplir con los requerimientos de SOX respecto a seguridad de la información?, como ya he mencionado, SOX requiere: Certificación de la administración acerca del control interno de la compañía y reporte de controles internos en información financiera.[8]. “SOX 404, es acerca de las mejores prácticas en salvaguardar los sistemas financieros de las compañías y garantizar la seguridad de la compañía en su totalidad.” [11]. SOX, se centra específicamente en la exactitud de los registros financieros de una empresa y los controles relacionados con los ingresos, gastos, contables, las responsabilidades, etc. Seguridad de la información es un componente fundamental del cumplimiento de SOX ya que se indica que la alta dirección es responsable no sólo de información financiera, sino también de la forma en que esa información se genera, accede, colecta, almacena, procesa y transmite, y esta responsabilidad sólo se puede lograr con eficacia los sistemas de controles de TI.[5]. La implementación y auditoria de SOX requiere de dos grupos de habilidades: por un lado tener de entender la parte contable de la auditoria (requerimientos del modelo COSO) y por otro lado los sistemas de tecnología de información (requerimientos del modelo (CobiT) COSO indica que los controles internos consisten de cinco componentes interrelacionados:

- Control de ambiente - Manejo de riesgos

> SMC.WP01 <

3

- Control de actividades - Información y comunicación - Monitoreo [7]

En la siguiente figura (Fig. 1), se muestra los objetivos y responsabilidades específicas de los departamentos de TI para tener conformidad con SOX.

Fig. 1. [4]

En TI hay dos grandes grupos de controles que las organizaciones necesitan considerar:

- Controles generales (ITGC): controles que garantizan que la información financiera de los sistemas de aplicación de una empresa son confiables

- Controles generales; existen más comúnmente como parte de un SGSI, están embebidos en el software para detectar o prevenir transacciones no autorizadas. Estos controles se usan para asegurar la integridad, exactitud, validez y autorización de transacciones.

El estándar de auditoría No 2 de la PCAOB´s dice: ITGC sobre desarrollo de programas, cambios en programas, operaciones computacionales y acceso a programas y datos ayudan a asegurar que controles específicos sobre el procesamiento de transacciones son operados efectivamente. [5] Implicaciones de seguridad en SOX - SOX ha hecho que la seguridad de la información

llegue al nivel de presidencia y de consejo de administración

- La ley exige mejor integridad de datos, lo que implica que se deben reforzar las practicas de seguridad

- Demanda un reforzamiento de las practicas de control interno, incluyendo aquellas relacionadas con control de accesos, que invariablemente están asociadas a la seguridad

- La jerarquía de controles recomendada para cumplir con SOX implícita y explícitamente requiere confidencialidad y disponibilidad

- Seguridad de la información provee los procesos y tecnología necesarios para asegurar que las transacciones de negocios son confiables, que los servicios de TI son utilizables y que pueden resistir o recuperarse de fallas debidas a errores, ataques deliberados o desastres. Además protege información crítica de aquellos que no deben tener acceso a ella.[8]

Los auditores de SOX, han aceptado tanto el modelo CobiT como el COSO, como guía predeterminado a usarse para dar cumplimiento a esta ley, sin embargo ninguno de los doas ha sido reconocido por la SEC (Comisión de bolsa y valores ) de manera formal.[11][7]

III. COBIT

CobiT, es un modelo para auditar la gestión y control de los sistemas de información y tecnología, orientado a todos los sectores de una organización, es decir, administradores TI, usuarios y por supuesto, los auditores involucrados en el proceso. [6] “La adecuada implementación de un modelo CobiT en una organización provee una herramienta automatizada, para evaluar de manera ágil y consistente el cumplimiento de los objetivos de control y controles detallados que aseguran que los procesos y recursos de información y tecnología contribuyen al logro de los objetivos del negocio en un mercado cada vez más exigente, complejo y diversificado”. Se aplica a los sistemas de información de toda empresa, incluyendo las computadoras personales y las redes. Esta basado en que la filosofía de que los recursos TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la información pertinente y confiable que requiere una organización para lograr sus objetivos. El conjunto de lineamientos y estándares internacionales conocidos como CobiT, define un marco de referencia que clasifica los procesos de las unidades de tecnología de información de las organizaciones en cuatro “dominios” principales, a saber:

- Planificación y organización - Adquisición e implantación - Soporte y Servicios - Monitoreo

> SMC.WP01 <

4

Relación de los componentes de control es de COSO y CobiT [4]

Estos dominios agrupan objetivos de control de alto nivel, que cubren tanto los aspectos de información, como de la tecnología que la respalda. Estos dominios y objetivos de control facilitan que la generación y procesamiento de la información cumplan con las características de efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad. Asimismo, se deben tomar en cuenta los recursos que proporciona la tecnología de información, tales como: datos, aplicaciones, plataformas tecnológicas, instalaciones y recurso humano [6] Los 12 objetivos de control definidos en el estándar de auditoría No 2 de la PCAOB´ y de CobiT, fueron definidos por SOX. [4]

Mapeo de Objetivos de control [4]

Funciones críticas de TI para seguridad

- Administración de identidad y privilegios - Control de cambios

o Aplicaciones o Cuentas o Equipo de cómputo y comunicaciones o Documentación

- Registros o Uso o Fallas o Accesos

- Monitoreo[8]

IV. CONCLUSIONES

En definitiva el contar con un SGC basado en ISO 9001, no es suficiente para dar cumplimiento con los requisitos de SOX. Sin embargo se tiene varias similitudes que pueden ser de gran ayuda: Documentación de procesos, para SOX se debería agregar o adecuar los procesos contables y financieros, así como para los procesos de TI; control documental, mapeo de procesos, definición de objetivos, así como las acciones para su logro y las acciones en caso no estar logrando el cumplimiento de éstos, preservación del producto, control y generación de registros, competencias o evaluaciones de desempeño y capacitación. Se puede dar el salto de ISO 9001 a SOX, siendo lo más recomendable (no estrictamente necesario) antes pasar por ISO 27001 ya que al ser un estándar de seguridad informática simplificaría más el proceso de conformidad con el modelo CobiT, y este a su vez asegurar el cumplimiento con SOX en el proceso de TI. SOX, por ser una ley su cumplimento es mandatorio y aplican sanciones en caso de incumplimiento a diferencia de un estándar cuyo incumplimiento no es sancionado de ningún modo y de ninguna manera su uso o cumplimiento es obligatorio. La ley es aplicable hasta ahora solo a compañías públicas que rebasen determinado valor, y que cotizan en la bolsa de los Estados Unidos incluyendo las extranjeras. ISO es un estándar que puede ser adoptado por cualquier empresa sin importar su tamaño, giro y ubicación.

Las auditorias de SOX van dirigidas a los controles internos, es requerida la auditoría externa para las revisiones tal como es requerida una auditoría externa apara obtener certificación en ISO, por compañías autorizadas para la realización de éstas actividades.

> SMC.WP01 <

5

Loa auditores externos para SOX deben ser independientes y autorizados por la PCAOB, tal como para obtener una certificación en ISO deber ser por una organización autorizada para tal acción.

En definitiva si se quiere tener conformidad con SOX el camino más sencillo sería estar certificado en algún estándar puesto que al tener un sistema gestión de calidad o de gestión de seguridad nos permitirá estar familiarizados con la interpretación y el cumplimiento de requisitos, y en el mejor de los casos solo realizar algunas adecuaciones para lograr la integración de los sistemas adoptados.

REFERENCIAS

[1] Cano, Miguel Antonio, Lugo Danilo, Nueva ley Frente a

los fraudes contables, www.interamericanusa.com/articulos/leyes/ley-sar-oxley.htm

[2] Ley Sarbanes –Oxley: www.articulosinformativos.com.mx/

[3] García Pereras Ignacio, Síntesis de antecedentes y

objetivos, http://www.castillomiranda.com.mx/espanol/Publicaciones/ArchivoPDF/IGP%20Ley%20SarbanesOxley.pdf

[4] IT, Controls Objetives for Sarbanes-Oxley The Role of

IT in the Design and implementation of internal control over Financial reporting 2nd edition

http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/IT-Control-Objectives-for-Sarbanes-Oxley-2nd-Edition.aspx [5]Information Security, ISO 27001 and SOX http://www.27001.com/Sox.aspx [6] El modelo Cobit para auditoría y control de sistemas de información http://www.channelplanet.com/index.php?idcategoria=13932

[7] Integrating Sarbanes-oxley Act Internal Controls Auditing into an ISO9001:2008 Quality Management System http: // www.floehelp.com/sox-404/ [8] Peña Ibarra José Angel: Conferencia Latin Ameriica CACS 2006, Seguridad desde el punto de vista SOX y Gobernabilidad

http://ccisa.com.mx/InfoCCISA/Archivo/Seguridad%20desde%20el%20punto%20de%20vista%20SOX%20y%20Gobernalidad.pdf

[9] SARBANES-OXLEY (SOX) http://www.piramidedigital.com/Documentos/ICT/pdictleysarbanesoxley2.pdf [10]Kosutic Dejan, http://blog.iso27001standard.com/es/2010/04/02/usar-la-iso-9001-para-implementar-la-iso-27001/

[11] http://www.sarbanes-oxley-forum.com/modules.php?name=Forums&file=viewtopic&t=1584