> SMC.WP01 SMC.WP01 < II: DESDE ISO 9001 PASANDO PORA SOX ISO27001 HASTA LLEGAR

2 Revisin por parte de la gerencia: los principios de la revisin por parte de la gerencia son los mismos para ambos sistemas de gestin; aunque no sera recomendable realizar ambas revisiones en paralelo, la gerencia ya estar acostumbrada a tomar decisiones sobre el SGC; por lo tanto comprendern mejor cmo tomar decisiones en el contexto del SGSI. Establecimiento de objetivos comerciales y seguimiento de su cumplimiento: se fija el mismo mecanismo en ambas normas; por eso, la gerencia estar acostumbrada a una planificacin sistemtica de este tipo. [10]

Al tener una certificacin en un sistema de gestin de calidad basado en la norma ISO 9001, surge el cuestionamiento Puedo cumplir con los requerimientos de SOX respecto a seguridad de la informacin?, a primera instancias la respuesta concreta sera No, describo a continuacin ms detalles. La norma ISO 9001, especifica cmo deben ser los Sistemas de Gestin de Calidad (SGC). [10], es un conjunto de requerimientos contra los cuales el SGC de la organizacin es evaluado. Esta certificacin asegura a los clientes que los procesos, vigentes de nuestra organizacin se miden con los estndares internacionales de calidad. En este contexto ningn requisito exige la gestin de la seguridad de informacin. El estndar aceptado internacionalmente para la seguridad de la informacin es: ISO/IEC 27001 ISMS (SGSI, sistema de gestin de seguridad de informacin), haciendo un comparativo la parte de sistemas de gestin es la misma en ambos estndares; la filosofa de los sistemas de gestin se basa en la fase de planificacin (plan), implementacin (Do), revisin (check) y actuacin (Act) (PDCA). Planificar lo que desea lograr con el sistema de gestin; Implementacin, lo realiza; en la fase de Revisin, controla permanentemente si ha logrado lo que planific y en la fase de Actuacin, debe hacer las mejoras; es decir, llenar el vaco entre lo que planific y lo que consigui. Aunque este ciclo fue inventado pensando en la gestin de calidad, se tom como base para otros sistemas de gestin, entre ellos: seguridad de la informacin (ISO/IEC 27001). Por lo tanto algunos de los elementos que ha implementado para el sistema de gestin de calidad conforme a la ISO 9001, los podr utilizar tambin para el sistema de gestin de seguridad de la informacin (SGSI), tales como: Gestin de documentacin: el procedimiento utilizado para la gestin de documentacin en el SGC puede ser usado con el mismo objetivo en el SGSI, slo con algunas pequeas adaptaciones. Auditora interna: se puede utilizar el mismo procedimiento para el SGC y para el SGSI; aunque la auditora interna concreta generalmente sera realizada por personas diferentes, ya que no es muy probable que una misma persona conozca en profundidad tanto sobre seguridad de la informacin como sobre calidad. Acciones correctivas y preventivas: el procedimiento utilizado para el SGC puede ser usado con el mismo objetivo en el SGSI, aunque es probable que sean personas diferentes quienes resuelvan los temas relacionados con SGC o SGSI. Gestin de recursos humanos: el mismo ciclo de planificacin, capacitacin y evaluacin de recursos humanos se utiliza para ambos sistemas de gestin; naturalmente, la diferencia radica en el perfil de capacidades y conocimientos requeridos.

La implementacin de cualquiera de los dos estndares nos facilitara la implementacin del otro, siendo ms comn que la organizacin este certificada en ISO9001 puesto que su uso, difusin y aplicacin es de propsito general, teniendo as la ventaja de que si el SGC es maduro la implementacin del ISO/IEC 27001 se realiza sin inconvenientes, puesto que la gerencia comprender mejor los potenciales beneficios comerciales, al tiempo que todas las unidades de la organizacin estarn acostumbradas a la necesidad de definir procedimientos, responsabilidades y documentacin precisos.. [10] Hasta ahora se tiene claro que para gestionar la seguridad de la informacin tendra adoptar las prcticas o mejor an obtener la certificacin en ISO 27001, y vuelve a surgir la pregunta: Puedo cumplir con los requerimientos de SOX respecto a seguridad de la informacin?, como ya he mencionado, SOX requiere: Certificacin de la administracin acerca del control interno de la compaa y reporte de controles internos en informacin financiera.[8]. SOX 404, es acerca de las mejores prcticas en salvaguardar los sistemas financieros de las compaas y garantizar la seguridad de la compaa en su totalidad. [11]. SOX, se centra especficamente en la exactitud de los registros financieros de una empresa y los controles relacionados con los ingresos, gastos, contables, las responsabilidades, etc. Seguridad de la informacin es un componente fundamental del cumplimiento de SOX ya que se indica que la alta direccin es responsable no slo de informacin financiera, sino tambin de la forma en que esa informacin se genera, accede, colecta, almacena, procesa y transmite, y esta responsabilidad slo se puede lograr con eficacia los sistemas de controles de TI.[5]. La implementacin y auditoria de SOX requiere de dos grupos de habilidades: por un lado tener de entender la parte contable de la auditoria (requerimientos del modelo COSO) y por otro lado los sistemas de tecnologa de informacin (requerimientos del modelo (CobiT) COSO indica que los controles internos consisten de cinco componentes interrelacionados: - Control de ambiente - Manejo de riesgos

> SMC.WP01 < - Control de actividades - Informacin y comunicacin - Monitoreo [7] En la siguiente figura (Fig. 1), se muestra los objetivos y responsabilidades especficas de los departamentos de TI para tener conformidad con SOX.

3 - Seguridad de la informacin provee los procesos y tecnologa necesarios para asegurar que las transacciones de negocios son confiables, que los servicios de TI son utilizables y que pueden resistir o recuperarse de fallas debidas a errores, ataques deliberados o desastres. Adems protege informacin crtica de aquellos que no deben tener acceso a ella.[8] Los auditores de SOX, han aceptado tanto el modelo CobiT como el COSO, como gua predeterminado a usarse para dar cumplimiento a esta ley, sin embargo ninguno de los doas ha sido reconocido por la SEC (Comisin de bolsa y valores ) de manera formal.[11][7] III. COBIT CobiT, es un modelo para auditar la gestin y control de los sistemas de informacin y tecnologa, orientado a todos los sectores de una organizacin, es decir, administradores TI, usuarios y por supuesto, los auditores involucrados en el proceso. [6] La adecuada implementacin de un modelo CobiT en una organizacin provee una herramienta automatizada, para evaluar de manera gil y consistente el cumplimiento de los objetivos de control y controles detallados que aseguran que los procesos y recursos de informacin y tecnologa contribuyen al logro de los objetivos del negocio en un mercado cada vez ms exigente, complejo y diversificado. Se aplica a los sistemas de informacin de toda empresa, incluyendo las computadoras personales y las redes. Esta basado en que la filosofa de que los recursos TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la informacin pertinente y confiable que requiere una organizacin para lograr sus objetivos. El conjunto de lineamientos y estndares internacionales conocidos como CobiT, define un marco de referencia que clasifica los procesos de las unidades de tecnologa de informacin de las organizaciones en cuatro dominios principales, a saber: - Planificacin y organizacin - Adquisicin e implantacin - Soporte y Servicios - Monitoreo

Fig. 1. [4]

En TI hay dos grandes grupos de controles que las organizaciones necesitan considerar: - Controles generales (ITGC): controles que garantizan que la informacin financiera de los sistemas de aplicacin de una empresa son confiables - Controles generales; existen ms comnmente como parte de un SGSI, estn embebidos en el software para detectar o prevenir transacciones no autorizadas. Estos controles se usan para asegurar la integridad, exactitud, validez y autorizacin de transacciones. El estndar de auditora No 2 de la PCAOBs dice: ITGC sobre desarrollo de programas, cambios en programas, operaciones computacionales y acceso a programas y datos ayudan a asegurar que controles especficos sobre el procesamiento de transacciones son operados efectivamente. [5] Implicaciones de seguridad en SOX - SOX ha hecho que la seguridad de la informacin llegue al nivel de presidencia y de consejo de administracin - La ley exige mejor integridad de datos, lo que implica que se deben reforzar las practicas de seguridad - Demanda un reforzamiento de las practicas de control interno, incluyendo aquellas relacionadas con control de accesos, que invariablemente estn asociadas a la seguridad - La jerarqua de controles recomendada para cumplir con SOX implcita y explcitamente requiere confidencialidad y disponibilidad

> SMC.WP01 SMC.WP01 < Loa auditores externos para SOX deben ser independientes y autorizados por la PCAOB, tal como para obtener una certificacin en ISO deber ser por una organizacin autorizada para tal accin. [9] SARBANES-OXLEY (SOX)

5

http://www.piramidedigital.com/Documentos/ICT/pdictleysarbanesoxley2 .pdf [10]Kosutic Dejan, http://blog.iso27001standard.com/es/2010/04/02/usarla-iso-9001-para-implementar-la-iso-27001/

En definitiva si se quiere tener conformidad con SOX el camino ms sencillo sera estar certificado en algn estndar puesto que al tener un sistema gestin de calidad o de gestin de seguridad nos permitir estar familiarizados con la interpretacin y el cumplimiento de requisitos, y en el mejor de los casos solo realizar algunas adecuaciones para lograr la integracin de los sistemas adoptados.

[11] http://www.sarbanes-oxleyforum.com/modules.php?name=Forums&file=viewtopic&t=1 584

REFERENCIAS [1] Cano, Miguel Antonio, Lugo Danilo, Nueva ley Frente a los fraudes contables, www.interamericanusa.com/articulos/leyes/ley-saroxley.htm [2] Ley Sarbanes Oxley: www.articulosinformativos.com.mx/ [3] Garca Pereras Ignacio, Sntesis de antecedentes y objetivos, http://www.castillomiranda.com.mx/espanol/Publicacione s/ArchivoPDF/IGP%20Ley%20SarbanesOxley.pdf [4] IT, Controls Objetives for Sarbanes-Oxley The Role of IT in the Design and implementation of internal control over Financial reporting 2nd edition http://www.isaca.org/KnowledgeCenter/Research/ResearchDeliverables/Pages/IT-ControlObjectives-for-Sarbanes-Oxley-2nd-Edition.aspx [5]Information Security, ISO 27001 and SOX http://www.27001.com/Sox.aspx

[6] El modelo Cobit para auditora y control de sistemas de informacin http://www.channelplanet.com/index.php?idcategoria=13932

[7] Integrating Sarbanes-oxley Act Internal Controls Auditing into an ISO9001:2008 Quality Management System http: // www.floehelp.com/sox-404/

[8] Pea Ibarra Jos Angel: Conferencia Latin Ameriica CACS 2006, Seguridad desde el punto de vista SOX y Gobernabilidad http://ccisa.com.mx/InfoCCISA/Archivo/Seguridad%20d esde%20el%20punto%20de%20vista%20SOX%20y%20 Gobernalidad.pdf