CERTIFICACIN CRISC Y EMPRESAS CERTIFICADORAS EN AUDITORIA DE

SISTEMAS

PRESENTADO POR:

TATIANA SUAREZ ACELAS

CARLOS JULIAN NAVARRO SUAREZ

DOCENTE:
RUY FERNANDO RUIZ MOJICA

UNIVERSITARIA DE INVESTIGACIN Y DESARROLLO - UDI

FACULTAD DE INGENIERA DE SISTEMAS
AUDITORIA DE SISTEMAS
BUCARAMANGA
2016
1. AUDITORIA DE SISTEMAS

La auditora de sistemas ha ido tomando gran auge ya que las empresas ven
necesario garantizar que el uso que se hace de las tecnologas no representa
ningn problema para ellas mismas ni para todos los entes involucrados con la
misma (clientes internos, proveedores, clientes externos).
Haciendo un anlisis de la definicin planteada por G.A Rivas podemos decir que
la auditora de sistemas es un conjunto de tcnicas, actividades y
procedimientos. El auditor de sistemas no es una persona que debe inventarse
las cosas, debe ejercer la profesin siguiendo unas tcnicas de trabajo y
realizando actividades que permiten conducir a buen resultado si se siguen de
forma adecuada, destinadas a analizar lo que encuentra, evaluar la magnitud de
lo que encuentra, verificar que lo que inicialmente le han comentado es cierto y
recomendar alternativas o soluciones en asuntos relativos a la planificacin,
control, eficacia de la empresa en el uso de las tecnologas, seguridad y
adecuacin del servicio informtico de la empresa por lo que comprende un
examen metdico, seguir una metodologa para poder capturar la informacin,
discontinuo para que esto acabe sesgando la propia evolucin de la empresa en
temas informticos y puntual del servicio informtico en vistas a mejorar en
rentabilidad, seguridad y eficacia.
La seguridad siempre es relativa nunca es absoluta y una empresa es tan segura
como su eslabn ms dbil.
La auditora de sistemas debe mantener ciertas caractersticas como nos
menciona ISACA en sus normas las cuales deben tener en cuenta:
Debe ser realizada con criterios de eficiencia, eficacia y economa:
Empleo de tcnicas y enfoques apropiados en el plan de auditora y al
determinar prioridades para la asignacin de los recursos.
Emplear un enfoque de auditora basado en riesgos: Identificar y
evaluar riesgos relevantes.
La labor de la auditora de seguridad de informacin debe ser
supervisada.

 Debe estar basada en evidencia suficiente, confiable y pertinente: Que

permita alcanzar los objetivos de auditora y obtener conclusiones objetivas
y razonables del resultado de la auditora.
Determinar la naturaleza, plazos y alcance de los procedimientos de
auditora que adelantar.
Realizada con actitud de escepticismo profesional.
Considerar la materialidad de la auditora y su relacin con el riesgo de
auditora
1.1. ESTNDARES Y MARCOS DE REFERENCIA DE LA AUDITORA DE
SISTEMAS (Sosa)

COBIT: Control Objectives for Information and related Technology

ITIL: The Information Technology Infrastructure Library
ISO 20000: Estndar internacional en gestin de servicios de TI
COSO: Committee of Sponsoring Organizations of the Treadway

Commission
ISO 27001: Estndar internacional para la implementacin de SGSI
MAGERIT: "Metodologa de Anlisis y Gestin de Riesgos de los Sistemas
de Informacin (creado en Espaa por Consejo Superior de Administracin
Electrnica)
ISO 27005: Estndar para la administracin del riesgo de seguridad de la
informacin

2. ISACA

ISACA (isaca.org) ayuda a los profesionales globales a liderar, adaptar y

asegurar la confianza en un mundo digital en evolucin ofreciendo conocimiento,
estndares, relaciones, acreditacin y desarrollo de carrera innovadores y de
primera clase. Establecida en 1969, ISACA es una asociacin global sin nimo de
lucro de 140.000 profesionales en 180 pases. ISACA tambin ofrece
Cybersecurity Nexus TM (CSX), un recurso integral y global en ciberseguridad, y
COBIT, un marco de negocio para gobernar la tecnologa de la empresa. ISACA
adicionalmente promueve el avance y certificacin de habilidades y conocimientos
crticos para el negocio, a travs de las certificaciones globalmente respetadas:
Certified Information Systems Auditor (CISA), Certified Information Security
Manager (CISM), Certified in the Governance of Enterprise IT (CGEIT) y
Certified in Risk and Information Systems Control (CRISC). La asociacin
tiene ms de 200 captulos en todo el mundo.
Como una asociacin mundial independiente, sin fines de lucro, ISACA se
involucra en el desarrollo, la adopcin y el uso de los conocimientos y prcticas de
los sistemas de informacin aceptados y lderes en la industria mundial.
Anteriormente conocida como la Asociacin de Auditora y Control de Sistemas de
Informacin, ISACA ahora va por sus siglas solamente, para reflejar la amplia
gama de profesionales de IT a los que sirve.

Dentro de las actividades de ISACA se encuentra el desarrollo y administracin de

4 certificaciones lderes en la industria:

CISA: Certificado de Auditor de Sistemas de Informacin (Certified

Information Systems Auditor) una designacin respetada a nivel mundial
para profesionales con experiencia en auditoria de sistemas, control y
seguridad. Ms de 118.000 profesionales han obtenido la certificacin CISA
desde su creacin en 1978.

 CISM: Certificado en administracin de seguridad de la informacin.

(Certified Information Security Manager), una innovadora designacin para
lderes que manejan seguridad de la informacin de una organizacin. Ms
de 28.000 profesionales han obtenido la certificacin CISM desde que se
estableci en 2002.
CGEIT: Certificado en gobernanza de empresas TI (Certified in the
Governance of Enterprise IT), para profesionales que administran,
proporcionan servicios de asesoramiento y/o aseguramiento, y/o de alguna
manera apoyan el gobierno de una empresa IT. Ms de 6.000 profesionales
han obtenido la certificacin CGEIT desde que se estableci en 2007.
CRISC: Certificado en Sistemas de Informacin de Riesgos y Control
(Certified in Risk and Information Systems Control), para profesionales IT
con experiencia en identificacin de riesgos, evaluacin, respuesta y
seguimiento a los riesgos, control de diseo, implementacin, monitoreo y
mantenimiento de sistemas de informacin. Ms de 18.000 profesionales
han sido certificados desde el inicio en el ao 2010.
ISACA se basa en una red global de profesionales lderes que desarrollan sus
programas de certificacin. Con acceso a expertos de todo el mundo, ISACA est
definiendo cmo los riesgos IT estn siendo gestionados en los actuales y futuros
ambientes empresariales. (ISACA, s.f.)

3. CRISC (Certified in Risk and Information Systems Control)

Trayectoria

Director de Riesgos - (Chief risk officer (CRO))

Profesional
Enfoque de la

Manejo de Riesgos - (Risk Management)

certificacin
Trabajo a

Identificar, evaluar y manejar riesgos a travs del desarrollo,

desempear.

implementacin y mantenimiento de controles a sistemas de

informacin.

Requerimientos

Evidenciar mnimo tres (3) aos de experiencia en riesgos y

controles a sistemas de informacin.

Fue Introducido en 2010, el Certificado en Sistemas de Informacin de Riesgos y

Control (CRISC) es una nueva certificacin ofrecida por ISACA y se basa en la
propiedad intelectual de la asociacin, investigacin de mercado independiente y
los aportes de expertos en la materia de todo el mundo. La certificacin CRISC
est diseada para aquellas personas expertas en gestin de riesgos de TI, as
como el diseo, la implementacin, el monitoreo y el mantenimiento de controles
sobre sistemas de informacin.
CRISC es la nica certificacin que prepara y habilita a los profesionales IT para
los desafos nicos de la gestin de riesgos empresariales y los posiciona para
convertirse en socios estratgicos de la empresa.

3.1. BENEFICIOS DE CRISC

Experimentar la credibilidad, reconocimiento y recompensa que vienen con una
capacidad demostrada para gestionar el riesgo empresarial a travs de un control
eficaz de los sistemas de informacin.

CRISC es la evaluacin actual ms rigurosa que se encuentra disponible para

evaluar el desempeo en gestin de riesgos de los profesionales IT y otros
empleados dentro de una empresa o institucin financiera.
Aquellos que adquieren la certificacin CRISC ayudan a las empresas a entender
el riesgo empresarial, y tienen el conocimiento tcnico para implementar controles
apropiados en los sistemas de informacin.

3.2. CERTIFICACIN CRISC

Denota para toda la vida un smbolo de prestigio, conocimiento y
experiencia como profesional del riesgo
Aumenta su valor a su organizacin, ya que busca administrar los riesgos
de IT.
Le da una ventaja competitiva frente a sus compaeros cuando busca
escalar en el trabajo.
Le da acceso a la comunidad global de conocimiento y mayor parte del
pensamiento hasta la fecha en la gestin de riesgos IT de ISACA.
Le ayuda a lograr un alto nivel profesional a travs de requerimientos de
ISACA para la continua educacin y conducta tica.

3.3. REQUISITOS PARA LA CERTIFICACIN CRISC

La conclusin con xito del examen CRISC.
Informacin en sistemas de gestin de riesgos IT y control de la
informacin.
Adhesin del Cdigo de tica Profesional.
Adhesin de la poltica de educacin profesional continua (CPE).
Son requeridos para la certificacin, tres (3) o ms aos de experiencia
laboral acumulativa realizando las tareas de un profesional de CRISC en al
menos dos (2) dominios de CRISC, de los cuales uno debe ser en el
Dominio 1 2. No hay sustituciones ni convalidaciones por experiencia.
o Dominio 1Identificacin de riesgos de TI (27%)
o Dominio 2Evaluacin de riesgos de TI (28%)
o Dominio 3Mitigacin y respuesta al riesgo (23%)
o Dominio 4Informes y monitoreo sobre control y riesgo (22%)

3.4. POR QUE LOS EMPLEADORES CONTRATAN CRISCs?

CRISCs

proporciona

profesionalismo

adicional

cualquier

organizacin,

demostrando un nivel cuantificable de conocimientos, educacin continua y

adhesin a estndares de conducta tica establecido por ISACA.
Empleados CRISCs
Construyen una mayor comprensin sobre el impacto de los riesgos IT y
cmo se relaciona con toda la organizacin.
Asegurar el desarrollo de planes ms eficaces para mitigar el riesgo.
Establecer una perspectiva comn y lenguaje sobre el riesgo IT que pueda
establecer estndares para la empresa (ISACA, s.f.)

4. COBIT

COBIT fue originalmente un acrnimo de (Objetivos de Control para la

informacin y tecnologas relacionadas). Ahora se utiliza en forma corta,
COBIT se utiliza para identificar el nombre del marco. Su sigla en ingls se
refiere a Control Objectives for Information and Related Technology y es un
conjunto de mejores prcticas para el manejo de informacin creado por la
Asociacin para la Auditora y Control de Sistemas de Informacin (ISACA), y el

Instituto de Administracin de las Tecnologas de la Informacin (ITGI) en 1992.

Cobit es un marco de referencia para la direccin de IT, as como tambin de

herramientas de soporte que permite a la alta direccin reducir la brecha entre las
necesidades de control, cuestiones tcnicas y los riesgos del negocio. Cobit
permite el desarrollo de polticas claras y buenas prcticas para el control de TI en
las organizaciones. Cobit enfatiza el cumplimiento normativo, ayuda a las
organizaciones a aumentar el valor obtenido de TI, facilita su alineacin y
simplifica

la

implementacin

del

marco

de

referencia

de

Cobit.

El propsito de Cobit es brindar a la Alta Direccin de una compaa confianza en

los sistemas de informacin y en la informacin que estos produzcan. Cobit
permite entender cmo dirigir y gestionar el uso de tales sistemas as como
establecer un cdigo de buenas prcticas a ser utilizado por los proveedores de
sistemas. Cobit suministra las herramientas para supervisar todas las actividades
relacionadas con IT. (ISACA, s.f.)

COBIT 5 es producto de la mejora estratgica de ISACA impulsando la prxima

generacin de guas sobre el Gobierno y la Administracin de la informacin y los
Activos Tecnolgicos de las Organizaciones. Construido sobre ms de 15 aos de
aplicacin prctica, ISACA desarroll COBIT 5 para cubrir las necesidades de los

interesados, y alinearse a las actuales tendencias sobre tcnicas de gobierno y

administracin relacionadas con la TI. (Camelo, 2010)

COBIT 5 es el marco de gestin y de negocio global para el gobierno y la gestin

de las TI de la empresa. El marco COBIT 5 para el gobierno y la gestin de la
empresa de TI es una optimizacin de negocios de punta y hoja de ruta de
crecimiento que aprovecha las prcticas probadas, liderazgo mundial y
herramientas innovadoras para inspirar la innovacin de TI y de negocio de los
combustibles xito
COBIT 5 ofrece un marco integral que ayuda a las empresas en la consecucin de
sus objetivos para el gobierno y la gestin de activos de informacin empresarial y
tecnologa (IT). En pocas palabras, que ayuda a las empresas crean valor ptimo
de TI mediante el mantenimiento de un equilibrio entre la obtencin de beneficios y
la optimizacin de los niveles de riesgo y la utilizacin de recursos. COBIT 5 le
permite ser gobernado y administrado de manera integral para toda la empresa,
teniendo en el negocio completo de extremo a extremo y de TI reas funcionales
de responsabilidad, teniendo en cuenta los intereses relacionados con TI de

grupos de inters internos y externos. COBIT 5 es genrico y til para las

empresas de todos los tamaos, ya sea comercial, sin fines de lucro o en el sector
pblico.
4.1. QUIN EST UTILIZANDO COBIT 5?
COBIT 5 se utiliza en todo el mundo por aquellos que tienen la responsabilidad
principal de los procesos de negocio y tecnologa, dependen de la tecnologa de la
informacin pertinente y fiable, y proporcionar calidad, fiabilidad y control de la
informacin y la tecnologa relacionada.
4.2. EXAMEN COBIT (IT Service, s.f.)
ISACA ofrece a los profesionales que tienen un dominio del contenido del curso
de Fundamentos de COBIT 5 la oportunidad de demostrar sus conocimientos
mediante la adopcin de un examen y obtener un certificado. Estos profesionales
entienden los problemas de gestin que enfrentan las organizaciones de TI de
hoy y saben cmo utilizar COBIT para responder a estos desafos. Estos
profesionales han utilizado los elementos de COBIT, en la prctica, y estn
preparados para aplicaciones recomendadas de COBIT para proyectos en toda
la empresa.
El Examen consta de 50 preguntas de seleccin mltiple y requiere una
puntuacin

de

50%

ms

para

pasar.

Certificacin mundial asignada al participante

Examen gestionado por APMG
Contiene 50 preguntas de opcin mltiple
Tiene una duracin de 40 minutos
No se permite libro abierto
Se gana con un mnimo de 25 respuestas acertadas correctamente, es

decir 50%
Se realiza va web
Idioma del examen disponible en Espaol latinoamericano

En conclusin COBIT 5 une los cinco principios que permiten a la Organizacin

construir un marco efectivo de Gobierno y Administracin basado en una serie

holstica de siete habilitadores, que optimizan la inversin en tecnologa e

informacin as como su uso en beneficio de las partes interesadas.

5. Referencias
Camelo, L. (28 de Julio de 2010). Seguridad de la Informacin en Colombia.
Obtenido de
http://seguridadinformacioncolombia.blogspot.com.co/2010/07/que-escobit.html
ISACA. (s.f.). Cobit 5. Obtenido de http://www.isaca.org/COBIT/pages/default.aspx
ISACA. (s.f.). Information Technology - Information Security - Information
Assurance. Obtenido de https://www.isaca.org/
IT Service. (s.f.). Fundamentos Cobit 5. Obtenido de
http://www.itservice.com.co/fundamentoscobit5
Sosa, N. O. (s.f.). Pontificia Universidad Javeriana. Obtenido de
http://www.javeriana.edu.co/personales/hbermude/Audire/novs.pdf