Visitor Monitoring
Live chat by BoldChat
Cuti - Cámara Uruguaya de Tecnologías de la Información Deres - Responsabilidad Social Empresaria

Aseguramiento de la Información

El aseguramiento de la información es la base sobre la que se construye la toma de decisiones de una organización. Sin aseguramiento, las empresas no tienen certidumbre de que la información sobre la que sustentan sus decisiones de misión crítica es confiable, segura y está disponible cuando se la necesita.

Definimos Aseguramiento de la Información como la utilización de información y de diferentes actividades operativas, con el fin de proteger la información, los sistemas de información y las redes, de forma de preservar la disponibilidad, la integridad, la confidencialidad, la autenticación y el no repudio, ante el riesgo de impacto de amenazas locales, o remotas a través de comunicaciones e Internet.

Las siguientes son posibles tareas susceptibles de contratos de aseguramiento:

  • Tareas específicas que concluyen en la expedición final de informes sobre un amplio rango de asuntos que cubren aspectos de información financiera y de otros recursos y estructuras de la organización..
  • Tareas de atestiguación u opinión directa.
  • Tareas relativas a trabajos a nivel interno o externo de una organización.
  • Tareas en el sector privado o público.

Un compromiso o tarea de aseguramiento que se contrata normalmente contiene los siguientes elementos:

a. Una relación de 3 partes que involucra:
     a.i   Al profesional actuante;
     a.ii  A la parte responsable; y
     a.iii Al usuario.
b. Un asunto;
c. Un adecuado criterio de trabajo;
d. Un proceso para cumplir la tarea; y
e. Una conclusión.

a.i - El profesional provee aseguramiento al usuario acerca de un asunto que es responsabilidad de otra parte. Sigue un Código de Ética, integridad, objetividad, competencia profesional y debido cuidado, confidencialidad, comportamiento Profesional y Aplicación de normas técnicas.

a.ii - La parte responsable y el usuario pueden ser de diferentes organizaciones pero no necesariamente, ya que el Consejo Directivo de una organización por ejemplo, puede buscar aseguramiento respecto de la información provista por un componente de la misma organización. Por lo tanto la relación entre la parte responsable y el usuario debe ser vista dentro del contexto del compromiso específico y puede sustituir otras líneas de responsabilidad más tradicionalmente definidas.

a.iii - Es la persona o personas a quien el profesional prepara el informe para un uso o propósito específico. Algunos usuarios (casos de banqueros o reguladores) pueden imponer el requerimiento y solicitar a la parte responsable que contrate una tarea de aseguramiento.

El asunto de un contrato o tarea de aseguramiento puede tomar muchas formas:

  • Datos (por ejemplo, información histórica o prospectiva, probabilística, indicadores de desempeño).
  • Sistemas y Procesos (por ejemplo controles internos).
  • Conformidad (por ejemplo buen gobierno corporativo, conformidad con normas, regulaciones o mejores prácticas).

b. El Asunto: El asunto puede presentarse como un punto en el tiempo o cubriendo un período de tiempo. El asunto de una tarea de aseguramiento debe ser identificable, factible de una evaluación o medición consistente contra un adecuado criterio y en una forma que pueda estar sujeta a procedimientos de recolección de la evidencia que sustentan la evaluación o medición.

c. Adecuado Criterio: Se trata de las normas o benchmarks usados para evaluar o medir el asunto de la tarea de aseguramiento. El adecuado criterio es sensible al contexto de cada tarea, por ejemplo al informar sobre control interno el criterio puede estar establecido por determinado modelo o estructura, y al informar respecto de conformidad el criterio puede ser la ley, contrato o reglamentación aplicable.

d. Proceso para cumplir la tarea: Se trata de la aplicación de una metodología sistemática que requiere conocimiento especializado y habilidades básicas, y técnicas para la recopilación de evidencia, y evaluación y medición para dar sustento a la conclusión.

e. Conclusión: Finalmente los profesionales actuantes expresan una conclusión que provee determinado nivel de aseguramiento respecto de si el asunto conforma, en todas las necesarias consideraciones materiales, con el adecuado criterio que se ha identificado.

Las tareas de Aseguramiento, Datasec las cumple en base a tareas de consultoría, capacitación y el apoyo de herramientas de Software.

Capacitación

  • Curso de Auditoría de TI basada en CobiT.
  • Curso sobre aplicación del informe COSO.
  • Otras normas o herramientas actualizadas.

Consultoría

A cargo de profesionales con certificados:

  • CPA (Certified Public Accountant)
  • CISA (Certified Information Systems Auditor)
  • CISSP (Certified Information Systems Security Professionals)
  • CISM (Certified Information Security Manager)
  • CGEIT (Certified in the Governance of Enterprise IT)
  • CRISC (Certified in Risk and Information Systems Control) 
Icono: