Auditoria y Seguridad de la Información

 Auditoria y Seguridad de la Información

Conceptos:

¿Qué es Gobierno?

El gobierno es aquella estructura que ejerce las diversas actividades estatales, denominadas comúnmente poderes del Estado.

¿Qué es Auditoria?

La palabra Audi viene del latín AUDITORIUS, y de esta proviene auditor, que tiene la virtud de oír, y el diccionario lo considera revisor de cuentas colegiado  pero se asume que esa virtud de oír y revisar cuentas está encaminada a la evaluación de la economía, la eficiencia y la eficacia en el uso de los recursos, así como al control de los mismos.

La Auditoría puede definirse como «un proceso sistemático para obtener y evaluar de manera objetiva las evidencias relacionadas con informes sobre actividades económicas y otros acontecimientos relacionados, cuyo fin consiste en determinar el grado de correspondencia del contenido informativo con las evidencias que le dieron origen, así como establecer si dichos informes se han elaborado observando los principios establecidos para el caso.

Por otra parte la Auditoría constituye una herramienta de control y supervisión que contribuye a la creación de una cultura de la disciplina de la organización y permite descubrir fallas en las estructuras o vulnerabilidades existentes en la organización.

¿Qué es TI?

Es el estudio, diseño, desarrollo, implementación, soporte o dirección de los sistemas de información computarizados, la Tecnología de la Información (IT) es un término general que describe cualquier tecnología que ayuda a producir, manipular, almacenar, comunicar, y/o esparcir información.

 

Auditoria de TI

AUDITORIA DE LA ESTRUCTURA E IMPLEMENTACIÓN DE GOBIERNO DE TI

 Aunque son muchos los aspectos que le preocupan al auditor de SI cuando audita el funcionamiento de SI, algunos de los indicadores más significativos de los problemas potenciales incluyen:

  • Actitudes desfavorables del usuario final.
  • Costos excesivos.
  • Presupuesto excedido.
  • Proyectos demorados.
  • Rotación elevada de personal.
  • Personal inexperto.
  • Errores frecuentes de hardware / software.
  • Lista excesiva de solicitudes de usuarios en espera.
  • Largo tiempo de respuesta de computadora.
  • Numerosos proyectos de desarrollo abordados o suspendidos.
  • Comprar de hardware / software sin soporte o sin autorización.
  • Frecuentes ampliaciones de capacidad de hardware / software.
  • Extensos reporte de excepciones.
  • Reportes de excepciones a los que no se les dio seguimiento
  • Poca motivación
  • Ausencia de planes de reemplazo
  • Confianza en un de dos miembros claves del personal
  • Falta de entrenamiento adecuado

REVISIÓN DE DOCUMENTACIÓN

La siguiente documentación debe ser revisada:

  • Las estrategias, planes y presupuestos de tecnología de la información: proveen evidencia de plantación y control de la gerencia sobre el ambiente de los sistemas de información y el alineamiento con la estrategia del negocio.
  • La documentación de políticas de seguridad: provee la norma a a cumplir. Debe establecer la posición de la organización respecto de todos y cada uno de los riesgos de seguridad. Debe identificar quien es el responsable de salvaguardar los archivos de la compañía, incluyendo los programas y los datos. Debe establecer las medidas preventivas a tomarse para brindar la protección adecuada y las acciones que se deben seguir en contra de los transgresores. Por esta razón, esta parte del documento de política debe ser tratado como un documento confidencial.
  • Los cuadros organizativos / funcionales: proveen al auditor de SI un entendimiento de la línea de subordinación dentro de un departamento u organización determinados. Ellos ilustran una división de responsabilidades  y dan una indicación del grado de segregación de funciones dentro de la organización.
  • Las descripciones de los puestos de trabajo: definen las funciones y las responsabilidades de los cargos en toda la organización. Estas proveen a la organización la capacidad de agrupar puestos de trabajo similares en distintos niveles de categoría para garantizar una compensación justa a la fuerza de trabajo. Además las descripciones de los puestos de trabajo dan la indicación del grado de segregación de funciones dentro de la organización y pueden ayudar a identificar las funciones de posible conflicto. Las descripciones de los puestos de trabajo deben identificar la posición a la que se subordina este personal. El auditor de SI debe entonces verificar que los niveles de relación de subordinación estén basadas en conceptos correctos del negocio y no afecten la segregación de funciones.
  • Los reporte del comité de dirección: proveen información documentada en relación con los nuevos proyectos de sistema. Estos reporte son revisados por la alta gerencia y son divulgados entre las diferentes unidades del negocio.
  • Los procedimientos de desarrollo de sistemas y de cambio de programa: proveen un marco dentro del cual emprender el desarrollo de sistemas o el cambio de programas.
  • Los procedimientos de operación: describen las responsabilidades del personal de operaciones.
  • Los manuales de recursos humanos: proveen las reglas y las reglamentaciones determinadas por una organización sobre cómo se espera que sus empleados se conduzcan.
  • Procedimientos de aseguramiento de calidad: proveen el marco y los estándares que pueden ser seguidos por el departamento de SI.

Además se deben de estudiar los diferentes documentos revisados para determinar si:

  • Fueron creados como lo autorizo la gerencia y como esta quería que fueran creados.
  • Están vigente y actualizados.

REVISIÓN DE LOS COMPROMISOS CONTRACTUALES

Hay diferentes etapas para los contratos de hardware, software y servicios de SI, que incluyen:

  • Desarrollo de los requerimientos de contratación
  • Proceso de licitación del contrato
  • Proceso de selección del contrato
  • Aceptación del contrato
  • Mantenimiento del contrato
  • Cumplimiento del contrato

 

Cada una de estas etapas debe estar respaldada por documentos legales a la autorización de la gerencia. El  auditor de SI debe verificar la participación de la gerencia en el proceso de contratación y debe asegurarse un nivel adecuado de revisión oportuna del cumplimiento del contrato. El auditor de SI podrá efectuar una revisión, por separado, del cumplimiento en una muestra de dichos contratos.

Gobierno de TI

Determina el marco para la toma de decisiones y la responsabilidad para fomentar el comportamiento deseado en el uso de la Tecnología de Información.

El gobierno de TI es parte integral del gobierno  corporativo y consiste en el liderazgo, los procesos y las estructuras que aseguran que las tecnologías de la organización apoyen los objetivos y estrategias de la empresa.

Su objetivo:

–       Las TI entrega funcionalidades y servicios.

–       Las TI es un facilitador de la organización.

–       Los recursos son utilizados en forma responsable.

–       Todos los riesgos están identificados y administrados.

Como funciona:

Que comprende:

 

Plan de Implementación del Gobierno de TI:

 

–       Rol de la Auditoria en el Gobierno de TI

La auditoria tiene un rol significativo en una implementación exitosa del gobierno de TI dentro de una organización. La auditoria esta mejor posicionada para proveer recomendaciones de prácticas lideres a la alta gerencia, para ayudar a mejorar la calidad y la efectividad de las iniciativas del gobierno de TI implementadas.

La auditoria ayuda a asegurar el cumplimiento de las iniciativas de gobierno de TI implementadas dentro de una organización.

El auditor de SI debe confirmar que los términos de referencia establezcan:

–       El alcance del trabajo (incluyendo una clara definición de las tareas y aspectos funcionales).

–       El nivel al que se entregara el informe.

–       El derecho de acceso a la información para el auditor de SI.

–       De acuerdo con el rol definido del auditor de SI, se necesita evaluar los siguientes aspectos relacionados con el gobierno de TI:

–       El alineamiento de la función sé SI con la misión, la visión, los valores, los objetivos y las estrategias de la organización.

–       El logro por parte de la función de SI de los objetivos de desempeño establecidos por el negocio(efectividad y eficiencia)

–       Los requerimientos legales, ambientales, de calidad de información, y fiduciarios y de seguridad.

–       El entorno de control de la organización.

–       Los riesgos inherentes dentro del entorno de SI.

SCORECARD BALANCEADO ESTANDAR DE TI

Es una técnica evaluativa que puede aplicarse al proceso de gobierno del negocio de TI para evaluar las funciones y los procesos de TI.

Estas medidas adicionales impulsan a la organización hacia el uso óptimo de TI, el cual está alineado con las metas estratégicas de la organización, mientras que mantiene en balance todas las perspectivas relacionadas con la evaluación. Para aplicarlo a TI, se usa una estructura de tres capas para tratar las cuatro perspectivas:

  • Misión, por ejemplo:

–          Convertirse en el proveedor preferido de sistemas de información.

–          Entregar aplicaciones y servicios de TI eficientes y efectivos.

–          Obtener una contribución razonable de las inversiones en TI para el negocio,

–          Desarrollar oportunidades que respondan a los futuros desafíos.

  • Estrategias, por ejemplo:

–          Desarrollar aplicaciones y operaciones superiores.

–          Desarrollar alianzas con los usuarios y mejores servicios para los clientes.

–          Proveer mejores niveles de servicio y de estructuras de precios.

–          Controlar los gastos de TI.

–          Proveer valor de negocio a los proyectos de TI.

–          Proveer nuevas capacidades de negocio.

–          Entrenar y educar al personal de TI y promover la excelencia.

–          Proveer soporte para la investigación y el desarrollo.

  • Medidas, por ejemplo:

–          El uso de scorecard balanceado  de TI es uno de los medios más efectivos para ayudar al comité de estrategia de TI y a la gerencia a lograr el alineamiento de TI y el negocio.

Seguridad de la información

 

GOBIERNO DE SEGURIDAD DE INFORMACION

Dentro del gobierno de TI, el gobierno de seguridad de información debe convertirse en una actividad sobre la que se concentra mucha atención, con motivadores de valor especifico – integridad de la información, continuidad de servicios y protección de los activos de información.

–       Panorama General del Gobierno de Seguridad de Información

La información puede definirse como “datos que tienen significado y propósito”. La información se ha convertido en un componente indispensable de la conducción del negocio para virtualmente todas las organizaciones. En un creciente número de compañías, la informaciones el negocio.

Las organizaciones tradicionales han sufrido una transformación radical en la “edad de la información” también. La complejidad, relevancia y criticidad de seguridad de información y su mandato de gobierno que sea encarada y soportada en los niveles más altos de la organización.

La seguridad de información se ocupa del universo de los riesgos, los beneficios y los procesos involucrados con las información y debe ser impulsada por la dirección ejecutiva y soportada por la junta directiva.

Gobierno de seguridad de información es responsabilidad de la junta directiva y de la dirección ejecutiva. Debe ser parte integral y transparente del gobierno de la empresa. Está constituido por la dirigencia, las estructuras organizacionales y los procesos que salvaguardan la información.

–       Importancia del Gobierno de Seguridad de Información

Desde la perspectiva de una organización, el gobierno de seguridad de información es cada vez mas critico as medida que crece la dependencia de la información y los sistemas de TI. Los sistemas y procesos que manejan esta información se han vuelto verdaderamente penetrantes en todo el negocio y las organizaciones gubernamentales globalmente. Esta creciente dependencia de las organizaciones para con la información y los sistemas que la manejan. Aunado con los riesgo, beneficios y oportunidades que presentan estos recursos,  han hecho del gobierno se seguridad de información una faceta cada vez mas

Critica de gobierno general. Además de satisfacer los requerimientos legales y regulatorios, el gobierno de seguridad de información es simplemente bien negocio.

Proveer responsabilidad de salvaguardar información durante las actividades criticas del negocio tales como fusiones y adquisiciones, recuperación del proceso de negocio, y respuestas regulatoria.

Y finalmente, porque la nueva tecnología de información suministra el potencial para un desempeño de negocio dramáticamente aumentado, una seguridad de información efectiva puede agregar un valor significativo a la organización de las formas siguientes:

Suministrando mayor confianza en las interacciones con los socios de negocio.

Protegiendo la reputación de la organización.

La seguridad de información (infosec) abarca todos los procesos de información, tanto físicos como electrónicos, independientemente de si ellos involucran personas y tecnología o relaciones con socios de negocio, clientes o terceros. A la seguridad de información le conciernen todos los aspectos de información y su protección de todos los puntos de su ciclo de vida dentro de la organización.

–       Resultados del Gobierno de Seguridad

Los cinco resultados básicos de un gobierno efectivo de seguridad deben incluir:

Alineación estratégica: alinear la seguridad de información con la estrategia de negocio para soportar los objetivos de la organización. Soluciones de seguridad adecuadas para los procesos de la empresa que toman en cuenta la cultura, el estilo de gobierno, la tecnología y la estructura de la organización.

Inversión en seguridad de información alineada con la estrategia de la empresa y el perfil bien definido de amenaza, vulnerabilidad y riesgo.

Administración del riesgo: administrar y ejecutar medidas apropiadas para mitigar los riesgos y reducir los impactos potenciales sobre los recursos de información a un nivel aceptable. Para lograr administración de riegos, considerar lo siguiente:

–       Entendimiento colectivo del perfil de amenaza, vulnerabilidad y riesgo de la organización.

–       Mitigación del riesgo suficiente para alcanzar consecuencias aceptables de riesgo residual

–       Aceptación /deferencia de riesgo basada en un entendimiento de las consecuencias potenciales del riesgo residual.

Entrega de valor: optimizar las inversiones en seguridad en soporte de los objetivos del negocio. 

La Administración de recursos – Utiliza los conocimientos y la infraestructura de seguridad de información de manera eficiente y efectiva.

Medición del desempeño – Medir, monitorear y reportar sobre los procesos de seguridad de información para asegurar que se logren los objetivos.

–       Gobierno efectivo de Seguridad de Información

El gobierno de seguridad de información es un subconjunto de gobierno corporativo que provee dirección estratégica para las actividades de seguridad y asegura que se logren los objetivos. Asegura que los riesgos de seguridad de información sean manejados de manera apropiada y que los recursos de información de la empresa se usen de manera responsable.

Para lograr un gobierno efectivo de seguridad de información, la gerencia debe establecer y mantener un marco para guiar el desarrollo y administración de un programa comprensivo de seguridad de información Que soporte los objetivos del negocio.

El marco de gobierno generalmente estará constituido por:

–       Una estrategia comprensiva de seguridad intrínsecamente vinculada con los objetivos del negocio.

–       Políticas de seguridad vigentes que se ocupen de cada aspecto de estrategia, controles y regulación.

–       Un conjunto completo de estándares para cada política para asegurar que los procedimientos y lineamientos cumplan con la política.

–       Una estructura organizacional efectiva de seguridad libre de conflictos de interés.

–       Procesos institucionalizados de monitoreo para asegurar el cumplimiento y proveer retroalimentación sobre la efectividad.

 

ADMINISTRACION DEL RIESGO

La administración del riesgo es el proceso de identificar las debilidades y las amenazas para los recursos de información utilizados por una organización para lograr los objetivos del negocio, y decidir qué contramedidas tomar, si hubiera alguna, para reducir el nivel de riesgo hasta un nivel aceptable basado en el valor del recurso de información para la organización.

La administración efectiva de riesgo comienza con un claro entendimiento del apetito de riesgos de la organización. La administración de riesgos abarca identificar, analizar, evaluar, tratar, monitorear y comunicar el impacto del riesgo sobre los procesos de TI.

En el momento de implementar los controles, una organización puede considerar los costos y los beneficios de implementarlo.

             

Normas Internacionales, Nacionales e Institucional para el TI

 

Normativa Internacional

  • ISO 9000

Incluye directrices para la dirección y uso de las normas de la serie.

Es la revisión exhaustiva, sistemática y especializada que realizan únicamente los auditores especializados y certificados en las normas y procedimientos ISO 9000, aplicando en forma exclusiva los lineamientos, procedimientos e instrumentos establecidos por esta institución. Su propósito es evaluar, dictaminar y certificar que la calidad de los sistemas computacionales de una empresa se apegue a los requerimientos del ISO 9000.

Esta auditoria ISO 9000 es de carácter externo y tiene que ser practicada por algún despacho reconocido y autorizado para otorgar la certificación ISO 9001, ISO 9004 o la más reciente que es la ISO 14000, aplicables según los criterios de certificación a los sistemas de computo.

Utilización: Se utilizara como un estándar con el cual compararemos  la calidad de los sistemas computacionales de la empresa y verificar si se apegan a los requerimientos del ISO 9000.

  • ISO 17799

La ISO 17799 es una guía de buenas prácticas de seguridad de la información que presenta una extensa serie de controles de seguridad. Es la única norma que no sólo cubre la problemática de la seguridad IT sino que hace una aproximación holística a la seguridad de la información corporativa, abarcando todas las funcionalidades de una organización en cuanto a la seguridad de la información que maneja. Este concepto marca la diferencia con el de seguridad informática que, en la práctica, se vino convirtiendo en equivalente de seguridad de sistemas IT, mientras que la norma considera también los riesgos organizacionales, operacionales y físicos de una empresa, con todo lo que esto implica.

Las diez áreas de control de ISO 17799:

  • Política de seguridad: Se necesita una política que refleje las expectativas de la organización en materia de seguridad a fin de suministrar administración con dirección y soporte. La política también se puede utilizar como base para el estudio y evaluación en curso.
  • Organización de la seguridad: Sugiere diseñar una estructura de administración dentro la organización que establezca la responsabilidad de los grupos en ciertas áreas de la seguridad y un proceso para el manejo de respuesta a incidentes.
  • Control y clasificación de los recursos de información: Necesita un inventario de los recursos de información de la organización y con base en este conocimiento, debe asegurar que se brinde un nivel adecuado de protección.
  • Seguridad del personal: Establece la necesidad de educar e informar a los empleados actuales y potenciales sobre lo que se espera de ellos en materia de seguridad y asuntos de confidencialidad. También determina cómo incide el papel que desempeñan los empleados en materia de seguridad en el funcionamiento general de la compañía. Se debe tener implementar un plan para reportar los incidentes.
  • Seguridad física y ambiental: Responde a la necesidad de proteger las áreas, el equipo y los controles generales.
  • Manejo de las comunicaciones y las operaciones: Los objetivos de esta sección son:
  1. Asegurar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información.
  2. Minimizar el riesgo de falla de los sistemas.
  3. Proteger la integridad del software y la información.
  4. Conservar la integridad y disponibilidad del procesamiento y la comunicación de la información.
  5. Garantizar la protección de la información en las redes y de la infraestructura de soporte.
  6. Evitar daños a los recursos de información e interrupciones en las actividades de la compañía.
  7. Evitar la pérdida, modificación o uso indebido de la información que intercambian las organizaciones.
  • Control de acceso: Establece la importancia de monitorear y controlar el acceso a la red y los recursos de aplicación para proteger contra los abusos internos e intrusos externos.
  • Desarrollo y mantenimiento de los sistemas: Recuerda que en toda labor de la tecnología de la información, se debe implementar y mantener la seguridad mediante el uso de controles de seguridad en todas las etapas del proceso.
  • Manejo de la continuidad de la empresa: Aconseja estar preparado para contrarrestar las interrupciones en las actividades de la empresa y para proteger los procesos importantes de la empresa en caso de una falla grave o desastre.
  • Cumplimiento: Imparte instrucciones a las organizaciones para que verifiquen si el cumplimiento con la norma técnica ISO 17799 concuerda con otros requisitos jurídicos. Esta sección también requiere una revisión a las políticas de seguridad, al cumplimiento y consideraciones técnicas que se deben hacer en relación con el proceso de auditoría del sistema a fin de garantizar que las empresas obtengan el máximo beneficio.

Utilización: Se utilizara como guía de las buenas prácticas de seguridad de la información que presenta una extensa serie de controles de seguridad, abarcando todas las funcionalidades de una organización en cuanto a la seguridad de la información que maneja.

  • NORMA ISO/IEC 12207
    • Es una norma de la ingeniería de software resultado del esfuerzo internacional de expertos de todo el mundo entre académicos y profesionales.
    • Busca establecer un marco de referencia para la administración de los procesos de la ingeniería de software en el mundo.
    • Define los procesos, actividades y tareas asociadas a los procesos del ciclo de vida del software desde la concepción hasta su retiro.
    • Define los procesos de ingeniería de software como: “un conjunto de actividades que son realizadas por un conjunto de tareas que definen como las acciones transforman las entradas en salidas”

Utilización: La utilizaremos como estándar para verificar si esta norma se apega al software con los que cuenta la empresa.

  • Norma UNE 71502 – SGSI

Sistema de gestión que comprende la política, la estructura organizativa, los procedimientos, los procesos y los recursos necesarios para implantar la gestión de la seguridad.

Es la herramienta de que dispone la Dirección para llevar a cabo las políticas y objetivos de seguridad.

Proporciona mecanismos para la salvaguarda de los activos de información

Utilización: Se utilizara como guía para verificar las políticas y objetivos de seguridad que existen en la empresa.

Normativa Nacional

  • 500, NORMAS DE CONTROL INTERNO PARA SISTEMAS COMPUTARIZADOS

Los sistemas computarizados permiten a los usuarios ingresar a los documentos y programas en forma directa, ya sea a través de un microcomputador, conocido como computadora personal Lap Top (micro-computador portátil), o mediante terminales que se le denominan micro-computadoras en línea. Los controles internos que requieren los ambientes que emplean microcomputadoras son diversas y por lo general están referidos a los accesos, contraseñas, desarrollo y mantenimiento del sistema; los mismos que contribuyen a brindar seguridad y confiabilidad al procesamiento de la información.

Conforme surgen nuevas tecnologías, los usuarios emplean sistemas de cómputo cada vez más complejos, lo que incrementa las aplicaciones que manejan y, a su vez, aumenta el riesgo y plantea la necesidad de implementar nuevos controles internos.

 Las normas de control interno que se presentan en esta sección describen los controles que son necesarios para la implementación del área de informática y el plan de sistemas de información de la entidad, según su actividad y durante un período determinado, así como los controles de datos fuente, de operación y de salida que preserven el flujo de información además de su integridad. Asimismo, tales normas desarrollan los controles internos requeridos para el mantenimiento de equipos de cómputo y medidas de seguridad para el Software (programas de computación) y Hardware (equipamiento informático), así como los aspectos de implementación del Plan de Contingencias de la Entidad.

  • 500-01 Organización del Área Informática

La dirección debe establecer políticas para la organización adecuada del área de Informática que permita cumplir sus actividades con eficiencia, contribuyendo al desarrollo de las operaciones de la entidad.

Utilización: Se utilizara para verificar si existen líneas que orientan la organización del departamento de informática, es decir definición de actividades, funciones y responsabilidades del personal.

  • 500-02 Plan de Sistemas de Información

Toda entidad que disponga de un área de informática debe implementar un plan de sistemas de información con el objeto que prever que el desarrollo de sus actividades contribuya al logro de sus objetivos institucionales.

Utilización: Se utilizara para verificar e identificar las necesidades de información de la empresa.

  • 500-03 Controles de Datos Fuente, de Operación Y de Salida

Deben diseñarse con el propósito de salvaguardar los datos fuente de origen, operaciones de proceso y salida de información procesada por la entidad.

Utilización: Se utilizara para verificar si la empresa cuenta con estos controles y además verificar la existencia de usuarios encargados de salvaguardar los datos.

  • 500-04 Mantenimiento de Equipos de computación

La dirección de cada entidad debe establecer políticas respecto al mantenimiento de los equipos de computación que permitan optimizar su rendimiento.

Utilización: Se utilizara para verificar si la empresa tiene un plan de mantenimiento correctivo y preventivo que optimiza el funcionamiento de los equipos y protejan la información que esta en ellos.

  • 500-05 Seguridad de Programas, de Datos y Equipos de Cómputo

Deben establecerse mecanismos de seguridad en los programas y datos del sistema para proteger la información procesada por la entidad, garantizando su integridad y exactitud, así como respecto de los equipos de computación.

Utilización: Se utilizara para verificar la seguridad lógica y física de software y hardware respectivamente, existente en la empresa.

  • 500-06 Plan de Contingencias

El Área de Informática debe elaborar el Plan de Contingencias de la entidad que establezca los procedimientos a utilizarse para evitar interrupciones en la operación del sistema de cómputo

Utilización: Se verificara la existencia de este plan dentro de la empresa, en caso de que exista verificar si este describe con exactitud los procedimientos que se debe seguir en caso de una emergencia que interrumpa la operatividad del sistema informático.

  • 500-07 Aplicación de Técnicas de Intranet

La implementación de las técnicas de INTRANET dentro de las entidades debe efectuarse con el objeto de fortalecer el control interno e incrementar la eficiencia de las comunicaciones internas, previa evaluación del costo-beneficio que reportaría su aplicación.

Utilización: Si la información se comparte por medio de una red LAN, se verificara si se hace de una forma segura.

  • 500-08 Gestión Óptima de Software Adquirido a Medida por Entidades Públicas

Debe establecerse políticas sobre el software a medida adquirido por las entidades, a fin de que los derechos de propiedad se registren a nombre del Estado.

Utilización: Se verificara que existan políticas que permitan registrar los derechos de propiedad del software en caso este sea adquirido.

Normativa Institucional

La  Empresa  “ALMER  CHEMICALS  S.A.”,  para  el  desarrollo  de  sus 

Actividades  dispone  de  las  siguientes  Normas  Internas:

  • Manual  de  Organización  y  Funciones

Utilización: Se utilizara para la verificar que este manual se cumple dentro de la empresa.

  • Manual  de  Procedimientos

Utilización: Se verificara que cada empleado tenga conocimiento de los procesos que realiza la empresa.

  • Organigrama

Utilización: Nos servirá para visualizar la estructura de la empresa y como esta organizada.

  • Normas  Internas  de  Control

Utilización: Este tiene que ver con las normas de seguridad de la empresa en general.

  • Manual  de  Calidad

Utilización: Este manual tiene que ver con la calidad de sus productos en este caso el equipo auditor solo tomara de referencia.

  • Políticas  de  Pago  a  Proveedores

Utilización: El equipo auditor no utilizara estas políticas ya que no tienen ninguna relación con el trabajo realizado.

  • Políticas  de  Cobranzas  a  Clientes.

Utilización: El equipo auditor no utilizara estas políticas ya que no tienen ninguna relación con el trabajo realizado.

Consultores en el Perú

 

Define

Consultoría de Gestión,Finanzas Corporativas,Supervisión y Control, Reestructuración,Recuperación y Generación de Valor,Diágnósticos,Rediseños de procesos y políticas,Dirección Estratégica

http://www.define.com.pe

Pacificperu

Diseñamos estrategias para solucionar sus problemas corporativas

http://www.pacificperu.com

Addedvaluecons

Apoyo al management en reingeniería de procesos, mejora continua, reducción de costos, BBSC, proyectos de outsourcing, etc. Diseño Grafico, WEB y multimedia. Imagen Corporativa.

http://www.addedvaluecons.com

Seproisa

Asesoría y Consultoría de Negocios: Constitución de Empresas, Reingenieria de Procesos, Servicios de Outsourcing Contable, Tributario, Laboral (Planillas de sueldos), Inventarios Físicos Integrales.

http://www.seproisa.com

Valdez-auditores

Contadores Auditores Peritos Tasadores Lima Peru Sociedad de Auditoria financiera operativa y tributaria servicios de contabilidad outsourcing inventario valuacion tasacion de activos fijos

http://www.valdez-auditores.com

Ss-peru

Somos una compañia con una gran trayectoria empresarial, dedicada a brindar servicios de Outsourcing Contable mediante una metodología que incluye una Consultoría y Asesoría Contable-Financiera.

http://www.ss-peru.com

Jotatech

Consultoría y Asesoría Empresarial. Evaluación de Riesgos de Negocio y Tecnología (SOX). Control Interno. Auditorías de Gestión y Tributaria. Outsourcing contable. Inventarios y Conciliación.

http://www.jotatech.com

Jamming

Empresa consultora especializada en el desarrollo organizacional

http://www.jamming.com.pe

Reportbusiness

Somos una agencia internacional dedicada a la elaboración de informes comerciales y crediticios de empresas ubicadas en Perú y Latino América

http://www.reportbusiness.net

Alontesac

Empresa dedicada a la asesoria, consultoria y capacitacion en Gestion de Calidad, Seguridad, Salud Ocupacional y Planeamiento estrategico

http://www.alontesac.com

Latinvest

Empresa peruana dedicada a brindar servicios de Banca de Inversión y Consultoría Empresarial. Sus áreas de desarrollo son: Asesoría y Consultoría Empresarial, Asesoría en Fusiones y Adquisiciones, Ing

http://www.latinvest.com.pe/

Genevaperu

Geneva Group International-Perú : Outsourcing Contable,Tax consulting, Estudio de Precios de Transferencia (Transfer Pricing) Aditorías financieras y fiscales

http://www.genevaperu.com

Tramiteperu

Un espacio donde podras encontrar la información necesaria y confiable para realizar diversos tramites en todo el Perú. Tramites administrativos, judiciales, licencias, certificados, permisos, brevete

http://www.tramiteperu.com/

Link de videos en youtube

Auditoria de la información:

http://www.youtube.com/watch?v=BdQyIjeaTWU

Seguridad de la información:

http://www.youtube.com/watch?v=ktQi9v8Xa1o

http://www.youtube.com/watch?v=iwwzJQjyRSg

http://www.youtube.com/watch?v=zPekYbDOtG0

1 comentario

  1. Temas « César Augusto Luna Victoria Bazán said,

    […] Auditoria y Seguridad de la Información […]

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: