INTEGRACIÓN DE LOS SISTEMAS DE GESTIÓN BAJO LA LEY INTERNACIONAL SARBANES OXLEY E ISO 27001 EN LA ESTRUCTURA DE CONTROL INTERNO DE LAS ORGANIZACIONES.
Estudiantes de la facultad de Ingeniería Industrial Marilyn Betancourt Hernández Camilo Andrés Guzmán Melo
Correo electrónico marilyn082@hotmail.com camgm10@gmail.com
Director Ing. Andrés Polo Roa
FUNDACIÓN UNIVERSITARIA AGRARIA DE COLOMBIA ESPECIALIZACIÓN EN SISTEMAS DE GESTIÓN INTEGRADA CALIDAD, MEDIOAMBIENTE Y PREVENCION DE RIESGOS LABORALES. BOGOTÁ D.C. 2.014
INTEGRACIÓN DE LOS SISTEMAS DE GESTIÓN BAJO LA LEY INTERNACIONAL SARBANES OXLEY E ISO 27001 EN LA ESTRUCTURA DE CONTROL INTERNO DE LAS ORGANIZACIONES.
CONTENIDO RESUMEN ................................................................................................................................. 7 1.
INTRODUCCIÓN................................................................................................................ 9
2.
OBJETIVOS ...................................................................................................................... 10
2.1. OBJETIVO GENERAL ..................................................................................................... 10 2.2. OBJETIVOS ESPECIFICOS.............................................................................................. 10 3.
PLANTEAMIENTO DEL PROBLEMA ............................................................................ 11
4.
JUSTIFICACION............................................................................................................... 12
5.
MARCO LEGAL ............................................................................................................... 13
6.
MARCO TEORICO ........................................................................................................... 15
7.
MARCO CONCEPTUAL .................................................................................................. 17
7.1. Control Interno: .................................................................................................................. 17 7.2. Sistemas de gestión: ........................................................................................................... 17 7.3. Mercado Bursátil: ............................................................................................................... 17 7.4. Norma ISO: ........................................................................................................................ 18 7.5. ISO 27001ISO / IEC 27001:2013: ...................................................................................... 18 7.6. Ley internacional: ............................................................................................................... 18 7.7. Proceso Analítico Jerárquico: ............................................................................................. 19 8.
PLANEACION PARA LA EJECUCIÓN DE PROCESO ANALÍTICO JERÁRQUICO
(AHP). ....................................................................................................................................... 20 8.1. ESTRUCTURA LOGICA RED JERARQUICA................................................................. 20 9.
APLICACIÓN DEL PROCESO ANALÍTICO JERÁRQUICO (AHP) ............................... 22
9.1. IDENTIFICACIÓN DEL PROBLEMA. ............................................................................ 22
INTEGRACIÓN DE LOS SISTEMAS DE GESTIÓN BAJO LA LEY INTERNACIONAL SARBANES OXLEY E ISO 27001 EN LA ESTRUCTURA DE CONTROL INTERNO DE LAS ORGANIZACIONES.
9.2. DEFINICIÓN DEL OBJETIVO. ........................................................................................ 22 9.3. OBJETIVO ........................................................................................................................ 22 9.4. EXPLICACIÓN MECÁNICA DE LA ESCALA NUMERICA DE SAATY. ..................... 23 10. IDENTIFICACIÓN DE CRITERIOS. ................................................................................ 26 10.1.
Asignación de Pesos a los Criterios con la utilización de la escala numérica de Saaty. . 26
10.2.
PROCEDIMIENTO DE SEECCION CRITERIOSLEY SARBANES OXLEY ........... 31
10.3.
PRIORIZACION DE LOS CRITERIOS SECCION 302-404-906 LEY SOX .............. 35
11. IDENTIFICACIÓN DE ALTERNATIVAS: ...................................................................... 39 11.1.
ALTERNATIVAS....................................................................................................... 39
11.2.
PROCEDIMIENTO DE SELECCIÓN E INTEGRCION DE ALTERNATIVAS ISO
27001. 40 11.3.
Asignación de Pesos a las Alternativas. ....................................................................... 40
12. RESULTADOS. PROCEDIMIENTO DE SELECCIÓN E INTEGRCION DE ALTERNATIVAS ISO 27001. .................................................................................................. 49 13. CONCLUSIONES.............................................................................................................. 60 14. REFERENCIAS. ................................................................................................................ 62 15. ANEXOS. .......................................................................................................................... 63
INTEGRACIÓN DE LOS SISTEMAS DE GESTIÓN BAJO LA LEY INTERNACIONAL SARBANES OXLEY E ISO 27001 EN LA ESTRUCTURA DE CONTROL INTERNO DE LAS ORGANIZACIONES.
LISTA DE TABLAS Pág. Tabla 1 Escala numérica de Saaty. ............................................................................................. 23 Tabla 2 Modelo de matriz para la aplicación de AHP. ................................................................ 24 Tabla 3 Matriz de significado de la escala de valores Saaty........................................................ 24 Tabla 4 Matriz de significado de la escala de valores recíprocos Saaty. ...................................... 25 Tabla 5 Los once criterios de la Ley Sarbanes Oxley ................................................................. 27 Tabla 6 MATRIZ AHP SELECCIÓN DE CRITERIO LEY SOX .............................................. 31 Tabla 7 MATRIZ NORMALIZADA POR COLUMNAS MATRIZ AHP SELECCIÓN DE CRITERIO LEY SOX ............................................................................................................... 32 Tabla 8 MATRIZ VECTOR DE PRIORIDAD POR COLUMNAS MATRIZ AHP CRITERIO LEY SOX SECCION 906 VS CONTROLES ANEXO A ISO 27001 ........................................ 33 Tabla 9 MATRIZ AHP SECCION 302 – SECCION 404 – SECCION 906 - LEY SOX ............ 35 Tabla 10 Anexo A - Objetivos de Control y Controles de Seguridad de la Información .............. 39 Tabla 11 MATRIZ AHP CRITERIO LEY SOX SECCION 906 VS CONTROLES ANEXO A ISO 27001 ................................................................................................................................. 41 Tabla 12 MATRIZ NORMALIZADA POR COLUMNAS MATRIZ AHP CRITERIO LEY SOX SECCION 906 VS CONTROLES ANEXO A ISO 27001 ......................................................... 42 Tabla 13 MATRIZ VECTOR DE PRIORIDAD POR COLUMNAS MATRIZ AHP CRITERIO LEY SOX SECCION 906 VS CONTROLES ANEXO A ISO 27001 ........................................ 43 Tabla 14 MATRIZ AHP CRITERIO LEY SOX SECCION 404 VS CONTROLES ANEXO A ISO 27001 ................................................................................................................................. 45 Tabla 15 MATRIZ VECTOR DE PRIORIDAD POR COLUMNAS MATRIZ AHP CRITERIO LEY SOX SECCION 404 VS CONTROLES ANEXO A ISO 27001 ........................................ 46
INTEGRACIÓN DE LOS SISTEMAS DE GESTIÓN BAJO LA LEY INTERNACIONAL SARBANES OXLEY E ISO 27001 EN LA ESTRUCTURA DE CONTROL INTERNO DE LAS ORGANIZACIONES.
Tabla 16 MATRIZ AHP CRITERIO LEY SOX SECCION 302 VS CONTROLES ANEXO A ISO 27001 ................................................................................................................................. 47 Tabla 17 MATRIZ VECTOR DE PRIORIDAD POR COLUMNAS MATRIZ AHP CRITERIO LEY SOX SECCION 302 VS CONTROLES ANEXO A ISO 27001 ........................................ 48 Tabla 18 El peso de las soluciones según el criterio Sección 302 ............................................... 49 Tabla 19 El peso de las soluciones según el criterio Sección 404 ............................................... 53 Tabla 20 El peso de las soluciones según el criterio Sección 906 ............................................... 56
INTEGRACIÓN DE LOS SISTEMAS DE GESTIÓN BAJO LA LEY INTERNACIONAL SARBANES OXLEY E ISO 27001 EN LA ESTRUCTURA DE CONTROL INTERNO DE LAS ORGANIZACIONES.
LISTA DE GRÁFICOS Y FIGURAS Pág. Figura 1 Modelo Red Jerárquico - Toma de Decisiones (AHP) .................................................. 21 Figura 2 PRIORIZACIÓN DE CRITERIOS SEGÚN LOS PESOS ASIGNADOS PARA LA SECCIÓN 302-404-906 DE LA LEY SOX. .............................................................................. 36 Figura 3 El peso de las soluciones según el criterio Sección 906 de la Ley SOX (%) ................. 50 Figura 4 El peso de las soluciones según el criterio Sección 404de la Ley SOX (%) .................. 54 Figura 5 El peso de las soluciones según el criterio Sección 906 de la Ley SOX(%) .................. 57 Figura 6 Modelo Jerárquico - Toma de Decisiones (AHP) Resultados ....................................... 59
INTEGRACIÓN DE LOS SISTEMAS DE GESTIÓN BAJO LA LEY INTERNACIONAL SARBANES OXLEY E ISO 27001 EN LA ESTRUCTURA DE CONTROL INTERNO DE LAS ORGANIZACIONES.
RESUMEN El proyecto se fundamenta en integrar los controles de un sistemas de gestión de seguridad de la información (SGSI) de la serie ISO 27001 y los controles regulados por la Ley Sarbanes Oxley, en la estructura de control interno de entidades que cotizan en la bolsa de valores a nivel nacional e internacional, mediante la herramienta propuesta Analytic Hierarchy Process (AHP) que permite realizar la toma de decisiones multi-criterio en las dificultades que requieren abarcar juicios y evaluaciones subjetivas con el fin de minimizar los riesgos financieros y administrativos y que se generen procesos transparentes dentro de las organizaciones.
Algunos de los temas a desarrollar son aspectos importantes de la Ley Sarbanes Oxley, gestión de control interno, enfoque de la serie ISO 27001, métodos y controles internos para así comunicar, almacenar y proteger la información, empresas que cotizan en la bolsa de valores, las ventajas y desventajas de aplicar los controles establecidos y controles reglamentados en un sistema de gestión integrada; y el proceso de análisis jerárquico como herramienta para la toma de decisiones.
PALABRAS CLAVES Sistema de gestión integrada, Control interno, Sistemas de gestión de seguridad de la información, Analytic Hierarchy Process.
INTEGRACIĂ“N DE LOS SISTEMAS DE GESTIĂ“N BAJO LA LEY INTERNACIONAL SARBANES OXLEY E ISO 27001 EN LA ESTRUCTURA DE CONTROL INTERNO DE LAS ORGANIZACIONES.
ABSTRACT The project is based on integrating the controls of a management system information security (ISMS) ISO 27001 series and controls regulated by the Sarbanes Oxley Act in the internal control structure of entities listed on the stock values nationally and internationally through the proposed tool Analytic Hierarchy Process (AHP) that allows for decision making in multi -criteria cover difficulties require subjective judgments and evaluations in order to minimize the administrative and financial risks and are generate transparent processes within organizations.
Some of the topics to be discussed are important aspects of the Sarbanes Oxley, internal control management, approach the ISO 27001 series, methods and internal controls in order to communicate, store and protect information, companies listed on the stock exchange the advantages and disadvantages of checks provided and regulated controls in integrated management system, and the Analytic Hierarchy Process as a tool for decision making.
KEYWORDS Integrated management system, internal control, management systems information security, Analytic Hierarchy Process.
INTEGRACIÓN DE LOS SISTEMAS DE GESTIÓN BAJO LA LEY INTERNACIONAL SARBANES OXLEY E ISO 27001 EN LA ESTRUCTURA DE CONTROL INTERNO DE LAS ORGANIZACIONES.
1. INTRODUCCIÓN Los sistemas de gestión integrada fomentan el crecimiento de las empresas y cuando se cuenta con la implementación de un sistema de gestión de control interno acorde con el plan institucional de la organización, integrando todas las actividades operativas, de administración, seguridad de la información, obtención de los recursos y presentación de la información financiera, cumpliendo con las normas, políticas de la alta dirección y la legislación del país, se podrá garantizar a la entidad el cumplimiento de las metas, objetivos trazados y podrá ser competitiva en el mercado nacional e internacional. Hoy las nuevas necesidades y la incursión en nuevos mercados trae consigo la generación de cambios que son palpables para el desarrollo de las organizaciones, la fuerza por mantener confianza, en los clientes, inversores, entidades que regulan y supervisan las entidades financieras ha llevado a que en el siguiente proyecto se exponga la integración de los controles de un sistema de gestión en la serie ISO 27001 y los controles regulados por la Ley Sarbanes Oxley mediante el proceso de análisis jerárquico (AHP) como herramienta aplicable en la optimización de los procesos internos, en la trasformación, y mejoramiento continuo, en la estructura de control interno de entidades que cotizan en la bolsa de valores.
INTEGRACIÓN DE LOS SISTEMAS DE GESTIÓN BAJO LA LEY INTERNACIONAL SARBANES OXLEY E ISO 27001 EN LA ESTRUCTURA DE CONTROL INTERNO DE LAS ORGANIZACIONES.
2. OBJETIVOS
2.1. OBJETIVO GENERAL Integrar los controles establecidos bajo la serie ISO 27001 sistemas de gestión de la seguridad de la información (SGSI) y los controles reglamentados por la Ley Sarbanes Oxley, en las entidades que cotizan en la bolsa de valores mediante la herramienta Analytic Hierarchy Process (AHP).
2.2. OBJETIVOS ESPECIFICOS
a) Seleccionar los controles establecidos por la serie ISO 27001 sistemas de gestión de la seguridad de la información (SGSI) y los controles reglamentados por la Ley Sarbanes Oxley en la estructura de control interno en entidades que cotizan en la bolsa de valores.
b) Definir ventajas y desventajas que implican la integración de los controles regulados de la Ley Sarbanes Oxley y los controles establecidos en La Serie ISO 27001 sistemas de gestión de la seguridad de la información (SGSI) en la estructura de control interno en entidades que cotizan en la bolsa de valores.
c) Utilizar la herramienta AHP -The Analytic Hierarchy Process que nos permita la toma de decisiones para la integración de los controles establecidos y regulados.
INTEGRACIÓN DE LOS SISTEMAS DE GESTIÓN BAJO LA LEY INTERNACIONAL SARBANES OXLEY E ISO 27001 EN LA ESTRUCTURA DE CONTROL INTERNO DE LAS ORGANIZACIONES.
3. PLANTEAMIENTO DEL PROBLEMA La crisis capitalista ha dejado huella a su paso a nivel mundial, con la disminución de exportaciones, la devaluación del dólar, la caída del precio de materias primas como el petróleo, reducción de divisas, persiste la desvalorización de los productos, la inflación mundial, la crisis alimentaria, crediticia, la disminución de remesas y la pérdida de confianza en una guerra comercial ha llevado a los países a no solo contar en su gobierno con seguridad democrática sino incluso realizar cambios en sus políticas en pro de la economía para que sean lideradas por los integrantes de la alta dirección de las empresas que buscan tener un control global sobre los procesos financieros y administrativos. Todo esto enfocados a ser competitivos y asegurar el crecimiento económico hacia el futuro con la participación en nuevos mercados nacionales y extranjeros, con la eficiencia en los procesos operativos, la veracidad de sus estados financieros y el cumplimiento de leyes y normas aplicables a su razón social, aunque ninguna empresa conoce en su totalidad todos los riesgos actuales y potenciales a los que está expuesto en cada una de sus actividades cotidianas. Estas actividades se pueden convertir en aéreas funcionales mediante la implementación de un sistema integrado de gestión de control interno basado en controles reglamentados por la Ley Sarbanes Oxley, cuyo título oficial en inglés es Sarbanes-Oxley Act. of 2002, Pub. L. No. 107204, 116 Stat. 745 (30 de julio de 2002), es una ley de Estados Unidos también conocida como el Acta de Reforma de la Contabilidad Pública de Empresas y de Protección al Inversionista, de la mano de los controles establecidos de la serie de normas ISO/IEC 27001 son estándares de seguridad publicados por la organización internacional para la estandarización (ISO), aplicables a todo tipo de sector empresarial.
INTEGRACIÓN DE LOS SISTEMAS DE GESTIÓN BAJO LA LEY INTERNACIONAL SARBANES OXLEY E ISO 27001 EN LA ESTRUCTURA DE CONTROL INTERNO DE LAS ORGANIZACIONES.
4. JUSTIFICACION Las organizaciones tienen la alternativa de contar con un sistema de gestión integrada que les permita ser competitivas y sostenibles en el mercado nacional e internacional, y una manera de crecer financieramente es colocar a la venta acciones en la bolsa de valores.; la superintendencia financiera Colombiana fomenta el cumplimiento de la Ley internacional Sarbanes Oxley que exige a las entidades inscritas en la Bolsa de Valores de Nueva York (NYSE) el establecer, mantener y valorar la efectividad del Sistema de Control Interno para la presentación de reportes financieros, que se puede fortalecer con los beneficios de la implementación de la norma ISO 27001. Por lo anterior este proyecto busca dar a conocer a las organizaciones que hagan parte del mercado accionario en Colombia y en el extranjero la posibilidad de integrar los controles que se establecen y regulan la Norma ISO 27001 y la Ley SOX, y que sean incluidos para el fortalecimiento y valoración de su sistema de control interno el cual fundamenta la información financiera y que aspiran a competir en el mundo de los negocios globalizados.
INTEGRACIÓN DE LOS SISTEMAS DE GESTIÓN BAJO LA LEY INTERNACIONAL SARBANES OXLEY E ISO 27001 EN LA ESTRUCTURA DE CONTROL INTERNO DE LAS ORGANIZACIONES.
5. MARCO LEGAL El factor clave de un sistema integrado de gestión de control interno en las organizaciones, es la interacción de todas sus actividades en pro del mejoramiento continuo y dentro de las que se destacan actividades como la administración de la información que es uno de principales planes de todas aquellas empresas que quieran entrar a participar el mercado bursátil a nivel nacional e internacional, e incluso todas las mejoras que se puedan dar como la definición de lineamientos para implementación de controles que se realicen de acuerdo con las normas constitucionales y legales vigentes dentro de las políticas trazadas por la alta dirección para fortalecer la administración de la información y que se plantean a continuación son: La Ley 87 de 19931, por la cual se establecen normas para el ejercicio del control interno que en el Artículo 2º, determina los siguientes objetivos fundamentales para el desarrollo de las organizaciones: Proteger los recursos de la organización, buscando su adecuada administración ante posibles riesgos que lo afecten; Garantizar la eficacia, la eficiencia y economía en todas las operaciones promoviendo y facilitando la correcta ejecución de las funciones y actividades definidas para el logro de la misión institucional; Velar porque todas las actividades y recursos de la organización estén dirigidos al cumplimiento de los objetivos de la entidad; Garantizar la correcta evaluación y seguimiento de la gestión organizacional; Asegurar la oportunidad y confiabilidad de la información y de sus registros; Definir y aplicar medidas para prevenir los riesgos, detectar y corregir las desviaciones que se presenten en la organización y que puedan afectar el logro de sus objetivos; Garantizar que el Sistema de Control Interno disponga de sus propios mecanismos de verificación y evaluación; 1
http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=300
INTEGRACIÓN DE LOS SISTEMAS DE GESTIÓN BAJO LA LEY INTERNACIONAL SARBANES OXLEY E ISO 27001 EN LA ESTRUCTURA DE CONTROL INTERNO DE LAS ORGANIZACIONES.
Velar porque la entidad disponga de procesos de planeación y mecanismos adecuados para el diseño y desarrollo organizacional, de acuerdo con su naturaleza y características. Y para este proyecto se busca que todas las entidades satisfactoriamente cumplan el objetivo No 5 reglamentado por esta ley que se basa Asegurar la oportunidad y confiabilidad de la información y de sus registros, y con dos de las primordiales características del control interno enunciadas en el Artículo 3º de la presente ley que son: a) El Sistema de Control Interno forma parte integrante de los sistemas contables, financieros, de planeación, de información y operacionales de la respectiva entidad; b) Todas las transacciones de las entidades deberán registrarse en forma exacta, veraz y oportuna de forma tal que permita preparar informes operativos, administrativos y financieros. El cumplimiento de estos ítems se busca satisfacer una vez evaluado el Artículo 4º de la presente ley que reglamenta varios elementos para el Sistema de Control Interno así toda entidad bajo la responsabilidad de sus directivos debe por lo menos implementar aspectos que deben orientar la aplicación del control interno el cual para la investigación en curso es el establecimiento de sistemas modernos de información que faciliten la gestión y el control, con la integración de los controles reglamentados en la Ley Sarbanes Oxley y los controles del Anexo A de la norma ISO 27001 para el tratamiento del riesgo que cumplan con los requerimientos identificados en el proceso de evaluación del riesgo.
INTEGRACIÓN DE LOS SISTEMAS DE GESTIÓN BAJO LA LEY INTERNACIONAL SARBANES OXLEY E ISO 27001 EN LA ESTRUCTURA DE CONTROL INTERNO DE LAS ORGANIZACIONES.
6. MARCO TEORICO Una alternativa de desarrollo empresarial es implementar los controles necesarios para todas las entidades sometidas a inspección y vigilancia financiera a nivel nacional e internacional, que deban implementar o ajustar su sistema de control interno a los requisitos mínimos establecidos por cada uno de los entes gubernamentales encargados de supervisar los sistemas financiero y bursátil, de tal forma que la información sea acorde y veraz a la naturaleza de sus actividades. En este punto la superintendencia financiera en Colombia plantea en la circular externa 038 del 2009 lo siguiente respecto al manejo de información y comunicación, teniendo en cuenta que la operación de una entidad depende en gran medida de sus sistemas de información, es necesario adoptar controles que garanticen la seguridad, calidad y cumplimiento de la información generada. Los sistemas de información y comunicación2 son la base para identificar, capturar e intercambiar información en una forma y período de tiempo que permita al personal cumplir con sus responsabilidades y a los usuarios externos contar oportunamente con elementos de juicio suficientes para la adopción de las decisiones que les corresponde en relación con la respectiva entidad, para este caso un buen control de la información interna y externa o de reserva genera confianza y seguridad a cada una de las partes interesadas del manejo del negocio financiero. En tal alcance, la operación contable se establece en gran medida de los sistemas de información y las entidades deberán certificar que los estados financieros y otros informes relevantes para el público no contienen vicios, imprecisiones o errores que impidan conocer la verdadera situación patrimonial o las operaciones del correspondiente emisor de valores. Para cumplir con esta alternativa de desarrollo financiero se pueden usar grupos de actividades de control de sistemas de información con la integración de los controles reglamentados en la Ley Sarbanes Oxley3 y los controles del Anexo A de la norma ISO 27001 para el tratamiento del riesgo que cumplan con los requerimientos identificados en el proceso de evaluación del riesgo, 2
http://incp.org.co/Site/2014/info/archivos/circular-externa-038.pdf http://webserver2.deloitte.com.co/A%20WEB%20Recursos/Rec%20Auditoria/4.%20Otros%20auditoria/SOA%20E spa%C3%B1ol%20Deloitte.pdf 3
INTEGRACIÓN DE LOS SISTEMAS DE GESTIÓN BAJO LA LEY INTERNACIONAL SARBANES OXLEY E ISO 27001 EN LA ESTRUCTURA DE CONTROL INTERNO DE LAS ORGANIZACIONES.
para tratar esta decisión compleja del uso de estos controles para el mejoramiento continuo se recurre a técnica ―AHP‖ (ANALYTICAL HIERARCHY PROCESS) creada por THOMAS L. SAATY; en principio, como una técnica muy adecuada para generar modelos de toma decisiones en problemas multi-criterio no estructurados, típicos en la Gerencia tanto pública como privada. Esta técnica focalizada fundamentalmente como herramienta de apoyo a la toma decisiones ayudara a seleccionarlos controles del Anexo A de ISO 27001 para el tratamiento del riesgo que cumplan con los requerimientos identificados en el proceso de evaluación del riesgo de la seguridad de la información, según ISO 27001, consiste en la preservación de su confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su tratamiento, dentro de una organización. Así pues, estos tres términos constituyen la base sobre la que se cimienta todo el edificio de la seguridad de la información, confidencialidad, integridad, disponibilidad. A su vez la herramienta de apoyo en la toma de decisiones ANALYTICAL HIERARCHY PROCESS ayudara a seleccionar de la Ley Sarbanes Oxley que consta de once títulos y dispone cambios en la planeación estratégica, cambios en la estructura, cambios de tecnología y cambios de recurso humano y controles en las secciones de mayor relevancia para este caso de estudio. a las compañías que emiten estados financieros y están sujetas a las normas del SEC (Comisión de Valores e Intercambio), a los comités de las juntas de directores de estas compañías y a las firmas de contabilidad pública que las auditan.
INTEGRACIÓN DE LOS SISTEMAS DE GESTIÓN BAJO LA LEY INTERNACIONAL SARBANES OXLEY E ISO 27001 EN LA ESTRUCTURA DE CONTROL INTERNO DE LAS ORGANIZACIONES.
7. MARCO CONCEPTUAL El desarrollo del marco conceptual de este trabajo favorece a identificar y explicar las siguientes herramientas de estudio para tener más claridad en el trabajo. 7.1. Control Interno: La Ley 87 de 1993, en su Artículo 1º, establece como definición4 del Control Interno lo siguiente: ―Se entiende por control interno el sistema integrado por el esquema de organización y el conjunto de los planes, métodos, principios, normas, procedimientos y mecanismos de verificación y evaluación adoptados por una entidad, con el fin de procurar que todas las actividades, operaciones y actuaciones, así como la administración de la información y los recursos, se realicen de acuerdo con las normas constitucionales y legales vigentes dentro de las políticas trazadas por la dirección y en atención a las metas u objetivos previstos‖. 7.2. Sistemas de gestión: La British Standards Institution, establece como definición5, un Sistema de Gestión es una estructura probada para la gestión y mejora continua de las políticas, los procedimientos y procesos de la organización. 7.3. Mercado Bursátil: La enciclopedia, establece como definición6, el Mercado Bursátil, es un tipo particular de mercado, el cual está relacionado con las operaciones o transacciones que se realizan en las diferentes bolsas alrededor del mundo. En este mercado, dependiendo de la bolsa en cuestión, se realizan intercambios de productos o activos de naturaleza similar, por ejemplo, en las bolsas de valores se realizan operaciones con títulos valores como lo son las acciones, los bonos, los títulos de deuda pública, entre otros, pero también existen bolsas especializadas en otro tipo de productos o activos. LEY 87 DE 1993, Secretaria General del Senado de la República, Disponible en la URL: http://www.apccolombia.gov.co/?idcategoria=964#&panel1-6 5 http://www.bsigroup.com.mx/es-mx/Auditoria-y-Certificacion/Sistemas-de-Gestion/De-un-vistazo/Que-son-lossistemas-de-gestion/ 6 Enciclopedia de tareas, http://www.enciclopediadetareas.net/2012/04/que-es-mercado-bursatil.html 4
INTEGRACIÓN DE LOS SISTEMAS DE GESTIÓN BAJO LA LEY INTERNACIONAL SARBANES OXLEY E ISO 27001 EN LA ESTRUCTURA DE CONTROL INTERNO DE LAS ORGANIZACIONES.
7.4. Norma ISO: La Organización Internacional para la Estandarización (ISO), establece como definición7, las Normas ISO son establecidas por la Organización Internacional para la Estandarización (ISO) que se componen de estándares y guías relacionados con sistemas de gestión, aplicables en cualquier tipo de organización y de herramientas específicas como los métodos de auditoría (el proceso de verificar que los sistemas de gestión cumplen con el estándar). 7.5. ISO 27001ISO / IEC 27001:2013: Especifica8 los requisitos para establecer, implementar, mantener y mejorar continuamente un sistema de gestión de seguridad de la información en el contexto de la organización. También incluye los requisitos para la evaluación y tratamiento de los riesgos de seguridad de información adaptados a las necesidades de la organización. Los requisitos establecidos en la norma ISO / IEC 27001:2013 son genéricos y se pretende que sean aplicables a todas las organizaciones, sin importar su tipo, tamaño o naturaleza. 7.6. Ley internacional: InterAmerican USA, especifica 9 que es la ley que regula las funciones financieras contables y de auditoría y penaliza en una forma severa, el crimen corporativo y de cuello blanco. Debido a los múltiples fraudes, la corrupción administrativa, los conflictos de interés, la negligencia y la mala práctica de algunos profesionales y ejecutivos que conociendo los códigos de ética, sucumbieron ante el atractivo de ganar dinero fácil y a través de empresas y corporaciones engañando a socios, empleados y grupos de interés, entre ellos sus clientes y proveedores.
7
http://www.qualityteamconsulting.com/index.php?option=com_content&view=article&id=48&Itemid=58&lang=es 8 http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=54534 9 http://www.interamericanusa.com/articulos/Leyes/Ley-Sar-Oxley.htm
INTEGRACIÓN DE LOS SISTEMAS DE GESTIÓN BAJO LA LEY INTERNACIONAL SARBANES OXLEY E ISO 27001 EN LA ESTRUCTURA DE CONTROL INTERNO DE LAS ORGANIZACIONES.
7.7. Proceso Analítico Jerárquico: El Proceso Analítico Jerárquico 10 (Analytical Hierarchy Process - AHP) es una técnica bastante usada para la toma de decisiones con atributos múltiples (Saaty 1980; 1987). Permite la descomposición de un problema en una jerarquía y asegura que tanto los aspectos cualitativos como cuantitativos de un problema sean incorporados en el proceso de evaluación, durante la cual la opinión es extraída sistemáticamente por medio de comparaciones entre pares (pairwise). El PAJ es una metodología de decisión compensatoria porque las alternativas que son eficientes con respecto a uno o más objetivos pueden compensarse mediante su desempeño con respecto a otros objetivos. El PAJ permite la aplicación de datos, experiencia, conocimiento, e intuición de una forma lógica y profunda dentro de una jerarquía como un todo.
10
http://www.tdx.cat/bitstream/handle/10803/6241/11Mct11de15.pdf;jsessionid=901885886CCDE1160BFAED5D3 7BD1475.tdx2?sequence=11
INTEGRACIÓN DE LOS SISTEMAS DE GESTIÓN BAJO LA LEY INTERNACIONAL SARBANES OXLEY E ISO 27001 EN LA ESTRUCTURA DE CONTROL INTERNO DE LAS ORGANIZACIONES.
8. PLANEACION PARA LA EJECUCIÓN DE PROCESO ANALÍTICO JERÁRQUICO (AHP). Para la formulación del desarrollo de este proyecto se realizara con el método Proceso Analítico Jerárquico el cual nos ayuda a comprender, analizar e integrar la Ley SOX y la Norma ISO 27001.
8.1. ESTRUCTURA LOGICA RED JERARQUICA La metodología es utilizada mediante el Proceso Analítico Jerárquico (AHP), el cual fue desarrollado por THOMAS L. SAATY en 1977, que nos permite analizar, estructurar y comprender la correlación y concordancia de cada uno de las fases de la integración. El objeto de esta metodología es proporcionar que la persona pueda detallar un problema multicriterio mediante el AHP, el cual se realiza atreves de una JERARQUIA por lo tanto se realiza un diagrama y/o estructura de análisis lógica que constituye un factor llamados ―NODOS‖, y unas ―RELACIONES‖ de pertenencia o subordinación entre ellos. A continuación se muestra los tres índices como se emplea el AHP en el siguiente orden en la Figura 1 de la red jerárquica en el primer nivel N (0) parte de un nodo llamado Foco que para este caso es la Finalidad u objetivo del proyecto, el Foco se trata de un problema de TOMA DE DECISIONES que es el proceso mediante el cual se realiza una elección entre las opciones o formas para resolver diferentes situaciones en distintos contextos, del cual se derivan en el segundo nivel N (1) once Nodos nombrados Criterios que son los controles de la Ley Sarbanes Oxley, La SOX es una de las más importantes leyes financieras que fortalece los controles que deben existir en las organizaciones para la presentación de balances anuales y otros informes financieros que tenga que emitir, para finalizar se muestra en el tercer nivel N (2) los once Nodos nombrados Alternativas o controles de la Norma ISO 27001 sistemas de gestión de la seguridad de la información (SGSI) que es un estándar para la seguridad de la información y cuenta en su anexo A con 133 controles de seguridad y contiene 11 puntos denominados dominios, por lo tanto la red jerárquica cuenta con un total de tres niveles de la misma manera, cuando nos
INTEGRACIÓN DE LOS SISTEMAS DE GESTIÓN BAJO LA LEY INTERNACIONAL SARBANES OXLEY E ISO 27001 EN LA ESTRUCTURA DE CONTROL INTERNO DE LAS ORGANIZACIONES.
enfrentamos con un problema de decisión complejo, podemos usar una jerarquía para integrar grandes cantidades de información, que para este caso se realizara la integración de los criterios y las alternativas en el Modelo de red jerárquico-Toma de decisiones AHP..
Figura 1 Modelo Red Jerárquico - Toma de Decisiones (AHP)
Fuente: Basado en11(Wasil y Goldeen, 2003)
Después de generar toda la información con la elaboración de la red jerárquica se procede a continuar con el desarrollo, priorización y análisis de datos para determinar a la hora de su participación la importancia de cada uno de los factores.
11
http://riunet.upv.es/bitstream/handle/10251/12380/TESIS%20DE%20MASTER%20FINAL%2008.pdf
INTEGRACIÓN DE LOS SISTEMAS DE GESTIÓN BAJO LA LEY INTERNACIONAL SARBANES OXLEY E ISO 27001 EN LA ESTRUCTURA DE CONTROL INTERNO DE LAS ORGANIZACIONES.
9. APLICACIÓN DEL PROCESO ANALÍTICO JERÁRQUICO (AHP) Lo siguiente son los pasos a seguir del modelo AHP de 12(Wasil y Goldeen, 2003), que nos ayuda a identificar, analizar e integrar los criterios y alternativas de la Ley SOX y Norma ISO 27001.
9.1. IDENTIFICACIÓN DEL PROBLEMA. Es una necesidad que pretende solucionar por medio de alternativas que se establecen o prevalecen, examinando los criterios de valoración y analizar los ―pros‖ y los ―contras‖ de las alternativas a tener en cuenta. PROBLEMA. Busca dar a conocer a las organizaciones que hagan parte del mercado accionario en Colombia y en el extranjero la posibilidad de integrar los controles que establecen y regulan la Norma ISO 27001 y la Ley SOX, y que sean incluidos para el fortalecimiento y valoración de su sistema de control interno.
9.2. DEFINICIÓN DEL OBJETIVO. El objetivo es el fin que se quiere alcanzar para perfeccionar la realidad actual, y será constituido por diferentes elementos como los sub-objetivos o criterios, sub-criterios y alternativas.
9.3. OBJETIVO Integrar los controles establecidos bajo la serie ISO 27001 sistemas de gestión de la seguridad de la información (SGSI) y los controles reglamentados por la Ley Sarbanes Oxley, en las entidades que cotizan en la bolsa de valores en Colombia mediante la herramienta Analytical Hierarchy Process (AHP).
12
http://riunet.upv.es/bitstream/handle/10251/12380/TESIS%20DE%20MASTER%20FINAL%2008.pdf
INTEGRACIÓN DE LOS SISTEMAS DE GESTIÓN BAJO LA LEY INTERNACIONAL SARBANES OXLEY E ISO 27001 EN LA ESTRUCTURA DE CONTROL INTERNO DE LAS ORGANIZACIONES.
El siguiente paso es la identificación de los criterios y de las alternativas que para este caso se realizará respectivamente la selección de controlesreglamentados por la Ley Sarbanes Oxley y la selección de los controles establecidos bajo la serie ISO 27001 sistemas de gestión de la seguridad de la información (SGSI), para poder considerar la importancia de cada uno de los factores al integrar se debe comprender la escala numérica de Saaty que se empleara posteriormente.
9.4. EXPLICACIÓN MECÁNICA DE LA ESCALA NUMERICA DE SAATY. Para la asignación de pesos se usaron matrices con las alternativas de solución encontradas. En estas matrices se deberá calificar la importancia relativa de los criterios y alternativas usando la escala numérica de Saatty que aparece en la Tabla 1, haciendo comparaciones por pares que para este asunto serían: Tabla 1 Escala numérica de Saaty. 1
3
5
7
9
Igual de Importante
Ligeramente más importante (1/3 Ligeramente menos importante)
Más importante (1/5 Menos importante)
Bastante importante (1/7 Bastante menos importante)
Mucho más importante (1/9 Mucho menos importante)
Esta tabla ayuda a determinar el nivel de importancia entre los criterios y las alternativas, y a asignar los valores correspondientes en el modelo de la matriz para la aplicación de AHP que se muestra en la Tabla 2.
INTEGRACIÓN DE LOS SISTEMAS DE GESTIÓN BAJO LA LEY INTERNACIONAL SARBANES OXLEY E ISO 27001 EN LA ESTRUCTURA DE CONTROL INTERNO DE LAS ORGANIZACIONES.
Tabla 2 Modelo de matriz para la aplicación de AHP. ALTERNATIVA 1
ALTERNATIVA 2
ALTERNATIVA 3
ALTERNATIVA 1 ALTERNATIVA 2 ALTERNATIVA 3 En la Tabla2 se puede observar el tipo de modelo de matrices que se emplearan en la comparación de los criterios y alternativas, con el fin dediligenciar correctamente esta matriz hay que entender el significado de cada valor de la escala que se exponen en la Tabla 3 y Tabla 4: Tabla 3 Matriz de significado de la escala de valores Saaty. IMPORTANCIA / PREFERENCIA
INTENSIDAD
SIGNIFICADO
1
Igual de Importante
Al comparar un elemento con otro, no hay indiferencia entre ellos
3
Ligeramente más importante
Al comparar un elemento con el otro, el primero es ligeramente más importante o preferido que el segundo
5
Más importante
Al comparar un elemento con el otro, el primero se considera más importante o preferido que el segundo
7
Bastante importante
Al comparar un elemento con el otro, el primero se considera mucho más importante o preferido que el segundo
9
Mucho más importante
Al comparar un elemento con el otro, el primero se considera absolutamente o muchísimo más importante que el segundo
Para el caso de los valores recíprocos de la escala, la interpretación es completamente análoga y se describe su significado en la Tabla 4.
INTEGRACIÓN DE LOS SISTEMAS DE GESTIÓN BAJO LA LEY INTERNACIONAL SARBANES OXLEY E ISO 27001 EN LA ESTRUCTURA DE CONTROL INTERNO DE LAS ORGANIZACIONES.
Tabla 4 Matriz de significado de la escala de valores recíprocos Saaty. IMPORTANCIA / PREFERENCIA
INTENSIDAD
SIGNIFICADO
1/3
Ligeramente menos importante
Al comparar un elemento con el otro, el primero se considera ligeramente menos importante o preferido que el segundo.
1/5
Menos importante
Al comparar un elemento con el otro, el primero se considera menos importante o preferido que el segundo
1/7
Bastante menos importante
Al comparar un elemento con el otro, el primero se considera mucho menos importante o preferido que el segundo
1/9
Mucho menos importante
Al comparar un elemento con el otro, el primero se considera absolutamente o muchísimo menos importante o preferido que el segundo
Para establecer pesos a los criterios y alternativas usando la Tabla 2 Modelo de matriz para la aplicación de AHP se debe tomar una de las opciones de la parte superior y compararla con cada una de las opciones del costado izquierdo de la matriz, esto se debe hacer en orden empezando siempre bajo la diagonal sombreada y teniendo en cuenta que en la matriz hay dos celdas en las que se van a encontrar la misma pareja de opciones, una arriba de la diagonal sombreada y otra abajo. Con la escala numérica de Saatty se asignan los pesos, si es más importante la opción de la parte superior la calificación se pone bajo la diagonal sombreada en la casilla en que se encuentran las opciones que se están comparando, pero si es más importante la opción del costado se pone la calificación en el cuadro donde se encuentran las dos opciones que se están comparando en la parte superior de la matriz. Al comprender el uso de la escala numérica de Saaty se continuara con el siguiente paso a seguir del modelo AHP de 13(Wasil y Goldeen, 2003): que sería el reconocimiento de criterios:
13
http://riunet.upv.es/bitstream/handle/10251/12380/TESIS%20DE%20MASTER%20FINAL%2008.pdf
INTEGRACIÓN DE LOS SISTEMAS DE GESTIÓN BAJO LA LEY INTERNACIONAL SARBANES OXLEY E ISO 27001 EN LA ESTRUCTURA DE CONTROL INTERNO DE LAS ORGANIZACIONES.
10. IDENTIFICACIÓN DE CRITERIOS. Los criterios son muy importantes porque destacan los objetivos más concernientes y que se manifiestan en la toma de decisiones teniendo en cuenta sus aportes cualitativos y cuantitativos, de modo que la estructura lógica del análisis que se realiza está representada por el nivel N (1) en la Figura 1 Modelo Jerárquico - Toma de Decisiones (AHP); es decir, por los criterios y su priorización que se realiza aplicando AHP, considerando una serie de opciones de decisión según unos criterios transversales a todas las opciones a los cuales dentro del AHP también se les debe asignar pesos.
Es muy importante para lograr una calificación adecuada de las alternativas tener claro cuáles son los criterios, su definición y sus límites mediante el proceso de priorización que se desarrollara a continuación.
10.1. Asignación de Pesos a los Criterios con la utilización de la escala numérica de Saaty. La asignación de pesos a los criterios se hizo de la forma que aparece en ―Mecánica de la escala numérica de Satty‖. Los pesos obtenidos para los criterios se ponderaran posteriormente según lo que arroje la calificación de soluciones.
En el procesamiento y análisis se realiza por medio de la herramienta AHP, en este proceso se basa por las matrices de comparación por pares el cual sirve para establecer el alcance la importancia (Pesos) de los componentes que integran los controles establecidos de la Ley Sarbanes Oxley en sus 11 títulos que se muestra en la Tabla 5.
INTEGRACIÓN DE LOS SISTEMAS DE GESTIÓN BAJO LA LEY INTERNACIONAL SARBANES OXLEY E ISO 27001 EN LA ESTRUCTURA DE CONTROL INTERNO DE LAS ORGANIZACIONES.
Tabla 5 Los once criterios de la Ley Sarbanes Oxley CRITERIOS-TITULOS LEY SARBANES OXLEY Sec. 101. Establecimiento; disposiciones administrativas. Sec. 102. Registro ante la Junta. Sec. 103. Auditoria, control de calidad, y normas y reglamentos de independencia Titulo 1
Junta Reguladora de Contabilidad para Corporaciones Públicas
Sec. 104. Inspecciones de firmas de contabilidad pública Sec. 105. Investigaciones y procedimientos disciplinarios Sec. 106. Firmas extranjeras de contabilidad pública Sec. 107. Comisión de Supervisión de la Junta Sec. 108. Normas de contabilidad Sec. 109. Hallazgos Sec. 201. Servicios fuera del alcance de la práctica de los auditores Sec. 202. Requisitos pre-aprobatorios Sec. 203. Rotación del socio de auditoria Sec. 204. Informes del auditor al comité de auditoria Sec. 205. Modificaciones acordadas
Titulo 2
Independencia del Auditor
Sec. 206. Conflictos de interés Sec. 207. Estudio de la rotación obligatoria de las firmas de contadores públicos registrados Sec.208. Autoridad de la Comisión Sec. 209. Consideraciones por las autoridades reguladoras Estatales apropiadas
INTEGRACIÓN DE LOS SISTEMAS DE GESTIÓN BAJO LA LEY INTERNACIONAL SARBANES OXLEY E ISO 27001 EN LA ESTRUCTURA DE CONTROL INTERNO DE LAS ORGANIZACIONES.
Sec. 301. Comité de la compañía de auditoría pública Sec. 302. Responsabilidad de la compañía por los informes financieros Sec. 303. Influencia impropia sobre la conducción de auditorias Sec. 304. Confiscación de ciertos bonos y ganancias Titulo Responsabilidad Sec. 305. Excepciones y penalidades del funcionario y director 3 Corporativa Sec.306. Negociaciones internas durante los períodos censura―blackout‖d el fondo Sec. 403. Revelaciones de transacciones que involucran a la gerencia y de pensiones Sec. 307. Reglamentos de la responsabilidad profesional de los abogados Sec. 308. Fondos razonables para inversionistas Sec. 401. Revelaciones en informes periódicos Sec. 402. Cláusulas de conflictos de interés Sec. 403. Revelaciones de transacciones que involucran a la gerencia y accionistas principales Sec. 404. Evaluación de la gerencia de los controles internos Titulo 4
Divulgaciones Financieras
Sec. 405. Excepciones Sec. 406. Código de ética para los funcionarios financieros senior Sec. 407. Revelación del perito financiero del comité de auditoria Sec. 408. Revisión de las revelaciones periódicas por los emisores Sec. 409. Tiempo real de las revelaciones del emisor
Titulo 5
Relativo a conflictos de Interés
Sec. 501. Tratamiento de los analistas de valores para asociaciones de valores registradas y bolsas de valores nacionales
INTEGRACIÓN DE LOS SISTEMAS DE GESTIÓN BAJO LA LEY INTERNACIONAL SARBANES OXLEY E ISO 27001 EN LA ESTRUCTURA DE CONTROL INTERNO DE LAS ORGANIZACIONES.
Sec. 601. Autorización de asignaciones
Titulo 6
En cuanto a recursos disponibles y autoridad de SEC
Sec. 602. Apariencia y práctica ante la Comisión Sec. 603. Autoridad de la Corte Federal para imponer sanciones (pennystockbars) Sec.604. Calificaciones de personas asociadas a corredores y negociadores Sec. 701. Estudio e informe GEAO sobre consolidación de firmas de contabilidad pública.
Titulo 7
Relativo a estudios e informes
Sec. 702..Estudio e informe de la Comisión referente a las agencias de evaluación de créditos Sec. 703. Estudio e informe sobre infractores e infracciones Sec. 704. Estudio de acciones vigentes Sec. 705. Estudio de bancos de inversión Sec. 801. Titulo corto Sec. 802. Sanciones criminales por las alteración de documentos Sec. 803. Deudas no-descargables si fueron incurridas en violación de las leyes de fraude de valores
Titulo 8
Ley de Fraude Criminal y Corporativo
Sec. 804. Estatuto de las limitaciones por fraude en valores Sec. 805.Revisión de las federal Sentencing Guidelines por la obstrucción de la justicia y por fraude penal extenso Sec. 806.Protección de los empleados de las compañías que se negocian públicamente, que proporcionen evidencia de fraude Sec. 807. Sanciones penales por defraudar a los accionistas de las compañías que se negocian públicamente
INTEGRACIÓN DE LOS SISTEMAS DE GESTIÓN BAJO LA LEY INTERNACIONAL SARBANES OXLEY E ISO 27001 EN LA ESTRUCTURA DE CONTROL INTERNO DE LAS ORGANIZACIONES.
Sec. 901. Titulo corto Sec. 902. Intentos y conspiraciones para cometer delitos que constituyen fraude penal Aumentos en las Sec. 903. Sanciones penales por fraude en el correo y cables Titulo Penalidades en Sec. 904. Sanciones penales por violaciones de la Employee Retirement 9 Crimines de Cuello Blanco Income Security Actot 1974 Sec. 905. Enmiendas a las guías sobre las sentencias relacionadas conciertos delitos de cuello blanco Sec. 906. Responsabilidad corporativa por los reportes financieros Titulo 10
Planillas Corporativas
Sec. 1001. Sentir del Senado en relación con la firma de las declaraciones tributarias corporativas por parte de los directores ejecutivos jefe Sec. 1101. Titilo corto Sec. 1102.Manipulación del registro o impedir de otra manera un procedimiento oficial Sec. 1103. Autoridad de la Securities and Exchange Commission para realizar bloqueos temporales
Titulo 11
Fraude Corporativo
Sec. 1104. Enmienda a las Federa Sentencing Guidelines Sec. 1105. Autoridad de la Comisión para prohibir que personas sirvan como ejecutivos o directores Sec. 1106. Sanciones penales incrementa dadas según la Securities Exchange Act of 1934 Sec. 1107. Represalias contra los informales
Por consiguiente se efectuará la aplicación de la herramienta propuesta en la selección de criterios de la Ley Sarbanes Oxley.
INTEGRACIÓN DE LOS SISTEMAS DE GESTIÓN BAJO LA LEY INTERNACIONAL SARBANES OXLEY E ISO 27001 EN LA ESTRUCTURA DE CONTROL INTERNO DE LAS ORGANIZACIONES.
10.2. PROCEDIMIENTO DE SEECCION CRITERIOSLEY SARBANES OXLEY Primer paso: Construir una matriz de 11x11 de los once títulos considerados anteriormente en la tabla 5. Luego se pone el número 1 en la diagonal de la matriz, para no comparar un factor con consigo mismo. Después se procede a realizar la comparación de cada uno de los factores el cual se realiza con la ―regla lógica‖ primordial basada en el SENTIDO COMUN, luego tiene que ubicar el valor reciproco de su correspondiente en la zona triangular superior.
Tabla 6 MATRIZ AHP SELECCIÓN DE CRITERIO LEY SOX 1
2
3
4
5
6
7
8
9
10
11
1
1
9
1/7
1/7
1
1
9
1
1/7
1
9
2
1/9
1
1/9
1/9
1/9
1/9
1
1/9
1/9
1/9
1
3
7
9
1
9
1/7
7
9
7
1/7
1
9
4
7
9
1/9
1
7
7
9
7
7
1
9
5
1
9
7
1/7
1
1
9
1
7
1
9
6
1
9
1/7
1/7
1
1
9
1
1/7
1
9
7
1/9
1
1/9
1/9
1/9
1/9
1
1/9
1/9
1/9
1
8
1
9
1/7
1/7
1
1
9
1
1/7
1
9
9
7
9
7
1/7
1/7
7
9
7
1
7
9
10
1
9
1
1
1
1
9
1
1/7
1
9
11
1/9
1
1/9
1/9
1/9
1/9
1
1/9
1/9
1/9
1
Totales
26.33 75.00 16.87 12.05 12.62 26.33 75.00 26.33 16.05 14.33 75.00
INTEGRACIÓN DE LOS SISTEMAS DE GESTIÓN BAJO LA LEY INTERNACIONAL SARBANES OXLEY E ISO 27001 EN LA ESTRUCTURA DE CONTROL INTERNO DE LAS ORGANIZACIONES.
Segundo paso: Se desarrolla una normalización en la matriz, el cual se realiza dividiendo el valor de cada celda entre el total de la sumatoria del cual pertenece.
Tabla 7 MATRIZ NORMALIZADA POR COLUMNAS MATRIZ AHP SELECCIÓN DE CRITERIO LEY SOX a
b
c
d
e
f
g
h
i
j
k
0.04
0.12
0.01
0.01
0.08
0.04
0.12
0.04
0.01
0.07
0.12
0.00
0.01
0.01
0.01
0.01
0.00
0.01
0.00
0.01
0.01
0.01
0.27
0.12
0.06
0.75
0.01
0.27
0.12
0.27
0.01
0.07
0.12
0.27
0.12
0.01
0.08
0.55
0.27
0.12
0.27
0.44
0.07
0.12
0.04
0.12
0.41
0.01
0.08
0.04
0.12
0.04
0.44
0.07
0.12
0.04
0.12
0.01
0.01
0.08
0.04
0.12
0.04
0.01
0.07
0.12
0.00
0.01
0.01
0.01
0.01
0.00
0.01
0.00
0.01
0.01
0.01
0.04
0.12
0.01
0.01
0.08
0.04
0.12
0.04
0.01
0.07
0.12
0.27
0.12
0.41
0.01
0.01
0.27
0.12
0.27
0.06
0.49
0.12
0.04
0.12
0.06
0.08
0.08
0.04
0.12
0.04
0.01
0.07
0.12
0.00
0.01
0.01
0.01
0.01
0.00
0.01
0.00
0.01
0.01
0.01
1.00
1.00
1.00
1.00
1.00
1.00
1.00
1.00
1.00
1.00
1.00
INTEGRACIĂ“N DE LOS SISTEMAS DE GESTIĂ“N BAJO LA LEY INTERNACIONAL SARBANES OXLEY E ISO 27001 EN LA ESTRUCTURA DE CONTROL INTERNO DE LAS ORGANIZACIONES.
ďƒź Tercer paso: ďƒ˜ Ahora se procede a obtener La Media o Vector de Prioridad de los valores de cada fila de la matriz, el cual se demuestra en una columna adicional.
Tabla 8 MATRIZ VECTOR DE PRIORIDAD POR COLUMNAS MATRIZ AHP CRITERIO LEY SOX SECCION 906 VS CONTROLES ANEXO A ISO 27001 a
b
c
d
e
f
g
h
i
j
k
Media
0,04
0,12
0,01
0,01
0,08
0,04
0,12
0,04
0,01
0,07
0,12
0,06
0,00
0,01
0,01
0,01
0,01
0,00
0,01
0,00
0,01
0,01
0,01
0,01
0,27
0,12
0,06
0,75
0,01
0,27
0,12
0,27
0,01
0,07
0,12
0,19
0,27
0,12
0,01
0,08
0,55
0,27
0,12
0,27
0,44
0,07
0,12
0,21
0,04
0,12
0,41
0,01
0,08
0,04
0,12
0,04
0,44
0,07
0,12
0,14
0,04
0,12
0,01
0,01
0,08
0,04
0,12
0,04
0,01
0,07
0,12
0,06
0,00
0,01
0,01
0,01
0,01
0,00
0,01
0,00
0,01
0,01
0,01
0,01
0,04
0,12
0,01
0,01
0,08
0,04
0,12
0,04
0,01
0,07
0,12
0,06
0,27
0,12
0,41
0,01
0,01
0,27
0,12
0,27
0,06
0,49
0,12
0,20
0,04
0,12
0,06
0,08
0,08
0,04
0,12
0,04
0,01
0,07
0,12
0,07
0,00
0,01
0,01
0,01
0,01
0,00
0,01
0,00
0,01
0,01
0,01
0,01
1,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00
đ?‘žđ?&#x;? =
0,04 + 0,12 + 0,01 + 0,01 + 0,08 + 0,04 + 0,12 + 0,04 + 0,01 + 0,07 + 0,12 = 0,0593 ≈ 0,06 11
đ?‘žđ?&#x;? =
0,00 + 0,01 + 0,01 + 0,01 + 0,01 + 0,00 + 0,01 + 0,00 + 0,01 + 0,01 + 0,01 = 0,0084 ≈ 0,01 11
đ?‘žđ?&#x;‘ =
0,27 + 0,12 + 0,06 + 0,75 + 0,01 + 0,27 + 0,12 + 0,27 + 0,01 + 0,07 + 0,12 = 0,1867 ≈ 0,19 11
INTEGRACIĂ“N DE LOS SISTEMAS DE GESTIĂ“N BAJO LA LEY INTERNACIONAL SARBANES OXLEY E ISO 27001 EN LA ESTRUCTURA DE CONTROL INTERNO DE LAS ORGANIZACIONES.
đ?‘žđ?&#x;’ =
0,27 + 0,12 + 0,01 + 0,08 + 0,55 + 0,27 + 0,12 + 0,27 + 0,44 + 0,07 + 0,12 = 0,2098 ≈ 0,21 11
đ?‘žđ?&#x;“ =
0,04 + 0,12 + 0,41 + 0,01 + 0,08 + 0,04 + 0,12 + 0,04 + 0,44 + 0,07 + 0,12 = 0,1351 ≈ 0,14 11
đ?‘žđ?&#x;” =
0,04 + 0,12 + 0,01 + 0,01 + 0,08 + 0,04 + 0,12 + 0,04 + 0,01 + 0,07 + 0,12 = 0,0593 ≈ 0,06 11
đ?‘žđ?&#x;• =
0,00 + 0,01 + 0,01 + 0,01 + 0,01 + 0,00 + 0,01 + 0,00 + 0,01 + 0,01 + 0,01 = 0,0084 ≈ 0,01 11
đ?‘žđ?&#x;– =
0,04 + 0,12 + 0,01 + 0,01 + 0,08 + 0,04 + 0,12 + 0,04 + 0,01 + 0,07 + 0,12 = 0,0593 ≈ 0,06 11
đ?‘žđ?&#x;— =
0,27 + 0,12 + 0,41 + 0,01 + 0,01 + 0,27 + 0,12 + 0,27 + 0,06 + 0,49 + 0,12 = 0,1951 ≈ 0,20 11
đ?‘žđ?&#x;?đ?&#x;Ž =
0,04 + 0,12 + 0,06 + 0,08 + 0,08 + 0,04 + 0,12 + 0,04 + 0,01 + 0,07 + 0,12 = 0,0704 ≈ 0,07 11
đ?‘žđ?&#x;?đ?&#x;? =
0,00 + 0,01 + 0,01 + 0,01 + 0,01 + 0,00 + 0,01 + 0,00 + 0,01 + 0,01 + 0,01 = 0,0084 ≈ 0,01 11
ďƒź Cuarto paso: ďƒ˜ Ahora se multiplica el valor de la Media por 100 para hallar el porcentaje de importancia (Pesos). 5,93 % W1 0,84 % W2 18,67% W3 20,98 % W4 13,51 % W5 W6 = 5,93% 0,84 % W7 5,93 % W8 19,51 % W9 7,04 % W10 0,84 % W11 AsĂ se repite estos pasos con los criterios seleccionados de las matrices de la, Ley SOX secciĂłn 302 vs controles anexo a ISO 27001 Ley SOX secciĂłn 404 vs controles anexo a ISO 27001 y la Ley SOX secciĂłn 302 vs controles anexo a ISO 27001.
INTEGRACIÓN DE LOS SISTEMAS DE GESTIÓN BAJO LA LEY INTERNACIONAL SARBANES OXLEY E ISO 27001 EN LA ESTRUCTURA DE CONTROL INTERNO DE LAS ORGANIZACIONES.
En el análisis de información es de vital importancia cuidar la calidad de los datos de entrada, según la asignación de pesos, en la selección de controles.
10.3. PRIORIZACION DE LOS CRITERIOS SECCION 302-404-906 LEY SOX En el análisis de información el uso de la herramienta AHP en la asignación de pesos a los 11 títulos en el capítulo 10.2 permite seleccionar los siguientes criterios o controles de la Ley SOX para realizar la integración de los controles, Titulo III - Responsabilidad Corporativa con la sección 302, Titulo IV - Divulgaciones Financieras con la sección 404, Titulo IX—Aumentos en las Penalidades en Crimines de Cuello Blanco con la sección 906, cada uno de estos títulos a los cuales se realizó a continuación la asignación de Pesos a los Criterios con la utilización de la escala numérica de Saaty..
Tabla 9 MATRIZ AHP SECCION 302 – SECCION 404 – SECCION 906 - LEY SOX SECC 302
SECC 404
SECC 906
a
b
c
Media
% Importancia
SECC 302
1
1/7
5
0,12
0,11
0,33
0,19
18,97
SECC 404
7
1
9
0,85
0,80
0,60
0,75
75,04
SECC 906
1/5
1/9
1
0,02
0,09
0,07
0,06
5,99
Totales
8,20
1,25
15,00
1,00
1,00
1,00
1,00
100,00
A continuación se ampliara lo reglamentado en la Ley SOX acerca de los tres Títulos seleccionados y sus controles realizando la priorización de criterios según los pesos asignados:
INTEGRACIÓN DE LOS SISTEMAS DE GESTIÓN BAJO LA LEY INTERNACIONAL SARBANES OXLEY E ISO 27001 EN LA ESTRUCTURA DE CONTROL INTERNO DE LAS ORGANIZACIONES.
Figura 2 PRIORIZACIÓN DE CRITERIOS SEGÚN LOS PESOS ASIGNADOS PARA LA SECCIÓN 302-404-906 DE LA LEY SOX.
PRIORIZACION DE CRITERIOS SECC 906
SECC 404
SECC 302
0,00
10,00
20,00
30,00
40,00
50,00
60,00
70,00
80,00
Series1
La asignación de pesos le dio al criterio de la Ley SOX Sección 404 una importancia notoria con un 75.04%, frente a un 18,97% y 5.99% correspondientes a los criterios Sección 302 y Sección 906 respectivamente. La importancia que se le da a la Sección 404 de la Ley SOX es una fortaleza grande a la hora de emprender programas de alineación en las organizaciones para la definición de los controles internos, mitigación y administración de riesgos de la información y problemas financieros. Este resultado favorable a la sección 404 de la Ley SOX depende de las políticas establecidas desde la alta gerencia y establece las obligaciones de cada uno de los directivos. Este título comprende los controles para mejorar la información financiera, así como la obligación de las entidades a comunicar la información constantemente que sea importante para sus operaciones y su situación financiera y se explica textualmente a continuación como lo reglamenta la ley.
INTEGRACIÓN DE LOS SISTEMAS DE GESTIÓN BAJO LA LEY INTERNACIONAL SARBANES OXLEY E ISO 27001 EN LA ESTRUCTURA DE CONTROL INTERNO DE LAS ORGANIZACIONES.
TÍTULO IV - Divulgaciones Financieras Sección 404 - Valoración realizada por la administración respecto de los controles internos: Evalúa e instruye al SEC a que establezca normas sobre transacciones (non-GAAP) que puedan tener repercusiones materiales, actuales o futuras, en los estados financieros de las compañías públicas. Requiere evaluación por parte de la gerencia de los controles internos de la empresa. Los estados anuales deben incluir un informe de los controles internos que: 1. Expresen que la gerencia es responsable de establecer y mantener un sistema adecuado de controles internos y de establecer sus procedimientos, 2. Incluyan una evaluación (assessment) al final del año fiscal en cuanto a si el sistema y sus procedimientos son efectivos y adecuados para preparar los estados financieros. Además, el auditor debe declarar (attest), informar y opinar sobre la evaluación del sistema que hizo la gerencia (véase Título IX, sección 906).
La asignación de pesos dio a la sección 302 una importancia de 18,97% que exige a la alta gerencia de las organizaciones responsabilidad ante la seguridad de la información presentada y que requiere de seguimiento por parte de áreas de auditorías que certifiquen la veracidad y la posición financiera de las organizaciones, y según como se encuentra estructurada la ley se explica a continuación.
TÍTULO III - Responsabilidad Corporativa Sección 302 -Responsabilidad corporativa por los estados financieros: Que evaluara y establece que la corporación pública es responsable por sus estados financieros. Requiere que el CEO y el CFO presenten un informe que acompañe al reporte del auditor a los efectos de que los estados financieros son adecuados al igual que las divulgaciones que incluyen y que estos estados presentan justa y adecuadamente (fairly), en todos los aspectos materiales, los resultados de las operaciones y la condición financiera de la corporación. El CEO y el CFO deben certificar
INTEGRACIÓN DE LOS SISTEMAS DE GESTIÓN BAJO LA LEY INTERNACIONAL SARBANES OXLEY E ISO 27001 EN LA ESTRUCTURA DE CONTROL INTERNO DE LAS ORGANIZACIONES.
también los estados trimestrales sometidos al SEC. Esta sección instruye al SEC a que publique reglas y normas relacionadas con esta disposición. Y con un 5.99% de importancia la sección 906 basada en los fraudulentos delitos que hoy en día rodean los negocios financieros y ocasionan grandes pérdidas a las organizaciones por lo que se debe velar por mantener controles que garanticen la legitimidad y la seguridad de la información, a lo que la Ley SOX hace bastante énfasis en la lucha contra la delincuencia y lo penaliza de la siguiente manera:
TÍTULO IX—Aumentos en las Penalidades en Crimines de Cuello Blanco Las primeras secciones de este artículo aumentan las sentencias y penalidades por crímenes perpetuados contra y relacionados con compañías públicas. Sección 906- Responsabilidad corporativa por los reportes: Evalúa y dispone que los informes al SEC deben estar acompañados por un informe escrito y firmado por el CEO y el CFO u oficiales que se desempeñan en esas funciones. Las penalidades por certificar información fraudulenta pueden conllevar multas de hasta $1 millón, prisión de hasta diez años o ambas cosas. Si estos oficiales tienen conocimiento del fraude y certifican los informes, la multa puede ser hasta $5 millones y el período de encarcelamiento hasta 20 años, o ambas cosas
Una vez seleccionados los criterios y se procede a continuación a la identificación de la alternativas que se hace con la selección de los controles establecidos bajo la serie ISO 27001 sistemas de gestión de la seguridad de la información (SGSI).
INTEGRACIÓN DE LOS SISTEMAS DE GESTIÓN BAJO LA LEY INTERNACIONAL SARBANES OXLEY E ISO 27001 EN LA ESTRUCTURA DE CONTROL INTERNO DE LAS ORGANIZACIONES.
11. IDENTIFICACIÓN DE ALTERNATIVAS 14: Las propuestas posibles que aceptarían el éxito del objetivo general definido inicialmente, cuando se construye la jerarquía, se puede hacer de arriba hacia abajo o viceversa. La construcción de arriba hacia abajo se inicia con la identificación de los criterios más globales, es decir, desde lo más general hasta lo más particular. De esta manera, todos los aspectos generales recopilados en la definición del problema están presentes en ese primer nivel en forma de criterios. 11.1. ALTERNATIVAS. La selección de alternativas se realizó del anexo A de la norma ISO 27001 que allí se enumeran 133 controles de seguridad y contiene los siguientes 11 puntos denominados dominios de esta norma. (Ver Tabla 1 Anexo A - Objetivos de Control y Controles de Seguridad de la Información) Tabla 10 Anexo A - Objetivos de Control y Controles de Seguridad de la Información 15 NOMBRE 11 DOMINIOS
N°
A
A5
B
A6
C
A7
D
A8
E
A9
F
A10
G
A11
H
A12
I
A13
J
A14
K
A15
Dominio - Control Política de seguridad de la información
Organización de la seguridad de la información
11
Gestionar la organización de la seguridad de información.
Gestión de activos de información (AI)
5
Lograr y mantener la protección apropiada de los activos de información
9
Asegurar que todo el personal involucrado entienda sus responsabilidades, sean apropiados para sus roles y asi reducir el riesgo de robo, fraude o mal uso de los activos de información.
Seguridad física y medioambiental
13
Prevenir el acceso físico no autorizado, daño e interferencia en las instalaciones y activos de información.
Gestión de operaciones y comunicaciones
32
Asegurar la operación correcta y segura de los activos de información.
Control de acceso (lógico)
25
Controlar el acceso lógico a los activos de información
Adquisición, desarrollo y mantenimiento de sistemas de información
16
Procurar que la seguridad sea una parte integral de los sitemas de información.
Gestión de incidentes de seguridad de información
5
Asegurar que los eventos y debilidades de seguridad de información sean comunicados de manera tal que, permita una acción correctiva oportuna.
Gestión de continuidad de operaciones
5
Contrarrestar las interrupciones de las actividades del negocio y proteger los procesos críticos, de los efectos de fallas significativas o desastres, y asegurar su reanudación oportuna.
Cumplimiento regulatorio
10
Evitar el incumplimiento de cualquier ley, estatuto, obligación, reglamentao o contractuales, y de cualquier requisito de seguridad.
TOTAL CONTROLES
15
2
Dirigir y dar soporte a la gestión de la seguridad de la información de acuerdo con los requisitos institucionales, leyes y reglamentos pertinentes.
Seguridad de los recursos humanos
14
Controles
133
http://riunet.upv.es/bitstream/handle/10251/12380/TESIS%20DE%20MASTER%20FINAL%2008.pdf?sequence=1 ISO/IEC 27001:2005,-e-computacion.net/av200/mod/resource/view.php?id=7
INTEGRACIÓN DE LOS SISTEMAS DE GESTIÓN BAJO LA LEY INTERNACIONAL SARBANES OXLEY E ISO 27001 EN LA ESTRUCTURA DE CONTROL INTERNO DE LAS ORGANIZACIONES.
Se considera al Anexo A como un tipo de lista de medidas de seguridad mediante el procedimiento del desarrollo, luego de hallar los riesgos no aceptables en la evaluación de riesgos, este Anexo A permite seleccionar los controles pertinentes para minimizarlos riesgos, garantizando no abandonar los controles significativos
11.2. PROCEDIMIENTO DE SELECCIÓN E INTEGRCION DE ALTERNATIVAS ISO 27001. Para realizar la selección de los controles ISO 27001 sistemas de gestión de la seguridad de la información (SGSI), se explica cómo se elabora la escala de comparación por pares, para estos se tiene en cuenta la importancia de todos los factores que se van a analizar para lograr los resultados deseables, y se explica a continuación:
11.3. Asignación de Pesos a las Alternativas. La asignación de pesos a las soluciones se hace de la misma forma que la asignación de pesos a los criterios, con la diferencia que esta calificación se debe hacer una vez según cada criterio, cada vez debemos preguntar por ejemplo como desde el criterio que nos da la sección 302 se ve afectado el peso de las soluciones propuestas y así con los otros dos criterios.
En el procesamiento y análisis se realiza por medio de la herramienta AHP, En este proceso se basó por las MATRICES DE COMPARACIÓN POR PARES el cual sirve para establecer el alcance y la importancia (Pesos) de los componentes que integran los controles establecidos bajo la serie ISO 27001 y los controles regulados por la Ley Sarbanes Oxley.
INTEGRACIÓN DE LOS SISTEMAS DE GESTIÓN BAJO LA LEY INTERNACIONAL SARBANES OXLEY E ISO 27001 EN LA ESTRUCTURA DE CONTROL INTERNO DE LAS ORGANIZACIONES.
Primer paso: Construir una matriz de 11x11 de de los factores considerados. Luego se pone el número 1 en la diagonal de la matriz, para no comparar un factor con consigo mismo. Después se procede a realizar la comparación de cada uno de los factores el cual se realiza con la ―regla lógica‖ primordial basada en el SENTIDO COMUN, luego tiene que ubicar el valor reciproco de su correspondiente en la zona triangular superior.
Tabla 11 MATRIZ AHP CRITERIO LEY SOX SECCION 906 VS CONTROLES ANEXO A ISO 27001 A
B
C
D
E
F
G
H
I
J
K
A
1
1
1/7
9
1/7
9
1
1/7
9
1
9
B
1
1
1/7
9
1/7
9
1
1/7
9
1
9
C
7
7
1
9
1/5
9
7
1
9
7
9
D
1/9
1/9
1/9
1
1/9
1
1/9
1/9
1
1/9
1
E
7
7
5
9
1
9
7
5
9
7
9
F
1/9
1/9
1/9
1
1/9
1
1/9
1/9
1
1/9
1
G
1
1
1/7
9
1/7
9
1
1/7
9
1
9
H
7
7
1
9
1/5
9
7
1
9
7
9
I
1/9
1/9
1/9
1
1/9
1
1/9
1/9
1
1/9
1
J
1
1
1/7
9
1/7
9
1
1/7
9
1
9
K
1/9
1/9
1/9
1
1/9
1
1/9
1/9
1
1/9
1
Totales
25,44
25,44
8,02
67,00
2,42
67,00
25,44
8,02
67,00
25,44
67,00
INTEGRACIÓN DE LOS SISTEMAS DE GESTIÓN BAJO LA LEY INTERNACIONAL SARBANES OXLEY E ISO 27001 EN LA ESTRUCTURA DE CONTROL INTERNO DE LAS ORGANIZACIONES.
Segundo paso: Se desarrolla una normalización en la matriz, el cual se realiza dividiendo el valor de cada celda entre el total de la sumatoria del cual pertenece.
Tabla 12 MATRIZ NORMALIZADA POR COLUMNAS MATRIZ AHP CRITERIO LEY SOX SECCION 906 VS CONTROLES ANEXO A ISO 27001 a
b
c
d
e
f
g
h
i
J
k
0,04
0,12
0,04
0,04
0,04
0,04
0,12
0,04
0,04
0,04
0,12
0,00
0,01
0,00
0,03
0,03
0,00
0,01
0,00
0,00
0,03
0,01
0,04
0,12
0,04
0,04
0,04
0,04
0,12
0,04
0,04
0,04
0,12
0,27
0,12
0,27
0,25
0,25
0,27
0,12
0,27
0,27
0,25
0,12
0,27
0,12
0,27
0,25
0,25
0,27
0,12
0,27
0,27
0,25
0,12
0,04
0,12
0,04
0,04
0,04
0,04
0,12
0,04
0,04
0,04
0,12
0,00
0,01
0,00
0,03
0,03
0,00
0,01
0,00
0,00
0,03
0,01
0,04
0,12
0,04
0,04
0,04
0,04
0,12
0,04
0,04
0,04
0,12
0,04
0,12
0,04
0,04
0,04
0,04
0,12
0,04
0,04
0,04
0,12
0,27
0,12
0,27
0,25
0,25
0,27
0,12
0,27
0,27
0,25
0,12
0,00
0,01
0,00
0,03
0,03
0,00
0,01
0,00
0,00
0,03
0,01
1,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00
INTEGRACIĂ“N DE LOS SISTEMAS DE GESTIĂ“N BAJO LA LEY INTERNACIONAL SARBANES OXLEY E ISO 27001 EN LA ESTRUCTURA DE CONTROL INTERNO DE LAS ORGANIZACIONES.
ďƒź Tercer paso: ďƒ˜ Ahora se procede a obtener La Media o Vector de Prioridad de los valores de cada fila de la matriz, el cual se demuestra en una columna adicional.
Tabla 13 MATRIZ VECTOR DE PRIORIDAD POR COLUMNAS MATRIZ AHP CRITERIO LEY SOX SECCION 906 VS CONTROLES ANEXO A ISO 27001 a
b
c
d
e
f
g
h
i
j
k
Media
0,04
0,12
0,04
0,04
0,04
0,04
0,12
0,04
0,04
0,04
0,12
0,06
0,00
0,01
0,00
0,03
0,03
0,00
0,01
0,00
0,00
0,03
0,01
0,01
0,04
0,12
0,04
0,04
0,04
0,04
0,12
0,04
0,04
0,04
0,12
0,06
0,27
0,12
0,27
0,25
0,25
0,27
0,12
0,27
0,27
0,25
0,12
0,22
0,27
0,12
0,27
0,25
0,25
0,27
0,12
0,27
0,27
0,25
0,12
0,22
0,04
0,12
0,04
0,04
0,04
0,04
0,12
0,04
0,04
0,04
0,12
0,06
0,00
0,01
0,00
0,03
0,03
0,00
0,01
0,00
0,00
0,03
0,01
0,01
0,04
0,12
0,04
0,04
0,04
0,04
0,12
0,04
0,04
0,04
0,12
0,06
0,04
0,12
0,04
0,04
0,04
0,04
0,12
0,04
0,04
0,04
0,12
0,06
0,27
0,12
0,27
0,25
0,25
0,27
0,12
0,27
0,27
0,25
0,12
0,22
0,00
0,01
0,00
0,03
0,03
0,00
0,01
0,00
0,00
0,03
0,01
0,01
1,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00
1,00
đ?‘žđ?&#x;? =
0,04 + 0,12 + 0,04 + 0,04 + 0,04 + 0,04 + 0,12 + 0,04 + 0,04 + 0,04 + 0,12 = 0,0596 ≈ 0,06 11
đ?‘žđ?&#x;? =
0,00 + 0,01 + 0,00 + 0,03 + 0,03 + 0,00 + 0,01 + 0,00 + 0,00 + 0,03 + 0,01 = 0,0130 ≈ 0,01 11
đ?‘žđ?&#x;‘ =
0,04 + 0,12 + 0,04 + 0,04 + 0,04 + 0,04 + 0,12 + 0,04 + 0,04 + 0,04 + 0,12 = 0,0596 ≈ 0,06 11
đ?‘žđ?&#x;’ =
0,27 + 0,12 + 0,27 + 0,25 + 0,25 + 0,27 + 0,12 + 0,27 + 0,27 + 0,25 + 0,12 = 0,2209 ≈ 0,22 11
INTEGRACIĂ“N DE LOS SISTEMAS DE GESTIĂ“N BAJO LA LEY INTERNACIONAL SARBANES OXLEY E ISO 27001 EN LA ESTRUCTURA DE CONTROL INTERNO DE LAS ORGANIZACIONES.
đ?‘žđ?&#x;“ =
0,27 + 0,12 + 0,27 + 0,25 + 0,25 + 0,27 + 0,12 + 0,27 + 0,27 + 0,25 + 0,12 = 0,2209 ≈ 0,22 11
đ?‘žđ?&#x;” =
0,04 + 0,12 + 0,04 + 0,04 + 0,04 + 0,04 + 0,12 + 0,04 + 0,04 + 0,04 + 0,12 = 0,0596 ≈ 0,06 11
đ?‘žđ?&#x;• =
0,00 + 0,01 + 0,00 + 0,03 + 0,03 + 0,00 + 0,01 + 0,00 + 0,00 + 0,03 + 0,01 = 0,0130 ≈ 0,01 11
đ?‘žđ?&#x;– =
0,04 + 0,12 + 0,04 + 0,04 + 0,04 + 0,04 + 0,12 + 0,04 + 0,04 + 0,04 + 0,12 = 0,0596 ≈ 0,06 11
đ?‘žđ?&#x;— =
0,04 + 0,12 + 0,04 + 0,04 + 0,04 + 0,04 + 0,12 + 0,04 + 0,04 + 0,04 + 0,12 = 0,0596 ≈ 0,06 11
đ?‘žđ?&#x;?đ?&#x;Ž =
0,27 + 0,12 + 0,27 + 0,25 + 0,25 + 0,27 + 0,12 + 0,27 + 0,27 + 0,25 + 0,12 = 0,2209 ≈ 0,22 11
đ?‘žđ?&#x;?đ?&#x;? =
0,00 + 0,01 + 0,00 + 0,03 + 0,03 + 0,00 + 0,01 + 0,00 + 0,00 + 0,03 + 0,01 = 0,0130 ≈ 0,01 11
ďƒź Cuarto paso: ďƒ˜ Ahora se multiplica el valor de la Media por 100 para hallar el porcentaje de importancia (Pesos). 5,96 % W1 1,30 % W2 5,96 % W3 22,09 % W4 22,09 % W5 W6 = 5,96 % 1,30 % W7 5,96 % W8 5,96 % W9 22,09 % W10 1,30 % W11
AsĂ se repite estos pasos con los criterios de las matrices de la Ley SOX secciĂłn 404 vs controles anexo a ISO 27001 y la Ley SOX secciĂłn 302 vs controles anexo a ISO 27001.
INTEGRACIÓN DE LOS SISTEMAS DE GESTIÓN BAJO LA LEY INTERNACIONAL SARBANES OXLEY E ISO 27001 EN LA ESTRUCTURA DE CONTROL INTERNO DE LAS ORGANIZACIONES.
Tabla 14 MATRIZ AHP CRITERIO LEY SOX SECCION 404 VS CONTROLES ANEXO A ISO 27001 A
B
C
D
E
F
G
H
I
J
K
A
1
9
1
1/7
1/7
1
9
1
1
1/7
9
B
1/9
1
1/9
1/9
1/9
1/9
1
1/9
1/9
1/9
1
C
1
9
1
1/7
1/7
1
9
1
1
1/7
9
D
7
9
7
1
1
7
9
7
7
1
9
E
7
9
7
1
1
7
9
7
7
1
9
F
1
9
1
1/7
1/7
1
9
1
1
1/7
9
G
1/9
1
1/9
1/9
1/9
1/9
1
1/9
1/9
1/9
1
H
1
9
1
1/7
1/7
1
9
1
1
1/7
9
I
1
9
1
1/7
1/7
1
9
1
1
1/7
9
J
7
9
7
1
1
7
9
7
7
1
9
K
1/9
1
1/9
1/9
1/9
1/9
1
1/9
1/9
1/9
1
Totales
26,33
75,00
26,33
4,05
4,05
26,33
75,00
26,33
26,33
4,05
75,00
INTEGRACIÓN DE LOS SISTEMAS DE GESTIÓN BAJO LA LEY INTERNACIONAL SARBANES OXLEY E ISO 27001 EN LA ESTRUCTURA DE CONTROL INTERNO DE LAS ORGANIZACIONES.
Tabla 15 MATRIZ VECTOR DE PRIORIDAD POR COLUMNAS MATRIZ AHP CRITERIO LEY SOX SECCION 404 VS CONTROLES ANEXO A ISO 27001 a
b
c
d
e
f
g
h
i
j
k
Media % Importancia
0,04 0,12 0,04 0,04 0,04 0,04 0,12 0,04 0,04 0,04 0,12
0,06
5,96
0,00 0,01 0,00 0,03 0,03 0,00 0,01 0,00 0,00 0,03 0,01
0,01
1,30
0,04 0,12 0,04 0,04 0,04 0,04 0,12 0,04 0,04 0,04 0,12
0,06
5,96
0,27 0,12 0,27 0,25 0,25 0,27 0,12 0,27 0,27 0,25 0,12
0,22
22,09
0,27 0,12 0,27 0,25 0,25 0,27 0,12 0,27 0,27 0,25 0,12
0,22
22,09
0,04 0,12 0,04 0,04 0,04 0,04 0,12 0,04 0,04 0,04 0,12
0,06
5,96
0,00 0,01 0,00 0,03 0,03 0,00 0,01 0,00 0,00 0,03 0,01
0,01
1,30
0,04 0,12 0,04 0,04 0,04 0,04 0,12 0,04 0,04 0,04 0,12
0,06
5,96
0,04 0,12 0,04 0,04 0,04 0,04 0,12 0,04 0,04 0,04 0,12
0,06
5,96
0,27 0,12 0,27 0,25 0,25 0,27 0,12 0,27 0,27 0,25 0,12
0,22
22,09
0,00 0,01 0,00 0,03 0,03 0,00 0,01 0,00 0,00 0,03 0,01
0,01
1,30
1,00 1,00 1,00 1,00 1,00 1,00 1,00 1,00 1,00 1,00 1,00
1,00
100,00
INTEGRACIÓN DE LOS SISTEMAS DE GESTIÓN BAJO LA LEY INTERNACIONAL SARBANES OXLEY E ISO 27001 EN LA ESTRUCTURA DE CONTROL INTERNO DE LAS ORGANIZACIONES.
Tabla 16 MATRIZ AHP CRITERIO LEY SOX SECCION 302 VS CONTROLES ANEXO A ISO 27001 A
B
C
D
E
F
G
H
I
J
K
A
1
1
1/7
9
1/7
9
1/7
1
1
1/7
9
B
1
1
1/7
9
1/7
9
1/7
1
1
1/7
9
C
7
7
1
9
1
9
1
7
7
1
9
D
1/9
1/9
1/9
1
1/9
1
1/9
1/9
1/9
1/9
1
E
7
7
1
9
1
9
1
7
7
1
9
F
1/9
1/9
1/9
1
1/9
1
1/9
1/9
1/9
1/9
1
G
7
7
1
9
1
9
1
7
7
1
9
H
1
1
1
9
1/7
9
1/7
1
1
1/7
9
I
1
1
1/7
9
1/7
9
1/7
1
1
1/7
9
J
7
7
1
9
1
9
1
7
7
1
9
K
1/9
1/9
1/9
1
1/9
1
1/9
1/9
1/9
1/9
1
Totales
32,33
32,33
5,76
75,00
4,90
75,00
4,90
32,33
32,33
4,90
75,00
INTEGRACIÓN DE LOS SISTEMAS DE GESTIÓN BAJO LA LEY INTERNACIONAL SARBANES OXLEY E ISO 27001 EN LA ESTRUCTURA DE CONTROL INTERNO DE LAS ORGANIZACIONES.
Tabla 17 MATRIZ VECTOR DE PRIORIDAD POR COLUMNAS MATRIZ AHP CRITERIO LEY SOX SECCION 302 VS CONTROLES ANEXO A ISO 27001 a
b
c
d
e
f
g
h
i
j
k
Media % Importancia
0,03 0,03 0,02 0,12 0,03 0,12 0,03 0,03 0,03 0,03 0,12
0,05
5,42
0,03 0,03 0,02 0,12 0,03 0,12 0,03 0,03 0,03 0,03 0,12
0,05
5,42
0,22 0,22 0,17 0,12 0,20 0,12 0,20 0,22 0,22 0,20 0,12
0,18
18,28
0,00 0,00 0,02 0,01 0,02 0,01 0,02 0,00 0,00 0,02 0,01
0,01
1,28
0,22 0,22 0,17 0,12 0,20 0,12 0,20 0,22 0,22 0,20 0,12
0,18
18,28
0,00 0,00 0,02 0,01 0,02 0,01 0,02 0,00 0,00 0,02 0,01
0,01
1,28
0,22 0,22 0,17 0,12 0,20 0,12 0,20 0,22 0,22 0,20 0,12
0,18
18,28
0,03 0,03 0,17 0,12 0,03 0,12 0,03 0,03 0,03 0,03 0,12
0,07
6,77
0,03 0,03 0,02 0,12 0,03 0,12 0,03 0,03 0,03 0,03 0,12
0,05
5,42
0,22 0,22 0,17 0,12 0,20 0,12 0,20 0,22 0,22 0,20 0,12
0,18
18,28
0,00 0,00 0,02 0,01 0,02 0,01 0,02 0,00 0,00 0,02 0,01
0,01
1,28
1,00 1,00 1,00 1,00 1,00 1,00 1,00 1,00 1,00 1,00 1,00
1,00
100,00
INTEGRACIÓN DE LOS SISTEMAS DE GESTIÓN BAJO LA LEY INTERNACIONAL SARBANES OXLEY E ISO 27001 EN LA ESTRUCTURA DE CONTROL INTERNO DE LAS ORGANIZACIONES.
12. RESULTADOS.
PROCEDIMIENTO
DE
SELECCIÓN
E INTEGRCION DE
ALTERNATIVAS ISO 27001. Tabla 18 El peso de las soluciones según el criterio Sección 302
ALTERNATIVAS
% Importancia
Política de seguridad de la información
5.42
Organización de la seguridad de la información
5.42
Gestión de activos de información (AI)
18.28
Seguridad de los recursos humanos
1.28
Seguridad física y medioambiental
18.28
Gestión de operaciones y comunicaciones
1.28
Control de acceso (lógico)
18.28
Adquisición, desarrollo y mantenimiento de sistemas de información
6.77
Gestión de incidentes de seguridad de información
5.42
Gestión de continuidad de operaciones
18.28
Cumplimiento regulatorio
1.28 Totales
100.00
INTEGRACIÓN DE LOS SISTEMAS DE GESTIÓN BAJO LA LEY INTERNACIONAL SARBANES OXLEY E ISO 27001 EN LA ESTRUCTURA DE CONTROL INTERNO DE LAS ORGANIZACIONES.
Figura 3 El peso de las soluciones según el criterio Sección 906 de la Ley SOX (%)
El peso de las soluciones según el criterio Seccion 302 (%) Cumplimiento regulatorio Gestión de incidentes de seguridad de… Control de acceso (lógico)
% Importancia
Seguridad física y medioambiental Gestión de activos de información (AI) Política de seguridad de la información 0,00
20,00 40,00 60,00 80,00 100,00
Según el criterio Sección 302 de la Ley SOX las alternativas ganadoras son: Gestión activos de la información con un 18.28% lo que sigue dando cuenta de los procesos de organización deben lograr y mantener la protección apropiada de los activos de información con la implementación de los siguientes controles en la organización.
Responsabilidad por los activos: Se mantiene un inventario de AI. Todo AI tiene asignado un responsable (propietario). Se dispone de una normativa de uso de los AI Clasificación de la información
INTEGRACIÓN DE LOS SISTEMAS DE GESTIÓN BAJO LA LEY INTERNACIONAL SARBANES OXLEY E ISO 27001 EN LA ESTRUCTURA DE CONTROL INTERNO DE LAS ORGANIZACIONES.
Clasificación de la información La información está clasificada según su valor, requisitos legales, sensibilidad y criticidad. Se dispone del procedimiento de rotulado y manejo de la información. Seguridad física y medioambiental con un 18.28% lo que indica que la organización debe prevenir el acceso físico no autorizado, daño e interferencia en las instalaciones y activos de información con la implementación de los siguientes controles.
Áreas seguras. Se utiliza mecanismos de protección perimétrica (muros, vigilantes, etc.) a las áreas que contienen información e instalaciones que procesan información. Se utiliza mecanismos de control de acceso en entradas críticas. Se utiliza mecanismos de seguridad en oficinas, habitaciones e instalaciones. Se utiliza mecanismos de protección ante amenazas externas y ambientales. Se aplica medidas de seguridad física y directrices para trabajar en áreas seguras. Se aplica medidas de seguridad en áreas de acceso público (entrega/descarga).
Seguridad del equipo Los equipos están ubicados en salas con protección física ante un posible acceso no autorizado. Los equipos están protegidos frente a fallas de servicios públicos. El cableado eléctrico y de comunicaciones está protegido frente a interceptación o daños. Los equipos son mantenidos en forma periódica. Se aplica seguridad a los equipos fuera del local Antes de dar de baja un equipo se elimina la información Todo equipo requiere autorización para ser retirado de la Institución.
INTEGRACIÓN DE LOS SISTEMAS DE GESTIÓN BAJO LA LEY INTERNACIONAL SARBANES OXLEY E ISO 27001 EN LA ESTRUCTURA DE CONTROL INTERNO DE LAS ORGANIZACIONES.
Control de acceso (lógico) con un 18.28% que hace necesario para la organización el controlar el acceso lógico a los activos de información con la implementación de los siguientes controles: Requerimientos ver especificaciones en A.11.1.1-Anexo A Gestión de acceso de usuarios ver especificaciones desde el A.11.2.1 hasta A.11.2.4Anexo A Responsabilidades de usuarios ver especificaciones desde el A.11.3.1 hasta A.11.3.3Anexo A. Control de acceso a la red ver especificaciones desde A.11.4.1 hasta A.11.4.7-Anexo A Control de acceso al sistema operativo ver especificaciones desde A.11.5.1 hasta A.11.5.6Anexo A Control de acceso a las aplicaciones e información ver especificaciones desde A.11.6.1 hasta A.11.6.2-Anexo A. Computación móvil y teletrabajo ver especificaciones desde A.11.7.1 A.11.7.2-Anexo A.
Gestión de continuidad de operaciones con un 18.28% que lleva a las organizaciones a contrarrestar las interrupciones de las actividades del negocio y proteger los procesos críticos, de los efectos de fallas significativas o desastres, y asegurar su reanudación oportuna con la implementaciones de los siguientes controles.
Gestión de la continuidad operativa Se dispone de un proceso de gestión de continuidad de operaciones. Se realiza gestión de riesgos. Se dispone de un Plan de Continuidad de Operaciones (PCO). Se maneja un único marco referencial de PCO. Se maneja un único marco referencial de PCO.
INTEGRACIÓN DE LOS SISTEMAS DE GESTIÓN BAJO LA LEY INTERNACIONAL SARBANES OXLEY E ISO 27001 EN LA ESTRUCTURA DE CONTROL INTERNO DE LAS ORGANIZACIONES.
Tabla 19 El peso de las soluciones según el criterio Sección 404
ALTERNATIVAS
% Importancia
Política de seguridad de la información
5.96
Organización de la seguridad de la información
1.30
Gestión de activos de información (AI)
5.96
Seguridad de los recursos humanos
22.09
Seguridad física y medioambiental
22.09
Gestión de operaciones y comunicaciones
5.96
Control de acceso (lógico)
1.30
Adquisición, desarrollo y mantenimiento de sistemas de información
5.96
Gestión de incidentes de seguridad de información
5.96
Gestión de continuidad de operaciones
22.09
Cumplimiento regulatorio
1.30 Totales
100.00
INTEGRACIÓN DE LOS SISTEMAS DE GESTIÓN BAJO LA LEY INTERNACIONAL SARBANES OXLEY E ISO 27001 EN LA ESTRUCTURA DE CONTROL INTERNO DE LAS ORGANIZACIONES.
Figura 4 El peso de las soluciones según el criterio Sección 404de la Ley SOX (%)
El peso de las soluciones según el criterio Seccion 404 (%)
Cumplimiento regulatorio Gestión de incidentes de seguridad de … Control de acceso (lógico) % Importancia
Seguridad física y medioambiental Gestión de activos de información (AI) Política de seguridad de la información 0,00
20,00
40,00
60,00
80,00 100,00
La asignación de pesos le dio al criterio sección 404 una importancia notoria en las alternativas Gestión de continuidad de procesos con un 22.09%, frente a un 22.09% y 22,09% correspondientes a las alternativas seguridad física y medio ambiental respectivamente para implementar en la organización los siguientes controles de la ISO 27001. Gestión de continuidad de procesos para contrarrestar las interrupciones de las actividades del negocio y proteger los procesos críticos, de los efectos de fallas relevantes o desastres, y garantizarsu reanudación pertinente. (Ver Anexo desde el A.14.1.1 hasta A.14.1.5-Anexo A.) Seguridad física y medio ambiental para prevenir el acceso físico no autorizado, daño e interferencia en las instalaciones y activos de información de la organización. Ver desde A.9.1.1 hasta A.9.2.7-Anexo A Seguridad de los recursos humanos que sirve para asegurar que todo el personal involucrado entienda sus responsabilidades, sean apropiados para sus roles y así reducir el riesgo de robo, fraude o mal uso de los activos de información de la organización.
INTEGRACIÓN DE LOS SISTEMAS DE GESTIÓN BAJO LA LEY INTERNACIONAL SARBANES OXLEY E ISO 27001 EN LA ESTRUCTURA DE CONTROL INTERNO DE LAS ORGANIZACIONES.
Antes del empleo Se tiene documentado (de acuerdo a la política) los roles y responsabilidades de SI, de todo el personal. Se verifica antecedentes de todo candidato a empleado o contratista. Se firman contratos donde se incluye las responsabilidades de SI.
Durante el empleo Se procura que todos los empleados apliquen la SI según la política. Se sensibiliza, capacita y educa en SI pertinente a su función de trabajo. Se tiene establecido un proceso disciplinario ante el incumplimiento de SI.
Terminación o cambio del empleo. Están definidas las responsabilidades para el término o cambio de empleo. Se procura la entrega de activos al término de contrato. Se retira los derechos de acceso al término del contrato.
INTEGRACIÓN DE LOS SISTEMAS DE GESTIÓN BAJO LA LEY INTERNACIONAL SARBANES OXLEY E ISO 27001 EN LA ESTRUCTURA DE CONTROL INTERNO DE LAS ORGANIZACIONES.
Tabla 20 El peso de las soluciones según el criterio Sección 906
ALTERNATIVAS
% Importancia
Política de seguridad de la información
7.18
Organización de la seguridad de la información
7.18
Gestión de activos de información (AI)
17.91
Seguridad de los recursos humanos
1.37
Seguridad física y medioambiental
29.99
Gestión de operaciones y comunicaciones
1.37
Control de acceso (lógico)
7.18
Adquisición, desarrollo y mantenimiento de sistemas de información
17.91
Gestión de incidentes de seguridad de información
1.37
Gestión de continuidad de operaciones
7.18
Cumplimiento regulatorio
1.37 Totales
100.00
INTEGRACIÓN DE LOS SISTEMAS DE GESTIÓN BAJO LA LEY INTERNACIONAL SARBANES OXLEY E ISO 27001 EN LA ESTRUCTURA DE CONTROL INTERNO DE LAS ORGANIZACIONES.
Figura 5 El peso de las soluciones según el criterio Sección 906 de la Ley SOX(%)
El peso de las soluciones según el criterio Seccion 906 (%) Totales
Cumplimiento regulatorio Gestión de continuidad de… Gestión de incidentes de seguridad… Adquisición, desarrollo y… Control de acceso (lógico) Gestión de operaciones y…
% Importancia
Seguridad física y medioambiental Seguridad de los recursos humanos Gestión de activos de información… Organización de la seguridad de la… Política de seguridad de la … 0,00
50,00
100,00
150,00
La asignación de pesos le dio al criterio de la Sección 906 de la Ley SOX una importancia a las alternativas seguridad física y medio ambiental con un 29.99%, frente a un 17.91% Gestión de Activos de información(AI) y Adquisición, desarrollo y mantenimiento de sistemas de información con un 17,26% para implementar en la organización los siguientes controles de la ISO 27001: Seguridad física y medio ambiental para prevenir el acceso físico no autorizado, daño e interferencia en las instalaciones y activos de información. ión de la organización. Ver desde A.9.1.1 hasta A.9.2.7-Anexo A. Gestión Activos de la información donde en la organización deben Lograr y mantener la protección apropiada de los activos de información con la implementación de los siguientes controles en la organización. Ver desde A.7.1.1 hasta A.7.2.2-Anexo A.
INTEGRACIÓN DE LOS SISTEMAS DE GESTIÓN BAJO LA LEY INTERNACIONAL SARBANES OXLEY E ISO 27001 EN LA ESTRUCTURA DE CONTROL INTERNO DE LAS ORGANIZACIONES.
Adquisición, desarrollo y mantenimiento de sistemas de información para procurar que la seguridad sea una parte integral de los sistemas de información. Requerimientos de seguridad de los sistemas Se especifican los requerimientos para nuevos sistemas o mejoras, incluyendo los controles de seguridad.
Procesamiento correcto en las aplicaciones Se validan los datos de entrada a las aplicaciones para asegurar que esta sea correcta y apropiada. Se incorpora mecanismos de validación en las aplicaciones para detectar corrupción de la información. Se identifican los requisitos para asegurar la autenticidad e integridad de los mensajes en las aplicaciones. Se valida la data de salida de las aplicaciones.
Controles criptográficos Se dispone de una política de uso de controles criptográficos para proteger la información. Se realiza gestión de claves para dar soporte al uso de las técnicas criptográficas.
Seguridad de los archivos del sistema Se dispone de procedimientos para la instalación del software de los sistemas. Se selecciona, protege y controla los datos de prueba del sistema. Se controla el acceso al código fuente del sistema.
Seguridad en los procesos de desarrollo y soporte Los cambios se controlan mediante el uso de procedimientos de control de cambios. Las aplicaciones se revisan después de haber hecho cambios en el sistema operativo, para observar el impacto generado. Se limita a los cambios necesarios (no se fomenta las modificaciones a los paquetes).
INTEGRACIÓN DE LOS SISTEMAS DE GESTIÓN BAJO LA LEY INTERNACIONAL SARBANES OXLEY E ISO 27001 EN LA ESTRUCTURA DE CONTROL INTERNO DE LAS ORGANIZACIONES.
Se procura evitar las fugas o filtraciones de información. Se supervisa y monitorea el desarrollo tercerizado de software. La solución que permite dar una mayor seguridad y control de la de la información en las empresas se obtiene al emplear una red jerárquica y para este caso se muestra a continuación. Figura 6 Modelo Jerárquico - Toma de Decisiones (AHP) Resultados
Fuente: Vasado en(Wasil y Goldeen, 200316 Gracias a los beneficios que se obtienen de utilizar redes jerárquicas que brindan la facilidad de administración de la información es posible realizar la implementación e Integración de los controles establecidos bajo la serie ISO 27001 sistemas de gestión de la seguridad de la información (SGSI) debido a que la red cumple con funciones específicas es fácil determinar en donde se deben de llevar a cabo las modificaciones o que reglas y configuraciones implementadas a nivel interno de las organizaciones. 16
http://riunet.upv.es/bitstream/handle/10251/12380/TESIS%20DE%20MASTER%20FINAL%2008.pdf
INTEGRACIÓN DE LOS SISTEMAS DE GESTIÓN BAJO LA LEY INTERNACIONAL SARBANES OXLEY E ISO 27001 EN LA ESTRUCTURA DE CONTROL INTERNO DE LAS ORGANIZACIONES.
13. CONCLUSIONES. Dada la misma naturaleza de la herramienta AHP -The Analytic Hierarchy Process, y su segmentación es fácil definir políticas de desarrollo en el control interno, de forma que puedan tener acceso las empresas que cotizan en la bolsa de valores a un determinado rendimiento de la seguridad de la información y de su manipulación objetiva al integrar los controles establecidos bajo la serie ISO 27001 sistemas de gestión de la seguridad de la información (SGSI) y los controles reglamentados por la Ley Sarbanes Oxley.
La AHP es una herramienta metodológica una manera de dividir un problema en varios niveles y luego unir cada una de las posibles soluciones con la toma de decisiones en una conclusión, y se hace más complejo llegar a un diagnostico dependiendo la cantidad de información o alternativas, a mayor cantidad de opciones mayor es la estructuración del modelo jerárquico para visualizar y medir los criterios cuantitativos y cualitativos de una manera eficiente.
El uso de herramienta AHP -The Analytic Hierarchy Process, se puede implementar en diferentes tipos de empresas sin importar el sector de su actividad, tamaño, capital, forma jurídica, o el destino de sus ganancias ya que se pueden resolver problemas complejos de todo tipo, aunque es necesario disponer de recursos que involucren los procesos para la toma de decisiones, por lo que se recomienda contar con el tiempo necesario junto con un plan de trabajo y el desarrollo logístico adecuado para no afectar la veracidad de los resultados si el tiempo es limitado.
La implementación de nuevos controles en las empresas que cotizan en la bolsa de valores aumenta los costos administrativos y financieros, por lo que las altas remuneraciones de auditoría exigen a las compañías reducir sus presupuestos para poder pagar por estos servicios y a su vez incrementa el costo de los servicios prestados y cobrados a los clientes y esto puede llegar a limitar nuevas negociaciones, aun así esta herramienta se puede utilizar no solo para implementar los reglamentos por la Norma ISO 27001 y la Ley SOX sino
INTEGRACIÓN DE LOS SISTEMAS DE GESTIÓN BAJO LA LEY INTERNACIONAL SARBANES OXLEY E ISO 27001 EN LA ESTRUCTURA DE CONTROL INTERNO DE LAS ORGANIZACIONES.
también para determinar el rendimiento de todo las actividades de la organización y su aplicación y
garantizar que todos los controles internos tengan una mejora continua,
desarrollo y generen protección de los procesos, minimizar el riesgo y ocurrencia de los fraudes..
Si bien muchas empresas tienen inconvenientes financieros es posible sacar ventaja con la toma de decisiones para llegar a una nueva forma de hacer negocios con la implementación de controles y asumiendo inteligentemente que contar con una herramienta importante para la mejora continua, crecimiento, desarrollo y calidad de la información, genera protección de los procesos, mitigación del riesgo y reduce la ocurrencia de fraudes o errores.
Los controles establecidos bajos la serie ISO 27001 y los controles reglamentados por la Ley Sarbanes Oxley al ser integrados con la herramienta AHP, se convierten en medidas técnicas a implementar en las empresas que cotizan en la bolsa de valores, y que se deben tener en cuenta para mantener la seguridad de la información como actividad de gestión ya que requiere de es fuerzo continuo y genera competitividad, normas y estándares para la supervivencia de las entidades en el mercado bursátil.
INTEGRACIÓN DE LOS SISTEMAS DE GESTIÓN BAJO LA LEY INTERNACIONAL SARBANES OXLEY E ISO 27001 EN LA ESTRUCTURA DE CONTROL INTERNO DE LAS ORGANIZACIONES.
14. REFERENCIAS. C, Danilo Lugo. (s.f.). Auditoria Forense. http://www.interamericanusa.com/articulos/Leyes/LeySar-Oxley.htm-Miguel Antonio Cano C. CPT. Circular Externa 038, T. I. (2009). Obligaciones especiales de las entidades vigiladas. COLOMBIA, C. D. (29 de noviembre de 1993). Por la cual se establecen normas para el ejercicio del control interno en las entidades y organismos del Estado y se dictan otras Arapé, J. E. (Nobiembre de 2000). Manual de metodologias - Tomo V (L a tecnica AHP). Obtenido de http://www.cgee.org.br/atividades/redirKori/851 Colombia, E. C. (29 de Noviembre de 1993). LEY 87 DE 1993 . Obtenido de http://www.virtual.unal.edu.co/cursos/economicas/91337/ayudas/decretos/ley_87_1993.pdf disposiciones. González, S. A. (1996). ISO 9000 :Implantación de sistemas de calidad . Caracas: Vadell herman. iso27000.es. (s.f.). EL PORTAL DE ISO 27001 EN ESPAÑOL. Obtenido de EL PORTAL DE ISO 27001 EN ESPAÑOL: http://www.iso27000.es Cortes, Concepción. Métodos Multi-criterio Discretos (II), material de clase para la Licenciatura en Ciencias Ambientales. Unidad Docente de Estadística y Econometría, Universidad de Huelva, España.
2006.
Disponible
en:
http://www.uhu.es/24057/ficheros_datos/curso05-
06/ahpyarrow(tema8).pdf FAO. El AHP (Proceso Analítico Jerárquico) y su aplicación para determinar el uso de las tierras, el caso de Brasil. Pág. 5, 8. 2000. SAATY, THOMAS. Método Analítico Jerárquico (AHP): Principios Básicos. En el libro: Evaluación y Decisión Multi-criterio. Reflexiones y Experiencias. Editorial Universidad de Santiago. Pag. 17-46. 1998.
INTEGRACIÓN DE LOS SISTEMAS DE GESTIÓN BAJO LA LEY INTERNACIONAL SARBANES OXLEY E ISO 27001 EN LA ESTRUCTURA DE CONTROL INTERNO DE LAS ORGANIZACIONES.
15. ANEXOS.
Anexo A - Objetivos de Control y Controles de Seguridad de la Información ISO/IEC 27001:2005 (Conjunto de medidas, acciones y documentos que permiten cubrir y auditar cierto riesgo)
Dominio - Control
N°
Política de seguridad de la información A5
Dirigir y dar soporte a la gestión de la seguridad de la información de acuerdo con los requisitos institucionales, leyes y reglamentos pertinentes.
A.5.1.1 Política de seguridad de la A.5.1.2 información A6 A.6.1.1 A.6.1.2 A.6.1.3 A.6.1.4 A.6.1.5 A.6.1.6 A.6.1.7 A.6.1.8 A.6.2.1 A.6.2.2 A.6.2.3 A7 A.7.1.1 A.7.1.2 A.7.1.3 A.7.2.1 A.7.2.2
Contro les 2
Se dispone de una política de SI aprobada por la dirección, publicada y comunicada a todos los empleados y partes externas pertinentes. La política de seguridad de información se revisa a intervalos planificados, y si ocurren cambios significativos se asegura su conveniencia, adecuación y eficacia continua.
Organización de la seguridad de la información
1 1 11
Gestionar la organización de la seguridad de información.
La Alta Dirección apoya (dirige, se compromete, demuestra y reconoce responsabilidades) activamente la SI en la Institución. En las actividades de SI participan representantes de todas las UU.OO. Tienen roles y funciones. Los roles y responsabilidades en SI están bien definidos. Organización Está establecido el proceso de autorización para nuevos activos de información (AI). interna Están definidos acuerdos de confidencialidad y se revisa con regularidad. Se mantiene los contactos apropiados con las autoridades pertinentes. Se mantiene los contactos apropiados con entidades especializadas en SI. El enfoque de la organización para gestionar la SI se revisa de manera independiente y periódica. Se gestiona (identifica e implementa) los riesgos de acceso a la información de entidades externas. Entidades externas Se trata todos los requerimientos de SI antes de dar acceso a los clientes. Se establece acuerdos con terceros, que involucran acceder, procesar, comunicar o gestionar la información de la entidad , que abarcan los requerimientos de SI relevantes.
Gestión de activos de información (AI)
1 1 1 1 1 1 1 1 1 1 1 5
Lograr y mantener la protección apropiada de los activos de información
Se mantiene un inventario de AI. Responsabilidad por Todo AI tiene asignado un responsable (propietario). los activos Se dispone de una normativa de uso de los AI Clasificación de la La información está clasificada según su valor, requisitos legales, sensibilidad y criticidad información Se dispone del procedimiento de rotulado y manejo de la información.
1 1 1 1 1
INTEGRACIÓN DE LOS SISTEMAS DE GESTIÓN BAJO LA LEY INTERNACIONAL SARBANES OXLEY E ISO 27001 EN LA ESTRUCTURA DE CONTROL INTERNO DE LAS ORGANIZACIONES.
Seguridad de los recursos humanos A8
Asegurar que todo el personal involucrado entienda sus responsabilidades, sean apropiados para sus roles y asi reducir el riesgo de robo, fraude o mal uso de los activos de información.
Se tiene documentado (de acuerdo a la política) los roles y responsabilidadesde de SI, de todo el personal. Antes del empleo A.8.1.2 Se verifica antecedentes de todo candidato a empleado o contratista. A.8.1.3 Se firman contratos donde se incluye las responsabilidades de SI. A.8.2.1 Se procura que todos los empleados apliquen la SI según la política. A.8.2.2 Durante el empleo Se sensibiliza, capacita y educa en SI pertinente a su función de trabajo. A.8.2.3 Se tiene establecido un procesos disciplinario ante el incumplimiento de SI. A.8.3.1 Están definidas las responsabilidades para el término o cambio de empleo. Terminación o A.8.3.2 Se procura la entrega de activos al témino de contrato. cambio del empleo A.8.3.3 Se retira los derechos de acceso al término del contrato. A.8.1.1
A9
9
Seguridad física y medioambiental
1 1 1 1 1 1 1 1 1 13
Prevenir el acceso físico no autorizado, daño e interferencia en las instalaciones y activos de información.
A.9.1.1 A.9.1.2 A.9.1.3 Áreas seguras A.9.1.4 A.9.1.5 A.9.1.6 A.9.2.1 A.9.2.2 A.9.2.3 Seguridad del A.9.2.4 equipo A.9.2.5 A.9.2.6 A.9.2.7
Se utiliza mecanismos de protección perimétrica (muros, vigilantes, etc.) a las áreas que contienen información e instalaciones que procesan información. Se utiliza mecanismos de control de acceso en entradas críticas. Se utiliza mecanismos de seguridad en oficinas, habitaciones e instalaciones. Se utiliza mecanismos de protección ante amenzas externas y ambientales. Se aplica medidas de seguridad física y directrices para trabajar en áreas seguras. Se aplica medidas de seguridad en áreas de acceso público (entrega/descarga). Los equipos están ubicados en salas con protección física ante un posible acceso no autorizado. Los equipos están protegidos frente a fallas de servicios públicos. El cableado eléctrico y de comunicaciones está protegido frente a interceptación o daños. Los equipos son mantenidos en forma periódica. Se aplica seguridad a los equipos fuera del local Antes de dar de baja un equipo se elimina la información Todo equipo requiere autorización para ser retirado de la Institución
1 1 1 1 1 1 1 1 1 1 1 1 1
INTEGRACIÓN DE LOS SISTEMAS DE GESTIÓN BAJO LA LEY INTERNACIONAL SARBANES OXLEY E ISO 27001 EN LA ESTRUCTURA DE CONTROL INTERNO DE LAS ORGANIZACIONES.
A10 A.10.1.1 A.10.1.2 A.10.1.3 A.10.1.4 A.10.2.1 A.10.2.2 A.10.2.3 A.10.3.1 A.10.3.2 A.10.4.1 A.10.4.2 A.10.5.1 A.10.6.1 A.10.6.2 A.10.7.1 A.10.7.2 A.10.7.3 A.10.7.4 A.10.8.1 A.10.8.2 A.10.8.3 A.10.8.4 A.10.8.5 A.10.9.1 A.10.9.2 A.10.9.3 A.10.10.1 A.10.10.2 A.10.10.3 A.10.10.4 A.10.10.5 A.10.10.6
Gestión de operaciones y comunicaciones
32
Asegurar la operación correcta y segura de los activos de información.
Procedimientos de operación documentados y disponible a los usuarios. Gestión del control de cambios en los recursos de procesamiento de información. Segregación de responsabilidades para reducir el mal uso de los activos. Separaración de los recursos de desarrollo, prueba y producción. Procurar que los terceros implementen, operen y mantengan los controles de seguridad. Gestión de la Monitoreo y auditoría regular de los servicios e informes de terceros. entrega de servicios Gestionar los cambios en servicios de terceros, considerando criticidad de sistema de negocio de terceros asi como procesos involucrados y la evaluacion de riesgos. Planeación y Monitorear, afinar y realizar proyecciones de uso de recursos para asegurar buen desempeño. aceptación del Establecer los criterios de aceptación de sistemas y realizar las pruebas antes de la sistema aceptación. Protección contra Implementar controles de prevención, detección y recuperación ante software malicioso, asi software malicioso como controles adecuados para la toma de conciencia. y código móvil Asegurar que el código móvil autorizado opere de acuerdo a las políticas de seguridad. Copias de respaldo Se realiza copias de respaldo de información y software, y se prueba regularmente. (back-up) Manejar y controlar adecuadamente las redes para proteger la información e infraestructura. Gestión de Las características de seguridad, los niveles del servicio, y los requisitos de gestión de todos seguridad de redes los servicios en red estan identificados e incluido en cualquier acuerdo de servicio de red, ya sea que estos servicios sean proporcionados en la empresa o subcontratos. Se dispone de procedimientos para la gestión de medios removibles. Gestión de medios Se dispone de procedimientos formales para la eliminación de medios. (activos de Se dispone de procedimientos para el manejo de información de manera confidencial. almacenamiento) La documentación de los sistemas es protegida del acceso no autorizado. Se dispone de normativa para proteger la información durante su intercambio en cualquier medio de comunicación. Se firma acuerdos para el intercambio de información y software con entidades externas Intercambio de Se protege los medios en tránsito contra acceso no autorizado, mal uso o corrupción durante información el transporte más allá de los límites físicos de la institución. (transferencia) Se protege adecuadamente la información involucrada en los mensajes electrónicos. Se dispone de normativa para proteger la información asociada con la interconexión de los sistemas de información de la institución. Se protege la información de comercio electrónico que se trasmite en redes públicas, contra Servicios de actividades fraudulentas, litigios contractuales y divulgación o modificación. comercio Se protege la información de las transacciones en línea: De transmisión incompleta, pérdida de electrónico rutas, alteración, divulgación y duplicidad. Se protege la integridad de la información disponible públicamente. Se registra pistas de auditoria, excepciones y eventos de seguridad. Se dispone de procedimientos de monitoreo del uso de recursos y se revisa regularmente. Monitoreo (de Se protege la información y los medios de registro frente a acceso manipulado o no autorizado. actividades no autorizadas) Se registra las actividades del administrador y operador del sistema. Se registran las fallas, se analizan y se toma la acción apropiada. Los relojes de los sistemas de procesamiento de información se mantienen sincronizados. Procedimientos y responsabilidades operacionales
1 1 1 1 1 1 1 1 1 1 1 1 1
1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1
INTEGRACIÓN DE LOS SISTEMAS DE GESTIÓN BAJO LA LEY INTERNACIONAL SARBANES OXLEY E ISO 27001 EN LA ESTRUCTURA DE CONTROL INTERNO DE LAS ORGANIZACIONES.
A11 A.11.1.1
Control de acceso (lógico) Requerimientos
A.11.2.1 A.11.2.2 A.11.2.3 A.11.2.4
Gestión de acceso de usuarios
A.11.3.1 A.11.3.2 A.11.3.3 A.11.4.1 A.11.4.2 A.11.4.3 A.11.4.4 A.11.4.5 A.11.4.6 A.11.4.7 A.11.5.1 A.11.5.2 A.11.5.3 A.11.5.4 A.11.5.5 A.11.5.6 A.11.6.1 A.11.6.2 A.11.7.1 A.11.7.2 A12
A.12.1.1 A.12.2.1 A.12.2.2 A.12.2.3 A.12.2.4 A.12.3.1 A.12.3.2 A.12.4.1 A.12.4.2 A.12.4.3 A.12.5.1 A.12.5.2 A.12.5.3 A.12.5.4 A.12.5.5 A.12.6.1
25
Controlar el acceso lógico a los activos de información
Responsabilidades de usuarios
Se dispone de una política de control de acceso con base en requerimientos del negocio y de seguridad para el acceso. Se dispone de procedimiento de registro y baja de concesión de acceso a los sistemas y servicios de información. Se dispone de procedimiento para la gestión (restricción, control y asignación) de privilegios. Se dispone de procedimiento para la gestión de contraseñas. Se audita los derechos de acceso de manera regular. Se promueve las buenas prácticas de seguridad para la selección y uso de contraseñas seguras.
Se promueve que los usuarios deben asegurar la protección de los equipos desatendidos. Se promueve la práctica de escritorio limpio para documentos y dispositivos de almacenamiento removibles, y una política de pantalla limpia. Los usuarios solo tienen acceso a los servicios que están autorizados. Se utiliza mecanismos apropiados de autenticación para acceso de usuarios externos. La identificación del equipo forma parte de la autenticación. Control de acceso a Se controla el acceso para el diagnóstico y configuración de puertos. la red Se segrega en la red, los usuarios y sistemas de información. Se restringe la capacidad de conexión de usuarios a redes compartidas. La red se configura de modo que no se infrinja los controles de acceso. Se controla el acceso al SO en las estaciones o terminales (procedimiento de conexión segura). Todo usuario dispone de una cuenta de acceso única. Control de acceso El sistema de gestión de claves asegura su calidad. al sistema operativo Se restringe el uso de utilidades (software) no autorizadas, que podrían eludir las medidas de control del sistema. Las sesiones inactivas se cierran luego de un tiempo de inactividad. Se restringe el horario de acceso a las aplicaciones de alto riesgo. Control de acceso a Se restringe el acceso a los usuarios y al personal de TI. las aplicaciones e Los sistemas sensibles están en un ambiente aislado. información Computación móvil Se dispone de política de protección de equipos móviles. y teletrabajo Se dispone de política y procedimiento para teletrabajo.
Adquisición, desarrollo y mantenimiento de sistemas de información
1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 16
Procurar que la seguridad sea una parte integral de los sitemas de información.
Requerimientos de seguridad de los sistemas
Se especifican los requerimientos para nuevos sistemas o mejoras, incluyendo los controles de seguridad.
Se validan los datos de entrada a las aplicaciones para asegurar que esta sea correcta y apropiada. Procesamiento Se incorpora mecanismos de validación en las aplicaciones para detectar corrupción de la correcto en las información. aplicaciones Se identifican los requisitos para asegurar la autenticidad e integridad de los mensajes en las aplicaciones. Se valida la data de salida de las aplicaciones. Controles Se dispone de una política de uso de controles criptografícos para proteger la información. criptografícos Se realiza gestión de claves para dar soporte al uso de las técnicas criptográficas. Seguridad de los Se dispone de procedimientos para la instalación del software de los sistemas. archivos del Se selecciona, protege y controla los datos de prueba del sistema. sistema Se controla el acceso al código fuente del sistema. Los cambios se controlan mediante el uso de procedimientos de control de cambios. Las aplicaciones se revisan después de haber hecho cambios en el sistema operativo, para Seguridad en los observar el impacto generado. procesos de Se limita a los cambios necesarios (no se fomenta las modificaciones a los paquetes). desarrollo y soporte Se procura evitar las fugas o filtraciones de información. Se supervisa y monitorea el desarrollo tercerizado de software. Gestión de Se procura minimizar la explotación de vulnerabilidades de los sistemas. vulnerabilidades técnicas
1 1 1 1 1 1 1 1 1 1 1 1 1 1 1
1
INTEGRACIÓN DE LOS SISTEMAS DE GESTIÓN BAJO LA LEY INTERNACIONAL SARBANES OXLEY E ISO 27001 EN LA ESTRUCTURA DE CONTROL INTERNO DE LAS ORGANIZACIONES.
Gestión de incidentes de seguridad de información A13
Asegurar que los eventos y debilidades de seguridad de información sean comunicados de manera tal que, permita una acción correctiva oportuna.
A.13.1.1 Reporte de incidentes y A.13.1.2 debilidades
Los incidentes de SI se reportan por los canales apropiados tan rápido como sea posible.
A.13.2.1
Se dispone de procedimiento para respuesta rápida, eficaz y ordenada ante incidentes de SI. Se dispone de mecanismos para aprender a resolver incidentes, que permitan cuantificar y realizar el seguimiento de los tipos, volúmenes y costos de los incidentes de SI. Se recolecta y mantiene evidencias (para fines de auditoría).
Gestión de A.13.2.2 incidentes y mejoras A.13.2.3
Se promueve que todo el personal reporte las debilidades de SI, que observe o sospeche.
Gestión de continuidad de operaciones A14
Se dispone de un proceso de gestión de continuidad de operaciones. Se realiza gestión de riesgos. Se dispone de un Plan de Continuidad de Operaciones (PCO). Se maneja un único marco referencial de PCO. El PCO se prueba y actualiza en forma regular.
Cumplimiento regulatorio
A.15.1.1 A.15.1.2 A.15.1.3 A.15.1.4 A.15.1.5 A.15.1.6 A.15.2.1 A.15.2.2 A.15.3.1 A.15.3.2
1 1 1 1 1 5
Contrarrestar las interrupciones de las actividades del negocio y proteger los procesos críticos, de los efectos de fallas significativas o desastres, y asegurar su reanudación oportuna.
A.14.1.1 A.14.1.2 Gestión de la A.14.1.3 continuidad A.14.1.4 operativa A.14.1.5 A15
5
1 1 1 1 1 10
Evitar el incumplimiento de cualquier ley, estatuto, obligación, reglamentao o contractuales, y de cualquier requisito de seguridad.
Se ha definido, documentado y mantiene actualizado todos los requisitos legales, reglamentarios, contractuales pertinentes. Con los Se dispone de procedimientos para respetar la propiedad intelectual. requerimientos Se protege los registros importantes de la organización. legales Se protege la privacidad de la información personal, según la regulaciones. Se sensibiliza al personal para evitar usos no autorizados. Se hace uso de cifrado, según las regulaciones. Con las políticas y Se procura el cumplimiento de los procedimientos de SI. estándares de S.I. Se procura el cumplimiento de la normativa de SI en los sistemas de información. Auditoría de los Se planifica las auditorías internas de sistemas de información. sistemas de Se protege el acceso a las herramientas de auditoría de sistemas de información. información
1 1 1 1 1 1 1 1 1 1
133