> SMC.

WP01 <

Una implementacin de Sistema de Calidad para el logro de los objetivos de Seguridad Informtica Proceso IT Sarbanes-Oxley (SOx) Molina Cruz, Sandra.

I. INTRODUCCION

os aspectos de seguridad en cualquier organizacin son un

Para quin aplica? Cualquier gran empresa que cotiza en los Estados Unidos, cualquier empresa extranjera que cotiza en el comercio de los Estados Unidos, e incluso cualquier empresa privada que se est preparando para su oferta pblica, debe cumplir con la SOX. [2] Qu requiere? - Certificacin de la administracin acerca del control interno de la compaa. - Reporte de controles internos en informacin financiera.[8] Cmo est constituida? Consta de once captulos cada uno dividido en secciones (o artculos) dentro de las cuales algunas de stas son clave para la seguridad de la informacin, entre ellas: Seccin 302.-: Directivos de la compaa deben hacer representaciones relacionadas con la divulgacin de controles, procedimientos y aseguramiento contra fraude Seccin 404.- Directivos deben proveer una evaluacin anual de la efectividad de los controles internos para el reporte de informacin financiera y obtener una certificacin de los auditores externos respecto a que los controles son efectivos.[8] Ventajas de aplicar SOX - La aplicacin de SOX afecta directamente a controles financieros internos ya sean automatizados y manuales, dependiendo de la interpretacin y regulaciones subsecuentes. (Artculos 302, 404 y 409) - Controles generales (backup, DRP, seguridad) - Controles de aplicacin (ERP, finanzas, etc.) - Confirma los informes financieros de la empresa, atestiguando su exactitud - Asegura que estn establecidos y se mantengan - controles internos efectivos. - Permite que se auditen a los controles dentro del periodo de 90 das previo al informe. - Informa de cualquier deficiencia en los controles internos. - Informa de cualquier cambio en los controles internos. - SOX nos brinda la oportunidad de disponer de informacin financiera en tiempo real (Articulo 409) [9]

tema a considerarse con especial cuidado, sin importar el tipo de organizacin, pero ms an si es una organizacin con miras a ofrecer sus productos a nivel global, puesto que esto traer consigo cada vez ms a necesidad de interrelacionar su infraestructura de informacin. En el presente artculo se proporciona un panorama general de las necesidades y consideraciones que debe tener cualquier organizacin para obtener una certificacin en el mbito de seguridad de informacin, as como proporcionar un marco general de las necesidades a cubrir para dar cumplimiento a los lineamientos exigidos de la ley Sarbanes-Oxley en el tema de seguridad informtica, teniendo como plataforma de inicio el estndar ISO9001. II. SARBANES-OXLEY La ley Sarbnes-Oxley (SOX), emitida en Julio de 2002, regula las funciones financieras contables y de auditora y penaliza en una forma severa, el crimen corporativo y de cuello banco [1]. Originada por escndalos financieros que involucran quiebras de grandes corporaciones, la ley pretenda establecer estndares ms elevados en el control del fraude en la presentacin financiera en los mercados. [3] En las reformas de esta ley se incluyen: - Un organismo privado sin fines de lucro, llamado: compaa pblica de vigilancia de contabilidad (PCAOB). - La evaluacin y la divulgacin de la eficacia de los controles internos - Los auditores externos y las juntas de auditor - La proteccin de los trabajadores - Aumento de penas para la provisin de intencional o accidental de informacin financiera falsa.[2] Est orientada a restablecer la confianza en los mercados de valores y reportes sobre la informacin financiera. [3] El objetivo bsico de la ley, es: proteccin de los inversores, es decir que stos ltimos tengan informacin confiable y libre de posibles fraudes a la hora de tomar decisiones que afectan tanto a la compaa como a sus vidas privadas [3]

> SMC.WP01 < II: DESDE ISO 9001 PASANDO POR

A SOX ISO27001 HASTA LLEGAR

2 Revisin por parte de la gerencia: los principios de la revisin por parte de la gerencia son los mismos para ambos sistemas de gestin; aunque no sera recomendable realizar ambas revisiones en paralelo, la gerencia ya estar acostumbrada a tomar decisiones sobre el SGC; por lo tanto comprendern mejor cmo tomar decisiones en el contexto del SGSI. Establecimiento de objetivos comerciales y seguimiento de su cumplimiento: se fija el mismo mecanismo en ambas normas; por eso, la gerencia estar acostumbrada a una planificacin sistemtica de este tipo. [10]

Al tener una certificacin en un sistema de gestin de calidad basado en la norma ISO 9001, surge el cuestionamiento Puedo cumplir con los requerimientos de SOX respecto a seguridad de la informacin?, a primera instancias la respuesta concreta sera No, describo a continuacin ms detalles. La norma ISO 9001, especifica cmo deben ser los Sistemas de Gestin de Calidad (SGC). [10], es un conjunto de requerimientos contra los cuales el SGC de la organizacin es evaluado. Esta certificacin asegura a los clientes que los procesos, vigentes de nuestra organizacin se miden con los estndares internacionales de calidad. En este contexto ningn requisito exige la gestin de la seguridad de informacin. El estndar aceptado internacionalmente para la seguridad de la informacin es: ISO/IEC 27001 ISMS (SGSI, sistema de gestin de seguridad de informacin), haciendo un comparativo la parte de sistemas de gestin es la misma en ambos estndares; la filosofa de los sistemas de gestin se basa en la fase de planificacin (plan), implementacin (Do), revisin (check) y actuacin (Act) (PDCA). Planificar lo que desea lograr con el sistema de gestin; Implementacin, lo realiza; en la fase de Revisin, controla permanentemente si ha logrado lo que planific y en la fase de Actuacin, debe hacer las mejoras; es decir, llenar el vaco entre lo que planific y lo que consigui. Aunque este ciclo fue inventado pensando en la gestin de calidad, se tom como base para otros sistemas de gestin, entre ellos: seguridad de la informacin (ISO/IEC 27001). Por lo tanto algunos de los elementos que ha implementado para el sistema de gestin de calidad conforme a la ISO 9001, los podr utilizar tambin para el sistema de gestin de seguridad de la informacin (SGSI), tales como: Gestin de documentacin: el procedimiento utilizado para la gestin de documentacin en el SGC puede ser usado con el mismo objetivo en el SGSI, slo con algunas pequeas adaptaciones. Auditora interna: se puede utilizar el mismo procedimiento para el SGC y para el SGSI; aunque la auditora interna concreta generalmente sera realizada por personas diferentes, ya que no es muy probable que una misma persona conozca en profundidad tanto sobre seguridad de la informacin como sobre calidad. Acciones correctivas y preventivas: el procedimiento utilizado para el SGC puede ser usado con el mismo objetivo en el SGSI, aunque es probable que sean personas diferentes quienes resuelvan los temas relacionados con SGC o SGSI. Gestin de recursos humanos: el mismo ciclo de planificacin, capacitacin y evaluacin de recursos humanos se utiliza para ambos sistemas de gestin; naturalmente, la diferencia radica en el perfil de capacidades y conocimientos requeridos.

La implementacin de cualquiera de los dos estndares nos facilitara la implementacin del otro, siendo ms comn que la organizacin este certificada en ISO9001 puesto que su uso, difusin y aplicacin es de propsito general, teniendo as la ventaja de que si el SGC es maduro la implementacin del ISO/IEC 27001 se realiza sin inconvenientes, puesto que la gerencia comprender mejor los potenciales beneficios comerciales, al tiempo que todas las unidades de la organizacin estarn acostumbradas a la necesidad de definir procedimientos, responsabilidades y documentacin precisos.. [10] Hasta ahora se tiene claro que para gestionar la seguridad de la informacin tendra adoptar las prcticas o mejor an obtener la certificacin en ISO 27001, y vuelve a surgir la pregunta: Puedo cumplir con los requerimientos de SOX respecto a seguridad de la informacin?, como ya he mencionado, SOX requiere: Certificacin de la administracin acerca del control interno de la compaa y reporte de controles internos en informacin financiera.[8]. SOX 404, es acerca de las mejores prcticas en salvaguardar los sistemas financieros de las compaas y garantizar la seguridad de la compaa en su totalidad. [11]. SOX, se centra especficamente en la exactitud de los registros financieros de una empresa y los controles relacionados con los ingresos, gastos, contables, las responsabilidades, etc. Seguridad de la informacin es un componente fundamental del cumplimiento de SOX ya que se indica que la alta direccin es responsable no slo de informacin financiera, sino tambin de la forma en que esa informacin se genera, accede, colecta, almacena, procesa y transmite, y esta responsabilidad slo se puede lograr con eficacia los sistemas de controles de TI.[5]. La implementacin y auditoria de SOX requiere de dos grupos de habilidades: por un lado tener de entender la parte contable de la auditoria (requerimientos del modelo COSO) y por otro lado los sistemas de tecnologa de informacin (requerimientos del modelo (CobiT) COSO indica que los controles internos consisten de cinco componentes interrelacionados: - Control de ambiente - Manejo de riesgos

> SMC.WP01 < - Control de actividades - Informacin y comunicacin - Monitoreo [7] En la siguiente figura (Fig. 1), se muestra los objetivos y responsabilidades especficas de los departamentos de TI para tener conformidad con SOX.

3 - Seguridad de la informacin provee los procesos y tecnologa necesarios para asegurar que las transacciones de negocios son confiables, que los servicios de TI son utilizables y que pueden resistir o recuperarse de fallas debidas a errores, ataques deliberados o desastres. Adems protege informacin crtica de aquellos que no deben tener acceso a ella.[8] Los auditores de SOX, han aceptado tanto el modelo CobiT como el COSO, como gua predeterminado a usarse para dar cumplimiento a esta ley, sin embargo ninguno de los doas ha sido reconocido por la SEC (Comisin de bolsa y valores ) de manera formal.[11][7] III. COBIT CobiT, es un modelo para auditar la gestin y control de los sistemas de informacin y tecnologa, orientado a todos los sectores de una organizacin, es decir, administradores TI, usuarios y por supuesto, los auditores involucrados en el proceso. [6] La adecuada implementacin de un modelo CobiT en una organizacin provee una herramienta automatizada, para evaluar de manera gil y consistente el cumplimiento de los objetivos de control y controles detallados que aseguran que los procesos y recursos de informacin y tecnologa contribuyen al logro de los objetivos del negocio en un mercado cada vez ms exigente, complejo y diversificado. Se aplica a los sistemas de informacin de toda empresa, incluyendo las computadoras personales y las redes. Esta basado en que la filosofa de que los recursos TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la informacin pertinente y confiable que requiere una organizacin para lograr sus objetivos. El conjunto de lineamientos y estndares internacionales conocidos como CobiT, define un marco de referencia que clasifica los procesos de las unidades de tecnologa de informacin de las organizaciones en cuatro dominios principales, a saber: - Planificacin y organizacin - Adquisicin e implantacin - Soporte y Servicios - Monitoreo

Fig. 1. [4]

En TI hay dos grandes grupos de controles que las organizaciones necesitan considerar: - Controles generales (ITGC): controles que garantizan que la informacin financiera de los sistemas de aplicacin de una empresa son confiables - Controles generales; existen ms comnmente como parte de un SGSI, estn embebidos en el software para detectar o prevenir transacciones no autorizadas. Estos controles se usan para asegurar la integridad, exactitud, validez y autorizacin de transacciones. El estndar de auditora No 2 de la PCAOBs dice: ITGC sobre desarrollo de programas, cambios en programas, operaciones computacionales y acceso a programas y datos ayudan a asegurar que controles especficos sobre el procesamiento de transacciones son operados efectivamente. [5] Implicaciones de seguridad en SOX - SOX ha hecho que la seguridad de la informacin llegue al nivel de presidencia y de consejo de administracin - La ley exige mejor integridad de datos, lo que implica que se deben reforzar las practicas de seguridad - Demanda un reforzamiento de las practicas de control interno, incluyendo aquellas relacionadas con control de accesos, que invariablemente estn asociadas a la seguridad - La jerarqua de controles recomendada para cumplir con SOX implcita y explcitamente requiere confidencialidad y disponibilidad

> SMC.WP01 <

Funciones crticas de TI para seguridad - Administracin de identidad y privilegios - Control de cambios o Aplicaciones o Cuentas o Equipo de cmputo y comunicaciones o Documentacin - Registros o Uso o Fallas o Accesos - Monitoreo[8] IV. CONCLUSIONES En definitiva el contar con un SGC basado en ISO 9001, no es suficiente para dar cumplimiento con los requisitos de SOX. Sin embargo se tiene varias similitudes que pueden ser de gran ayuda: Documentacin de procesos, para SOX se debera agregar o adecuar los procesos contables y financieros, as como para los procesos de TI; control documental, mapeo de procesos, definicin de objetivos, as como las acciones para su logro y las acciones en caso no estar logrando el cumplimiento de stos, preservacin del producto, control y generacin de registros, competencias o evaluaciones de desempeo y capacitacin. Se puede dar el salto de ISO 9001 a SOX, siendo lo ms recomendable (no estrictamente necesario) antes pasar por ISO 27001 ya que al ser un estndar de seguridad informtica simplificara ms el proceso de conformidad con el modelo CobiT, y este a su vez asegurar el cumplimiento con SOX en el proceso de TI. SOX, por ser una ley su cumplimento es mandatorio y aplican sanciones en caso de incumplimiento a diferencia de un estndar cuyo incumplimiento no es sancionado de ningn modo y de ninguna manera su uso o cumplimiento es obligatorio. La ley es aplicable hasta ahora solo a compaas pblicas que rebasen determinado valor, y que cotizan en la bolsa de los Estados Unidos incluyendo las extranjeras. ISO es un estndar que puede ser adoptado por cualquier empresa sin importar su tamao, giro y ubicacin. Las auditorias de SOX van dirigidas a los controles internos, es requerida la auditora externa para las revisiones tal como es requerida una auditora externa apara obtener certificacin en ISO, por compaas autorizadas para la realizacin de stas actividades.
Mapeo de Objetivos de control [4]

Relacin de los componentes de control es de COSO y CobiT [4]

Estos dominios agrupan objetivos de control de alto nivel, que cubren tanto los aspectos de informacin, como de la tecnologa que la respalda. Estos dominios y objetivos de control facilitan que la generacin y procesamiento de la informacin cumplan con las caractersticas de efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad. Asimismo, se deben tomar en cuenta los recursos que proporciona la tecnologa de informacin, tales como: datos, aplicaciones, plataformas tecnolgicas, instalaciones y recurso humano [6] Los 12 objetivos de control definidos en el estndar de auditora No 2 de la PCAOB y de CobiT, fueron definidos por SOX. [4]

> SMC.WP01 < Loa auditores externos para SOX deben ser independientes y autorizados por la PCAOB, tal como para obtener una certificacin en ISO deber ser por una organizacin autorizada para tal accin. [9] SARBANES-OXLEY (SOX)

http://www.piramidedigital.com/Documentos/ICT/pdictleysarbanesoxley2 .pdf [10]Kosutic Dejan, http://blog.iso27001standard.com/es/2010/04/02/usarla-iso-9001-para-implementar-la-iso-27001/

En definitiva si se quiere tener conformidad con SOX el camino ms sencillo sera estar certificado en algn estndar puesto que al tener un sistema gestin de calidad o de gestin de seguridad nos permitir estar familiarizados con la interpretacin y el cumplimiento de requisitos, y en el mejor de los casos solo realizar algunas adecuaciones para lograr la integracin de los sistemas adoptados.

[11] http://www.sarbanes-oxleyforum.com/modules.php?name=Forums&file=viewtopic&t=1 584

REFERENCIAS [1] Cano, Miguel Antonio, Lugo Danilo, Nueva ley Frente a los fraudes contables, www.interamericanusa.com/articulos/leyes/ley-saroxley.htm [2] Ley Sarbanes Oxley: www.articulosinformativos.com.mx/ [3] Garca Pereras Ignacio, Sntesis de antecedentes y objetivos, http://www.castillomiranda.com.mx/espanol/Publicacione s/ArchivoPDF/IGP%20Ley%20SarbanesOxley.pdf [4] IT, Controls Objetives for Sarbanes-Oxley The Role of IT in the Design and implementation of internal control over Financial reporting 2nd edition http://www.isaca.org/KnowledgeCenter/Research/ResearchDeliverables/Pages/IT-ControlObjectives-for-Sarbanes-Oxley-2nd-Edition.aspx [5]Information Security, ISO 27001 and SOX http://www.27001.com/Sox.aspx

[6] El modelo Cobit para auditora y control de sistemas de informacin http://www.channelplanet.com/index.php?idcategoria=13932

[7] Integrating Sarbanes-oxley Act Internal Controls Auditing into an ISO9001:2008 Quality Management System http: // www.floehelp.com/sox-404/

[8] Pea Ibarra Jos Angel: Conferencia Latin Ameriica CACS 2006, Seguridad desde el punto de vista SOX y Gobernabilidad http://ccisa.com.mx/InfoCCISA/Archivo/Seguridad%20d esde%20el%20punto%20de%20vista%20SOX%20y%20 Gobernalidad.pdf