El aseguramiento de la información es la base sobre la que se construye la toma de decisiones de una organización. Sin aseguramiento, las empresas no tienen certidumbre de que la información sobre la que sustentan sus decisiones de misión crítica es confiable, segura y está disponible cuando se la necesita.
Definimos Aseguramiento de la Información como la
utilización de información y de diferentes actividades operativas, con el fin
de proteger la información, los sistemas de información y las redes, de forma
de preservar la disponibilidad, la integridad, la confidencialidad, la
autenticación y el no repudio, ante el riesgo de impacto de amenazas locales, o
remotas a través de comunicaciones e Internet.
Las siguientes son posibles tareas susceptibles de
contratos de aseguramiento:
- Tareas
específicas que concluyen en la expedición final de informes sobre un
amplio rango de asuntos que cubren aspectos de información financiera y de
otros recursos y estructuras de la organización..
- Tareas
de atestiguación u opinión directa.
- Tareas
relativas a trabajos a nivel interno o externo de una organización.
- Tareas
en el sector privado o público.
Un compromiso o tarea de aseguramiento que se
contrata normalmente contiene los siguientes elementos:
a. Una relación de 3 partes que
involucra:
a.i Al profesional actuante;
a.ii A la parte responsable; y
a.iii Al usuario.
b. Un asunto;
c. Un adecuado criterio de trabajo;
d. Un proceso para cumplir la tarea; y
e. Una conclusión.
a.i Al profesional actuante;
a.ii A la parte responsable; y
a.iii Al usuario.
b. Un asunto;
c. Un adecuado criterio de trabajo;
d. Un proceso para cumplir la tarea; y
e. Una conclusión.
a.i - El profesional provee aseguramiento al usuario
acerca de un asunto que es responsabilidad de otra parte. Sigue un Código de
Ética, integridad, objetividad, competencia profesional y debido cuidado,
confidencialidad, comportamiento Profesional y Aplicación de normas técnicas.
a.ii - La parte responsable y el usuario pueden ser de
diferentes organizaciones pero no necesariamente, ya que el Consejo Directivo
de una organización por ejemplo, puede buscar aseguramiento respecto de la
información provista por un componente de la misma organización. Por lo tanto
la relación entre la parte responsable y el usuario debe ser vista dentro del
contexto del compromiso específico y puede sustituir otras líneas de
responsabilidad más tradicionalmente definidas.
a.iii - Es la persona o personas a quien el profesional
prepara el informe para un uso o propósito específico. Algunos usuarios (casos
de banqueros o reguladores) pueden imponer el requerimiento y solicitar a la
parte responsable que contrate una tarea de aseguramiento.
El asunto de un contrato o tarea de aseguramiento
puede tomar muchas formas:
- Datos
(por ejemplo, información histórica o prospectiva, probabilística,
indicadores de desempeño).
- Sistemas
y Procesos (por ejemplo controles internos).
- Conformidad
(por ejemplo buen gobierno corporativo, conformidad con normas,
regulaciones o mejores prácticas).
b. El Asunto: El asunto puede presentarse como un punto en el
tiempo o cubriendo un período de tiempo. El asunto de una tarea de
aseguramiento debe ser identificable, factible de una evaluación o medición
consistente contra un adecuado criterio y en una forma que pueda estar sujeta a
procedimientos de recolección de la evidencia que sustentan la evaluación o
medición.
c. Adecuado Criterio: Se trata de las normas o
benchmarks usados para evaluar o medir el asunto de la tarea de aseguramiento.
El adecuado criterio es sensible al contexto de cada tarea, por ejemplo al
informar sobre control interno el criterio puede estar establecido por
determinado modelo o estructura, y al informar respecto de conformidad el
criterio puede ser la ley, contrato o reglamentación aplicable.
d. Proceso para cumplir la tarea: Se trata de la aplicación de una
metodología sistemática que requiere conocimiento especializado y habilidades
básicas, y técnicas para la recopilación de evidencia, y evaluación y medición
para dar sustento a la conclusión.
e. Conclusión: Finalmente los profesionales actuantes expresan
una conclusión que provee determinado nivel de aseguramiento respecto de si el
asunto conforma, en todas las necesarias consideraciones materiales, con el
adecuado criterio que se ha identificado.
Las tareas de Aseguramiento, Datasec las cumple en
base a tareas de consultoría, capacitación y el apoyo de herramientas de
Software
No hay comentarios.:
Publicar un comentario