Comparación de las normas SAS 70 e ISO/IEC 27001:2005

Comparación de las normas SAS 70 e ISO/IEC 27001:2005
05-03-2010 por Toni Martín-Avila

SAS 70 (Statement on Auditing Standards No. 70) vs. ISO 27001 (Gestión de la Seguridad de la Información)

Notas del autor:

Agunas organizaciones con propiedad mercantil en los EEUU o relaciones comerciales directas con NorteAmérica disponen de estas dos normas para garantizar en sus sistemas de información y procesos de negocio una certificación que les sitúe en un nivel de calidad exigible además en algunos casos por sus empresas matrices. Es el caso de alguna multinancionales y entidades financieras con acciones en Europa Y Estados Unidos

ALCANCE

SAS 70 (Statement on Auditing Standards No. 70) es un estándar de auditoría reconocido internacionalmente y desarrollado por el AICPA (American Institute of Certified Public Accountants).
El trabajo de AUDITORIA SAS consiste en una revisión centralizada por parte de un auditor independiente (“auditor del servicio”) de los servicios tercerizados y está diseñada para proveer información a las organizaciones usuarias y a sus auditores, acerca del control interno de la organización de servicios. Básicamente, es una comunicación “de auditor a auditor”.

Su ALCANCE es sobre «control interno de la organización», que puede abarcar y de hecho abarca procesos internos referentes a clientes, recursos humanos, operaciones, etc.

ISO/IEC 27001:2005 Es una norma internacional para IMPLANTAR UN SISTEMA DE GESTIóN DE SEGURIDAD DE LA INFORMACIóN (SGSI). El objetivo es implantar una serie de procedimientos y controles para asegurar la gestión de la seguridad de la información en el ALCANCE que se defina: ACTIVOS DE LA ORGANIZACIóN QUE SON SUSCEPTIBLES DE IMPLEMENTAR MEDIDAS, PROCEDIMIENOS Y GESTIóN PARA MINIMIZAR EL RIESGO DERIVADO DE SU FALTA DE INTEGRIDA, CONFIDENCIALIDAD Y DISPONIBILIDAD. Nó sólo implica activos IT sino otros (papel, recursos humanos, etc.

Su alcance y objetivo es mucho más concreto y definido y es completamente abierto pro la organización. Depende de sus objetivos de «seguridad». Abarca desde aspectos técnicos a aspectos organizativos y legales. Por ejemplo es la forma con «mayor calidad» para hacer el «legal compliance» en el ámbito de las TICS.

CERTIFICACIóN

EN SAS 70 NO SE CERTIFICA SISTEMA DE GESTIóN. El auditor «da una nota» sobre el alcance la norma en un informe que se entrega a terceros, su «stakeholder», pero no existe certificado reconocido al exterior,NO HAY ESQUEMA DE CERTIFICACIóN ESPAñOL. Sólo un «auditor reconocido por la AICPA podría realizar este trabajo.
ISO 27001 se certifica sobre certification bodies como TüV, Applus+, AENOR, SGS, etc. acreditadas a su vez por esquemas de acreditación reocnocidos mundialmente.
Por otra parte indicar que ISO 27001 no puede ser utilizada en AUDITORíA DE ESTADOS FINANCIEROS. Sólo sería esta certificación y punto de calidad o aseguramiento de la misma

INTEGRACIóN DE AMBAS NORMAS. PUNTO CLAVE

En la implantación de ISO 27001 se pueden abarcar una serie de controles «extras». La norma ISO 27002 marca que sobre un análisis de riesgos previo se evaluen cuales se implantan sobre el abanico de 133 controles existentes. Pero éstos se pueden ampliar con otros requerimientos de la organización, como cumplimiento de leyes sectoriales como SoX o Basilea II (sector financiero-bancario). Por lo tanto los requerimientos de por ejemplo: la sección 404 de la ley Sarbanes Oxley o la comunicación 4.609 del BCRA pueden ser incluidos en una implantacion y auditoría de ISO 27001:2005. Para ello es necesario contar con consultores y auditores conocedores de estos requerimientos y orientar la implantación y certificación en un doble escenario normativo.


	Todas las medidas del Esquema Nacional de Seguridad. Mindmap interactivo publicado el 19/08/2010

	Definición del concepto seguridad de la Informacion publicado el 26/05/2010

	Gestión de servicios IT/ ISO 20000. turisTEC Palma de Mallorca. Documentación de la presentación publicado el 17/04/2010

	Construye relaciones beneficiosas con tu proveedor tecnológico publicado el 01/04/2010

	Comparación de las normas SAS 70 e ISO/IEC 27001:2005 publicado el 05/03/2010

	Certificaciones y normativas de calidad en el desarrollo de software publicado el 19/02/2010

	La calidad en el marco del desarrollo del software publicado el 17/02/2010

	En ocasiones veo... datos personales publicado el 01/02/2010

	Las denuncias ante la Agencia Española de Protección de datos crecen como el paro publicado el 29/01/2010

	Encuesta LOPD en la empresa turística publicado el 15/01/2010

	No envíes una foto en bikini publicado el 09/01/2010

	Mr Bean y la seguridad de la Informacion publicado el 05/01/2010

	LOPD al grano. 5 aspectos clave para un hotel publicado el 29/12/2009

	El enfoque por procesos en la gestión de la seguridad de la información, ISO 27001 process aproach publicado el 26/12/2009

	Viaja a USA y tus datos personales, los más sensibles, irán contigo para quedarse alli. publicado el 06/12/2009

	Jornada informativa sobre seguridad de la informacion y la certificación ISO 27001 publicado el 11/11/2009

	Cinco ideas prácticas para pasar a la acción en la empresa 2.0 publicado el 25/10/2009

	Ha cambiado el concepto de privacidad publicado el 23/09/2009

	Los blogs también deben cumplir ciertas leyes publicado el 20/09/2009

	La familia ISO 27001 crece. ISO 27799, un paso más en la Seguridad de la Información del sector sanidad publicado el 27/05/2009


	Mi gran amigo Paco publicado el 17 de abril de 2009


	Google,las caritas y la dichosa LOPD publicado el 20 de marzo de 2009


	Por que un marco juridico en Internet? publicado el 6 de marzo de 2009

20010 - IT360.es
Toni Martin-Avila