Auditoría de Controles usando COBIT 5 e ISO Carlos Lobos Medina, CISA, CISM Academico Universidad Diego Portales

Tamaño: px

Comenzar la demostración a partir de la página:

Download "Auditoría de Controles usando COBIT 5 e ISO Carlos Lobos Medina, CISA, CISM Academico Universidad Diego Portales"

Ángela Muñoz Romero
hace 6 años
Vistas:

Auditoría de Controles usando COBIT 5 e ISO 27002 Carlos

1 Auditoría de Controles usando COBIT 5 e ISO Carlos Lobos Medina, CISA, CISM Academico Universidad Diego Portales

2 AGENDA Controles de TI Modelos de Buenas Practicas Auditoría de Controles Caso Práctico Conclusiones

3 ROL DE LAS TI

4 OBJETIVOS DE LAS EMPRESAS COBIT 5.0 Procesos Catalizadores

5 OBJETIVOS DE LAS TI COBIT 5.0 Procesos Catalizadores

6 CONTROLES DE TI Los controles se diseñan para brindar una garantía razonable de que se logren los objetivos del negocio Los controles se diseñan para brindar una garantía razonable de que eventos no deseados puedan evitarse, detectase y/o corregirse Manual de Preparación Examen CRISK 2014

7 CONTROLES DE TI EXISTIRAN CONTROLES QUE PERMITAN GARANTIZAR DE MANERA RAZONABLE QUE LOS SERVICIOS DE TI SE ENTREGAN DE ACUERDO A LOS REQUISITOS DEL NEGOCIO? Manual de Preparación Examen CRISK 2014

8 ALCANCE CONTROLES DE TI CONTROLES DEL NEGOCIO Objetivos del Negocio Requerimientos Regulaciones Riesgo del Negocio CONTROLES GENERALES Políticas Procedimientos de Operación CONTROLES DE APLICACIÓN Sistema Operativo Aplicaciones Base de Datos Dispositivos de Red Manual de Preparación Examen CRISK 2014

9 CATEGORÍA DE CONTROLES DE TI CONTROLES COMPENSATORIOS CONTROLES CORRECTIVOS CONTROLES DETECTIVOS CONTROLES DISUASIVOS CONTROLES PREVENTIVOS Manual de Preparación Examen CRISK 2014

10 INTERDEPENDENCIA DE CONTROLES AMENAZA CONTROL DETECTIVO Descubre EVENTO DE AMENAZA Reduce Factibilidad CONTROL COMPENSATORIO DISUASIVO Activa CONTROL PREVENTIVO Reduce Protege Explota VULNERABILIDAD Provoca IMPACTO Disminuye Manual de Preparación Examen CRISK 2014 CONTROL CORRECTIVO

11 ENTORNO DE TI GTAG N 4 Management of IT Auditing The IIA.

12 LAS TI EN LA ACTUALIDAD OBJETIVOS DEL NEGOCIO IMPULSADOS POR TI FACTOR CLAVE DE DIFERENCIACIÓN TOMA DE DECISIONES DE MAYOR IMPACTO AUMENTO DE LOS NIVELES DE DEPENDENCIA NIVELES OPERATIVOS DE RIESGO ELEVADOS AUMENTO EN LA COMPLEJIDAD Y HETEROGENEIDAD MAYOR INTEGRACIÓN Y FLEXIBILIDAD

13 Cómo saber si los controles existentes brindan una garantía razonable de que se logren los objetivos del negocio? Cómo saber si los controles existentes brindan una garantía razonable de que eventos no deseados puedan evitarse, detectase y/o corregirse?

MARCOS Y BUENAS PRÁCTICAS ISO 31000 Gestión de Riesgos

Seguridad de la Información (SGSI) ISO 22301 Gestión

14 MARCOS Y BUENAS PRÁCTICAS ISO Gestión de Riesgos COBIT Gobernabilidad de TI ISO Gestión de Seguridad de la Información (SGSI) ISO Gestión de Continuidad Negocio ISO Gestión de servicios de TI ITIL

15 BENEFICIOS DE LA ADOPCIÓN RECOGEN MEJORES PRACTICAS EN LA MATERIA ALTA ACEPTACIÓN A NIVEL INTERNACIONAL ALTA APLICABILIDAD EN CUALQUIER TIPO DE ORGANIZACIÓN REQUISITOS GENERICOS Y NEUTRALES TECNOLOGICAMENTE PROPORCIONAN DIRECTRICES DE IMPLEMENTACIÓN PROVEEN DE ELEMENTOS DE CONTROL Y MEDICIÓN OTORGAN UNA LINEA BASE PARA LA CONDUCCIÓN DE ACTIVIDADES DE AUDITORÍA

16 COBIT 5.0 REEMPLAZA EL 2012 A COBIT 4.1 FOCO EN EL GOBIERNO DE TECNOLOGÍAS DE INFORMACIÓN RECOGE BUENAS PRACTICAS DE DIVERSOS MARCOS DEFINE 5 PRINCIPIOS ESTABLECE 7 CATALIZADORES PROPORCIONA 37 PROCESOS CATALIZADORES PROPORCIONA UNA FAMILIA DE PRODUCTOS

17 EVOLUCIÓN DE COBIT 5.0

18 COBIT 5.0 PROCESOS CATALIZADORES

19 ISO 27002:2013 OBJETIVOS REEMPLAZA DEL NEGOCIO A ISO IMPULSADOS 27002:2005 POR TI FOCO EN CONTROLES FACTOR CLAVE DE SEGURIDAD DE DIFERENCIACIÓN DE LA INFORMACIÓN REESTRUCTURA TOMA DE DECISIONES LOS DOMINIOS DE MAYOR DE IMPACTO CONTROL AUMENTO DEFINE DE 15 LOS DOMINIOS NIVELES DE DE SEGURIDAD DEPENDENCIA NIVELES ESTABLECE OPERATIVOS 34 OBJETIVOS DE RIESGO DE CONTROL ELEVADOS LINEAMIENTOS AUMENTO EN DE LA IMPLEMENTACIÓN COMPLEJIDAD Y HETEROGENEIDAD DE 114 CONTROLES SE MAYOR VINCULA INTEGRACIÓN UNA FAMILIA Y DE FLEXIBILIDAD PRODUCTOS

20 EVOLUCIÓN SERIE ISO 27000

21 ISO 27002: DOMINIOS Política de seguridad de la Información Organización de la seguridad de la información Seguridad de recursos humanos Administración de activos Control de accesos Criptografía Seguridad física y ambiental Seguridad de operaciones Seguridad de comunicaciones Adquisición, desarrollo y mantención de sistemas Relaciones con proveedores Administración de incidentes de seguridad Continuidad de la seguridad de la información Cumplimiento

22 DESAFIO DE LA AUDITORÍA DE CONTROLES Un reto al que se enfrentan los auditores, cuando llevan a cabo una auditoría de TI, es saber contra qué deben auditar. Muchas organizaciones no han desarrollado completamente sus líneas de base para los controles de TI en todas las aplicaciones y tecnologías.

23 POSIBLES ESCENARIOS ESCENARIO 1: La organización ha adoptado uno o más marcos de referencia para la gestión y operación de las TI ESCENARIO 2: La organización ha desarrollado un propio de marco de referencia para la gestión y operación de las TI ESCENARIO 3: La organización no posee un marco de referencia para la gestión y operación de las TI

24 ESCENARIOS 1 ESCENARIO 1: La organización ha adoptado uno o más marcos de referencia para la gestión y operación de las TI Seleccionar controles claves del marco adoptado Evaluar efectividad de los controles seleccionados

25 ESCENARIO 2 ESCENARIO 2: La organización ha desarrollado un propio marco de referencia para la gestión y operación de las TI Seleccionar controles claves del marco desarrollado Complementar con marcos de referencia relacionados Evaluar efectividad de los controles

26 ESCENARIO 3 ESCENARIO 3: La organización no posee un marco de referencia para la gestión y operación de las TI Identificar los marcos aplicables a la labor auditoría Seleccionar controles claves del marco adoptado Identificar criterios de auditoría específicos Evaluar efectividad de los controles

27 BENEFICIOS PARA EL AUDITOR TI Un auditor de TI puede hacer uso de estas normas como líneas de base para realizar su auditoría en referencia a ellas. También pueden ser útiles para informar sobre deficiencias dado que se elimina la subjetividad. Si se compara la afirmación: sería conveniente mejorar la seguridad de las contraseñas con las contraseñas no están en conformidad con la normativa ISO sobre seguridad de la información

28 ANALISIS DE CASO

29 ANTECEDENTES DEL CASO ERRORES EN EL SOFTWARE DEFICIENTE ESTIMACIÓN DE RENDIMIENTO DEFICIENTE ESTIMACIÓN DE CAPACIDAD FALTA DE CAPACITACIÓN FALTA DE PERSONAL CLAVE MALA GESTIÓN DE EXTERNALIZACIÓN PROBLEMAS DE CONTINUIDAD DEL NEGOCIO

30 QUE CONTROLES AUDITAR?

EJEMPLO DE APLICACIÓN PASO 1: Identificar los marcos aplicables COBIT Gobernabilidad de TI ISO 27002 Controles de

31 EJEMPLO DE APLICACIÓN PASO 1: Identificar los marcos aplicables COBIT Gobernabilidad de TI ISO Controles de Seguridad de la Información PASO 2: Seleccionar controles claves Identificar procesos (COBIT) y dominios (ISO 27002)

32 COBIT 5.0 PROCESOS CATALIZADORES

PASO 3: Identificar criterios de auditoría específicos COBIT APO07.01 Mantener la dotación de personal suficiente y adecuada APO09.04 Supervisar e informar de los niveles de servicio APO09.

33 PASO 3: Identificar criterios de auditoría específicos COBIT APO07.01 Mantener la dotación de personal suficiente y adecuada APO09.04 Supervisar e informar de los niveles de servicio APO09.05 Revisar acuerdos de servicio y contratos APO10.05 Supervisar el cumplimiento y el rendimiento del proveedor BAI04.01 Evaluar la disponibilidad, rendimiento y capacidad actual y crear una línea de referencia BAI04.02 Evaluar el impacto en el negocio BAI04.04 Supervisar y revisar la disponibilidad y la capacidad BAI06.01 Evaluar, priorizar y autorizar peticiones de cambio BAI07.02 Planificar la conversión de procesos de negocio, sistemas y datos BAI07.05 Ejecutar pruebas de aceptación DSS04.03 Desarrollar e implementar una respuesta a la continuidad del negocio DSS04.04 Ejercitar, probar y revisar el BCP.

34 PASO 3: Identificar criterios de auditoría específicos COBIT ISACA

35 ISO 27002: DOMINIOS Política de seguridad de la Información Organización de la seguridad de la información Seguridad de recursos humanos Administración de activos Control de accesos Criptografía Seguridad física y ambiental Seguridad de operaciones Seguridad de comunicaciones Adquisición, desarrollo y mantención de sistemas Relaciones con proveedores Administración de incidentes de seguridad Continuidad de la seguridad de la información Cumplimiento

36 PASO 3: Identificar criterios de auditoría específicos ISO Controles de Seguridad de la Información Administración de Cambios Administración de Capacidad Instalación de Software en Sistemas Operacionales Procedimientos de gestión de cambios Revisión técnica de las aplicaciones después de los cambios en la plataforma operativa Pruebas de aceptación del sistema Monitoreo y revisión de los servicios del proveedor Administración de cambios en los servicios del proveedor Planificación de la continuidad de la SI Implementación de la continuidad de la SI Verificar, revisar y evaluar la continuidad de la SI

37 PASO 3: Identificar criterios de auditoría específicos ISO 27002:2013

0 ISO 27002 Contexto Riesgo PROCEDIMIENTOS DE AUDITORÍA

38 PASO 4: Evaluar la efectividad de los controles CRITERIOS Objetivos de Negocio Regulaciones COBIT 5.0 ISO Contexto Riesgo PROCEDIMIENTOS DE AUDITORÍA Auditoría Procedimental Auditoría Cumplimiento Auditoría de Controles Auditoría basada en Riesgos

39 CONCLUSIONES La necesidad de implementar controles dependerá de los objetivos del negocio El entorno de control en el ámbitos de las TI es complejo La definición de un marco de referencia de TI al interior de las organizaciones es crucial

40 CONCLUSIONES Los marcos de referencias como COBIT e ISO son instrumentos de alto valor en la auditoría de SI El apoyo en marcos y buenas practicas elimina la subjetividad en actividades de auditoría La comprensión y uso de estos marcos es clave para un Auditor de SI La integración de estos marcos (y otros) permite el desarrollo de auditorías de un nivel de alcance y profundidad mucho mayor. Nos permite hacer mejor nuestro trabajo.

41 CONSULTAS

42 CONTACTO Carlos Lobos Medina Académico Universidad Diego Portales CISA - CISM Carlos.lobos@udp.cl

Documentos relacionados

Sistemas de Gestión de Seguridad y Salud en el Trabajo. Gonzalo Muñoz Asorey Consultor Internacional de Seguridad y Salud en el Trabajo

Sistemas de Gestión de Seguridad y Salud en el Trabajo Gonzalo Muñoz Asorey Consultor Internacional de Seguridad y Salud en el Trabajo REALIDAD Y COSTES DE LA NO PREVENCIÓN LA PREVENCIÓN DE RIESGOS LABORALES,