Conferencia Auditoría de Sistemas de Información: Seguridad y Protección de Datos Personales Enero de 2014
Quién está ahí? Carlos Chalico CISA, CISSP, CISM, CGEIT, CRISC, ISO27000 LA, PbD Ambassador Ouest Business Solutions Inc. Director Eastern Region 2
Agenda Antecedentes Conceptos Generales Marcos Referenciales Preguntas y respuestas 3
ANTECEDENTES Enero de 2014
Qué es Privacidad? En términos generales privacidad es la habilidad de controlar cómo un individuo es identificado, contactado y localizado. Por décadas, los principios sobre privacidad han evolucionado presentando algunos temas en común a pesar de relacionarse con estructuras legales y sociales diferentes alrededor del mundo. La Privacidad agrupa los derechos y obligaciones de los individuos y las organizaciones con respecto a la colección, uso, revelación y retención de información para identificar personas (personally identifiable information / PII) Fuente: AICPA 5
Avance en el mundo LEYENDAS Ley Nacional de privacidad o protección de datos vigente Otras leyes significativas vigentes Leyes de Privacidad o Protección de Datos emergentes 6
Avance en México 2003. IFAI 2006. InfoDF 2007. Artículo 6 constitucional 2008. Ley de Protección de Datos Personales para el DF 2009. Artículos 16 Constitucional y 73 fracción XXIX-O 2010. Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) 2012. Reglamento LFPDPPP 7
Retos Qué sigue? Cumplimiento Revisión Seguimiento Mejora Cómo? 8
Retos 9
Retos Alto Gasto Total Sistemas de Información Brecha de Seguridad Bajo Seguridad de la Información 1990 s Tiempo 2000 s Fuente: EY 10
CONCEPTOS GENERALES Enero de 2014
Riesgo La posibilidad de que una amenaza aproveche una o varias vulnerabilidades en uno o varios activos, causándoles daños que pueden variar en su magnitud 12
Control Qué es? 13
Riesgo y Control El control cubre exactamente el riesgo Riesgo Control Situación Ideal 14
Riesgo y Control El control excede el riesgo Sobrecontrol Riesgo Control 15
Riesgo y Control El control no cubre el riesgo Riesgo Remanente Riesgo Control Mitigar Eliminar Transferir Asumir 16
Clasificación de Controles Controles Manuales Controles Automatizados (Puramente) Controles Manuales Controles Manuales Dependientes de IT Controles de Aplicación Manual Preventivo Manual Detectivo Controles Generales de IT 17
Controles Entorno TI Controles de Aplicación y Manuales Dependientes de TI Controles Generales de TI 18
El Entorno de TI Controles de Aplicación y Controles Manuales Procesos ProcesosProcesos Aplicaciones Tipos de Controles de Aplicación Ediciones de Entrada Validaciones de Datos Información de Excepciones Segregación de Funciones (seguridad) Validaciones de Reglas de Negocios Restricciones de Acceso Controles de Interfase Controles de Configuración Controles Generales de TI Datos / Sistema de Administración de Bases de Datos Datos/DBMS Plataformas Plataformas Redes Networks Entorno Físico Physical Controles generales de TI Garantía de Continuidad del Servicio Administración de Rendimiento y Capacidad Administración de la Seguridad del Sistema Administración de Problemas e Incidentes Administración de Datos Administración del Espacio Físico de TI Administración de Operaciones Administración de Cambios Los Controles Generales brindan la base para los controles de aplicación 19
Cómo Enfrentarlo? MARCOS REFERENCIALES 20
MARCOS REFERENCIALES Enero de 2014
Marcos Referenciales COSO COBIT ISO31000 ISO27000 PRINCE2. CMMI PMBoK TOGAF BS10012 PbD ITIL ISO38500 22
Marcos Referenciales 23
COBIT en el tiempo Evolución del enfoque Gobierno Corporativo de TI Gobierno de TI Administración Control Auditoría Val IT 2.0 (2008) Risk IT (2009) COBIT1 COBIT2 COBIT3 COBIT4.0/4.1 COBIT 5 1996 1998 2000 2005/7 2012 www.isaca.org/cobit 2012 ISACA All rights reserved. 24
Información, beneficio, valor La información es un bien valioso Los datos personales son una pieza clave La TI constituye un soporte indiscutible Entre los beneficios que hoy se buscan están Calidad en la información Generación de valor en los procesos de tratamiento Manejo adecuado de riesgos relacionados Optimización de costos asociados. 25
Valor para las partes interesadas Buen gobierno y buena administración La información y la TI deben ser reconocidas como elementos de valor Cada día hay mayores exigencias de cumplimiento COBIT 5 proporciona un marco integral para lograr la generación de valor a través de un la aplicación de un efectivo modelo de gobierno y administración de TI. 26
Gobierno y Administración de TI Gobierno de TI: Asegura que la organización alcance sus objetivos a través de la evaluación de las necesidades, condiciones y opciones de las partes interesadas; estableciendo dirección a través de la priorización de acciones y la toma de decisiones; y monitoreando el cumplimiento, desempeño y progreso de las acciones ejecutadas para alcanzar los objetivos y seguir la dirección establecida. 27
Gobierno y Administración de TI Administración de TI: Planea, construye, ejecuta y monitorea que las actividades ejecutadas estén en línea con la dirección establecida por el cuerpo de gobierno de la organización para alcanzar los objetivos institucionales. 28
Gobierno y Administración de TI Gobierno de TI { Planea Diseña Decide Monitorea Administración de TI { Construye Ejecuta 29
Principios y habilitadores COBIT ayuda a las organizaciones a Generar y reconocer valor de TI Equilibrar disminución de riesgos y uso de recursos Tener un enfoque holístico COBIT cuenta con 5 Principios 7 habilitadores 30
Los principios de COBIT 1. Satisfacer las necesidades de las partes interesadas 5. Separar el Gobierno de la Administración 2. Cubrir la Organización de forma integral Principios de COBIT 5 4. Habilitar un enfoque holistico 3. Aplicar un solo marco integrado Fuente: COBIT 5, Figura 2. 2012 ISACA Todos los derechos reservados. 31
Los habilitadores de COBIT 2. Procesos 3. Estructuras Organizacionales 4. Cultura, Ética y Comportamiento 1. Principios, Políticas y Marcos 5. Información 6. Servicios, Infraestructura y Aplicaciones 7. Personas, Habilidades y Competencias RECURSOS Fuente: COBIT 5, Figura 12. 2012 ISACA Todos los Derechos Reservados 32
Ahondemos en los principios 1. Satisfacer las necesidades de las partes interesadas 5. Separar el Gobierno de la Administración 2. Cubrir la Organización de forma integral Principios de COBIT 5 4. Habilitar un enfoque holistico 3. Aplicar un solo marco integrado 33
Satisfacer las necesidades de las partes interesadas Las organizaciones requieren crear valor para las partes interesadas. Necesidades de las partes interesadas Impulsan Objetivo del Gobierno: Creación de Valor Realización de Beneficios Optimización de Manejo de Riesgos Optimización de Recursos Fuente: COBIT 5, Figura 3. 2012 ISACA Todos los derechos reservados. 34
Satisfacer las necesidades de las partes interesadas! Las Organizaciones tienen muchas partes interesadas y crear valor tiene diferentes significados a veces conflictivos para cada una de ellas. En el Gobierno se trata de negociar y decidir entre los diversos intereses de beneficio de las diferentes partes interesadas. El sistema de Gobierno deberá considerar a todas las partes interesadas al tomar decisiones con respecto a la evaluación de riesgos, los beneficios y el manejo de recursos. Para cada decisión se pueden, y se deben, hacer las siguientes preguntas: Quién recibe los beneficios? Quién asume el riesgo? Qué recursos se necesitan? 35
Satisfacer las necesidades de las partes interesadas Las necesidades de las Partes Interesadas deben ser transformadas en una estrategia accionable para la Organización. Las metas en cascada de COBIT 5 traducen las necesidades de las Partes Interesadas en metas específicas, accionables y personalizadas dentro del contexto de la Organización, de las metas relacionadas con la TI y de las metas habilitadoras. Impulsadores de las Partes Interesadas Influencia Necesidades de las Partes Interesadas Realización de Beneficios Optimización de Riesgos Metas de la Organización Pasan a Metas Relacionadas con TI Metas Habilitadoras Optimización de Recursos Pasan a Fuente: COBIT 5, Figura 4. 2012 ISACA Todos los derechos reservados 36
Satisfacer las necesidades de las partes interesadas Los beneficios de las Metas en Cascada de COBIT 5: Permiten definir las prioridades para implementar, mejorar y asegurar el gobierno corporativo de la TI, en base de los objetivos (estratégicos) de la Organización y los riesgos relacionados: En la práctica, las metas en cascada: Definen los objetivos y las metas tangibles y relevantes, en diferentes niveles de responsabilidad. Filtran la base de conocimiento de COBIT 5, en base a las metas corporativas para extraer una orientación relevante para la inclusión en los proyectos específicos de implementación, mejora o aseguramiento. Claramente identifican y comunican qué importancia tienen los habilitadores (algunas veces muy operacionales) para lograr las metas corporativas. 37
Cubrir a la organización de Forma Integral COBIT 5 se concentra en el gobierno y la administración de la tecnología de la información y relacionadas desde una perspectiva integral a nivel de toda la Organización. Esto significa que COBIT 5: Integra el gobierno de la TI corporativa en el gobierno corporativo, o sea el sistema de gobierno para la TI corporativa propuesto por COBIT 5 se integra, de una manera fluida, en cualquier sistema de gobierno, toda vez que COBIT 5 está alineado a los últimos desarrollos en gobierno corporativo. Cubre todas las funciones y los procesos dentro de la Organización; COBIT 5 no solamente se concentra en la Función de la TI, sino trata la tecnología de la información y relacionadas como activos que necesitan ser manejados como cualquier otro activo, por todos en la Organización. 38
Cubrir a la organización de Forma Integral Objectivo del Gobierno: Creación de Valor Realización de Beneficios Optimización de Riesgos Optimización de Recursos Los Componentes Clave de un Sistema de Gobierno Habilitadores de Gobierno Alcance del Gobierno Roles, Actividades y Relaciones Fuente COBIT 5, Figura 8. 2012 ISACA Todos los derechos reservados. Dueños y Partes Interesadas Delegan Rendición de Cuentas Roles, Actividades y Relaciones Ente Regulador Fijar Directivas Monitorear Administración Instruir y Alinear Informar Operaciones y Ejecución Fuente COBIT 5, Figura 9. 2012 ISACA Todos los derechos reservados. 39
Aplicar un solo marco integrado 40
Aplicar un solo marco integrado COBIT 5 está alineado con los últimos marcos y normas relevantes usados por las organizaciones: Corporativo: COSO, COSO ERM, ISO/IEC 9000, ISO/IEC 31000 Relacionado con TI: ISO/IEC 38500, ITIL, la serie ISO/IEC 27000, TOGAF, PMBOK/PRINCE2, CMMI Etc. Así se permite a la Organización utilizar COBIT 5 como integrador macro en el marco de gobierno y administración. ISACA está desarrollando el modelo de capacidad de los procesos para facilitar al usuario de COBIT el mapeo de las prácticas y actividades contra los marcos y normas de terceros. 41
Habilitar un enfoque holístico Los Habilitadores de COBIT 5 son: Factores que, individual y colectivamente, influyen sobre si algo funcionará en el caso de COBIT, Gobierno y Administración sobre la TI corporativa. Impulsados por las metas en cascada, o sea: las metas de alto nivel relacionadas con la TI definen qué deberían lograr los diferentes habilitadores. Descritos por el marco de COBIT 5 en siete categorías. 42
Habilitar un enfoque holístico 2. Procesos 3. Estructuras Organizacionales 4. Cultura, Ética y Comportamiento 1. Principios, Políticas y Marcos 5. Información 6. Servicios, Infraestructura y Aplicaciones 7. Personas, Habilidades y Competencias RECURSOS Fuente: COBIT 5, Figura 12. 2012 ISACA Todos los Derechos Reservados 43
Habilitar un enfoque holístico! 1. Procesos Describen una serie organizada de prácticas y actividades para lograr determinados objetivos y producir una serie de resultados como apoyo al logro de las metas globales relacionadas con la TI. 2. Estructuras Organizacionales Constituyen las entidades claves para la toma de decisiones en una organización. 3. Cultura, Ética y Comportamiento De los individuos así como de la organización; se subestima frecuentemente como factor de éxito en las actividades de gobierno y administración. 4. Principios, Políticas y Marcos Son los vehículos para traducir el comportamiento deseado en una orientación práctica para la administración diaria. 5. Información Se encuentra presente en todo el ambiente de cualquier organización; o sea se trata de toda la información producida y usada por la Organización. La información es requerida para mantener la organización andando y bien gobernada, pero a nivel operativo, la información frecuentemente es el producto clave de la organización en si. 6. Servicios, Infraestructura y Aplicaciones Incluyen la infraestructura, la tecnología y las aplicaciones que proporcionan servicios y procesamiento de tecnología de la información a la organización. 7. Personas, Habilidades y Competencias Están vinculadas con las personas y son requeridas para completar exitosamente todas las actividades y para tomar las decisiones correctas, así como para llevar a cabo las acciones correctivas. 44
Habilitar un enfoque holístico! Administración y Gobierno sistémico mediante habilitadores interconectados Para lograr los objetivos principales de la Organización, siempre debe considerarse una serie interconectada de habilitadores, o sea, cada habilitador: Necesita una entrada de otros habilitadores para ser completamente efectivo, o sea, los procesos necesitan información, las estructuras organizacionales necesitan habilidades y comportamiento. Entrega un producto de salida a beneficio de otros habilitadores, o sea, los procesos entregan información, las habilidades y el comportamiento hacen que los procesos sean eficientes. Esto constituye un principio CLAVE que surge del trabajo de desarrollo de ISACA en el Modelo de Negocios para la Seguridad de la Información. 45
Habilitar un enfoque holístico Las Dimensiones de los habilitadores de COBIT 5: Todos los habilitadores tienen una serie de dimensiones comunes. Dicha serie de dimensiones comunes: Proporciona una manera común, sencilla y estructurada para tratar los habilitadores Permite a una entidad manejar sus interacciones complejas Facilita resultados exitosos de los habilitadores Dimensión de Habilitadores Partes Interesadas Internas Externas Metas Ciclo de Vida Buenas Prácticas Calidad Intrínseca Calidad Contextual (Relevancia, Efectividad) Accesabilidad y Seguridad Planificar Diseñar Construir/Adquirir/ Crear/Implementar Usar/Operar Evaluar/Monitorear Actualizar/Disponer Prácticas Productos de Trabajo Administración del Desempeño de los Habilitadores Se atienden las Necesidades de las Partes Interesadas? Se Logran las Metas de los Métricas para el Logro de las Metas (Indicadores de Resultados) Se administra el Ciclo de Vida? Se aplican Buenas Prácticas? Métricas para la Aplicación de Prácticas (Indicadores de Desempeño) Fuente: COBIT 5, Figura 13. 2012 ISACA Todos derechos reservados. 46
Separar el gobierno de la administración El marco de COBIT 5 plasma una distinción muy clara entre el Gobierno y la Administración. Estas dos disciplinas: Comprenden diferentes tipos de actividades Requieren diferentes estructuras organizacionales Cumplen diferentes propósitos Gobierno En la mayoría de las organizaciones el Gobierno es responsabilidad de la Junta Directiva bajo el liderazgo de su Presidente. Administración En la mayoría de las organizaciones, la Administración es responsabilidad de la Gerencia Ejecutiva, bajo el liderazgo del Gerente General (CEO). 47
Separar el gobierno de la administración COBIT 5 propone que las organizaciones implementen los procesos de gobierno y administración de tal manera que las áreas claves queden cubiertas, tal como se muestra a continuación: Gobierno Necesidades de la Organización Evaluar Dirigir Retroalimentación Monitorear Administración Planificar (APO) Construir (BAI) Operar (DSS) Monitorear (MEA) Fuente: COBIT 5, Figura 15. 2012 ISACA Todos derechos reservados. 48
Separar el gobierno de la administración El marco de COBIT 5 describe siete categorías de habilitadores (Principio 4). Los procesos constituyen una categoría. Una organización puede definir sus procesos como estime conveniente, siempre y cuando queden cubiertos todos lo objetivos necesarios de gobierno y administración. Las organizaciones más pequeñas podrán tener menos procesos, las organizaciones más grandes y más complejas podrán tener muchos procesos, todos para cubrir los mismos objetivos. COBIT 5 incluye un Modelo de Referencia de Procesos, que define y describe en detalle un número de procesos de administración y de gobierno. 49
Procesos de COBIT Fuente: COBIT 5, Figura 16. 2012 ISACA Todos derechos reservados. 50
Modelo de capacidad Fuente: COBIT 5, Figura 19. 2012 ISACA Todos derechos reservados. 51
Modelo de implementación Fuente: COBIT 5, Figura 5 2012 ISACA Todos derechos reservados. 52
Modelo de implementación Fuente: COBIT 5, Figura 6 2012 ISACA Todos derechos reservados. 53
Modelo de implementación Fuente: COBIT 5, Figura 1 2012 ISACA Todos derechos reservados. 54
Por qué es importante? 55
Cómo proceder? Análisis de Riesgos basado en el modelo de privacidad Identificación de sistemas personales Priorización por criticidad Identificación de riesgos Qué puede fallar a la luz de nuestros intereses, aseveraciones u objetivos de control? Que relación existe entre los principios de la ley y los objetivos de control? Qué amenaza primordial debemos combatir? 56
Cómo proceder? Identificación de controles Mitigan realmente el riesgo? Consideramos el riesgo remanente? Cómo se trata? Qué tipo de controles identificamos? Cómo los probamos? Y los controles generales? 57
Cómo proceder? Medición de riesgo Tenemos algún modelo? COBIT? La Ley? Definición de recomendaciones Qué decirle al ente auditado? Cómo mitigo el riesgo y genero valor? Cómo presento los resultados? Cómo doy seguimiento? 58
Qué es lo que típicamente preocupa? Control de Accesos. Control de Cambios. Operaciones: Control de trabajos programados, generación de respaldos, respuesta a incidentes 59
Qué debiera ocuparnos? Licitud Consentimiento Calidad de los datos Confidencialidad Seguridad Disponibilidad Temporalidad 60
Usemos COBIT Fuente: COBIT 5, Figura 16. 2012 ISACA Todos derechos reservados. 61
Usemos COBIT AP013. Pág. 113 DSS06. Pág. 197 BAI04. Pág. 141 Fuente: COBIT 5. 2012 ISACA Todos derechos reservados. 62
Y además de COBIT? Controles de Aplicación y Controles Manuales Procesos ProcesosProcesos Aplicaciones Tipos de Controles de Aplicación Ediciones de Entrada Validaciones de Datos Información de Excepciones Segregación de Funciones (seguridad) Validaciones de Reglas de Negocios Restricciones de Acceso Controles de Interfase Controles de Configuración Controles Generales de TI Datos / Sistema de Administración de Bases de Datos Datos/DBMS Plataformas Plataformas Redes Networks Entorno Físico Physical Controles generales de TI Garantía de Continuidad del Servicio Administración de Rendimiento y Capacidad Administración de la Seguridad del Sistema Administración de Problemas e Incidentes Administración de Datos Administración del Espacio Físico de TI Administración de Operaciones Administración de Cambios Los Controles Generales brindan la base para los controles de aplicación 63
Y además de COBIT? Fuente: BSI 10012:2009 BSI Todos derechos reservados. 64
Y además de COBIT? 65
Algunos casos Qué preocupaciones deberíamos tener? Qué elementos tecnológicos hay que considerar? Qué acciones debemos ejecutar? Qué marcos referenciales utilizar? 66
Algunos casos 1. Una organización ha decidido poner en marcha un nuevo proceso de manejo de archivos que contempla el uso de una aplicación que mantendrá registro de todos los expedientes existentes, además del historial de los movimientos de expedientes al ser removidos del archivo. El proceso será muy diferente respecto de como operan hoy y la aplicación de soporte está siendo desarrollada por personal interno con equipos disponibles fuera de uso y utilizando programas de código abierto. 67
Algunos casos! 2. Una organización ha decidido contratar a un proveedor para que opere su centro de atención telefónica. El proveedor es una compañía internacional de origen canadiense, sus servidores son mantenidos por otro proveedor que ha puesto a disposición una aplicación a través del concepto de Software as a Service (SaaS), lo que quiere decir que todo se opera en la nube y que los datos se almacenarán en un lugar impreciso. Los operadores desarrollarán actividades en México. 68
Algunos casos!! 3. Una organización ha habilitado un sistema para habilitar el ejercicio de derechos ARCO, con él, los interesados o titulares, pueden llamar a un centro de atención telefónica para ejercer sus derechos ARCO o ejecutar el proceso a través de un sitio web. El desarrollo del sistema ha corrido a cargo de un despacho externo, se ha usado tecnología de punta, incluso los interesados pueden acceder al sitio vía dispositivos móviles. La operación del sitio queda a cargo de personal de la organización, aunque las labores de mantenimiento al sistema son ejecutadas por el proveedor. 69
Conclusiones Hay una gran dependencia de TI en los sistemas de datos personales Deben reconocerse, identificarse y analizarse los riesgos relacionados con TI en la operación de sistemas de datos personales El reconocimiento de estos riesgos debe realizarse en conjunto con el de otros que dependan también de TI y/o que afecten a la información La cooperación entre áreas es indispensable para lograr el éxito 70
Conclusiones Existen marcos referenciales como COBIT, BS10012 o PbD que pueden ser de utilidad Los marcos referenciales no suplen el sentido común Los elementos tecnológicos en sí mismos deben ser considerados La elaboración de acciones recomendadas debe perseguir no solamente la disminución del riesgo, sino la generación de valor 71
Muchas gracias! Carlos Chalico CISA, CISSP, CISM, CGEIT, CRISC, ISO27000 LA, PbD Ambassador Ouest Business Solutions Inc. carlos.chalico@ouestsolutions.com (647)6388062 twitter: LinkedIn: ca.linkedin.com/in/carloschalico/ 72