Conferencia Auditoría de Sistemas de Información: Seguridad y Protección de Datos Personales

Documentos relacionados
Como aporta COBIT 5 y gobernanza de TI a la gobernanza empresarial

Introducción Mayo de Presentación realizada por Carlos Francavilla

Presentación de COBIT 5. Alfredo Zayas. ISACA Capítulo Cd. de México

José Ángel Peña Ibarra, CGEIT, CRISC

Introducción. Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los Procesos

COBIT 5. Niveles de Capacidad Desafío de formalización de procesos Costos y Beneficios. A/P Cristina Borrazás, CISA, CRISC, PMP

JOSÉ ÁNGEL PEÑA IBARRA, CGEIT, CRISC SALOMÓN RICO, CISA, CISM, CGEIT

La Cascada de Metas en: Alejandra Ramírez Salas PMP, CISM, CRISC

COBIT 5 Qué cambia y cómo amplía la última edición de la guía de ISACA para proveer un nuevo enfoque integrador de alto nivel para el gobierno de IT

R E S U M E N E J E C U T I V O

Un recorrido por. Un Marco de Negocio para el Gobierno y la Gestión de la Empresa

AUDITORÍA AL GOBIERNO DE TI USANDO COBIT 5. Visión General

I. INTRODUCCIÓN DEFINICIONES

Sistema de Gestión Integral con PAS 99, ISO 9001, ISO 27001, ISO

IT Project Portfolio Management y su vinculación con la Estrategia Corporativa

0. Introducción Antecedentes

MAESTRÍA EN INGENIERÍA DE COMPUTACIÓN Y SISTEMAS CON MENCIÓN EN GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN

Gestión de la Seguridad de Activos Intelectuales

POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST

Gestión del Servicio de Tecnología de la información

AGENDA 1. ANTECEDENTES 2. INTRODUCCIÓN A LOS CONTROLES DE APLICACIÓN 3. OBJETIVOS DE CONTROL DE APLICACIÓN IDENTIFICADOS EN COBIT

CMMI (Capability Maturity Model Integrated)

Definición del Catalogo de Servicios V3. José Ricardo Arias Noviembre de 2010

Ley Federal de Protección de Datos Personales en Posesión de los Particulares Mayo de 2011

Proceso: AI2 Adquirir y mantener software aplicativo

Principales Cambios de la ISO 9001:2015

Metodología básica de gestión de proyectos. Octubre de 2003

Deloitte Training. Riesgos de tecnología de información implicaciones y retos para la auditoria

EMPRESAS PÚBLICAS DE MEDELLÍN E.S.P. DIRECCIÓN CONTROL INTERNO PROYECTO NORMALIZACIÓN ACTIVIDAD DE AUDITORÍA INTERNA

Capítulo 3. Áreas de Proceso

Unidad 1. Fundamentos en Gestión de Riesgos

Certificación CGEIT. Ing. Sylvia Tosar CGEIT, PMP.

Implementando COBIT. Por: Víctor Julio Zúñiga.MBA

Gestión de Seguridad Informática

3. GESTIÓN DE CONFIGURACIÓN DE SOFTWARE

GUIA SOBRE LOS REQUISITOS DE LA DOCUMENTACION DE ISO 9000:2000

Riesgo Empresarial: Identificación, Gobierno y Administración del Riesgo de TI

Sesión No. 12. Contextualización: Nombre de la sesión: SAP segunda parte PAQUETERÍA CONTABLE

Curso Sistemas de Información Hospitalarios. Principios de COBIT 5 (Control Objectives for Information and related Technology)

Elementos requeridos para crearlos (ejemplo: el compilador)

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A

Gobierno de TI. Impulsor de metas empresariales. Optimización de los servicios de TI con ITIL. Gobierno TI.

Gobernanza Corporativa de TI: desafío imprescindible. Ing. Sylvia Tosar MSc, CGEIT, PMP 24/10/2013

ADMINISTRACIÓN DE PROYECTOS

Curso TURGALICIA SISTEMA DE GESTIÓN DE SEGURIDAD Y SALUD EN EL TRABAJO OHSAS 18001:2.007

PERFILES OCUPACIONALES

Gestión de riesgo operacional

Gestión de Riesgos de TI Un enfoque desde el marco de trabajo COBIT 5 Eduardo Oscar Ritegno Banco de la Nación Argentina

MATERIA: AUDITORIA DE SISTEMAS

Capítulo IV. Manejo de Problemas

Implantación de Gobierno de TI (Tecnologías de la Información) Resumen Ejecutivo.

[Guía de auditoría AudiLacteos]

Sistemas de Gestión de Calidad. Control documental

Curso Fundamentos de ITIL

COBIT - Control Objectives for Information and related Technology (Objetivos de Control para la Información y la Tecnología relacionada) Mayo de 2012

RESUMEN DE COBIT 4.1. Los recursos de TI identificados en COBIT se pueden definir como sigue [2]:

CONCEJO MUNICIPAL DE CHOCONTA- CUNDINAMARCA

Cobit 5 para riesgos. Metodología. Una visión general Pablo Caneo G.

I INTRODUCCIÓN. 1.1 Objetivos

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL

I. Antecedentes. 1. La que se realiza en tiempo real, sin grabaciones de por medio, y 2. La que guarda las imágenes en dispositivos.

Algunas estadísticas Problemática actual Gestionando la Inseguridad en las aplicaciones Conclusiones Información adicional Preguntas

Política de Gestión Integral de Riesgos Compañía Sud Americana de Vapores S.A.

LICENCIA PLATAFORMA ERM

servicios públicos establecer un plan director de almacenamiento

Calidad de Servicios de. Juan Manuel Fernández Peña 2011

LIBRO GUIA TEXTO PARA LA ASIGNATURA AUDITORÍA DE SISTEMA INFORMÁTICOS II

Modulo 2: GOBIERNO DE TI

Sistema de Información Gerencial Tablero de Indicadores y Reportes. Hacia un Cuadro de Mando Integral (CMI) g ( ) en la DGI

CAS-CHILE. Líder en Software de Gestión Pública

COBIT 5 for Information Security. Presentado por: Cilliam Cuadra, CISA, CISM, CRISC, MSc

INSTRODUCCION. Toda organización puede mejorar su manera de trabajar, lo cual significa un

Su aliado Estratégico. José E. Quintero Forero CISM, CRISC

CAPÍTULO 1 CONCEPTOS CLAVE. NO ES una profesión NO ES NO ES. NO ES manufactura en casa DEFINICIÓN DEL TELETRABAJO LO QUE NO ES TELETRABAJO

determinar la competencia necesaria de las personas que realizan, bajo su control, un trabajo que afecta a su desempeño ambiental;

PROCESO: GESTION INFORMÁTICA PROCEDIMIENTO: GESTION DE CONFIGURACIONES

Bechtle Solutions Servicios Profesionales

COBIT o COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a

SEGURIDAD DE LA INFORMACIÓN

Gestión de proyectos en tiempos de crisis

Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001

Hoja Informativa ISO 9001 Comprendiendo los cambios

ARQUITECTURA TÉCNICA ASIGNATURA: MATERIALES DE CONSTRUCCIÓN II CURSO: APUNTES TEMA 1: CONTROL DE CALIDAD

Portafolio de Servicios.

Sistemas de gestión en servicios de TI (UNIT ISO/IEC )

Plan provincial de Producción más limpia de Salta

Artículo dedicado a la Innovación y Mejores Prácticas en la Ingeniería de Negocios

SW-CMM Capability Maturity Model for Software

Sinopsis de la gestión de portafolios de acuerdo con el estándar del Project Management Institute 1

El plan estratégico de sistemas de información

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

ISO 14001: 2015 Cambios Claves


NORMA ISO Estos cinco apartados no siempre están definidos ni son claros en una empresa.

SISTEMAS DE INFORMACION EMPRESARIAL

Certificación Profesional de Auditoria Interna

Mesa de Ayuda Interna

ARCHIVO GENERAL DE LA NACIÓN

Procesos Críticos en el Desarrollo de Software

RECOMENDACIONES. HALLAZGOS Objetivos especifico Justificación/Norma ANEXO

Transcripción:

Conferencia Auditoría de Sistemas de Información: Seguridad y Protección de Datos Personales Enero de 2014

Quién está ahí? Carlos Chalico CISA, CISSP, CISM, CGEIT, CRISC, ISO27000 LA, PbD Ambassador Ouest Business Solutions Inc. Director Eastern Region 2

Agenda Antecedentes Conceptos Generales Marcos Referenciales Preguntas y respuestas 3

ANTECEDENTES Enero de 2014

Qué es Privacidad? En términos generales privacidad es la habilidad de controlar cómo un individuo es identificado, contactado y localizado. Por décadas, los principios sobre privacidad han evolucionado presentando algunos temas en común a pesar de relacionarse con estructuras legales y sociales diferentes alrededor del mundo. La Privacidad agrupa los derechos y obligaciones de los individuos y las organizaciones con respecto a la colección, uso, revelación y retención de información para identificar personas (personally identifiable information / PII) Fuente: AICPA 5

Avance en el mundo LEYENDAS Ley Nacional de privacidad o protección de datos vigente Otras leyes significativas vigentes Leyes de Privacidad o Protección de Datos emergentes 6

Avance en México 2003. IFAI 2006. InfoDF 2007. Artículo 6 constitucional 2008. Ley de Protección de Datos Personales para el DF 2009. Artículos 16 Constitucional y 73 fracción XXIX-O 2010. Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) 2012. Reglamento LFPDPPP 7

Retos Qué sigue? Cumplimiento Revisión Seguimiento Mejora Cómo? 8

Retos 9

Retos Alto Gasto Total Sistemas de Información Brecha de Seguridad Bajo Seguridad de la Información 1990 s Tiempo 2000 s Fuente: EY 10

CONCEPTOS GENERALES Enero de 2014

Riesgo La posibilidad de que una amenaza aproveche una o varias vulnerabilidades en uno o varios activos, causándoles daños que pueden variar en su magnitud 12

Control Qué es? 13

Riesgo y Control El control cubre exactamente el riesgo Riesgo Control Situación Ideal 14

Riesgo y Control El control excede el riesgo Sobrecontrol Riesgo Control 15

Riesgo y Control El control no cubre el riesgo Riesgo Remanente Riesgo Control Mitigar Eliminar Transferir Asumir 16

Clasificación de Controles Controles Manuales Controles Automatizados (Puramente) Controles Manuales Controles Manuales Dependientes de IT Controles de Aplicación Manual Preventivo Manual Detectivo Controles Generales de IT 17

Controles Entorno TI Controles de Aplicación y Manuales Dependientes de TI Controles Generales de TI 18

El Entorno de TI Controles de Aplicación y Controles Manuales Procesos ProcesosProcesos Aplicaciones Tipos de Controles de Aplicación Ediciones de Entrada Validaciones de Datos Información de Excepciones Segregación de Funciones (seguridad) Validaciones de Reglas de Negocios Restricciones de Acceso Controles de Interfase Controles de Configuración Controles Generales de TI Datos / Sistema de Administración de Bases de Datos Datos/DBMS Plataformas Plataformas Redes Networks Entorno Físico Physical Controles generales de TI Garantía de Continuidad del Servicio Administración de Rendimiento y Capacidad Administración de la Seguridad del Sistema Administración de Problemas e Incidentes Administración de Datos Administración del Espacio Físico de TI Administración de Operaciones Administración de Cambios Los Controles Generales brindan la base para los controles de aplicación 19

Cómo Enfrentarlo? MARCOS REFERENCIALES 20

MARCOS REFERENCIALES Enero de 2014

Marcos Referenciales COSO COBIT ISO31000 ISO27000 PRINCE2. CMMI PMBoK TOGAF BS10012 PbD ITIL ISO38500 22

Marcos Referenciales 23

COBIT en el tiempo Evolución del enfoque Gobierno Corporativo de TI Gobierno de TI Administración Control Auditoría Val IT 2.0 (2008) Risk IT (2009) COBIT1 COBIT2 COBIT3 COBIT4.0/4.1 COBIT 5 1996 1998 2000 2005/7 2012 www.isaca.org/cobit 2012 ISACA All rights reserved. 24

Información, beneficio, valor La información es un bien valioso Los datos personales son una pieza clave La TI constituye un soporte indiscutible Entre los beneficios que hoy se buscan están Calidad en la información Generación de valor en los procesos de tratamiento Manejo adecuado de riesgos relacionados Optimización de costos asociados. 25

Valor para las partes interesadas Buen gobierno y buena administración La información y la TI deben ser reconocidas como elementos de valor Cada día hay mayores exigencias de cumplimiento COBIT 5 proporciona un marco integral para lograr la generación de valor a través de un la aplicación de un efectivo modelo de gobierno y administración de TI. 26

Gobierno y Administración de TI Gobierno de TI: Asegura que la organización alcance sus objetivos a través de la evaluación de las necesidades, condiciones y opciones de las partes interesadas; estableciendo dirección a través de la priorización de acciones y la toma de decisiones; y monitoreando el cumplimiento, desempeño y progreso de las acciones ejecutadas para alcanzar los objetivos y seguir la dirección establecida. 27

Gobierno y Administración de TI Administración de TI: Planea, construye, ejecuta y monitorea que las actividades ejecutadas estén en línea con la dirección establecida por el cuerpo de gobierno de la organización para alcanzar los objetivos institucionales. 28

Gobierno y Administración de TI Gobierno de TI { Planea Diseña Decide Monitorea Administración de TI { Construye Ejecuta 29

Principios y habilitadores COBIT ayuda a las organizaciones a Generar y reconocer valor de TI Equilibrar disminución de riesgos y uso de recursos Tener un enfoque holístico COBIT cuenta con 5 Principios 7 habilitadores 30

Los principios de COBIT 1. Satisfacer las necesidades de las partes interesadas 5. Separar el Gobierno de la Administración 2. Cubrir la Organización de forma integral Principios de COBIT 5 4. Habilitar un enfoque holistico 3. Aplicar un solo marco integrado Fuente: COBIT 5, Figura 2. 2012 ISACA Todos los derechos reservados. 31

Los habilitadores de COBIT 2. Procesos 3. Estructuras Organizacionales 4. Cultura, Ética y Comportamiento 1. Principios, Políticas y Marcos 5. Información 6. Servicios, Infraestructura y Aplicaciones 7. Personas, Habilidades y Competencias RECURSOS Fuente: COBIT 5, Figura 12. 2012 ISACA Todos los Derechos Reservados 32

Ahondemos en los principios 1. Satisfacer las necesidades de las partes interesadas 5. Separar el Gobierno de la Administración 2. Cubrir la Organización de forma integral Principios de COBIT 5 4. Habilitar un enfoque holistico 3. Aplicar un solo marco integrado 33

Satisfacer las necesidades de las partes interesadas Las organizaciones requieren crear valor para las partes interesadas. Necesidades de las partes interesadas Impulsan Objetivo del Gobierno: Creación de Valor Realización de Beneficios Optimización de Manejo de Riesgos Optimización de Recursos Fuente: COBIT 5, Figura 3. 2012 ISACA Todos los derechos reservados. 34

Satisfacer las necesidades de las partes interesadas! Las Organizaciones tienen muchas partes interesadas y crear valor tiene diferentes significados a veces conflictivos para cada una de ellas. En el Gobierno se trata de negociar y decidir entre los diversos intereses de beneficio de las diferentes partes interesadas. El sistema de Gobierno deberá considerar a todas las partes interesadas al tomar decisiones con respecto a la evaluación de riesgos, los beneficios y el manejo de recursos. Para cada decisión se pueden, y se deben, hacer las siguientes preguntas: Quién recibe los beneficios? Quién asume el riesgo? Qué recursos se necesitan? 35

Satisfacer las necesidades de las partes interesadas Las necesidades de las Partes Interesadas deben ser transformadas en una estrategia accionable para la Organización. Las metas en cascada de COBIT 5 traducen las necesidades de las Partes Interesadas en metas específicas, accionables y personalizadas dentro del contexto de la Organización, de las metas relacionadas con la TI y de las metas habilitadoras. Impulsadores de las Partes Interesadas Influencia Necesidades de las Partes Interesadas Realización de Beneficios Optimización de Riesgos Metas de la Organización Pasan a Metas Relacionadas con TI Metas Habilitadoras Optimización de Recursos Pasan a Fuente: COBIT 5, Figura 4. 2012 ISACA Todos los derechos reservados 36

Satisfacer las necesidades de las partes interesadas Los beneficios de las Metas en Cascada de COBIT 5: Permiten definir las prioridades para implementar, mejorar y asegurar el gobierno corporativo de la TI, en base de los objetivos (estratégicos) de la Organización y los riesgos relacionados: En la práctica, las metas en cascada: Definen los objetivos y las metas tangibles y relevantes, en diferentes niveles de responsabilidad. Filtran la base de conocimiento de COBIT 5, en base a las metas corporativas para extraer una orientación relevante para la inclusión en los proyectos específicos de implementación, mejora o aseguramiento. Claramente identifican y comunican qué importancia tienen los habilitadores (algunas veces muy operacionales) para lograr las metas corporativas. 37

Cubrir a la organización de Forma Integral COBIT 5 se concentra en el gobierno y la administración de la tecnología de la información y relacionadas desde una perspectiva integral a nivel de toda la Organización. Esto significa que COBIT 5: Integra el gobierno de la TI corporativa en el gobierno corporativo, o sea el sistema de gobierno para la TI corporativa propuesto por COBIT 5 se integra, de una manera fluida, en cualquier sistema de gobierno, toda vez que COBIT 5 está alineado a los últimos desarrollos en gobierno corporativo. Cubre todas las funciones y los procesos dentro de la Organización; COBIT 5 no solamente se concentra en la Función de la TI, sino trata la tecnología de la información y relacionadas como activos que necesitan ser manejados como cualquier otro activo, por todos en la Organización. 38

Cubrir a la organización de Forma Integral Objectivo del Gobierno: Creación de Valor Realización de Beneficios Optimización de Riesgos Optimización de Recursos Los Componentes Clave de un Sistema de Gobierno Habilitadores de Gobierno Alcance del Gobierno Roles, Actividades y Relaciones Fuente COBIT 5, Figura 8. 2012 ISACA Todos los derechos reservados. Dueños y Partes Interesadas Delegan Rendición de Cuentas Roles, Actividades y Relaciones Ente Regulador Fijar Directivas Monitorear Administración Instruir y Alinear Informar Operaciones y Ejecución Fuente COBIT 5, Figura 9. 2012 ISACA Todos los derechos reservados. 39

Aplicar un solo marco integrado 40

Aplicar un solo marco integrado COBIT 5 está alineado con los últimos marcos y normas relevantes usados por las organizaciones: Corporativo: COSO, COSO ERM, ISO/IEC 9000, ISO/IEC 31000 Relacionado con TI: ISO/IEC 38500, ITIL, la serie ISO/IEC 27000, TOGAF, PMBOK/PRINCE2, CMMI Etc. Así se permite a la Organización utilizar COBIT 5 como integrador macro en el marco de gobierno y administración. ISACA está desarrollando el modelo de capacidad de los procesos para facilitar al usuario de COBIT el mapeo de las prácticas y actividades contra los marcos y normas de terceros. 41

Habilitar un enfoque holístico Los Habilitadores de COBIT 5 son: Factores que, individual y colectivamente, influyen sobre si algo funcionará en el caso de COBIT, Gobierno y Administración sobre la TI corporativa. Impulsados por las metas en cascada, o sea: las metas de alto nivel relacionadas con la TI definen qué deberían lograr los diferentes habilitadores. Descritos por el marco de COBIT 5 en siete categorías. 42

Habilitar un enfoque holístico 2. Procesos 3. Estructuras Organizacionales 4. Cultura, Ética y Comportamiento 1. Principios, Políticas y Marcos 5. Información 6. Servicios, Infraestructura y Aplicaciones 7. Personas, Habilidades y Competencias RECURSOS Fuente: COBIT 5, Figura 12. 2012 ISACA Todos los Derechos Reservados 43

Habilitar un enfoque holístico! 1. Procesos Describen una serie organizada de prácticas y actividades para lograr determinados objetivos y producir una serie de resultados como apoyo al logro de las metas globales relacionadas con la TI. 2. Estructuras Organizacionales Constituyen las entidades claves para la toma de decisiones en una organización. 3. Cultura, Ética y Comportamiento De los individuos así como de la organización; se subestima frecuentemente como factor de éxito en las actividades de gobierno y administración. 4. Principios, Políticas y Marcos Son los vehículos para traducir el comportamiento deseado en una orientación práctica para la administración diaria. 5. Información Se encuentra presente en todo el ambiente de cualquier organización; o sea se trata de toda la información producida y usada por la Organización. La información es requerida para mantener la organización andando y bien gobernada, pero a nivel operativo, la información frecuentemente es el producto clave de la organización en si. 6. Servicios, Infraestructura y Aplicaciones Incluyen la infraestructura, la tecnología y las aplicaciones que proporcionan servicios y procesamiento de tecnología de la información a la organización. 7. Personas, Habilidades y Competencias Están vinculadas con las personas y son requeridas para completar exitosamente todas las actividades y para tomar las decisiones correctas, así como para llevar a cabo las acciones correctivas. 44

Habilitar un enfoque holístico! Administración y Gobierno sistémico mediante habilitadores interconectados Para lograr los objetivos principales de la Organización, siempre debe considerarse una serie interconectada de habilitadores, o sea, cada habilitador: Necesita una entrada de otros habilitadores para ser completamente efectivo, o sea, los procesos necesitan información, las estructuras organizacionales necesitan habilidades y comportamiento. Entrega un producto de salida a beneficio de otros habilitadores, o sea, los procesos entregan información, las habilidades y el comportamiento hacen que los procesos sean eficientes. Esto constituye un principio CLAVE que surge del trabajo de desarrollo de ISACA en el Modelo de Negocios para la Seguridad de la Información. 45

Habilitar un enfoque holístico Las Dimensiones de los habilitadores de COBIT 5: Todos los habilitadores tienen una serie de dimensiones comunes. Dicha serie de dimensiones comunes: Proporciona una manera común, sencilla y estructurada para tratar los habilitadores Permite a una entidad manejar sus interacciones complejas Facilita resultados exitosos de los habilitadores Dimensión de Habilitadores Partes Interesadas Internas Externas Metas Ciclo de Vida Buenas Prácticas Calidad Intrínseca Calidad Contextual (Relevancia, Efectividad) Accesabilidad y Seguridad Planificar Diseñar Construir/Adquirir/ Crear/Implementar Usar/Operar Evaluar/Monitorear Actualizar/Disponer Prácticas Productos de Trabajo Administración del Desempeño de los Habilitadores Se atienden las Necesidades de las Partes Interesadas? Se Logran las Metas de los Métricas para el Logro de las Metas (Indicadores de Resultados) Se administra el Ciclo de Vida? Se aplican Buenas Prácticas? Métricas para la Aplicación de Prácticas (Indicadores de Desempeño) Fuente: COBIT 5, Figura 13. 2012 ISACA Todos derechos reservados. 46

Separar el gobierno de la administración El marco de COBIT 5 plasma una distinción muy clara entre el Gobierno y la Administración. Estas dos disciplinas: Comprenden diferentes tipos de actividades Requieren diferentes estructuras organizacionales Cumplen diferentes propósitos Gobierno En la mayoría de las organizaciones el Gobierno es responsabilidad de la Junta Directiva bajo el liderazgo de su Presidente. Administración En la mayoría de las organizaciones, la Administración es responsabilidad de la Gerencia Ejecutiva, bajo el liderazgo del Gerente General (CEO). 47

Separar el gobierno de la administración COBIT 5 propone que las organizaciones implementen los procesos de gobierno y administración de tal manera que las áreas claves queden cubiertas, tal como se muestra a continuación: Gobierno Necesidades de la Organización Evaluar Dirigir Retroalimentación Monitorear Administración Planificar (APO) Construir (BAI) Operar (DSS) Monitorear (MEA) Fuente: COBIT 5, Figura 15. 2012 ISACA Todos derechos reservados. 48

Separar el gobierno de la administración El marco de COBIT 5 describe siete categorías de habilitadores (Principio 4). Los procesos constituyen una categoría. Una organización puede definir sus procesos como estime conveniente, siempre y cuando queden cubiertos todos lo objetivos necesarios de gobierno y administración. Las organizaciones más pequeñas podrán tener menos procesos, las organizaciones más grandes y más complejas podrán tener muchos procesos, todos para cubrir los mismos objetivos. COBIT 5 incluye un Modelo de Referencia de Procesos, que define y describe en detalle un número de procesos de administración y de gobierno. 49

Procesos de COBIT Fuente: COBIT 5, Figura 16. 2012 ISACA Todos derechos reservados. 50

Modelo de capacidad Fuente: COBIT 5, Figura 19. 2012 ISACA Todos derechos reservados. 51

Modelo de implementación Fuente: COBIT 5, Figura 5 2012 ISACA Todos derechos reservados. 52

Modelo de implementación Fuente: COBIT 5, Figura 6 2012 ISACA Todos derechos reservados. 53

Modelo de implementación Fuente: COBIT 5, Figura 1 2012 ISACA Todos derechos reservados. 54

Por qué es importante? 55

Cómo proceder? Análisis de Riesgos basado en el modelo de privacidad Identificación de sistemas personales Priorización por criticidad Identificación de riesgos Qué puede fallar a la luz de nuestros intereses, aseveraciones u objetivos de control? Que relación existe entre los principios de la ley y los objetivos de control? Qué amenaza primordial debemos combatir? 56

Cómo proceder? Identificación de controles Mitigan realmente el riesgo? Consideramos el riesgo remanente? Cómo se trata? Qué tipo de controles identificamos? Cómo los probamos? Y los controles generales? 57

Cómo proceder? Medición de riesgo Tenemos algún modelo? COBIT? La Ley? Definición de recomendaciones Qué decirle al ente auditado? Cómo mitigo el riesgo y genero valor? Cómo presento los resultados? Cómo doy seguimiento? 58

Qué es lo que típicamente preocupa? Control de Accesos. Control de Cambios. Operaciones: Control de trabajos programados, generación de respaldos, respuesta a incidentes 59

Qué debiera ocuparnos? Licitud Consentimiento Calidad de los datos Confidencialidad Seguridad Disponibilidad Temporalidad 60

Usemos COBIT Fuente: COBIT 5, Figura 16. 2012 ISACA Todos derechos reservados. 61

Usemos COBIT AP013. Pág. 113 DSS06. Pág. 197 BAI04. Pág. 141 Fuente: COBIT 5. 2012 ISACA Todos derechos reservados. 62

Y además de COBIT? Controles de Aplicación y Controles Manuales Procesos ProcesosProcesos Aplicaciones Tipos de Controles de Aplicación Ediciones de Entrada Validaciones de Datos Información de Excepciones Segregación de Funciones (seguridad) Validaciones de Reglas de Negocios Restricciones de Acceso Controles de Interfase Controles de Configuración Controles Generales de TI Datos / Sistema de Administración de Bases de Datos Datos/DBMS Plataformas Plataformas Redes Networks Entorno Físico Physical Controles generales de TI Garantía de Continuidad del Servicio Administración de Rendimiento y Capacidad Administración de la Seguridad del Sistema Administración de Problemas e Incidentes Administración de Datos Administración del Espacio Físico de TI Administración de Operaciones Administración de Cambios Los Controles Generales brindan la base para los controles de aplicación 63

Y además de COBIT? Fuente: BSI 10012:2009 BSI Todos derechos reservados. 64

Y además de COBIT? 65

Algunos casos Qué preocupaciones deberíamos tener? Qué elementos tecnológicos hay que considerar? Qué acciones debemos ejecutar? Qué marcos referenciales utilizar? 66

Algunos casos 1. Una organización ha decidido poner en marcha un nuevo proceso de manejo de archivos que contempla el uso de una aplicación que mantendrá registro de todos los expedientes existentes, además del historial de los movimientos de expedientes al ser removidos del archivo. El proceso será muy diferente respecto de como operan hoy y la aplicación de soporte está siendo desarrollada por personal interno con equipos disponibles fuera de uso y utilizando programas de código abierto. 67

Algunos casos! 2. Una organización ha decidido contratar a un proveedor para que opere su centro de atención telefónica. El proveedor es una compañía internacional de origen canadiense, sus servidores son mantenidos por otro proveedor que ha puesto a disposición una aplicación a través del concepto de Software as a Service (SaaS), lo que quiere decir que todo se opera en la nube y que los datos se almacenarán en un lugar impreciso. Los operadores desarrollarán actividades en México. 68

Algunos casos!! 3. Una organización ha habilitado un sistema para habilitar el ejercicio de derechos ARCO, con él, los interesados o titulares, pueden llamar a un centro de atención telefónica para ejercer sus derechos ARCO o ejecutar el proceso a través de un sitio web. El desarrollo del sistema ha corrido a cargo de un despacho externo, se ha usado tecnología de punta, incluso los interesados pueden acceder al sitio vía dispositivos móviles. La operación del sitio queda a cargo de personal de la organización, aunque las labores de mantenimiento al sistema son ejecutadas por el proveedor. 69

Conclusiones Hay una gran dependencia de TI en los sistemas de datos personales Deben reconocerse, identificarse y analizarse los riesgos relacionados con TI en la operación de sistemas de datos personales El reconocimiento de estos riesgos debe realizarse en conjunto con el de otros que dependan también de TI y/o que afecten a la información La cooperación entre áreas es indispensable para lograr el éxito 70

Conclusiones Existen marcos referenciales como COBIT, BS10012 o PbD que pueden ser de utilidad Los marcos referenciales no suplen el sentido común Los elementos tecnológicos en sí mismos deben ser considerados La elaboración de acciones recomendadas debe perseguir no solamente la disminución del riesgo, sino la generación de valor 71

Muchas gracias! Carlos Chalico CISA, CISSP, CISM, CGEIT, CRISC, ISO27000 LA, PbD Ambassador Ouest Business Solutions Inc. carlos.chalico@ouestsolutions.com (647)6388062 twitter: LinkedIn: ca.linkedin.com/in/carloschalico/ 72

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback