Cumpliendo Sarbanes-Oxley

Cumpliendo Sarbanes-Oxley Con Software Tango/04 Versión de documento: 0.2 Fecha del documento: Febrero 2005 Familia de productos: VISUAL Security Suite Productos: Todos Versión de los productos: Todas

Contenido Contenido Contenido... 2 Resumen Ejecutivo... 3 Visión General de la Ley Sarbanes-Oxley... 4 Introducción... 4 Gestión de IT: Secciones 302 y 404... 5 COBIT... 5 Las soluciones Tango/04 protegen su negocio... 6 Auditoría de seguridad iseries... 6 Auditoría de objetos... 7 Auditoría de registros... 7 Auditoría de mandatos... 7 Auditoría de configuración de sistema... 7 Auditoría de acciones... 7 Auditoría de SQL... 7 Auditoría de seguridad Windows... 8 Auditoría de bases de datos... 8 Consola centralizada... 8 Informes de auditoría... 9 Análisis de Impacto de Negocio... 9 Integración con software de Business Service Management... 10 Objetivos de Control COBIT... 11 AI3 Adquisición y Mantenimiento de Infraestructura Tecnológica... 11 AI3.7 Uso y monitorización de Equipamientos de Sistemas... 11 DS5 Garantizar la Seguridad de Sistemas... 12 DS5.1 Administrar medidas de Seguridad... 12 DS5.2 Identificación, Autenticación y Acceso... 12 DS5.5 Revisión Gerencial de Cuentas de Usuario... 12 DS5.7 Vigilancia de Seguridad... 13 DS5.10 Reportes de Violación y de Actividades de Seguridad... 13 DS5.11 Gestión de Incidentes... 13 DS13 Administración de Operaciones... 13 DS13.3 Planificación de Trabajos... 13 DS13.4 Desviaciones de la Planificación de Trabajos Estipulada... 14 DS13.6 Logs de Operaciones... 14 M2 Monitorización... 14 M2.1 Monitorización de Control Interno... 14 M2.2 Operación Oportuna de Controles Internos... 14 M2.4 Seguridad Operacional y Aseguramiento de Control Interno... 15 Otras lecturas relacionadas para el control de sistemas IBM iseries... 15 Resumen... 16 Mejorando la gestión IT con Tango/04... 17 Mejora de los niveles de servicio IT... 17 Protección de datos, aplicaciones y procesos... 17 Reducción de los costes de gestión... 17 Mayor visibilidad de los procesos de negocio... 17 Soluciones a la medida de sus necesidades... 18 Referencias... 19 Acerca de Tango/04 Computing Group... 20 Aviso legal... 21 2005 Tango/04 Computing Group Page 2

Resumen Ejecutivo Resumen Ejecutivo Este documento describe el impacto de la ley Sarbanes-Oxley de 2002 en la gestión de Infraestructuras Informáticas. Particularmente se centra en los requerimientos de auditoría interna derivados de la Sarbanes-Oxley Act (SOX). Originada por la Comisión de Valores y Bolsa (SEC) de los Estados Unidos, SOX es una regulación de obligado cumplimiento para todas las empresas que cotizan en bolsas de valores de los Estados Unidos incluyendo sus filiales en otros países, por ejemplo, España. Las secciones 302 y 404 de SOX tienen una gran relevancia para la gestión de IT. Requieren que los directivos de las empresas garanticen la exactitud de los reportes financieros. Esto a su vez requiere que todos los datos de la empresa utilizados para generar reportes financieros estén sujetos a procesos formales de auditoría para asegurar que los datos no pueden ser modificados incorrectamente de forma alguna. El software de auditoría de Seguridad de Tango/04 permite implementar controles de auditoría en sistemas IBM i5, iseries y AS/400, así como en servidores con plataforma Microsoft Windows. La información de auditoría recogida incluye acceso a objetos sensibles, utilización de mandatos específicos y configuración de perfiles de usuario. Estas funciones de auditoría proporcionan algunos de los controles internos necesarios para cumplir con SOX. Al implementar controles internos efectivos, se satisfacen algunos requerimientos que ayudan a garantizar que los informes financieros presentados son exactos. El modelo recomendado para implementar el cumplimiento de los requisitos de SOX es la metodología COBIT. Este documento detalla los objetivos de control COBIT relevantes para el cumplimiento de SOX que pueden implementarse utilizando software de Tango/04. 2005 Tango/04 Computing Group Page 3

Visión General de la Ley Sarbanes-Oxley Visión General de la Ley Sarbanes-Oxley Introducción La ley Sarbanes-Oxley (SOX) de 2002 fue introducida por la Comisión de Valores y Bolsa (SEC) de los Estados Unidos para ejercer un control riguroso de la gestión de las empresas y en particular de los informes financieros que emiten las corporaciones que cotizan en bolsas de valores de los Estados Unidos. La motivación de esta ley fue el uso extensivo de prácticas contables inapropiadas por los directivos de empresas de capital público durante el auge bursátil de finales de los años 90. Las ganancias y beneficios de algunas corporaciones fueron hinchados utilizando contabilidad fraudulenta, manipulación del reconocimiento de beneficios y empresas pantalla, entre otros métodos. En el ámbito microeconómico, estas distorsiones supusieron que muchos altos ejecutivos (CEOs, CFOs, etc.) obtuviesen grandes bonos y opciones bursátiles (stock options) que no reflejaban correctamente el valor que habían generado para sus accionistas. Cuando estallaron escándalos relacionados con empresas muy prominentes, muchos pequeños accionistas se dieron cuenta que el valor de sus acciones era una pequeña fracción de lo que habían invertido unos meses antes. A escala macroeconómica, los informes financieros son la clave para una operación eficiente de la economía global. El capital se invierte donde produce un mayor rendimiento, y la principal fuente de información que los inversores utilizan para calcular los beneficios estimados son los reportes financieros de las empresas. Si estos informes son falsos o incorrectos, el capital se invierte en forma inapropiada y toda la economía pierde eficiencia. El foco de SOX está en vigilar cómo los consejeros delegados (CEOs), directores financieros (CFOs) y otros altos directivos de empresa informan del rendimiento de la misma a los accionistas. Incluye normas para procesos de auditoría, para la composición de los balances e informes financieros y para la gestión de todo lo relacionado con los registros de la empresa. Es en el área relativa al almacenamiento y procesamiento de datos financieros donde SOX influye en los departamentos informáticos. 2005 Tango/04 Computing Group Página 4

Visión General de la Ley Sarbanes-Oxley Gestión de IT: Secciones 302 y 404 Desde un punto de vista informático, las áreas de SOX más relevantes son las secciones 302 y 404, que tratan de la certificación de los informes anuales, y de la implementación de controles internos de la información corporativa, respectivamente. En particular, la sección 302 requiere que los CEOs garanticen la exactitud de los informes financieros. Esos informes financieros se producen utilizando los sistemas informáticos de la empresa, por lo tanto, la seguridad e integridad de esos sistemas informáticos es un requerimiento fundamental para cumplir la sección 302. El cumplimiento de Sarbanes-Oxley requiere que los CEOs de la empresa garanticen que los datos que han utilizado para generar sus informes anuales son correctos y no han sido manipulados de ninguna manera. COBIT SOX proporciona un conjunto de normas para la integración y tratamiento de los informes financieros, pero no especifica cómo esas normas deben ser implementadas, en particular desde el punto de vista de las tecnologías de la información (TI). Control Objectives for Information and related Technology (COBIT) es una metodología de gestión de tecnologías de la información desarrollado por Information Systems Audit and Control Association (ISACA). Al ser un estándar generalmente aceptado para implementar prácticas de auditoría de Tecnologías de la Información, COBIT es el modelo escogido por la mayoría de las empresas de auditoría para la implementación de SOX. En otras palabras, requerimientos específicos de SOX han sido interpretados para encajar con los objetivos de control de COBIT. Al implementar objetivos de control específicos de COBIT, usted está implementando de forma efectiva el cumplimiento de SOX. De cualquier forma, es posible que su empresa no esté realizando una implementación estricta de COBIT, ni de ninguna otra infraestructura de gestión como pueden ser Information Technology Infrastructure Library (ITIL) o ISO-17799. Este documento es igualmente relevante para usted, ya que los objetivos de control de COBIT son muy genéricos, y pueden ser fácilmente interpretados en el contexto del cumplimiento de cualquier proyecto de mejora de la gestión informática. 2005 Tango/04 Computing Group Página 5

Las soluciones Tango/04 protegen su negocio Las soluciones Tango/04 protegen su negocio Las soluciones de software de Tango/04 protegen la integridad de sus datos corporativos y la continuidad de sus procesos de negocio a través de diferentes plataformas informáticas y sistemas de bases de datos. VISUAL Security Suite, nuestra solución de seguridad de Tango/04 para sistemas IBM eserver i5, iseries y AS/400, potencia las funciones de auditoría del sistema operativo OS/400 a la vez que simplifica su gestión mediante una interfaz gráfica de usuario intuitiva y amigable. VISUAL Security Suite ofrece funciones avanzadas de monitorización, notificación y automatización de acciones, así como la generación instantánea de informes detallados para demostrar el cumplimiento de regulaciones y requisitos de auditoría. Todas estas funciones hacen de VISUAL Security Suite la alternativa con mejor retorno sobre su inversión para emprender proyectos de seguridad basados en las metodologías ITIL, COBIT, e ISO-17799, así como para satisfacer los requisitos de la Ley Orgánica de Protección de Datos 1 española, SOX, o la regulación 21 CFR Parte 11, entre otras. Auditoría de seguridad iseries Configurar la auditoría de seguridad en OS/400 es una tarea compleja que implica trabajar con múltiples mandatos y valores de sistema. VISUAL Security Suite simplifica este proceso haciendo transparentes para los usuarios los detalles técnicos de la configuración y proporcionándoles una interfaz gráfica que facilita notablemente la gestión de la auditoría en OS/400. Entre muchas otras, VISUAL Security Suite ofrece las siguientes funciones: Opciones de filtrado para reducir el volumen de datos capturado y ayudar a los operadores a identificar los eventos más relevantes Enriquecimiento de los mensajes de auditoría para proporcionar a los operadores información importante de diagnosis y resolución de problemas Integración con la consola de gestión SmartConsole 1 Concretamente, del Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de Medidas de Seguridad de los Ficheros Automatizados que Contengan Datos de Carácter Personal. 2005 Tango/04 Computing Group Página 6

Las soluciones Tango/04 protegen su negocio VISUAL Security Suite proporciona una interfaz simplificada para configurar las funciones de auditoría necesarias para controlar, en forma efectiva, los accesos a ficheros con datos sensibles, la utilización de mandatos o la definición de perfiles de usuario. Las siguientes son algunas de las modalidades de auditoría soportadas por OS/400 que pueden ser rápidamente implementadas con la ayuda de VISUAL Security Suite. Auditoría de objetos Accesos y cambios a objetos, como pueden ser borrado, eliminación, copia, recuperación, renombrar, cambio de autoridad, lectura y edición. Algunos ejemplos son: Eliminación, copia o modificación de un fichero de base de datos con información financiera Lectura o copiado de un fichero de spool con información comercial sensible Auditoría de registros Accesos de lectura, modificación, borrado y eliminación de registros específicos dentro de una tabla de datos, por ejemplo: Modificación de registros de una tabla que contienen datos personales de nivel alto para cumplir regulaciones de protección de datos Auditoría de mandatos Cualquier mandato ingresado mediante una línea de comando, por ejemplo: Mandatos ejecutados por un perfil de usuario sospechoso Utilización de mandatos sensibles Auditoría de configuración de sistema Creación o modificación de perfiles de usuario Cambios a la configuración de auditoría del sistema Cambios a valores de sistema, tales como fecha, hora, nivel de seguridad, información de IPL, acciones preconfiguradas en caso de intentos repetidos de acceso con claves erróneas, etc. Utilización de Herramientas de Servicio Dedicadas (DST, Dedicated Services Tools), por ejemplo, para modificar la configuración del sistema Auditoría de acciones Las funciones de filtrado simplifican la detección de eventos relevantes en todas las modalidades de auditoría, mientras que las capacidades de personalización permiten identificar objetos particulares, perfiles de usuario, mandatos, etc. Fallos de autoridad, como pueden ser intentos de acceso rechazados repetidamente o accesos bloqueados a objetos Programas modificados para utilizar autoridad adoptada Usuarios que obtienen autoridad adoptada Swapping de perfiles Auditoría de SQL Auditoría de sentencias SQL ejecutadas por programas o usuarios para detectar consultas o modificaciones a datos sensibles, las cuales pueden organizarse por usuario, fecha, dirección IP, etc. 2005 Tango/04 Computing Group Página 7

Las soluciones Tango/04 protegen su negocio Auditoría de seguridad Windows Mientras que el sistema operativo Microsoft Windows dirige los eventos de seguridad al Registro de Eventos de Seguridad (Security Event Log), muchas aplicaciones de seguridad tales como antivirus y cortafuegos almacenan mensajes en un log propio. El software de Tango/04 puede leer los Registros de Eventos de Seguridad e identificar los eventos más críticos, incluyendo auditoría de configuraciones, accesos y violaciones a la directiva de seguridad. También puede leer los logs generados por otras aplicaciones de seguridad mediante un analizador de logs de texto plano multiformato. Auditoría de bases de datos VISUAL Security Suite tiene avanzadas funciones de auditoría de sistemas de base de datos DB2, Oracle y Microsoft SQL Server, las cuales incluyen: Disponibilidad de la base de datos Rendimiento de la base de datos Seguridad y auditoría de la base de datos Eventos críticos con un impacto potencial en los procesos de negocio que acceden a cada sistema de base de datos Consola centralizada La SmartConsole de Tango/04 consolida eventos de seguridad provenientes de múltiples orígenes y sistemas informáticos para presentarlos de manera gráfica. Los operadores pueden utilizar la consola para configurar acciones automáticas, tales como alarmas, alertas o acciones de auto-protección de sus sistemas. SmartConsole permite generar vistas gráficas que facilitan la visualización integral de todas las variables de seguridad del iseries. Los operadores pueden explorar los iconos de la vista para obtener más detalles acerca de un evento de seguridad particular. 2005 Tango/04 Computing Group Página 8

Las soluciones Tango/04 protegen su negocio Informes de auditoría Las soluciones de seguridad de Tango/04 incluyen un potente y flexible sistema de informes. Los usuarios pueden crear y generar automáticamente todo tipo de informes, utilizando una amplia selección de criterios y eligiendo entre una gran diversidad de formatos de salida, tales como HTML, RTF, PDF, etc. Reporting System incluye más de 300 informes predefinidos, los cuales permiten analizar: Eventos de seguridad Cambios a perfiles de usuario Cambios a la configuración del sistema Cambios a carpetas, bibliotecas y objetos del sistema Perfiles de usuario deshabilitados Reporting System genera automáticamente informes específicos de auditoría de seguridad fácilmente personalizables. Los informes resultantes pueden ser utilizados en auditorías internas o externas, o bien para demostrar el cumplimiento de leyes y regulaciones. Análisis de Impacto de Negocio Tango/04 da visibilidad completa a los procesos de negocio críticos, priorizando el impacto potencial de negocio de cualquier problema y permitiendo a los operadores construir fácilmente capacidades de auto-gestión y auto-protección. Esta aproximación centrada en los servicios de negocio ayuda a alinear la gestión de la infraestructura informática con los objetivos de la empresa, asegurando que los recursos se utilizan siempre en la solución de los problemas que pueden impactar en la cuenta de resultados. Gracias a esto, los departamentos de informática son más productivos, mejoran el retorno sobre sus inversiones y dan a sus empresas una ventaja sobre su competencia al proporcionar niveles más grandes de servicio y disponibilidad. 2005 Tango/04 Computing Group Página 9

Las soluciones Tango/04 protegen su negocio Integración con software de Business Service Management El software de auditoría de seguridad de Tango/04 forma parte de la solución VISUAL Message Center de Gestión de Servicios de Negocio (BSM, Business Service Management). VISUAL Message Center proporciona funciones avanzadas de gestión de sistemas, niveles de servicio, aplicaciones y seguridad. VISUAL Message Center ayuda a los departamentos de informática de empresas de todo el mundo a reducir costes, mejorar sus niveles de servicio y proteger sus servicios de negocio mediante la gestión consolidada de toda su infraestructura informática en una única solución. VISUAL Message Center proporciona una solución única para integrar la gestión de la infraestructura informática con la supervisión de la salud operativa de los servicios de negocio que soporta. 2005 Tango/04 Computing Group Página 10

Objetivos de Control COBIT Objetivos de Control COBIT La mejor manera de comprender cómo las soluciones de Tango/04 pueden ayudarle a cumplir requerimientos específicos de SOX es a través de los objetivos de control COBIT que han sido identificados por Information Systems Audit and Control Association (ISACA) como relevantes para SOX. A continuación encontrará una lista de los objetivos de control COBIT relevantes para el cumplimiento de SOX que están soportados por las soluciones de software de Tango/04. Junto con cada objetivo de control COBIT, hay una descripción de cómo el software de Tango/04 ayuda a cumplir ese objetivo de control en particular. Esta descripción aparece dentro de un área sombreada de color azul. Esta no es una lista exhaustiva: existen más objetivos de control COBIT que son relevantes para SOX y no están incluidos. Para una lista completa de controles COBIT, visite: www.isaca.org/cobit.htm Es posible que su empresa no estén siguiendo estrictamente la metodología COBIT ni ninguna otra infraestructura de gestión. Este documento es igualmente relevante para usted, ya que los objetivos de control de COBIT son muy genéricos, y pueden ser fácilmente interpretados en el contexto de cualquier proyecto de mejora de la gestión de sistemas de información. AI3 Adquisición y Mantenimiento de Infraestructura Tecnológica AI3.7 Uso y monitorización de Equipamientos de Sistemas Deben implementarse políticas y técnicas para la utilización, la monitorización y la evaluación del uso de equipos informáticos. Se deben definir claramente las responsabilidades del uso de software sensible, que deberán ser comprendidas por los desarrolladores, mientras que el uso de los equipamientos debe ser monitorizado y auditado. Tango/04: la utilización de programas específicos o herramientas de servicio de los sistemas puede ser monitorizada y registrada utilizando software de Tango/04. Cualquier violación de la política de seguridad produce una alerta instantánea. Los informes de auditoría revelan patrones de uso sospechosos. 2005 Tango/04 Computing Group Página 11

Objetivos de Control COBIT DS5 Garantizar la Seguridad de Sistemas DS5.1 Administrar medidas de Seguridad La seguridad en Tecnología de Información deberá ser administrada de tal forma que las medidas de seguridad se encuentren en línea con los requerimientos de negocio. Esto incluye: Traducir información de evaluación de riesgos a los planes de seguridad de tecnología Implementar el plan de seguridad de tecnología de información Actualizar el plan de seguridad de tecnología de información para reflejar cambios en la configuración de la tecnología Evaluar el impacto de solicitudes de cambio en la seguridad de tecnología de información Monitorizar la implementación del plan de seguridad de tecnología de información Alinear los procedimientos de seguridad de tecnología de información a otras políticas y procedimientos Tango/04: Los reportes de auditoria de seguridad periódicos generados por las soluciones de Tango/04 revelan riesgos de acceso a datos y ayudan a una monitorización continua del plan de seguridad. El uso de Business Views alinea la auditoría de seguridad con procesos de negocio específicos. DS5.2 Identificación, Autenticación y Acceso El acceso lógico y el uso de los recursos de TI deberá restringirse a través de la implementación de un mecanismo adecuado de identificación, autenticación y autorización, que enlace usuarios y recursos con reglas de acceso. Dicho mecanismo deberá evitar que personal no autorizado, conexiones telefónicas y otros puertos de entrada (redes) tengan acceso a los recursos del sistema. De igual forma deberá minimizar la necesidad de múltiples claves de acceso por usuarios autorizados. Asimismo deberán establecerse procedimientos para conservar la efectividad de los mecanismos de autenticación y acceso (por ejemplo, cambios periódicos de contraseñas). Tango/04: Los procesos para mantener mecanismos efectivos de autenticación y acceso incluyen disponer continuamente de informes de creación de perfiles de usuario, cambios y gestión de contraseñas. Los Reportes generados por el software de Tango/04 proporcionan esta información a los oficiales de seguridad. DS5.5 Revisión Gerencial de Cuentas de Usuario La Gerencia deberá contar con un proceso de control establecido para revisar y confirmar periódicamente los derechos de acceso concedidos. Deberán compararse periódicamente los recursos concedidos con los registros de uso para reducir el riesgo de error, fraude, desuso o alteración no autorizada Tango/04: La monitorización y reporte de perfiles de usuario ofrece un fácil rastreo de derechos de acceso de todos los usuarios de sistemas iseries. 2005 Tango/04 Computing Group Página 12

Objetivos de Control COBIT DS5.7 Vigilancia de Seguridad La administración de seguridad de TI debe garantizar el registro de todas las actividades, que cualquier indicio de una inminente violación de seguridad sea notificada inmediatamente al administrador, interna y externamente, y que las acciones consecuentes sean tomadas en forma automática. Tango/04: Las funciones de auditoría en tiempo real proporcionan alertas y acciones instantáneas para prevenir violaciones de seguridad en los sistemas. DS5.10 Reportes de Violación y de Actividades de Seguridad La administración de seguridad de TI deberá asegurar que las violaciones y la actividad de seguridad sean registradas, reportadas, revisadas y escaladas apropiadamente en forma regular para identificar y resolver incidentes que involucren actividades no autorizadas. El acceso lógico a la información de los recursos informáticos (seguridad y otros registros) deberá otorgarse tomando como base el principio de menor privilegio o necesidad de saber posible. Tango/04: Los reportes de auditoría periódicos proporcionan una completa información sobre violaciones potenciales e incidencias específicas, por ejemplo, la utilización de perfiles de usuarios de oficial de seguridad, o el acceso a objetos sensibles. DS5.11 Gestión de Incidentes La Gerencia deberá implementar la capacidad de gestionar incidentes de seguridad informática para solucionarlos mediante el establecimiento de una plataforma centralizada con suficiente experiencia y equipada con instalaciones de comunicación rápidas y seguras. Deberán establecerse las responsabilidades y los procedimientos de gestión de incidentes para asegurar una respuesta apropiada, efectiva y oportuna a los incidentes de seguridad. Tango/04: La consola central proporciona una vista consolidada de todos los sistemas y particiones lógicas, permitiendo manejar los incidentes instantáneamente a través de alertas, escalamiento, etc. DS13 Administración de Operaciones DS13.3 Planificación de Trabajos La Gerencia de TI deberá asegurar que la planificación continua de trabajos, procesos y tareas sea organizada en la manera más eficiente, maximizando el volumen de transacciones y la utilización, con el fin de alcanzar los objetivos establecidos en los acuerdos de nivel de servicio. Las planificaciones iniciales, así como los cambios a estas planificaciones, deberán ser autorizados apropiadamente. Tango/04: Tango/04 ajusta automáticamente las prioridades de los trabajos iseries para asegurar el máximo rendimiento de los sistemas. Se mantiene un log del uso de todos los recursos del sistema, para reportes de SLA. Las variables de rendimiento de sistemas iseries y Windows pueden ser visualizadas y administradas desde una consola gráfica central. 2005 Tango/04 Computing Group Página 13

Objetivos de Control COBIT DS13.4 Desviaciones de la Planificación de Trabajos Estipulada Deberán establecerse procedimientos para identificar, investigar y aprobar las desviaciones de la planificación de trabajos estipulada. Tango/04: La monitorización de sistemas identifica cualquier desviación de la planificación de trabajos estipulada, alertando a los operadores de sistemas para su investigación. DS13.6 Logs de Operaciones Los controles de la Gerencia deberán garantizar que se esté almacenando suficiente información cronológica en logs de operaciones para permitir la reconstrucción, revisión y examen oportunos de las secuencias de tiempo de procesamiento y otras actividades que lo rodean y soportan. Tango/04: La monitorización de sistemas captura toda la información de inicio, duración y finalización de trabajos en el iseries (QHST), así como valores críticos de servicios y procesos Windows, para mantener un registro de operaciones fiable. M2 Monitorización M2.1 Monitorización de Control Interno La Gerencia deberá monitorizar la efectividad de los controles internos en el curso normal de las operaciones a través de actividades de gestión y supervisión, comparaciones, reconciliaciones y otras acciones rutinarias. Las desviaciones motivarán un análisis y acciones correctivas. Además, las desviaciones deberán ser comunicadas a los responsables individuales de la función y también por lo menos a un nivel de gestión por encima de ese responsable individual. Las desviaciones serias deberán ser reportadas a la gerencia superior. Tango/04: Cualquier violación potencial del control de seguridad es identificada y puede ser analizada con los reportes de auditoría o incluso con alertas instantáneas. M2.2 Operación Oportuna de Controles Internos La fiabilidad en los controles internos requiere que los controles operen rápidamente para resaltar errores e inconsistencias y que éstos sean corregidos antes de que impacten en la producción y la prestación de servicios. La información relacionada con los errores, inconsistencias y excepciones deberá ser conservada y reportada sistemáticamente a la Gerencia. Tango/04: Cualquier violación potencial del control de seguridad es identificada y puede ser analizada con los reportes de auditoría o incluso con alertas instantáneas. En particular, las funcionalidades de alerta aseguran que cualquier incidencia de seguridad es identificada antes de que se produzca un daño serio. 2005 Tango/04 Computing Group Página 14

Objetivos de Control COBIT M2.4 Seguridad Operacional y Aseguramiento de Control Interno La garantía de seguridad operacional y el aseguramiento de control interno deberán ser establecidos y revisados periódicamente a través de una auto-auditoría o de una auditoría independiente para examinar si la seguridad y los controles internos se encuentran operando de acuerdo con los requerimientos de seguridad y control interno establecidos o implícitos. Las actividades de monitorización continua por parte de la Gerencia deberán revisar la existencia de puntos vulnerables y problemas de seguridad. Tango/04: Cualquier violación potencial del control de seguridad es identificada y puede ser analizada con los reportes de auditoría o incluso con alertas instantáneas. Los reportes de auditoría de seguridad pueden también proporcionarse a auditores externos. Otras lecturas relacionadas para el control de sistemas IBM iseries Puede consultar el White Paper An IT Executives View of the Sarbanes-Oxley Act of 2002 disponible en www.softlanding.com. Incluye una discusión más profunda de SOX desde un punto de vista de TI, así como normas para la utilización de software de control de cambios para implementar otros objetivos de control COBIT relativos a SOX. 2005 Tango/04 Computing Group Página 15

Resumen Resumen El software de seguridad de Tango/04 automatiza la auditoría de sistemas IBM iseries y Windows para apoyar el cumplimiento de objetivos COBIT que pueden ser relevantes para el cumplimiento de SOX y otras leyes y regulaciones. La información de auditoría recuperada incluye el acceso a objetos sensibles, la utilización de mandatos específicos y la actividad de perfiles de usuario. Estas funciones de auditoría ofrecen los controles internos necesarios para el cumplimiento de la ley Sarbanes-Oxley de 2002, específicamente las secciones 302 y 404 que son las más relevantes para la gestión de TI. Al asegurar los controles internos de los sistemas, los directivos de la empresa garantizan que los informes financieros que publican son exactos. La metodología recomendada para implementar el cumplimiento de SOX es la utilización de los objetivos de control COBIT relevantes. Este documento describe los objetivos de control SOX COBIT que pueden ser implementados utilizando software de Tango/04. Más allá de la auditoría de seguridad, el software de Tango/04 hace posible la implementación de estrategias de Gestión de Servicios de Negocio (BSM), que ayudan a los departamentos de TI a alinear la gestión de sus infraestructuras informáticas con los objetivos de negocio de la empresa. Para más información, visite www.tango04.es 2005 Tango/04 Computing Group Página 16

Mejorando la gestión IT con Tango/04 Mejorando la gestión IT con Tango/04 Mejora de los niveles de servicio IT Ajuste dinámico de rendimiento del sistema Resolución automatizada de problemas Reportes históricos y en tiempo real de consecución de SLA Reducción de los costes de gestión Automatización de tareas de IT Priorización de las incidencias de acuerdo a su impacto en el negocio Soporte a usuarios más efectivo Protección de datos, aplicaciones y procesos Auditoría de seguridad en tiempo real Auto.protección de las inversiones en IT Análisis históricos y gestión de riesgos Cumplimiento de legislaciones (LOPD, Sarbanes-Oxley, HIPAA, Basilea II, etc.) Mayor visibilidad de los procesos de negocio Evaluación del impacto en el negocio de los problemas tecnológicos Integración multiplataforma del estado operacional Generación de reportes de gestión de alto nivel 2005 Tango/04 Computing Group Página 17

Soluciones a la medida de sus necesidades Soluciones a la medida de sus necesidades La metodología SafeDeploy de Tango/04 nos permite implementar soluciones a medida para satisfacer las necesidades específicas de nuestros clientes. Esta metodología aprovecha los conocimientos adquiridos en implementaciones exitosas y está estructurada como Best Practices. Nuestra base de conocimiento proporciona a nuestros consultores una base sólida para reutilizar soluciones probadas en entornos reales. Al trabajar conjuntamente con nuestros consultores, los miembros del departamento de informática, directores de informática y supervisores de otros departamentos de la empresa, pueden ver de forma tangible los resultados que pueden esperar de la solución antes que esta se encuentre completamente implementada. Esta experiencia de primera mano con la solución, proporciona una información valiosa que puede ayudar a justificar las necesidades y beneficios del proyecto frente a gerencia, finanzas u otros tomadores de decisiones no técnicos. 2005 Tango/04 Computing Group Page 18

Referencias Referencias Las siguientes fuentes y documentos han sido utilizados para realizar este documento: COBIT Control Objectives, 3rd Edition; IT Governance Institute www.isaca.org/cobit.htm An IT Executives View of the Sarbanes-Oxley Act of 2002; SoftLanding Systems IT Control Objectives for Sarbanes-Oxley; IT Governance Institute 2005 Tango/04 Computing Group Página 19

Acerca de Tango/04 Computing Group Acerca de Tango/04 Computing Group Tango/04 Computing Group es una de las principales empresas desarrolladoras de software de gestión y automatización de sistemas informáticos. El software de Tango/04 ayuda a las empresas a mantener la salud operativa de sus procesos de negocio, mejorar sus niveles de servicio, incrementar su productividad y reducir costes mediante una gestión inteligente de sus infraestructura informática. Fundada en 1991 en Barcelona, Tango/04 es IBM Premier Business Partner y miembro de la iniciativa estratégica IBM Autonomic Computing. Además de recibir numerosos reconocimientos de la industria, las soluciones Tango/04 han sido validadas por IBM y tienen la designación IBM ServerProven. Tango/04 tiene más de mil clientes y mantiene operaciones en todo el mundo a través de una red de 35 Business Partners. Familias de productos Alianzas Premios Gestión de eventos de sistemas y aplicaciones Gestión de rendimiento Gestión de seguridad Gestión de datos de negocio Desarrollo de aplicaciones y soporte IBM Premier Business Partner IBM PartnerWorld for Developers (Advanced Member) IBM Autonomic Computing Business Partner IBM ISV Advantage Agreement IBM Early code release IBM ServerProven Solution Provider Microsoft Developer Network (MSDN) Microsoft Early Code Release Producto del Año 2003, Search400.com Apex Awards Editor s Choice 2004 IBM All Star Award, 1997-date Midrange Computing Showcase Product Excellence, 2001 IBM iseries Magazine Honor Roll, 2001 2005 Tango/04 Computing Group Página 20