de Sistemas de Información Normativas Vinculadas Al Tema de Auditoría y Seguridad en los SI
MBA Luis Elissondo
COBIT Gobernabilidad, Control y Auditoría de Información y Tecnologías Relacionadas COBIT
C OBI T esta orientado a ser la herramienta de
gobierno de TI que ayude al entendimiento y a la
administración de riesgos asociados con tecnología de información y con tecnologías relacionadas. Productos COBIT AMBIENTE la creciente dependencia en información y en los sistemas que proporcionan dicha información la creciente vulnerabilidad y un amplio espectro de amenazas, tales como las "ciber amenazas" y la guerra de información la escala y el costo de las inversiones actuales y futuras en información y en tecnología de información; y el potencial que tienen las tecnologías para cambiar radicalmente las organizaciones y las prácticas de negocio, crear nuevas oportunidades y reducir costos Destinatarios de COBIT CONTROL
Las políticas, procedimientos, prácticas y
estructuras organizacionales diseñadas para Control se garantizar razonablemente que los objetivos define como del negocio serán alcanzados y que eventos no deseables serán prevenidos o detectados y corregidos
Una definición del resultado o propósito que
Objetivo de control en se desea alcanzar implementando TI se define como procedimientos de control en una actividad de TI particular COBIT COBIT COBIT – Requerimientos del Negocio COBIT – Cualidades Inform. COBIT COBIT – Recursos.TI COBIT – Recursos.TI COBIT COBIT – Dominios Marco COBIT Tabla Resumen Objetivo de Control Guia de Auditoria PO 1 Definición de un Plan Estratégico • Objetivos de control • La tecnología de la información como parte del plan del negocio a corto y largo plazo • Plan de TI a largo plazo • Adquirir el entendimiento mediante • Entrevistas: Director General, Principal funcionario de finanzas, operación, información. • La obtención de: Políticas y procedimentos del proceso de planificación, los roles y las responsabilidades de la dirección. Guia de Auditoria PO 1 Definición de un Plan Estratégico • Evaluar los controles: considerando si existe una metodología para formular los planes que abarque • Las iniciativas de TI para dar soporte a la misión de la organización. • Estudios de factibilidad de las iniciativas de TI • Evaluación de los riesgos de las iniciativas de TI • Evaluar el cumplimiento verificando que: • Las actas de las reuniones del comité de planificación de la función de servicios de información reflejan el proceso de planificación • Se incluyó efectivamente iniciativas relevantes de TI Guia de Auditoria PO 1 Definición de un Plan Estratégico • Sustentar el riesgo de los objetivos de control que no se logran • Llevando a cabo el benchmarking de los planes de TI de organizaciones similares. • Identificando los casos en que la tecnología de la información no logra dar respuesta a la misión y las metas de la organización Otras Normativas sobre Seguridad en los Sistemas www.ifac.org Guías sobre tecnología de la información: • No. 1 - Managing Security of Information • No. 2 - Managing Information Technology Planning for Business Impact • No. 3 - Acquisition of Information Technology • No. 4 - The Implementation of Information Technology Solutions • No. 5 - IT Service Delivery and Support • No. 6 - IT Monitoring www.ifac.org Small and Medium Practices (SMPs) • Volume 1 - Controlling Computers in Business: Backup, Archive and Restore • Volume 2 - Controlling Computers in Business: Physical Security • Volume 3 - Controlling Computers in Business: Logical Access Security • Volume 4 - Controlling Computers in Business: Selection, Implementation and Testing of Packaged Software • Volume 5 - Controlling Computers in Business: Computer Disaster Recovery Planning www.ifac.org Otras publicaciones:
• Board Briefing on IT Governance, 2nd Edition
• Information Security Governance: Guidance for
Boards of Directors and Executive Management
• E-Business and the Accountant
Normativa ISO ISO 17799: • establece algunas definiciones, como por ejemplo, la definición del concepto de seguridad informática, ¿por qué es necesaria la seguridad informática?, ¿cómo establecer los requerimientos de seguridad?, evaluación de riesgo,etc • define que los controles que se deben implementar abarcan las políticas, las prácticas, los procedimientos, las estructuras organizacionales y las funciones del software • evaluación de riesgos, la misma comprende la revisión sistemática de los procesos, midiendo el impacto potencial de una falla de seguridad y la probabilidad de ocurrencia de la misma Normativa ISO ISO 17799 Componentes: • 1- Política de seguridad • 2- Organización de la seguridad • 3- Clasificación y control de los activos • 4- Seguridad del personal • 5- Seguridad física y ambiental • 6- Gestión de las comunicaciones y operaciones • 7- Control de accesos • 8- Desarrollo y mantenimiento de sistemas • 9- Administración de la continuidad del negocio • 10- Cumplimiento ISO 17.799 – Política de Seguridad
En este punto la norma
establece el concepto de política de seguridad, cómo debe ser documentada y cómo debe realizarse la revisión y evaluación. ISO 17.799 – Organización de la Seguridad Se basa en que el problema de seguridad debe ser compartido por todos los integrantes de la organización y propone la creación de un foro gerencial sobre la seguridad de la información, cuya función principal es la de coordinar la implementación de controles de seguridad ISO 17.799 – Clasificación y Control de los Activos Trata la identificación de los activos de información de la organización y quiénes son los responsables de lo mismos. Así define los recursos de información, tales como bases de datos y archivos, pero también incluye otros como la documentación de sistemas, los materiales de capacitación, los planes de continuidad, etc. Es decir, aborda un concepto amplio de lo que es información. Luego incluye los recursos de software de aplicación, los activos físicos (equipamiento) y los servicios generales ISO 17.799 – Seguridad del Personal Sostiene que la responsabilidad en materia de seguridad debe ser establecida en la etapa de reclutamiento e incluida en los aspectos contractuales, además de ser adecuadamente monitoreada. Así es que incluye qué aspectos deben ser tenidos en cuenta en la selección y política de personal, en los acuerdos de confidencialidad, los términos y condiciones del empleo, la capacitación de usuarios, el registro de incidentes y la existencia de un régimen disciplinario. ISO 17.799 – Seguridad Física y Ambiental En este punto se incluye todo aquello referido al establecimiento de actividades que impidan accesos no autorizados, daños o interferencia de la información. Abarca los aspectos físicos tales como la protección de oficinas, recintos e instalaciones ISO 17.799 – Gestión de las operaciones y comunicaciones Se establece cómo deben realizarse los procedimientos relativos al procesamiento de la información, planificación y aprobación de sistemas, protección contra software malicioso, mantenimiento, administración de medios informáticos removibles, intercambios de información y software, acuerdos de intercambio de información y software.. ISO 17.799 – Control de Accesos Detalla las pautas para el acceso a la información y los procesos de negocio, abarcando los procesos de definición de políticas de accesos, administración de usuarios (altas, permisos, administración de contraseñas), responsabilidad del usuario, control de acceso a la red, utilización de utilitarios, accesos remotos, etc. ISO 17.799 – Desarrollo y Mantenimiento de Sistemas Comprende lo relacionado con la explotación de la información mediante la utilización de software comercial (adquirido) y software desarrollado por la propia organización. Así es que incluye las mejoras y los requerimientos de seguridad, la validación en el ingreso, el procesamiento y la salida de datos, la incorporación de controles criptográficos, los controles relativos al software para evitar la manipulación del código protegiendo programas fuente, los adecuados procesos de desarrollo y soporte, etc. ISO 17.799 – Administración de la continuidad del negocio El objetivo es que la organización siga funcionando y realizando sus actividades principales, asegurando la continuidad de los procesos críticos de la organización. Abarca desde el diseño del plan de continuidad, el análisis del impacto, la implantación, la prueba y el mantenimiento del plan. ISO 17.799 – Cumplimiento
Se refiere al cumplimiento de la normativa
legal vigente en el lugar donde la organización desempeña sus actividades. Aquí se incluyen aspectos relativos al derecho de propiedad intelectual, la protección de registros, la privacidad de la información personal, las políticas de seguridad y la auditoría de sistemas. Normativa ISO 27.001 Esta norma toma el concepto de enfoque de procesos y resalta la importancia de: – Entender cuáles son los requerimientos de la seguridad informática de la organización y la necesidad de establecer políticas y objetivos de seguridad informática. – Implementar y operativizar controles para administrar los riesgos en seguridad. – Monitorear y revisar el desempeño del ISMS. – Proceso de mejora continua Normativa ISO 27.001 ISO 27001 Plan (establecer el ISMS): Se establece la política de ISMS, objetivos, procesos y procedimientos relevantes para la administración de riesgos y mejoras de la seguridad para alcanzar las políticas y objetivos establecidos. Do (Implementar y operar el ISMS): Implementa y opera la política de ISMS, controles procesos y procedimientos. Check (Monitoreo y revisión del ISMS): Analiza y mide en la medida de lo posible el desempeño de los procesos relacionados con el ISMS, evalúa objetivos, experiencias e informa los resultados a la administración para establecer las correcciones necesarias. Act (Mantener y Mejorar el ISMS): Realizar acciones correctivas y preventivas basadas en la auditoría del ISMS, de manera tal de lograr la mejora continua del ISMS. www.ifac.org www.isaca.org Conclusiones y Preguntas