You are on page 1of 44

Auditoría y Seguridad

de Sistemas de Información
Normativas
Vinculadas
Al
Tema de Auditoría
y Seguridad en los
SI

MBA Luis Elissondo


COBIT
Gobernabilidad, Control y Auditoría
de Información y Tecnologías
Relacionadas
COBIT

C OBI T esta orientado a ser la herramienta de

gobierno de TI que ayude al entendimiento y a la


administración de riesgos asociados con
tecnología de información y con tecnologías
relacionadas.
Productos COBIT
AMBIENTE
la creciente dependencia en información y en los sistemas
que proporcionan dicha información
la creciente vulnerabilidad y un amplio espectro de
amenazas, tales como las "ciber amenazas" y la guerra de
información
la escala y el costo de las inversiones actuales y futuras
en información y en tecnología de información; y
el potencial que tienen las tecnologías para cambiar
radicalmente las organizaciones y las prácticas de negocio,
crear nuevas oportunidades y reducir costos
Destinatarios de COBIT
CONTROL

Las políticas, procedimientos, prácticas y


estructuras organizacionales diseñadas para
Control se garantizar razonablemente que los objetivos
define como del negocio serán alcanzados y que eventos
no deseables serán prevenidos o detectados y
corregidos

Una definición del resultado o propósito que


Objetivo de control en se desea alcanzar implementando
TI se define como procedimientos de control en una actividad
de TI particular
COBIT
COBIT
COBIT – Requerimientos
del Negocio
COBIT – Cualidades Inform.
COBIT
COBIT – Recursos.TI
COBIT – Recursos.TI
COBIT
COBIT – Dominios
Marco COBIT
Tabla Resumen
Objetivo de Control
Guia de Auditoria PO 1
Definición de un Plan Estratégico
• Objetivos de control
• La tecnología de la información como parte del
plan del negocio a corto y largo plazo
• Plan de TI a largo plazo
• Adquirir el entendimiento mediante
• Entrevistas: Director General, Principal funcionario
de finanzas, operación, información.
• La obtención de: Políticas y procedimentos del
proceso de planificación, los roles y las
responsabilidades de la dirección.
Guia de Auditoria PO 1
Definición de un Plan Estratégico
• Evaluar los controles: considerando si existe
una metodología para formular los planes que
abarque
• Las iniciativas de TI para dar soporte a la misión de la
organización.
• Estudios de factibilidad de las iniciativas de TI
• Evaluación de los riesgos de las iniciativas de TI
• Evaluar el cumplimiento verificando que:
• Las actas de las reuniones del comité de planificación
de la función de servicios de información reflejan el
proceso de planificación
• Se incluyó efectivamente iniciativas relevantes de TI
Guia de Auditoria PO 1
Definición de un Plan Estratégico
• Sustentar el riesgo de los objetivos de control
que no se logran
• Llevando a cabo el benchmarking de los planes de TI
de organizaciones similares.
• Identificando los casos en que la tecnología de la
información no logra dar respuesta a la misión y las
metas de la organización
Otras Normativas sobre
Seguridad en los Sistemas
www.ifac.org
Guías sobre tecnología de la información:
• No. 1 - Managing Security of Information
• No. 2 - Managing Information Technology
Planning for Business Impact
• No. 3 - Acquisition of Information Technology
• No. 4 - The Implementation of Information
Technology Solutions
• No. 5 - IT Service Delivery and Support
• No. 6 - IT Monitoring
www.ifac.org
Small and Medium Practices (SMPs)
• Volume 1 - Controlling Computers in Business:
Backup, Archive and Restore
• Volume 2 - Controlling Computers in Business:
Physical Security
• Volume 3 - Controlling Computers in Business: Logical
Access Security
• Volume 4 - Controlling Computers in Business:
Selection, Implementation and Testing of Packaged
Software
• Volume 5 - Controlling Computers in Business:
Computer Disaster Recovery Planning
www.ifac.org
Otras publicaciones:

• Board Briefing on IT Governance, 2nd Edition

• Information Security Governance: Guidance for


Boards of Directors and Executive Management

• E-Business and the Accountant


Normativa ISO
ISO 17799:
• establece algunas definiciones, como por ejemplo, la
definición del concepto de seguridad informática, ¿por
qué es necesaria la seguridad informática?, ¿cómo
establecer los requerimientos de seguridad?,
evaluación de riesgo,etc
• define que los controles que se deben implementar
abarcan las políticas, las prácticas, los
procedimientos, las estructuras organizacionales y las
funciones del software
• evaluación de riesgos, la misma comprende la
revisión sistemática de los procesos, midiendo el
impacto potencial de una falla de seguridad y la
probabilidad de ocurrencia de la misma
Normativa ISO
ISO 17799 Componentes:
• 1- Política de seguridad
• 2- Organización de la seguridad
• 3- Clasificación y control de los activos
• 4- Seguridad del personal
• 5- Seguridad física y ambiental
• 6- Gestión de las comunicaciones y operaciones
• 7- Control de accesos
• 8- Desarrollo y mantenimiento de sistemas
• 9- Administración de la continuidad del negocio
• 10- Cumplimiento
ISO 17.799 – Política de Seguridad

En este punto la norma


establece el concepto de
política de seguridad, cómo
debe ser documentada y cómo
debe realizarse la revisión y
evaluación.
ISO 17.799 – Organización de la
Seguridad
Se basa en que el problema de seguridad
debe ser compartido por todos los
integrantes de la organización y propone
la creación de un foro gerencial sobre la
seguridad de la información, cuya función
principal es la de coordinar la
implementación de controles de seguridad
ISO 17.799 – Clasificación y
Control de los Activos
Trata la identificación de los activos de
información de la organización y quiénes son los
responsables de lo mismos. Así define los
recursos de información, tales como bases de
datos y archivos, pero también incluye otros
como la documentación de sistemas, los
materiales de capacitación, los planes de
continuidad, etc. Es decir, aborda un concepto
amplio de lo que es información. Luego incluye
los recursos de software de aplicación, los
activos físicos (equipamiento) y los servicios
generales
ISO 17.799 – Seguridad del
Personal
Sostiene que la responsabilidad en materia de
seguridad debe ser establecida en la etapa de
reclutamiento e incluida en los aspectos
contractuales, además de ser adecuadamente
monitoreada. Así es que incluye qué aspectos
deben ser tenidos en cuenta en la selección y
política de personal, en los acuerdos de
confidencialidad, los términos y condiciones del
empleo, la capacitación de usuarios, el registro
de incidentes y la existencia de un régimen
disciplinario.
ISO 17.799 – Seguridad Física y
Ambiental
En este punto se incluye todo aquello
referido al establecimiento de
actividades que impidan accesos no
autorizados, daños o interferencia de la
información. Abarca los aspectos
físicos tales como la protección de
oficinas, recintos e instalaciones
ISO 17.799 – Gestión de las
operaciones y comunicaciones
Se establece cómo deben realizarse los
procedimientos relativos al procesamiento
de la información, planificación y
aprobación de sistemas, protección contra
software malicioso, mantenimiento,
administración de medios informáticos
removibles, intercambios de información y
software, acuerdos de intercambio de
información y software..
ISO 17.799 – Control de Accesos
Detalla las pautas para el acceso a la
información y los procesos de negocio,
abarcando los procesos de definición
de políticas de accesos, administración
de usuarios (altas, permisos,
administración de contraseñas),
responsabilidad del usuario, control de
acceso a la red, utilización de utilitarios,
accesos remotos, etc.
ISO 17.799 – Desarrollo y
Mantenimiento de Sistemas
Comprende lo relacionado con la explotación de
la información mediante la utilización de software
comercial (adquirido) y software desarrollado por
la propia organización. Así es que incluye las
mejoras y los requerimientos de seguridad, la
validación en el ingreso, el procesamiento y la
salida de datos, la incorporación de controles
criptográficos, los controles relativos al software
para evitar la manipulación del código
protegiendo programas fuente, los adecuados
procesos de desarrollo y soporte, etc.
ISO 17.799 – Administración de la
continuidad del negocio
El objetivo es que la organización siga
funcionando y realizando sus actividades
principales, asegurando la continuidad de
los procesos críticos de la organización.
Abarca desde el diseño del plan de
continuidad, el análisis del impacto, la
implantación, la prueba y el mantenimiento
del plan.
ISO 17.799 – Cumplimiento

Se refiere al cumplimiento de la normativa


legal vigente en el lugar donde la
organización desempeña sus actividades.
Aquí se incluyen aspectos relativos al
derecho de propiedad intelectual, la
protección de registros, la privacidad de la
información personal, las políticas de
seguridad y la auditoría de sistemas.
Normativa ISO 27.001
Esta norma toma el concepto de enfoque
de procesos y resalta la importancia de:
– Entender cuáles son los requerimientos de la
seguridad informática de la organización y la
necesidad de establecer políticas y objetivos
de seguridad informática.
– Implementar y operativizar controles para
administrar los riesgos en seguridad.
– Monitorear y revisar el desempeño del ISMS.
– Proceso de mejora continua
Normativa ISO 27.001
ISO 27001
Plan (establecer el ISMS): Se establece la política de ISMS,
objetivos, procesos y procedimientos relevantes para la
administración de riesgos y mejoras de la seguridad para
alcanzar las políticas y objetivos establecidos.
Do (Implementar y operar el ISMS): Implementa y opera la
política de ISMS, controles procesos y procedimientos.
Check (Monitoreo y revisión del ISMS): Analiza y mide en la
medida de lo posible el desempeño de los procesos
relacionados con el ISMS, evalúa objetivos, experiencias e
informa los resultados a la administración para establecer las
correcciones necesarias.
Act (Mantener y Mejorar el ISMS): Realizar acciones correctivas y
preventivas basadas en la auditoría del ISMS, de manera tal de
lograr la mejora continua del ISMS.
www.ifac.org
www.isaca.org
Conclusiones y Preguntas