Descargar la presentación
La descarga está en progreso. Por favor, espere
1
Auditoría y Seguridad de Sistemas de Información Normativas Vinculadas Al Tema de Auditoría y Seguridad en los SI MBA Luis Elissondo
2
COBIT Gobernabilidad, Control y Auditoría de Información y Tecnologías Relacionadas
3
COBIT C OBI T esta orientado a ser la herramienta de gobierno de TI que ayude al entendimiento y a la administración de riesgos asociados con tecnología de información y con tecnologías relacionadas.
4
Productos COBIT
5
AMBIENTE la creciente dependencia en información y en los sistemas que proporcionan dicha información la creciente vulnerabilidad y un amplio espectro de amenazas, tales como las "ciber amenazas" y la guerra de información la escala y el costo de las inversiones actuales y futuras en información y en tecnología de información; y el potencial que tienen las tecnologías para cambiar radicalmente las organizaciones y las prácticas de negocio, crear nuevas oportunidades y reducir costos
6
Destinatarios de COBIT
7
CONTROL Control se define como Las políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para garantizar razonablemente que los objetivos del negocio serán alcanzados y que eventos no deseables serán prevenidos o detectados y corregidos Objetivo de control en TI se define como Una definición del resultado o propósito que se desea alcanzar implementando procedimientos de control en una actividad de TI particular
8
COBIT
10
COBIT – Requerimientos del Negocio
11
COBIT – Cualidades Inform.
12
COBIT
13
COBIT – Recursos.TI
15
COBIT
16
COBIT – Dominios
18
Marco COBIT
19
Tabla Resumen
20
Objetivo de Control
21
Guia de Auditoria PO 1 Definición de un Plan Estratégico Objetivos de control La tecnología de la información como parte del plan del negocio a corto y largo plazo Plan de TI a largo plazo Adquirir el entendimiento mediante Entrevistas: Director General, Principal funcionario de finanzas, operación, información. La obtención de: Políticas y procedimentos del proceso de planificación, los roles y las responsabilidades de la dirección.
22
Guia de Auditoria PO 1 Definición de un Plan Estratégico Evaluar los controles: considerando si existe una metodología para formular los planes que abarque Las iniciativas de TI para dar soporte a la misión de la organización. Estudios de factibilidad de las iniciativas de TI Evaluación de los riesgos de las iniciativas de TI Evaluar el cumplimiento verificando que: Las actas de las reuniones del comité de planificación de la función de servicios de información reflejan el proceso de planificación Se incluyó efectivamente iniciativas relevantes de TI
23
Guia de Auditoria PO 1 Definición de un Plan Estratégico Sustentar el riesgo de los objetivos de control que no se logran Llevando a cabo el benchmarking de los planes de TI de organizaciones similares. Identificando los casos en que la tecnología de la información no logra dar respuesta a la misión y las metas de la organización
24
Otras Normativas sobre Seguridad en los Sistemas
25
www.ifac.org Guías sobre tecnología de la información: No. 1 - Managing Security of Information No. 2 - Managing Information Technology Planning for Business Impact No. 3 - Acquisition of Information Technology No. 4 - The Implementation of Information Technology Solutions No. 5 - IT Service Delivery and Support No. 6 - IT Monitoring
26
www.ifac.org Small and Medium Practices (SMPs) Volume 1 - Controlling Computers in Business: Backup, Archive and Restore Volume 2 - Controlling Computers in Business: Physical Security Volume 3 - Controlling Computers in Business: Logical Access Security Volume 4 - Controlling Computers in Business: Selection, Implementation and Testing of Packaged Software Volume 5 - Controlling Computers in Business: Computer Disaster Recovery Planning
27
www.ifac.org Otras publicaciones: Board Briefing on IT Governance, 2nd Edition Information Security Governance: Guidance for Boards of Directors and Executive Management E-Business and the Accountant
28
Normativa ISO ISO 17799: establece algunas definiciones, como por ejemplo, la definición del concepto de seguridad informática, ¿por qué es necesaria la seguridad informática?, ¿cómo establecer los requerimientos de seguridad?, evaluación de riesgo,etc define que los controles que se deben implementar abarcan las políticas, las prácticas, los procedimientos, las estructuras organizacionales y las funciones del software evaluación de riesgos, la misma comprende la revisión sistemática de los procesos, midiendo el impacto potencial de una falla de seguridad y la probabilidad de ocurrencia de la misma
29
Normativa ISO ISO 17799 Componentes: 1- Política de seguridad 2- Organización de la seguridad 3- Clasificación y control de los activos 4- Seguridad del personal 5- Seguridad física y ambiental 6- Gestión de las comunicaciones y operaciones 7- Control de accesos 8- Desarrollo y mantenimiento de sistemas 9- Administración de la continuidad del negocio 10- Cumplimiento
30
ISO 17.799 – Política de Seguridad En este punto la norma establece el concepto de política de seguridad, cómo debe ser documentada y cómo debe realizarse la revisión y evaluación.
31
ISO 17.799 – Organización de la Seguridad Se basa en que el problema de seguridad debe ser compartido por todos los integrantes de la organización y propone la creación de un foro gerencial sobre la seguridad de la información, cuya función principal es la de coordinar la implementación de controles de seguridad
32
ISO 17.799 – Clasificación y Control de los Activos Trata la identificación de los activos de información de la organización y quiénes son los responsables de lo mismos. Así define los recursos de información, tales como bases de datos y archivos, pero también incluye otros como la documentación de sistemas, los materiales de capacitación, los planes de continuidad, etc. Es decir, aborda un concepto amplio de lo que es información. Luego incluye los recursos de software de aplicación, los activos físicos (equipamiento) y los servicios generales
33
ISO 17.799 – Seguridad del Personal Sostiene que la responsabilidad en materia de seguridad debe ser establecida en la etapa de reclutamiento e incluida en los aspectos contractuales, además de ser adecuadamente monitoreada. Así es que incluye qué aspectos deben ser tenidos en cuenta en la selección y política de personal, en los acuerdos de confidencialidad, los términos y condiciones del empleo, la capacitación de usuarios, el registro de incidentes y la existencia de un régimen disciplinario.
34
ISO 17.799 – Seguridad Física y Ambiental En este punto se incluye todo aquello referido al establecimiento de actividades que impidan accesos no autorizados, daños o interferencia de la información. Abarca los aspectos físicos tales como la protección de oficinas, recintos e instalaciones
35
ISO 17.799 – Gestión de las operaciones y comunicaciones Se establece cómo deben realizarse los procedimientos relativos al procesamiento de la información, planificación y aprobación de sistemas, protección contra software malicioso, mantenimiento, administración de medios informáticos removibles, intercambios de información y software, acuerdos de intercambio de información y software..
36
ISO 17.799 – Control de Accesos Detalla las pautas para el acceso a la información y los procesos de negocio, abarcando los procesos de definición de políticas de accesos, administración de usuarios (altas, permisos, administración de contraseñas), responsabilidad del usuario, control de acceso a la red, utilización de utilitarios, accesos remotos, etc.
37
ISO 17.799 – Desarrollo y Mantenimiento de Sistemas Comprende lo relacionado con la explotación de la información mediante la utilización de software comercial (adquirido) y software desarrollado por la propia organización. Así es que incluye las mejoras y los requerimientos de seguridad, la validación en el ingreso, el procesamiento y la salida de datos, la incorporación de controles criptográficos, los controles relativos al software para evitar la manipulación del código protegiendo programas fuente, los adecuados procesos de desarrollo y soporte, etc.
38
ISO 17.799 – Administración de la continuidad del negocio El objetivo es que la organización siga funcionando y realizando sus actividades principales, asegurando la continuidad de los procesos críticos de la organización. Abarca desde el diseño del plan de continuidad, el análisis del impacto, la implantación, la prueba y el mantenimiento del plan.
39
ISO 17.799 – Cumplimiento Se refiere al cumplimiento de la normativa legal vigente en el lugar donde la organización desempeña sus actividades. Aquí se incluyen aspectos relativos al derecho de propiedad intelectual, la protección de registros, la privacidad de la información personal, las políticas de seguridad y la auditoría de sistemas.
40
Normativa ISO 27.001 Esta norma toma el concepto de enfoque de procesos y resalta la importancia de: –Entender cuáles son los requerimientos de la seguridad informática de la organización y la necesidad de establecer políticas y objetivos de seguridad informática. –Implementar y operativizar controles para administrar los riesgos en seguridad. –Monitorear y revisar el desempeño del ISMS. –Proceso de mejora continua
41
Normativa ISO 27.001 ISO 27001 Plan (establecer el ISMS): Se establece la política de ISMS, objetivos, procesos y procedimientos relevantes para la administración de riesgos y mejoras de la seguridad para alcanzar las políticas y objetivos establecidos. Do (Implementar y operar el ISMS): Implementa y opera la política de ISMS, controles procesos y procedimientos. Check (Monitoreo y revisión del ISMS): Analiza y mide en la medida de lo posible el desempeño de los procesos relacionados con el ISMS, evalúa objetivos, experiencias e informa los resultados a la administración para establecer las correcciones necesarias. Act (Mantener y Mejorar el ISMS): Realizar acciones correctivas y preventivas basadas en la auditoría del ISMS, de manera tal de lograr la mejora continua del ISMS.
42
www.ifac.org
43
www.isaca.org
44
? ? ? ? ? Conclusiones y Preguntas
Presentaciones similares
