Www.isaca.org.uy Nueva normativa asociada a la gobernabilidad y seguridad de la información AP Graciela Ricci, CISA, CGEIT, CRISC.

Slides:



Advertisements
Presentaciones similares
SISTEMASDE GESTION AMBIENTAL
Advertisements

INTRODUCCION La norma NTC (Norma técnica colombiana) ISO 9001:08 consta de 8 capítulos, de los cuales son auditables del capítulo número cuatro al ocho.
Desarrollo de Soluciones para la Continuidad Operativa* Agosto 2005 *connectedthinking.
COBIT INTEGRANTES : OLMARY GUTIERREZ LORENA MEDINA.
Seguridad Informática
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
Aspectos Organizativos para la Seguridad
CHARLA SISTEMA DE GESTIÓN AMBIENTAL ISO-14000
Herramientas y metodologías de éxito para el manejo de proyectos TIC: Caso PYME CREATIVA Noviembre 2008.
Comprimido ARCHIformativo
Carla Cuevas Noya Adrian Aramiz Villalba Salinas
SALUD OCUPACIONAL Y SISTEMAS DE GESTIÓN EN SEGURIDAD
Medición, Análisis y Mejora
Evaluación de Productos
Eveline Estrella Zambrano Sara Alvear Montesdeoca
Estrategia TI Entendimiento estratégico
Manual del SAA NOTAS.
Enfoque basado en procesos
“Gerenciar la adquisición de productos y servicios a los proveedores del proyecto en desarrollo a partir de acuerdos formales”.
Módulo 13 Procesos de Verificación de la Implementación del SAA.
Facultad: Administración y Negocios
Electivo Integración Normas de Calidad, Seguridad, Medio Ambiente y Riesgos en la Gestión de la Empresa. Profesor : Fernando Vargas Gálvez Ingeniero Civil.
NORMAS INTERNACIONALES DE AUDITORIA DE SISTEMAS
“Sistemas de Gestión de Seguridad y Salud Ocupacional”
V1.2.
ISO 9001:2000 ES UNA CERTIFICACIÒN DE CALIDAD QUE PRETENDE LOGRAR LA SATISFACCION CONTINÙA DEL CLIENTE MEDIANTE EL CUMPLIMIENTO DE SUS NECESIDADES Y EXPECTATIVAS.
Octubre V3.7 Presentación Corporativa. ¿Quiénes somos? Misión Ayudamos a mejorar la competitividad de nuestros clientes al proveerles Soluciones.
SISTEMA DE GESTION DE LA SEGURIDAD Y SALUD EN EL TRABAJO (SG-SST)
¿Para qué ISO 17025? Ser reconocido como competente en la realización de ensayos específicos. La satisfacción de los clientes y mayor confianza en los.
Administración del riesgo en las AFP
AUDITORIAS RESUMEN DE ASPECTOS RELEVANTE EN LA GESTION BASADO EN EL REFERENCIAL ISO 9001:2008.
PLANES DE NEGOCIO. DEFINICIÓN  Documento de análisis con información ordenada para toma de decisiones sobre llevar a la práctica una idea o proyecto.
DIRECCIÓN GENERAL DE EDUCACIÓN SUPERIOR TECNOLÓGICA INSTITUTO TECNOLÓGICO DE CD. VALLES.
Gestión de la Continuidad del negocio BS BCI
COBIT 4.1 SISTESEG.
Gestión de Calidad Ley 872 de 2003, Decreto 4110 de 2004,Decretos Departamentales 0025 y 0063 de 2005 (Decretos modificados con la reforma institucional.
©Copyright 2013 ISACA. Todos los derechos reservados Personal El gerente de seguridad también debe considerar los riesgos relativos al personal:
COLOMBIA Bogotá, D.C., Marzo 18 de 2004 SISTEMA DE GESTION DE RESPONSIBLE CARE – RCMS (ACC)
TEMA 5.- SISTEMAS DE GESTIÓN MEDIOAMBIENTAL (II):
©Copyright 2013 ISACA. Todos los derechos reservados El estado deseado ISO/IEC 27002/ISO/IEC 27001— Las 11 Divisiones Principales: —Política de.
CONTROL INTERNO CONTABLE CONTADURÍA GENERAL DE LA NACIÓN
Programa de Auditoría Interna
©Copyright 2013 ISACA. Todos los derechos reservados. 1.5 Gobierno Efectivo de la Seguridad de la Información BMIS - Una clara estrategia organizacional.
Seguridad y Auditoria de Sistemas Ciclo
AUDITORIAS EN SISTEMA DE GESTION INTEGRADA
Gerencia de Calidad y Competitividad
SGSI: Sistemas de Gestión de la Seguridad de la Información
Universidad de Aconcagua SISTEMA DE GESTION DE CALIDAD
Comunicación Interna y Externa
Proveedores de servicios externos
 
AUDITORIA TECNOLOGIAS DE INFORMACION - COBIT
Andrés David Monsalve. Giannina Paola Celin Montero. Corporación Universitaria Americana Análisis de Sistemas Barranquilla
(Control Objectives for Information and related Technology)
Sistemas de Gestión de Tecnologías de la Información La información contenida en el presente documento es de carácter confidencial y privilegiada, por.
Introducción a FSSC
Jefe del Sistema de Gestión de la Calidad y Ecoeficiencia
CONFIDENTIAL©2013 GlobalLogic Inc. [BPM Practice] Introducción a BPM © 2015 GlobalLogic Inc.
AUDITORÍAS MEDIOAMBIENTALES
ANGIE PAOLA SOLANO CASTIBLANCO DAR SOPORTE A LOS PROCESOS NORMAS ISO DOC. JOHANA LÓPEZ CHAVEZ SENA 2010.
Control Interno dentro de las Instituciones Financieras Presentado por: LSCA Manuel Llano - CISA, CRISC Socio Líder de Consultoría de TI Salles, Sainz.
Conozca como implementar ITIL en su organización Angélica Guzmán Service Delivery Consultor de Soluciones.
MUNICIPALIDAD DE SAN BORJA MUNICIPALIDAD DE SAN BORJA
ESTÁNDAR ISO/IEC INTERNACIONAL 27001
Marco Integrado de Control Interno, con enfoque COSO III, 2013
Transición del Sistema de Gestión Integrado de los Requisitos de la Norma NTC ISO 9001:2008 a los Requisitos de la Norma NTC ISO 9001:2015 Febrero de 2016.
OFICINA DE CONTROL INTERNO Segunda Jornada de Inducción y Reinducción (Bogotá, Octubre 21 de 2015 )
Auditoría y Seguridad de Sistemas de Información Impacto Comercio Electrónico MBA Luis Elissondo.
MODULO 4 Sistema Integrado de gestión 1 Sistema Integrado de gestión – conceptos, fundamentos y requisitos comunes MÓDULO 4.
Título COMITÉ DE AUDITORÍA Contaduría Pública Sistema de Universidad Abierta y a Distancia Profesor: José Alfredo Toxqui Montiel.
Transcripción de la presentación:

Nueva normativa asociada a la gobernabilidad y seguridad de la información AP Graciela Ricci, CISA, CGEIT, CRISC

Agenda 1.Contexto: ¿qué está pasando? 2.¿Confianza en la información o en los procesos que la administran? 3.Evolución de la normativa

Los marcos regulatorios cada vez son más robustos en todos los territorios y todas las industrias. La complejidad y el valor de los modelos de reporte es un problema que va en aumento, paralelamente a lo anterior. La auditoría desde el punto de vista profesional es más relevante. 1.Contexto:¿qué está pasando? Muchos territorios creen que es un buen momento para mejorar su modelo de reporte Los riesgos a los que están expuestas las organizaciones en relación a la gobernabilidad y aseguramiento de su información son cada vez mayores Las prácticas de IT Outsourcing continúan en aumento.

1.Contexto:¿qué está pasando? Sin embargo: El aseguramiento y gobernabilidad de la seguridad de la información recién está comenzando a preocupar a las organizaciones. La integración de los modelos de reporte no es un punto clave en la agenda de ningún CIO

2.¿Confianza en la información o en los procesos que la administran?

Confianza en el procesamiento 6 TranquilidadBeneficio comercial Valor Confianza en la información Construyendo una ventaja competitiva Contar con controles, procesos y una estructura de gobierno que brinde información oportuna para medir el progreso del negocio y el logro de sus metas y objetivos Contar con información actualizada promoviendo su uso para garantizar el cumplimiento e identificar aspectos de gobernabilidad a mejorar el posicionamiento en el mercado Negocio “rescilente” a partir del uso de la información para gestionar sus riesgos Toma de decisión efectiva basada en información confiable Alcanzar buena reputación y relacionamiento con los “stakeholders”, ganando su confianza siendo proactivos en la implementación de controles en la generación y procesamiento de la información Contar con mecanismos que promuevan la mejora continua desde el punto de vista de la seguridad Aplicar mejores prácticas Mejorar la competitividad Muy buen negocio Lograr la apertura y transparencia de la información y los mecanismos de reporte de forma que sea fácilmente accesible, garantizando los aspectos de confidencialidad que correspondan. Tranquilidad de que la información ha sido fuertemente controlada en forma total y robusta. Buen negocio

El reconocimiento de las organizaciones respecto a la necesidad de que su información sea confiable, es lo que le da el espacio, tanto a auditores internos como externos, para desarrollar sus actividades. Pero en el contexto antes mencionado, debería ser también muy importante para las organizaciones poder lograr un nivel de confianza razonable respecto a los procesos que aplican los terceros involucrados en la generación/gestión de su información. 2.¿Confianza en la información o en los procesos que la administran?

Teniendo en cuenta el contexto antes presentado y la necesidad de las organizaciones de mejorar la gobernabilidad y seguridad de la información, ¿cómo construir confianza en el relacionamiento de las entidades? : Cuando una organización terceriza total o parcialmente alguna función o tarea (más aún si ésta es crítica para el negocio), muchos de los riesgos a los que esté expuesto el prestador del servicio en relación a su capacidad de proveerlo, pasan a ser riesgos de la organización (entidad) contratante. (IT Outsourcing, Cloud Services, etc.) Estructuras de Control Interno debilitadas 3.Evolución de la normativa

Fraudes Cambios tecnológicos relevantes Cambios regulatorios y de modelos de reporte Foco de los organismos reguladores en el control interno (SOX, Basilea II, etc.) Violaciones a la privacía y robo de identidades Fusiones y adquisiciones 3.Evolución de la normativa

Algunas herramientas: SOC (Service Organization Control) ISO/IEC ISO/IEC Evolución de la normativa

Reportes SOC El AICPA (American Institute of Certified Public Accountants) ha desarrollado un marco que asiste a los CPAs en la revisión de los controles de los prestadores de servicio, proveyéndole una confianza razonable a la gerencia de la entidades (contratantes): –SOC 1 –SOC 2 –SOC 3 3.Evolución de la normativa

Reportes SOC - Su historia 3.Evolución de la normativa 1992

Reportes SOC - Su historia 3.Evolución de la normativa

Reporte SOC1 Fue desarrollado bajo el estándar SSAE 16 Reporting on Control at a Service Organization ) En este tipo de trabajo el auditor opinará sobre los controles del proveedor del servicio que son relevantes desde el punto de vista de los controles de la entidad en relación a sus reportes financieros. Existen 2 tipos de reporte: –Tipo 1: opinión en base a la descripción de la gerencia sobre el sistema mediante el cual presta el servicio y la adecuación del diseño de los controles tendientes a lograr los objetivos de control incluidos en esta descripción a una fecha específica –Tipo 2: opinión en base a la descripción de la gerencia sobre el sistema mediante el cual presta el servicio y el diseño y efectividad en la operación de los controles tendientes a lograr los objetivos de control incluidos en esta descripción durante un período determinado. 3.Evolución de la normativa

Reporte SOC2 Este reporte permite al auditor opinar respecto a: –Seguridad –Disponibilidad –Integridad de procesamiento –Confidencialidad –Privacidad Siendo de interés cuando un tercero opera, recolecta, procesa, trasmite, almacena, organiza, mantiene o dispone de la información de la entidad 3.Evolución de la normativa

Reporte SOC2 Existen 2 tipos de reportes: –Tipo 1: Similar al de SOC1, y también se trabaja sobre la descripción del sistema realizada por la gerencia –Tipo 2: También es similar a su correspondiente de SOC 1 pero en este se incluye la descripción de las pruebas realizadas para probar los controles tendientes a garantizar los 5 atributos clave del sistema antes mencionados y los resultados obtenidos. 3.Evolución de la normativa

Reporte SOC3 La diferencia principal entre este reporte y SOC 2 es que SOC 3 no es restringido, ya que no se incluye la descripción de las pruebas utilizadas para la evaluación de los controles tendientes a garantizar los atributos clave de la organización Este reporte permite colocar el sello correspondiente en el website de la organización 3.Evolución de la normativa

Draft statement of applicability (SOA) Final statement of applicability Audit framework (Security improvement workstreams) Scoping & Planning An embedded ISO27001 ISMS Security Control Framework Gap Analysis Combined Report External Auditor Gap Analysis Exposure Assessment Business Asset, BIA Communication, Awareness, Training & Knowledge Sharing Workshops Risk Assessment, Treatment and Management (People)(Process) (Physical) (Technology) Risk Register Draft Security Improvement Programme (SIP) Governan ce (roles, Committe e) Principles, policies, procedures ISMS (monit or, Audit) Technolo gy People Process DO CHECK PLAN ACT   ASSESS DESIGN OPERATE  3.Evolución de la normativa – ISO /IEC 27000

3.Evolución de la normativa – ISO /IEC 22301

3.Evolución de la normativa – ISO /IEC Contexto de la organización 4.1 Expectativas de la organización respecto a la continuidad del negocio considerando tanto factores internos como externos a la misma. 4.2 Conocer las necesidades y expectativas de los interesados 4.3 Determinar el alcance del Sistema de Gestión de la continuidad del negocio 4.4 Definir e implementar el BCMS 4. Contexto de la organización 4.1 Expectativas de la organización respecto a la continuidad del negocio considerando tanto factores internos como externos a la misma. 4.2 Conocer las necesidades y expectativas de los interesados 4.3 Determinar el alcance del Sistema de Gestión de la continuidad del negocio 4.4 Definir e implementar el BCMS 5. Liderazgo 5.1 Participación y compromiso de Alta Gerencia 5.2 Comité de Gestión (respecto del BCMS) 5.3 Política de Continuidad Operativa 5.4 Estructura de roles, responsabilidad y autoridad 5. Liderazgo 5.1 Participación y compromiso de Alta Gerencia 5.2 Comité de Gestión (respecto del BCMS) 5.3 Política de Continuidad Operativa 5.4 Estructura de roles, responsabilidad y autoridad

3.Evolución de la normativa – ISO /IEC Planificación 6.1 Actividades para la localización de riesgos y oportunidades en relación a la continuidad del negocio 6.2 Definición de los objetivos de continuidad y planes para lograrlos 6. Planificación 6.1 Actividades para la localización de riesgos y oportunidades en relación a la continuidad del negocio 6.2 Definición de los objetivos de continuidad y planes para lograrlos

3.Evolución de la normativa – ISO /IEC Soporte 7.1 Recursos 7.2 Personas competentes 7.3 Nivel de concientización 7.4 Comunicación 7.5 Documentos (del BCMS) 7. Soporte 7.1 Recursos 7.2 Personas competentes 7.3 Nivel de concientización 7.4 Comunicación 7.5 Documentos (del BCMS)

3.Evolución de la normativa – ISO /IEC Operación 8.1 Planificación y control operativo (se incluye definir los criterios parea establecer que se va a prevenir y cuándo se va a responder) 8.2 Business Impact Analysis (BIA) y Análisis de Riesgos 8.3 Definición de las estrategias de recuperación del negocio y de prevención 8.4 Establecer e implementar los procedimientos de recuperación del negocio (Planes – incluyendo: detección, activación, recuperación, operación en régimen de contingencia y vuelta a la normalidad) 8.5 Entrenamiento y prueba 8. Operación 8.1 Planificación y control operativo (se incluye definir los criterios parea establecer que se va a prevenir y cuándo se va a responder) 8.2 Business Impact Analysis (BIA) y Análisis de Riesgos 8.3 Definición de las estrategias de recuperación del negocio y de prevención 8.4 Establecer e implementar los procedimientos de recuperación del negocio (Planes – incluyendo: detección, activación, recuperación, operación en régimen de contingencia y vuelta a la normalidad) 8.5 Entrenamiento y prueba

3.Evolución de la normativa – ISO /IEC Desarrollo los Planes Preventivos y la Solución de Continuidad del Negocio de acuerdo a lo planificado

3.Evolución de la normativa – ISO /IEC Evaluación del desempeño 9.1 Monitoreo, medición, análisis y evaluación 9.2 Auditoría interna 9.3 Revisión por parte de la Gerencia 9. Evaluación del desempeño 9.1 Monitoreo, medición, análisis y evaluación 9.2 Auditoría interna 9.3 Revisión por parte de la Gerencia 10. Mejora 10.1 Acciones correctivas y no conformidades 10.2 Mejora continua 10. Mejora 10.1 Acciones correctivas y no conformidades 10.2 Mejora continua

¿Preguntas? Muchas Gracias Graciela Ricci

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2024 SlidePlayer.es Inc. All rights reserved.