La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Www.isaca.org.uy Nueva normativa asociada a la gobernabilidad y seguridad de la información AP Graciela Ricci, CISA, CGEIT, CRISC.

Publicada porBaldomero Jarquin Modificado hace 9 años

Presentaciones similares

Presentación del tema: "Www.isaca.org.uy Nueva normativa asociada a la gobernabilidad y seguridad de la información AP Graciela Ricci, CISA, CGEIT, CRISC."— Transcripción de la presentación:

1 www.isaca.org.uy Nueva normativa asociada a la gobernabilidad y seguridad de la información AP Graciela Ricci, CISA, CGEIT, CRISC

2 www.isaca.org.uy Agenda 1.Contexto: ¿qué está pasando? 2.¿Confianza en la información o en los procesos que la administran? 3.Evolución de la normativa

3 www.isaca.org.uy Los marcos regulatorios cada vez son más robustos en todos los territorios y todas las industrias. La complejidad y el valor de los modelos de reporte es un problema que va en aumento, paralelamente a lo anterior. La auditoría desde el punto de vista profesional es más relevante. 1.Contexto:¿qué está pasando? Muchos territorios creen que es un buen momento para mejorar su modelo de reporte Los riesgos a los que están expuestas las organizaciones en relación a la gobernabilidad y aseguramiento de su información son cada vez mayores Las prácticas de IT Outsourcing continúan en aumento.

4 www.isaca.org.uy 1.Contexto:¿qué está pasando? Sin embargo: El aseguramiento y gobernabilidad de la seguridad de la información recién está comenzando a preocupar a las organizaciones. La integración de los modelos de reporte no es un punto clave en la agenda de ningún CIO

5 www.isaca.org.uy 2.¿Confianza en la información o en los procesos que la administran?

6 www.isaca.org.uy Confianza en el procesamiento 6 TranquilidadBeneficio comercial Valor Confianza en la información Construyendo una ventaja competitiva Contar con controles, procesos y una estructura de gobierno que brinde información oportuna para medir el progreso del negocio y el logro de sus metas y objetivos Contar con información actualizada promoviendo su uso para garantizar el cumplimiento e identificar aspectos de gobernabilidad a mejorar el posicionamiento en el mercado Negocio “rescilente” a partir del uso de la información para gestionar sus riesgos Toma de decisión efectiva basada en información confiable Alcanzar buena reputación y relacionamiento con los “stakeholders”, ganando su confianza siendo proactivos en la implementación de controles en la generación y procesamiento de la información Contar con mecanismos que promuevan la mejora continua desde el punto de vista de la seguridad Aplicar mejores prácticas Mejorar la competitividad Muy buen negocio Lograr la apertura y transparencia de la información y los mecanismos de reporte de forma que sea fácilmente accesible, garantizando los aspectos de confidencialidad que correspondan. Tranquilidad de que la información ha sido fuertemente controlada en forma total y robusta. Buen negocio

7 www.isaca.org.uy El reconocimiento de las organizaciones respecto a la necesidad de que su información sea confiable, es lo que le da el espacio, tanto a auditores internos como externos, para desarrollar sus actividades. Pero en el contexto antes mencionado, debería ser también muy importante para las organizaciones poder lograr un nivel de confianza razonable respecto a los procesos que aplican los terceros involucrados en la generación/gestión de su información. 2.¿Confianza en la información o en los procesos que la administran?

8 www.isaca.org.uy Teniendo en cuenta el contexto antes presentado y la necesidad de las organizaciones de mejorar la gobernabilidad y seguridad de la información, ¿cómo construir confianza en el relacionamiento de las entidades? : Cuando una organización terceriza total o parcialmente alguna función o tarea (más aún si ésta es crítica para el negocio), muchos de los riesgos a los que esté expuesto el prestador del servicio en relación a su capacidad de proveerlo, pasan a ser riesgos de la organización (entidad) contratante. (IT Outsourcing, Cloud Services, etc.) Estructuras de Control Interno debilitadas 3.Evolución de la normativa

9 www.isaca.org.uy Fraudes Cambios tecnológicos relevantes Cambios regulatorios y de modelos de reporte Foco de los organismos reguladores en el control interno (SOX, Basilea II, etc.) Violaciones a la privacía y robo de identidades Fusiones y adquisiciones 3.Evolución de la normativa

10 www.isaca.org.uy Algunas herramientas: SOC (Service Organization Control) ISO/IEC 27000 ISO/IEC 22301 3.Evolución de la normativa

11 www.isaca.org.uy Reportes SOC El AICPA (American Institute of Certified Public Accountants) ha desarrollado un marco que asiste a los CPAs en la revisión de los controles de los prestadores de servicio, proveyéndole una confianza razonable a la gerencia de la entidades (contratantes): –SOC 1 –SOC 2 –SOC 3 3.Evolución de la normativa

12 www.isaca.org.uy Reportes SOC - Su historia 3.Evolución de la normativa 1992

13 www.isaca.org.uy Reportes SOC - Su historia 3.Evolución de la normativa 20102011

14 www.isaca.org.uy Reporte SOC1 Fue desarrollado bajo el estándar SSAE 16 Reporting on Control at a Service Organization ) En este tipo de trabajo el auditor opinará sobre los controles del proveedor del servicio que son relevantes desde el punto de vista de los controles de la entidad en relación a sus reportes financieros. Existen 2 tipos de reporte: –Tipo 1: opinión en base a la descripción de la gerencia sobre el sistema mediante el cual presta el servicio y la adecuación del diseño de los controles tendientes a lograr los objetivos de control incluidos en esta descripción a una fecha específica –Tipo 2: opinión en base a la descripción de la gerencia sobre el sistema mediante el cual presta el servicio y el diseño y efectividad en la operación de los controles tendientes a lograr los objetivos de control incluidos en esta descripción durante un período determinado. 3.Evolución de la normativa

15 www.isaca.org.uy Reporte SOC2 Este reporte permite al auditor opinar respecto a: –Seguridad –Disponibilidad –Integridad de procesamiento –Confidencialidad –Privacidad Siendo de interés cuando un tercero opera, recolecta, procesa, trasmite, almacena, organiza, mantiene o dispone de la información de la entidad 3.Evolución de la normativa

16 www.isaca.org.uy Reporte SOC2 Existen 2 tipos de reportes: –Tipo 1: Similar al de SOC1, y también se trabaja sobre la descripción del sistema realizada por la gerencia –Tipo 2: También es similar a su correspondiente de SOC 1 pero en este se incluye la descripción de las pruebas realizadas para probar los controles tendientes a garantizar los 5 atributos clave del sistema antes mencionados y los resultados obtenidos. 3.Evolución de la normativa

17 www.isaca.org.uy Reporte SOC3 La diferencia principal entre este reporte y SOC 2 es que SOC 3 no es restringido, ya que no se incluye la descripción de las pruebas utilizadas para la evaluación de los controles tendientes a garantizar los atributos clave de la organización Este reporte permite colocar el sello correspondiente en el website de la organización 3.Evolución de la normativa

18 www.isaca.org.uy

19 Draft statement of applicability (SOA) Final statement of applicability Audit framework (Security improvement workstreams) Scoping & Planning An embedded ISO27001 ISMS Security Control Framework Gap Analysis Combined Report External Auditor Gap Analysis Exposure Assessment Business Asset, BIA Communication, Awareness, Training & Knowledge Sharing Workshops Risk Assessment, Treatment and Management (People)(Process) (Physical) (Technology) Risk Register Draft Security Improvement Programme (SIP) Governan ce (roles, Committe e) Principles, policies, procedures ISMS (monit or, Audit) Technolo gy People Process DO CHECK PLAN ACT   ASSESS DESIGN OPERATE  3.Evolución de la normativa – ISO /IEC 27000

20 www.isaca.org.uy 3.Evolución de la normativa – ISO /IEC 22301

21 www.isaca.org.uy 3.Evolución de la normativa – ISO /IEC 22301 4. Contexto de la organización 4.1 Expectativas de la organización respecto a la continuidad del negocio considerando tanto factores internos como externos a la misma. 4.2 Conocer las necesidades y expectativas de los interesados 4.3 Determinar el alcance del Sistema de Gestión de la continuidad del negocio 4.4 Definir e implementar el BCMS 4. Contexto de la organización 4.1 Expectativas de la organización respecto a la continuidad del negocio considerando tanto factores internos como externos a la misma. 4.2 Conocer las necesidades y expectativas de los interesados 4.3 Determinar el alcance del Sistema de Gestión de la continuidad del negocio 4.4 Definir e implementar el BCMS 5. Liderazgo 5.1 Participación y compromiso de Alta Gerencia 5.2 Comité de Gestión (respecto del BCMS) 5.3 Política de Continuidad Operativa 5.4 Estructura de roles, responsabilidad y autoridad 5. Liderazgo 5.1 Participación y compromiso de Alta Gerencia 5.2 Comité de Gestión (respecto del BCMS) 5.3 Política de Continuidad Operativa 5.4 Estructura de roles, responsabilidad y autoridad

22 www.isaca.org.uy 3.Evolución de la normativa – ISO /IEC 22301 6. Planificación 6.1 Actividades para la localización de riesgos y oportunidades en relación a la continuidad del negocio 6.2 Definición de los objetivos de continuidad y planes para lograrlos 6. Planificación 6.1 Actividades para la localización de riesgos y oportunidades en relación a la continuidad del negocio 6.2 Definición de los objetivos de continuidad y planes para lograrlos

23 www.isaca.org.uy 3.Evolución de la normativa – ISO /IEC 22301 7. Soporte 7.1 Recursos 7.2 Personas competentes 7.3 Nivel de concientización 7.4 Comunicación 7.5 Documentos (del BCMS) 7. Soporte 7.1 Recursos 7.2 Personas competentes 7.3 Nivel de concientización 7.4 Comunicación 7.5 Documentos (del BCMS)

24 www.isaca.org.uy 3.Evolución de la normativa – ISO /IEC 22301 8. Operación 8.1 Planificación y control operativo (se incluye definir los criterios parea establecer que se va a prevenir y cuándo se va a responder) 8.2 Business Impact Analysis (BIA) y Análisis de Riesgos 8.3 Definición de las estrategias de recuperación del negocio y de prevención 8.4 Establecer e implementar los procedimientos de recuperación del negocio (Planes – incluyendo: detección, activación, recuperación, operación en régimen de contingencia y vuelta a la normalidad) 8.5 Entrenamiento y prueba 8. Operación 8.1 Planificación y control operativo (se incluye definir los criterios parea establecer que se va a prevenir y cuándo se va a responder) 8.2 Business Impact Analysis (BIA) y Análisis de Riesgos 8.3 Definición de las estrategias de recuperación del negocio y de prevención 8.4 Establecer e implementar los procedimientos de recuperación del negocio (Planes – incluyendo: detección, activación, recuperación, operación en régimen de contingencia y vuelta a la normalidad) 8.5 Entrenamiento y prueba

25 www.isaca.org.uy 3.Evolución de la normativa – ISO /IEC 22301 Desarrollo los Planes Preventivos y la Solución de Continuidad del Negocio de acuerdo a lo planificado

26 www.isaca.org.uy 3.Evolución de la normativa – ISO /IEC 22301 9. Evaluación del desempeño 9.1 Monitoreo, medición, análisis y evaluación 9.2 Auditoría interna 9.3 Revisión por parte de la Gerencia 9. Evaluación del desempeño 9.1 Monitoreo, medición, análisis y evaluación 9.2 Auditoría interna 9.3 Revisión por parte de la Gerencia 10. Mejora 10.1 Acciones correctivas y no conformidades 10.2 Mejora continua 10. Mejora 10.1 Acciones correctivas y no conformidades 10.2 Mejora continua

27 www.isaca.org.uy ¿Preguntas? Muchas Gracias Graciela Ricci Graciela.ricci@uy.pwc.com

Descargar ppt "Www.isaca.org.uy Nueva normativa asociada a la gobernabilidad y seguridad de la información AP Graciela Ricci, CISA, CGEIT, CRISC."

Presentaciones similares

SISTEMASDE GESTION AMBIENTAL

SISTEMASDE GESTION AMBIENTAL
INTRODUCCION La norma NTC (Norma técnica colombiana) ISO 9001:08 consta de 8 capítulos, de los cuales son auditables del capítulo número cuatro al ocho.

INTRODUCCION La norma NTC (Norma técnica colombiana) ISO 9001:08 consta de 8 capítulos, de los cuales son auditables del capítulo número cuatro al ocho.
Desarrollo de Soluciones para la Continuidad Operativa* Agosto 2005 *connectedthinking.

Desarrollo de Soluciones para la Continuidad Operativa* Agosto 2005 *connectedthinking.
COBIT INTEGRANTES : OLMARY GUTIERREZ LORENA MEDINA.

COBIT INTEGRANTES : OLMARY GUTIERREZ LORENA MEDINA.
Seguridad Informática

Seguridad Informática
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
Aspectos Organizativos para la Seguridad

Aspectos Organizativos para la Seguridad
CHARLA SISTEMA DE GESTIÓN AMBIENTAL ISO-14000

CHARLA SISTEMA DE GESTIÓN AMBIENTAL ISO-14000
Herramientas y metodologías de éxito para el manejo de proyectos TIC: Caso PYME CREATIVA Noviembre 2008.

Herramientas y metodologías de éxito para el manejo de proyectos TIC: Caso PYME CREATIVA Noviembre 2008.
Comprimido ARCHIformativo

Comprimido ARCHIformativo
Carla Cuevas Noya Adrian Aramiz Villalba Salinas

Carla Cuevas Noya Adrian Aramiz Villalba Salinas
SALUD OCUPACIONAL Y SISTEMAS DE GESTIÓN EN SEGURIDAD

SALUD OCUPACIONAL Y SISTEMAS DE GESTIÓN EN SEGURIDAD
Medición, Análisis y Mejora

Medición, Análisis y Mejora
Evaluación de Productos

Evaluación de Productos
Eveline Estrella Zambrano Sara Alvear Montesdeoca

Eveline Estrella Zambrano Sara Alvear Montesdeoca
Estrategia TI Entendimiento estratégico

Estrategia TI Entendimiento estratégico
Manual del SAA NOTAS.

Manual del SAA NOTAS.
Enfoque basado en procesos

Enfoque basado en procesos
“Gerenciar la adquisición de productos y servicios a los proveedores del proyecto en desarrollo a partir de acuerdos formales”.

“Gerenciar la adquisición de productos y servicios a los proveedores del proyecto en desarrollo a partir de acuerdos formales”.
Módulo 13 Procesos de Verificación de la Implementación del SAA.

Módulo 13 Procesos de Verificación de la Implementación del SAA.

Presentaciones similares

Anuncios Google