Está en la página 1de 42

Auditora de Controles

usando
COBIT 5 e ISO 27002

Carlos Lobos Medina, CISA, CISM


Academico
Universidad Diego Portales

AGENDA
Controles de TI
Modelos de Buenas Practicas
Auditora de Controles
Caso Prctico
Conclusiones

ROL DE LAS TI

OBJETIVOS DE LAS EMPRESAS

COBIT 5.0 Procesos Catalizadores

OBJETIVOS DE LAS TI

COBIT 5.0 Procesos Catalizadores

CONTROLES DE TI
Los controles se disean para brindar una garanta
razonable de que se logren los objetivos del negocio

Los controles se disean para brindar una garanta


razonable de que eventos no deseados puedan
evitarse, detectase y/o corregirse

Manual de Preparacin Examen CRISK 2014

CONTROLES DE TI

EXISTIRAN CONTROLES QUE PERMITAN GARANTIZAR


DE MANERA RAZONABLE QUE LOS SERVICIOS DE TI SE
ENTREGAN DE ACUERDO A LOS REQUISITOS DEL
NEGOCIO?

Manual de Preparacin Examen CRISK 2014

ALCANCE CONTROLES DE TI
CONTROLES DEL NEGOCIO

CONTROLES GENERALES

CONTROLES DE APLICACIN

Manual de Preparacin Examen CRISK 2014

Objetivos del Negocio


Requerimientos
Regulaciones
Riesgo del Negocio

Polticas
Procedimientos de Operacin

Sistema Operativo
Aplicaciones
Base de Datos
Dispositivos de Red

CATEGORA DE CONTROLES DE TI
CONTROLES COMPENSATORIOS
CONTROLES CORRECTIVOS
CONTROLES DETECTIVOS
CONTROLES DISUASIVOS
CONTROLES PREVENTIVOS

Manual de Preparacin Examen CRISK 2014

INTERDEPENDENCIA DE CONTROLES
AMENAZA

CONTROL Descubre
DETECTIVO

EVENTO DE
AMENAZA

Activa

Reduce
Factibilidad

CONTROL
COMPENSATORIO
DISUASIVO

Explota
VULNERABILIDAD

Protege

CONTROL
PREVENTIVO

Reduce

IMPACTO
Disminuye

Manual de Preparacin Examen CRISK 2014

CONTROL
CORRECTIVO

Provoca

ENTORNO DE TI

GTAG N4 Management of IT Auditing The IIA.

LAS TI EN LA ACTUALIDAD
OBJETIVOS DEL NEGOCIO IMPULSADOS POR TI
FACTOR CLAVE DE DIFERENCIACIN
TOMA DE DECISIONES DE MAYOR IMPACTO
AUMENTO DE LOS NIVELES DE DEPENDENCIA
NIVELES OPERATIVOS DE RIESGO ELEVADOS
AUMENTO EN LA COMPLEJIDAD Y HETEROGENEIDAD
MAYOR INTEGRACIN Y FLEXIBILIDAD

Cmo saber si los controles existentes


brindan una garanta razonable de que
se logren los objetivos del negocio?

Cmo saber si los controles existentes


brindan una garanta razonable de que
eventos no deseados puedan evitarse,
detectase y/o corregirse?

MARCOS Y BUENAS PRCTICAS


ISO 31000
Gestin de Riesgos

COBIT
Gobernabilidad
de TI

ISO 27000
Gestin de Seguridad de la
Informacin (SGSI)
ISO 22301
Gestin de Continuidad
Negocio
ISO 20000
Gestin de servicios de TI
ITIL

BENEFICIOS DE LA ADOPCIN
RECOGEN MEJORES PRACTICAS EN LA MATERIA
ALTA ACEPTACIN A NIVEL INTERNACIONAL
ALTA APLICABILIDAD EN CUALQUIER TIPO DE ORGANIZACIN
REQUISITOS GENERICOS Y NEUTRALES TECNOLOGICAMENTE
PROPORCIONAN DIRECTRICES DE IMPLEMENTACIN
PROVEEN DE ELEMENTOS DE CONTROL Y MEDICIN
OTORGAN UNA LINEA BASE PARA LA CONDUCCIN DE
ACTIVIDADES DE AUDITORA

COBIT 5.0
REEMPLAZA EL 2012 A COBIT 4.1
FOCO EN EL GOBIERNO DE TECNOLOGAS DE INFORMACIN
RECOGE BUENAS PRACTICAS DE DIVERSOS MARCOS
DEFINE 5 PRINCIPIOS
ESTABLECE 7 CATALIZADORES
PROPORCIONA 37 PROCESOS CATALIZADORES
PROPORCIONA UNA FAMILIA DE PRODUCTOS

EVOLUCIN DE COBIT 5.0

COBIT 5.0 PROCESOS CATALIZADORES

ISO 27002:2013
OBJETIVOS
REEMPLAZA
DEL NEGOCIO
A ISOIMPULSADOS
27002:2005 POR TI
FOCO EN CONTROLES
FACTOR CLAVE
DE SEGURIDAD
DE DIFERENCIACIN
DE LA INFORMACIN
REESTRUCTURA
TOMA DE DECISIONES
LOS DOMINIOS
DE MAYOR
DE IMPACTO
CONTROL
AUMENTO
DEFINE DE
15 LOS
DOMINIOS
NIVELESDE
DESEGURIDAD
DEPENDENCIA
NIVELES
ESTABLECE
OPERATIVOS
34 OBJETIVOS
DE RIESGO
DE CONTROL
ELEVADOS
LINEAMIENTOS
AUMENTO ENDE
LAIMPLEMENTACIN
COMPLEJIDAD Y HETEROGENEIDAD
DE 114 CONTROLES
SEMAYOR
VINCULA
INTEGRACIN
UNA FAMILIAY DE
FLEXIBILIDAD
PRODUCTOS

EVOLUCIN SERIE ISO 27000

ISO 27002:2013 - DOMINIOS


Poltica de seguridad de la Informacin
Organizacin de la seguridad de la informacin
Seguridad de recursos humanos
Administracin de activos
Control de accesos
Criptografa
Seguridad fsica y ambiental
Seguridad de operaciones
Seguridad de comunicaciones
Adquisicin, desarrollo y mantencin de sistemas
Relaciones con proveedores
Administracin de incidentes de seguridad
Continuidad de la seguridad de la informacin
Cumplimiento

DESAFIO DE LA AUDITORA DE CONTROLES


Un reto al que se enfrentan los auditores, cuando
llevan a cabo una auditora de TI, es saber contra
qu deben auditar.
Muchas organizaciones no han desarrollado
completamente sus lneas de base para los
controles de TI en todas las aplicaciones y
tecnologas.

POSIBLES ESCENARIOS

ESCENARIO 1: La organizacin ha adoptado uno o


ms marcos de referencia para la gestin y
operacin de las TI
ESCENARIO 2: La organizacin ha desarrollado un
propio de marco de referencia para la gestin y
operacin de las TI
ESCENARIO 3: La organizacin no posee un marco de
referencia para la gestin y operacin de las TI

ESCENARIOS 1
ESCENARIO 1: La organizacin ha adoptado uno o
ms marcos de referencia para la gestin y
operacin de las TI

Seleccionar controles claves del marco adoptado


Evaluar efectividad de los controles seleccionados

ESCENARIO 2
ESCENARIO 2: La organizacin ha desarrollado un
propio marco de referencia para la gestin y
operacin de las TI

Seleccionar controles claves del marco desarrollado


Complementar con marcos de referencia relacionados
Evaluar efectividad de los controles

ESCENARIO 3
ESCENARIO 3: La organizacin no posee un marco de
referencia para la gestin y operacin de las TI

Identificar los marcos aplicables a la labor auditora


Seleccionar controles claves del marco adoptado
Identificar criterios de auditora especficos
Evaluar efectividad de los controles

BENEFICIOS PARA EL AUDITOR TI


Un auditor de TI puede hacer uso de estas normas
como lneas de base para realizar su auditora en
referencia a ellas.
Tambin pueden ser tiles para informar sobre
deficiencias dado que se elimina la subjetividad.
Si se compara la afirmacin: sera conveniente
mejorar la seguridad de las contraseas con las
contraseas no estn en conformidad con la
normativa ISO 27001 sobre seguridad de la
informacin

ANALISIS DE CASO

ANTECEDENTES DEL CASO


ERRORES EN EL SOFTWARE
DEFICIENTE ESTIMACIN DE RENDIMIENTO
DEFICIENTE ESTIMACIN DE CAPACIDAD
FALTA DE CAPACITACIN
FALTA DE PERSONAL CLAVE
MALA GESTIN DE EXTERNALIZACIN
PROBLEMAS DE CONTINUIDAD DEL NEGOCIO

QUE CONTROLES AUDITAR?

EJEMPLO DE APLICACIN
PASO 1: Identificar los marcos aplicables
COBIT
Gobernabilidad
de TI

ISO 27002
Controles de Seguridad de
la Informacin

PASO 2: Seleccionar controles claves


Identificar procesos (COBIT) y dominios (ISO 27002)

COBIT 5.0 PROCESOS CATALIZADORES

PASO 3: Identificar criterios de auditora especficos


COBIT

APO07.01 Mantener la dotacin de personal suficiente y adecuada


APO09.04 Supervisar e informar de los niveles de servicio
APO09.05 Revisar acuerdos de servicio y contratos
APO10.05 Supervisar el cumplimiento y el rendimiento del proveedor
BAI04.01 Evaluar la disponibilidad, rendimiento y capacidad actual y
crear una lnea de referencia
BAI04.02 Evaluar el impacto en el negocio
BAI04.04 Supervisar y revisar la disponibilidad y la capacidad
BAI06.01 Evaluar, priorizar y autorizar peticiones de cambio
BAI07.02 Planificar la conversin de procesos de negocio, sistemas y
datos
BAI07.05 Ejecutar pruebas de aceptacin
DSS04.03 Desarrollar e implementar una respuesta a la continuidad del
negocio
DSS04.04 Ejercitar, probar y revisar el BCP.

PASO 3: Identificar criterios de auditora especficos

COBIT 5.0 - ISACA

ISO 27002:2013 - DOMINIOS


Poltica de seguridad de la Informacin
Organizacin de la seguridad de la informacin
Seguridad de recursos humanos
Administracin de activos
Control de accesos
Criptografa
Seguridad fsica y ambiental
Seguridad de operaciones
Seguridad de comunicaciones
Adquisicin, desarrollo y mantencin de sistemas
Relaciones con proveedores
Administracin de incidentes de seguridad
Continuidad de la seguridad de la informacin
Cumplimiento

PASO 3: Identificar criterios de auditora especficos


ISO 27002
Controles de Seguridad de la Informacin

12.1.2 Administracin de Cambios


12.1.3 Administracin de Capacidad
12.5.1 Instalacin de Software en Sistemas Operacionales
14.2.2 Procedimientos de gestin de cambios
14.2.3 Revisin tcnica de las aplicaciones despus de los cambios
en la plataforma operativa
14.2.9 Pruebas de aceptacin del sistema
15.2.1 Monitoreo y revisin de los servicios del proveedor
15.2.2 Administracin de cambios en los servicios del proveedor
17.1.1 Planificacin de la continuidad de la SI
17.1.2 Implementacin de la continuidad de la SI
17.1.3 Verificar, revisar y evaluar la continuidad de la SI

PASO 3: Identificar criterios de auditora especficos

ISO 27002:2013

PASO 4: Evaluar la efectividad de los controles


CRITERIOS
Objetivos de Negocio
Regulaciones

PROCEDIMIENTOS
DE AUDITORA
Auditora Procedimental
Auditora Cumplimiento

COBIT 5.0

Auditora de Controles

ISO 27002

Auditora basada en
Riesgos

Contexto Riesgo

CONCLUSIONES
La necesidad de implementar controles depender
de los objetivos del negocio
El entorno de control en el mbitos de las TI es
complejo
La definicin de un marco de referencia de TI al
interior de las organizaciones es crucial

CONCLUSIONES
Los marcos de referencias como COBIT e ISO 27002
son instrumentos de alto valor en la auditora de SI
El apoyo en marcos y buenas practicas elimina la
subjetividad en actividades de auditora
La comprensin y uso de estos marcos es clave para
un Auditor de SI
La integracin de estos marcos (y otros) permite el
desarrollo de auditoras de un nivel de alcance y
profundidad mucho mayor. Nos permite hacer
mejor nuestro trabajo.

CONSULTAS

CONTACTO
Carlos Lobos Medina
Acadmico Universidad Diego Portales
CISA - CISM

Carlos.lobos@udp.cl