Auditoría de Controles

usando
COBIT 5 e ISO 27002

Carlos Lobos Medina, CISA, CISM

Academico
Universidad Diego Portales
AGENDA

Controles de TI
Modelos de Buenas Practicas
Auditoría de Controles
Caso Práctico
Conclusiones
ROL DE LAS TI
 OBJETIVOS DE LAS EMPRESAS

COBIT 5.0 – Procesos Catalizadores

 OBJETIVOS DE LAS TI

COBIT 5.0 – Procesos Catalizadores

 CONTROLES DE TI

Los controles se diseñan para brindar una garantía

razonable de que se logren los objetivos del negocio

Los controles se diseñan para brindar una garantía

razonable de que eventos no deseados puedan
evitarse, detectase y/o corregirse

Manual de Preparación Examen CRISK 2014

 CONTROLES DE TI

¿EXISTIRAN CONTROLES QUE PERMITAN GARANTIZAR

DE MANERA RAZONABLE QUE LOS SERVICIOS DE TI SE
ENTREGAN DE ACUERDO A LOS REQUISITOS DEL
NEGOCIO?

Manual de Preparación Examen CRISK 2014

 ALCANCE CONTROLES DE TI

CONTROLES DEL NEGOCIO • Objetivos del Negocio

• Requerimientos
• Regulaciones
• Riesgo del Negocio

CONTROLES GENERALES • Políticas

• Procedimientos de Operación

CONTROLES DE APLICACIÓN • Sistema Operativo

• Aplicaciones
• Base de Datos
• Dispositivos de Red

Manual de Preparación Examen CRISK 2014

 CATEGORÍA DE CONTROLES DE TI

CONTROLES COMPENSATORIOS

CONTROLES CORRECTIVOS

CONTROLES DETECTIVOS

CONTROLES DISUASIVOS

CONTROLES PREVENTIVOS

Manual de Preparación Examen CRISK 2014

 INTERDEPENDENCIA DE CONTROLES
AMENAZA

Reduce
Factibilidad CONTROL
CONTROL Descubre EVENTO DE
COMPENSATORIO
DETECTIVO AMENAZA DISUASIVO

Activa Explota

VULNERABILIDAD
Protege
CONTROL
PREVENTIVO
Provoca
Reduce IMPACTO
Disminuye

CONTROL
Manual de Preparación Examen CRISK 2014 CORRECTIVO
ENTORNO DE TI

GTAG N°4 – Management of IT Auditing – The IIA.

LAS TI EN LA ACTUALIDAD

OBJETIVOS DEL NEGOCIO IMPULSADOS POR TI

FACTOR CLAVE DE DIFERENCIACIÓN

TOMA DE DECISIONES DE MAYOR IMPACTO

AUMENTO DE LOS NIVELES DE DEPENDENCIA

NIVELES OPERATIVOS DE RIESGO ELEVADOS

AUMENTO EN LA COMPLEJIDAD Y HETEROGENEIDAD

MAYOR INTEGRACIÓN Y FLEXIBILIDAD

¿Cómo saber si los controles existentes
brindan una garantía razonable de que
se logren los objetivos del negocio?

¿Cómo saber si los controles existentes

brindan una garantía razonable de que
eventos no deseados puedan evitarse,
detectase y/o corregirse?
MARCOS Y BUENAS PRÁCTICAS

ISO 31000
Gestión de Riesgos

ISO 27000
Gestión de Seguridad de la
COBIT Información (SGSI)
Gobernabilidad
de TI
ISO 22301
Gestión de Continuidad
Negocio

ISO 20000
Gestión de servicios de TI
ITIL
BENEFICIOS DE LA ADOPCIÓN

RECOGEN MEJORES PRACTICAS EN LA MATERIA

ALTA ACEPTACIÓN A NIVEL INTERNACIONAL

ALTA APLICABILIDAD EN CUALQUIER TIPO DE ORGANIZACIÓN

REQUISITOS GENERICOS Y NEUTRALES TECNOLOGICAMENTE

PROPORCIONAN DIRECTRICES DE IMPLEMENTACIÓN

PROVEEN DE ELEMENTOS DE CONTROL Y MEDICIÓN

OTORGAN UNA LINEA BASE PARA LA CONDUCCIÓN DE

ACTIVIDADES DE AUDITORÍA
COBIT 5.0

REEMPLAZA EL 2012 A COBIT 4.1

FOCO EN EL GOBIERNO DE TECNOLOGÍAS DE INFORMACIÓN

RECOGE BUENAS PRACTICAS DE DIVERSOS MARCOS

DEFINE 5 PRINCIPIOS

ESTABLECE 7 CATALIZADORES

PROPORCIONA 37 PROCESOS CATALIZADORES

PROPORCIONA UNA FAMILIA DE PRODUCTOS

EVOLUCIÓN DE COBIT 5.0
COBIT 5.0 – PROCESOS CATALIZADORES
ISO 27002:2013

OBJETIVOS
REEMPLAZA
DEL NEGOCIO
A ISOIMPULSADOS
27002:2005 POR TI

FOCO EN CONTROLES
FACTOR CLAVE
DE SEGURIDAD
DE DIFERENCIACIÓN
DE LA INFORMACIÓN

REESTRUCTURA
TOMA DE DECISIONES
LOS DOMINIOS
DE MAYOR
DE IMPACTO
CONTROL

AUMENTO
DEFINE DE
15 LOS
DOMINIOS
NIVELESDE
DESEGURIDAD
DEPENDENCIA

NIVELES
ESTABLECE
OPERATIVOS
34 OBJETIVOS
DE RIESGO
DE CONTROL
ELEVADOS

LINEAMIENTOS
AUMENTO ENDE
LAIMPLEMENTACIÓN
COMPLEJIDAD Y HETEROGENEIDAD
DE 114 CONTROLES

SEMAYOR
VINCULA
INTEGRACIÓN
UNA FAMILIAY DE
FLEXIBILIDAD
PRODUCTOS
EVOLUCIÓN SERIE ISO 27000
ISO 27002:2013 - DOMINIOS

Política de seguridad de la Información

Organización de la seguridad de la información
Seguridad de recursos humanos
Administración de activos
Control de accesos
Criptografía
Seguridad física y ambiental
Seguridad de operaciones
Seguridad de comunicaciones
Adquisición, desarrollo y mantención de sistemas
Relaciones con proveedores
Administración de incidentes de seguridad
Continuidad de la seguridad de la información
Cumplimiento
DESAFIO DE LA AUDITORÍA DE CONTROLES

Un reto al que se enfrentan los auditores, cuando

llevan a cabo una auditoría de TI, es saber contra
qué deben auditar.

Muchas organizaciones no han desarrollado

completamente sus líneas de base para los
controles de TI en todas las aplicaciones y
tecnologías.
POSIBLES ESCENARIOS

ESCENARIO 1: La organización ha adoptado uno o

más marcos de referencia para la gestión y
operación de las TI

ESCENARIO 2: La organización ha desarrollado un

propio de marco de referencia para la gestión y
operación de las TI

ESCENARIO 3: La organización no posee un marco de

referencia para la gestión y operación de las TI
ESCENARIOS 1

ESCENARIO 1: La organización ha adoptado uno o

más marcos de referencia para la gestión y
operación de las TI

Seleccionar controles claves del marco adoptado

Evaluar efectividad de los controles seleccionados

ESCENARIO 2

ESCENARIO 2: La organización ha desarrollado un

propio marco de referencia para la gestión y
operación de las TI

Seleccionar controles claves del marco desarrollado

Complementar con marcos de referencia relacionados

Evaluar efectividad de los controles

ESCENARIO 3

ESCENARIO 3: La organización no posee un marco de

referencia para la gestión y operación de las TI

Identificar los marcos aplicables a la labor auditoría

Seleccionar controles claves del marco adoptado

Identificar criterios de auditoría específicos

Evaluar efectividad de los controles

BENEFICIOS PARA EL AUDITOR TI

Un auditor de TI puede hacer uso de estas normas

como líneas de base para realizar su auditoría en
referencia a ellas.

También pueden ser útiles para informar sobre

deficiencias dado que se elimina la subjetividad.

Si se compara la afirmación: “sería conveniente

mejorar la seguridad de las contraseñas” con “las
contraseñas no están en conformidad con la
normativa ISO 27001 sobre seguridad de la
información”
ANALISIS DE CASO
ANTECEDENTES DEL CASO

ERRORES EN EL SOFTWARE

DEFICIENTE ESTIMACIÓN DE RENDIMIENTO

DEFICIENTE ESTIMACIÓN DE CAPACIDAD

FALTA DE CAPACITACIÓN

FALTA DE PERSONAL CLAVE

MALA GESTIÓN DE EXTERNALIZACIÓN

PROBLEMAS DE CONTINUIDAD DEL NEGOCIO

¿QUE CONTROLES AUDITAR?
EJEMPLO DE APLICACIÓN

PASO 1: Identificar los marcos aplicables

COBIT ISO 27002

Gobernabilidad Controles de Seguridad de
de TI la Información

PASO 2: Seleccionar controles claves

Identificar procesos (COBIT) y dominios (ISO 27002)

COBIT 5.0 – PROCESOS CATALIZADORES
PASO 3: Identificar criterios de auditoría específicos

COBIT

 APO07.01 Mantener la dotación de personal suficiente y adecuada

 APO09.04 Supervisar e informar de los niveles de servicio
 APO09.05 Revisar acuerdos de servicio y contratos
 APO10.05 Supervisar el cumplimiento y el rendimiento del proveedor
 BAI04.01 Evaluar la disponibilidad, rendimiento y capacidad actual y
crear una línea de referencia
 BAI04.02 Evaluar el impacto en el negocio
 BAI04.04 Supervisar y revisar la disponibilidad y la capacidad
 BAI06.01 Evaluar, priorizar y autorizar peticiones de cambio
 BAI07.02 Planificar la conversión de procesos de negocio, sistemas y
datos
 BAI07.05 Ejecutar pruebas de aceptación
 DSS04.03 Desarrollar e implementar una respuesta a la continuidad del
negocio
 DSS04.04 Ejercitar, probar y revisar el BCP.
 PASO 3: Identificar criterios de auditoría específicos

COBIT 5.0 - ISACA

ISO 27002:2013 - DOMINIOS

Política de seguridad de la Información

Organización de la seguridad de la información
Seguridad de recursos humanos
Administración de activos
Control de accesos
Criptografía
Seguridad física y ambiental
Seguridad de operaciones
Seguridad de comunicaciones
Adquisición, desarrollo y mantención de sistemas
Relaciones con proveedores
Administración de incidentes de seguridad
Continuidad de la seguridad de la información
Cumplimiento
PASO 3: Identificar criterios de auditoría específicos

ISO 27002
Controles de Seguridad de la Información

 12.1.2 Administración de Cambios

 12.1.3 Administración de Capacidad
 12.5.1 Instalación de Software en Sistemas Operacionales
 14.2.2 Procedimientos de gestión de cambios
 14.2.3 Revisión técnica de las aplicaciones después de los cambios
en la plataforma operativa
 14.2.9 Pruebas de aceptación del sistema
 15.2.1 Monitoreo y revisión de los servicios del proveedor
 15.2.2 Administración de cambios en los servicios del proveedor
 17.1.1 Planificación de la continuidad de la SI
 17.1.2 Implementación de la continuidad de la SI
 17.1.3 Verificar, revisar y evaluar la continuidad de la SI
 PASO 3: Identificar criterios de auditoría específicos

ISO 27002:2013
PASO 4: Evaluar la efectividad de los controles

CRITERIOS PROCEDIMIENTOS
DE AUDITORÍA
Objetivos de Negocio
Auditoría Procedimental
Regulaciones
Auditoría Cumplimiento

COBIT 5.0 Auditoría de Controles

ISO 27002 Auditoría basada en

Riesgos
Contexto Riesgo
CONCLUSIONES

La necesidad de implementar controles dependerá

de los objetivos del negocio

El entorno de control en el ámbitos de las TI es

complejo

La definición de un marco de referencia de TI al

interior de las organizaciones es crucial
CONCLUSIONES

Los marcos de referencias como COBIT e ISO 27002

son instrumentos de alto valor en la auditoría de SI

El apoyo en marcos y buenas practicas elimina la

subjetividad en actividades de auditoría

La comprensión y uso de estos marcos es clave para

un Auditor de SI

La integración de estos marcos (y otros) permite el

desarrollo de auditorías de un nivel de alcance y
profundidad mucho mayor…. Nos permite hacer
mejor nuestro trabajo.
CONSULTAS
CONTACTO

Carlos Lobos Medina

Académico Universidad Diego Portales
CISA - CISM

Carlos.lobos@udp.cl