Documentos de Académico
Documentos de Profesional
Documentos de Cultura
#233
Seguridad desde el punto de vista SOX y
Gobernalidad
Preparada por
José Ángel Peña Ibarra
CCISA-Alintec
México
Agenda
1. Sarbanes Oxley
2. Gobierno Corporativo y de TI.
3. Implicaciones de Seguridad en SOX.
4. Utilización de Cobit e ISO 17799 para
cumplimiento.
5. Objetivos de control de seguridad para
cumplimiento
2
1. Sarbanes Oxley
3
Sarbanes Oxley
SOX requiere:
– Certificación de la administración acerca del control interno
de la compañía.
– Reporte de controles internos en información financiera.
4
Secciones de Sarbanes Oxley
Algunas secciones clave:
5
Marco de control para SOX
6
Marco COSO
Componentes de control interno.
– Efectividad de operaciones
– Confianza de los reportes financieros
– Cumplimiento con regulaciones aplicables.
7
Marco COSO
8
Agenda
1. Sarbanes Oxley
2. Gobierno Corporativo y de TI.
3. Implicaciones de Seguridad en SOX.
4. Utilización de Cobit e ISO 17799 para
cumplimiento.
5. Objetivos de control de seguridad para
cumplimiento
9
Gobierno Corporativo
10
Principios de Gobierno Corporativo
15
Convergencia con Gobierno corporativo
16
Gobierno de TI en el Gobierno Corporativo
17
18
Gobierno de TI
19
The IT Governance Solution
Va
gic t lu
e
te n De
tr a me liv
S gn er
i
Al y
IT
ent
Man ource
Perf uremen
Governance
Mea
agem
orm
s
Res
anc t
e
Risk
Management
20
Gobierno de TI
21
Agenda
1. Sarbanes Oxley
2. Gobierno Corporativo y de TI.
3. Implicaciones de Seguridad en
SOX.
4. Utilización de Cobit e ISO 17799 para
cumplimiento.
5. Objetivos de control de seguridad para
cumplimiento
22
Implicaciones de seguridad en SOX
23
Implicaciones de seguridad en SOX
24
Jerarquía de control
Los controles corporativos
deben estar soportados por
controles de seguridad:
Controles Corporativos
COSO
Controles de TI CobiT
ITIL
Controles de
ISO 17799
seguridad
25
Seguridad de la información provee los
procesos y tecnología necesarios para
asegurar que las transacciones de negocios
son confiables, que los servicios de TI son
utilizables y que pueden resistir o
recuperarse de fallas debidas a errores,
ataques deliberados o desastres.
26
Fuente: IT Governance Global Status
27 Report – 2006.
Agenda
1. Sarbanes Oxley
2. Gobierno Corporativo y de TI.
3. Implicaciones de Seguridad en SOX.
4. Utilización de Cobit e ISO 17799
para cumplimiento.
5. Objetivos de control de seguridad para
cumplimiento
28
CobiT
29
CobiT
CobiT ha evolucionado de ser una herramienta de
auditoría a ser un marco de referencia de gobierno de TI.
30
Enfoque de CobiT 4.0
• En gobierno de TI.
• Flujo de procesos.
31
• 4 dominios
• 34 procesos
32
Modelo de madurez
33
Modelo de madurez genérico
34
SOX
35
ISO 17799
36
Marco Metodológico ISO 17799
Políticas de Seguridad
Seguridad en la organización
Control y clasificación de activos
Seguridad en el personal de la
organización
Seguridad física y ambiental
Administración de operaciones y
Dominio comunicaciones
Control de accesos
Desarrollo y mantenimiento de
sistemas
Administración de la continuidad
de las operaciones del negocio
Acatamiento de leyes y normas
1. Sarbanes Oxley
2. Gobierno Corporativo y de TI.
3. Implicaciones de Seguridad en SOX.
4. Utilización de Cobit e ISO 17799 para
cumplimiento.
5. Objetivos de control de seguridad
para cumplimiento
39
Fuente: System Experts
40
Funciones Críticas de TI para seguridad
41
42
Ejemplos
de
pruebas al
control
43
Áreas
dónde
debe haber
¿Les recuerda algún estándares
conjunto de mejores practicas?
45
Fuente: IT Control Objectives for Sarbanes Oxley, 2nd Edition, ITGI
Control de no-repudiación
49
¡Gracias!
50
Monterrey, México
21 a 24 octubre 2007
2007
51