Documentos de Académico
Documentos de Profesional
Documentos de Cultura
2
ASIOP
Contenido Luis Pedrosa
• ISACA
• Cobit
• ISO 20000
• Ciberseguridad
3
Auditoria de SI vs Normas de Buenas Prácticas
ASIOP
Introducción Luis Pedrosa
• Desde hace varios años la sociedad está asistiendo a un raudal de publicaciones de normas y buenas
prácticas sobre la gestión y la seguridad de las Tecnologías de la Información y las Comunicaciones
• A pesar de la cada vez mayor utilización de las Tecnologías de la Información en la gestión y
administración de las empresas y organismos, no hay regulación formal alrededor de la función de
Auditoría de los Sistemas de Información.
• Es por ello que la práctica habitual de la auditoría se basa principalmente en:
– Regulación sobre Auditoría Financiera:
• Ley 22/2015, de 20 de julio de Auditoría de Cuentas (sector privado) o Normas de auditoría del
sector público
• Normas de Auditoría del Sector Público
• El conjunto de Normas técnicas del ICAC
– Diferentes recomendaciones y Buenas Prácticas de la Auditoría Informática y Gobierno de TI,
• ISACA
• Cobit
• ISO 20.000 / ISO 27.000
• CMMi / ITIL
– Regulación puntual específica
• Reglamento (UE) 2016/679 General de Protección de datos
• RD 3/2010 sobre el Esquema Nacional de Seguridad
• Ley 8/2011, Protección de las Infraestructuras Críticas.
5
ASIOP
Auditoría Luis Pedrosa
6
ASIOP
Problemática especifica Auditoría de SI Luis Pedrosa
7
ISACA
ASIOP
ISACA Luis Pedrosa
• En 1967 se funda la que hoy se llama Information Systems Audit and Control Association
(ISACA), siendo aún hoy la única entidad, a nivel mundial, de los auditores de SI, y que gestiona
una certificación en esta materia: Certified Information System Auditor (CISA)
• Esta asociación, que está presente en 140 países establece normas y procedimientos para la
función de auditoría de SI y los profesionales que las realizan
• En Valencia existe un capítulo (asociación local) que tiene como objetivos:
1. Promover la formación y ayudar a expandir entre sus miembros los conocimientos y
habilidades necesarios en los campos interrelacionados de la auditoría, aseguramiento de la
calidad, seguridad, auditoría y control de los Sistemas de Información.
2. Estimular el libre intercambio entre sus miembros de las técnicas, experiencias y problemas
relacionados con la auditoría y control de los Sistemas de Información, el aseguramiento de
la calidad y la seguridad de estos.
3. Promover la adecuada comunicación para mantener a sus miembros informados sobre
aquellos acontecimientos y eventos relacionados con la auditoría y control de los Sistemas
de Información, el aseguramiento de la calidad y la seguridad, que puedan ser beneficiosos
para ellos, para sus empleados o para las Empresas u Organismos donde desarrollen su
carrera profesional.
4. Informar a las empresas, auditores, universidades, profesionales de los Sistemas de
Información y público en general de la importancia de implantar los controles necesarios
para asegurar la organización y utilización eficiente de los recursos de las Tecnologías de la
Información.
9
ASIOP
Las buenas prácticas Luis Pedrosa
10
ASIOP
ITAFTM Luis Pedrosa
11
CobiT
14
ASIOP
El marco CobiT Luis Pedrosa
15
ASIOP
Principios Luis Pedrosa
1. Satisfacer
las
Necesidades
de las Partes
Interesadas
5. Separar el 2. Cubrir la
Gobierno de la Compañía de
Administración Forma Integral
Principios
CobiT 5
4. Habilitar un 3. Aplicar un
Enfoque solo Marco
Holístico Integrado
16
ASIOP
Principios Luis Pedrosa
Las necesidades de las Partes Interesadas deben ser transformadas en una estrategia
accionable para la Organización
17
ASIOP
Principios Luis Pedrosa
tecnología de la información y
relacionadas como activos que Fuente COBIT 5, Figura 8. © 2012 ISACA Todos los derechos reservados.
® ®
Organización.
Fuente COBIT® 5, Figura 9. © 2012 ISACA® Todos los derechos reservados.
18
18
ASIOP
Principios Luis Pedrosa
19
19
ASIOP
Principios Luis Pedrosa
20
ASIOP
Principios Luis Pedrosa
actividades conforme a
las directivas fijadas por
el ente de Gobierno para Dirijir
Retroalimentación Gerencial
Monitorear
22
ASIOP
Dominios y procesos Luis Pedrosa
23
ASIOP
Dominios y Procesos Luis Pedrosa
EDM01 Asegurar
que se fija el Marco EDM02 Asegurar EDM04 Asegurar EDM05 Asegurar
EDM03 Asegurar
de Gobierno y su la Entrega de Valor la Optimización de la Transparencia a
la Optimización de
Mantenimiento los Recursos las partes
los Riesgos
interesadas
MEA01 Monitorear,
Evaluar y Valorar el
APO09 Administrar Desempeño y
APO08 Administrar APO10 Administrar APO11 Administrar APO12 Administrar APO13 Administrar Cumplimiento
los Contratos de los Proveedores la Calidad los Riesgos la Seguridad
las Relaciones
Servicios
BAI01 Administrar BAI02 Administrar BAI03 Administrar BAI05 Administrar la BAI07 Administrar la
BAI04 Administrar la BAI06 Administrar
Programas y la Definición de la Identificación y Habilitación del Aceptación de
Disponibilidad y Cambios
Proyectos Requerimientos Construcción de Cambio Cambios y
Capacidad
Soluciones Transiciones MEA02 Monitorear,
Evaluar y Valorar el
Sistema de Control
Interno
24
ISO 20000
estándar reconocido internacionalmente en gestión de
servicios de TI
ASIOP
Descripción Luis Pedrosa
• Una entrega efectiva de los servicios de TI es crucial para las empresas. Hay una
percepción de que estos servicios no están alineados con las necesidades y requisitos
del negocio. Esto es especialmente importante tanto si se proporciona servicios
internamente a clientes como si se está subcontratando proveedores. Una manera de
demostrar que los servicios de TI están cumpliendo con las necesidades del negocio
es implantar un Sistema de Gestión de Servicios de TI (SGSTI) basado en los
requisitos de la norma ISO/IEC 20000. La certificación en esta norma internacional
permite demostrar de manera independiente que los servicios ofrecidos cumplen con
las mejores prácticas.
• La ISO/IEC 20000 es totalmente compatible con la ITIL (IT Infrastructure Library), o
guía de mejores prácticas para el proceso de GSTI. La diferencia es que el ITIL no es
medible y puede ser implantado de muchas maneras, mientras que en la ISO/IEC
20000, las organizaciones deben ser auditadas y medidas frente a un conjunto
establecido de requisitos.
• La ISO/IEC 20000 es aplicable a cualquier organización, pequeña o grande, en
cualquier sector o parte del mundo donde confían en los servicios de TI. La norma es
particularmente aplicable para proveedores de servicios internos de TI, tales como
departamentos de Información Tecnológica, proveedores externos de TI o incluso
organizaciones subcontratadas. La norma está impactando positivamente en algunos
de los sectores que necesitan TI tales como subcontratación de negocios,
Telecomunicaciones, Finanzas y el Sector Público.
ASIOP
Organización de un Sistema de Gestión de Servicios TI Luis Pedrosa
27
ASIOP
Organización Luis Pedrosa
El estándar se compone de 5 partes, de las cuales cuatro están ya publicadas y una en proceso de
publicación:
• Parte 1: Requisitos de los sistemas de gestión de servicios
• Parte 2: Guía de implementación de los sistemas de gestión de servicios
• Parte 3: Guía en la definición del alcance y la aplicabilidad (informe técnico)
• Parte 4: Modelo de referencia de procesos (informe técnico)
• Parte 5: Ejemplo de implementación (informe técnico)
La primera parte (Especificación) define los requerimientos (217) necesarios para realizar una entrega de
servicios de TI alineados con las necesidades del negocio, con calidad y valor añadido para los clientes,
asegurando una optimización de los costes y garantizando la seguridad de la entrega en todo momento. El
cumplimiento de esta parte, garantiza además, que se está realizando un ciclo de mejora continuo en la
gestión de servicios de TI. La especificación supone un completo sistema de gestión (organizado según ISO
9001) basado en procesos de gestión de servicio, políticas, objetivos y controles. El marco de procesos
diseñado se organiza con base en los siguientes bloques:
• Grupo de procesos de Provisión del Servicio.
• Grupo de procesos de Control.
• Grupo de procesos de Entrega.
• Grupo de procesos de Resolución.
• Grupo de procesos de Relaciones.
La segunda parte (Código de Prácticas) representa el conjunto de buenas prácticas adoptadas y aceptadas
por la industria en materia de Gestión de Servicio de TI. Está basada en el estándar de facto ITIL (Biblioteca
de Infraestructura de TI) y sirve como guía y soporte en el establecimiento de acciones de mejora en el
servicio o preparación de auditorías contra el estándar.
28
ISO 27000
estándar reconocido internacionalmente que proporcionan un
marco de gestión de la seguridad de la información
ASIOP
Descripción Luis Pedrosa
Además de estas dos series, podemos agregar las siguientes que conforman la familia:
• ISO 27000: aún en desarrollo, será una especia de diccionario con vocabulario
estandard para todas las normas de la familia.
• IS 27003: es un soporte a la norma 27001, que incluye directivas para la
implementación de un Sistema de Gestión de Seguridad de la Información. Fue
publicada en febrero de 2010.
• ISO 27004: incluye métricas para la gestión de la seguridad de la información.
Publicada en diciembre de 2009.
• ISO 27005: normativa dedicada exclusivamente a la gestión de riesgos en seguridad
de la información. Fue publicada en junio de 2008.
Las normativas permiten a las organizaciones presentar y certificar un nivel de calidad
ante sus usuarios y el público en general. Aunque en un principio fueron de interés para
las grandes empresas, las normas ISO 27000 están siendo consideradas también por
medianas empresas en el Latinoamérica y el mundo. Además, las normas sirven para
tener una guía de buenas prácticas que pueden ser de utilidad, incluso si la organización
no desea o puede certificar la misma.
CMMi
Modelo de evaluación de buenas prácticas en desarrollo
ASIOP
Introducción Luis Pedrosa
34
ASIOP
Niveles Luis Pedrosa
1.Ejecutado- Inicial
2.Administrado -
Gestionado
3.Definido
4.Administrado -
Gestionado
Cuantitativamente
5.Optimizado
35
ASIOP
Niveles Luis Pedrosa
Inicial
• La organización en este nivel no dispone de un ambiente estable para el desarrollo y
mantenimiento de productos y servicios.
Administrado
• En la organización que se encuentra en este nivel algunas áreas organizacionales y/o
proyectos han alcanzado las metas genéricas y específicas establecidas en sus áreas
de proceso, es decir planean sus procesos, los ejecutan, los miden y los controlan.
Definido
• Tienen los procesos caracterizados, entendidos por los ejecutores, descritos mediante
estándares, procedimientos, métodos y herramientas.
Administrado Cuantitativamente
• La organización selecciona y administra las actividades que contribuyen
perceptiblemente al funcionamiento de proceso total. Estas actividades seleccionadas
son controladas con técnicas estadísticas y otras técnicas cuantitativas.
Optimizado
• Los procesos de la organización son mejorados continuamente basados en una
comprensión cuantitativa de las causas comunes de variación inherentes a los
procesos. El nivel 5 está centrado en mejorar continuamente el desempeño de los
procesos con mejoras tecnológicas incrementales e innovadoras.
36
ASIOP
Esquema Luis Pedrosa
37
ASIOP
Aplicación del modelo CMMi Luis Pedrosa
38
ITIL
ASIOP
Introducción Luis Pedrosa
41
ASIOP
Gestión de Servicios TI Luis Pedrosa
Provisión del
Servicio
Soporte al
Servicio
42
ASIOP
Provisión del Servicio Luis Pedrosa
43
ASIOP
Soporte al servicio Luis Pedrosa
Centro de Servicios
44
ASIOP
Soporte al servicio Luis Pedrosa
45
ASIOP
Soporte al servicio Luis Pedrosa
Centro de Servicios
• La Gestión de Incidentes tiene como objetivo resolver cualquier incidente que La que se
preocupa de
cause una interrupción en el servicio de la manera más rápida y eficaz posible. encontrar y
analizar las
• La Gestión de Incidentes no debe confundirse con la Gestión de Problemas, causas
subyacentes
pues a diferencia de esta última, no se preocupa de encontrar y analizar las es la Gestión
causas subyacentes a un determinado incidente sino exclusivamente a de Problemas
restaurar el servicio. Sin embargo, es obvio, que existe una fuerte interrelación y no la
Gestión de
entre ambas. Incidentes.
46
ASIOP
Soporte al servicio Luis Pedrosa
47
ASIOP
Resumen Luis Pedrosa
Los datos personales se clasifican en función de su mayor o menor grado de sensibilidad, siendo los
requisitos legales y de medidas de seguridad informáticas más estrictos en función de dicho mayor
grado de sensibilidad, siendo obligatorio por otro lado, en todo caso la declaración de los ficheros de
protección de datos a la "Agencia Española de Protección de Datos".
Los interesados a los que se soliciten datos personales deberán ser previamente informados de
modo expreso, preciso e inequívoco:
1.De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la
recogida de éstos y de los destinatarios de la información.
2.Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
3.De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
4.De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
5.De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.
solicita
Se permite sin embargo, el tratamiento de datos de carácter personal sin haber sido recabados
dos
directamente del afectado o interesado, aunque no se exime de la obligación de informar de forma
expresa, precisa e inequívoca, por parte del responsable del fichero o su representante, dentro de los
tres meses siguientes al inicio del tratamiento de los datos.
Excepción: No será necesaria la comunicación en tres meses de dicha información si los datos han
sido recogidos de "fuentes accesibles al público" y se destinan a la actividad de publicidad o
prospección comercial, en este caso "en cada comunicación que se dirija al interesado se le
informará del origen de los datos y de la identidad del responsable del tratamiento así como de los
derechos que le asisten".
51
ASIOP
Consentimiento Luis Pedrosa
52
ASIOP
Comunicación de datos Luis Pedrosa
Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para
el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del
cesionario con el previo consentimiento del interesado.
El consentimiento exigido en el apartado anterior no será preciso:
• Cuando la cesión está autorizada en una ley.
• Cuando se trate de datos recogidos de fuentes accesibles al público.
• Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo
desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con
ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la
finalidad que la justifique.
• Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el
Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las
funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación
tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del
Pueblo o al Tribunal de Cuentas.
• Cuando la cesión se produzca entre Administraciones públicas y tenga por objeto el tratamiento
posterior de los datos con fines históricos, estadísticos o científicos.
• Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar
una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en
los términos establecidos en la legislación sobre sanidad estatal o autonómica.
53
ASIOP
Acceso a datos por cuenta de terceros Luis Pedrosa
54
Esquema Nacional de Seguridad
ASIOP
Objetivos ESQUEMA NACIONAL DE SEGURIDAD (ENS) Luis Pedrosa
56
ASIOP
Adecuación al Esquema Nacional de Seguridad Luis Pedrosa
57
ciberseguridad
5 años
ASIOP
Infraestructuras críticas Luis Pedrosa
Conforme a la Ley 8/2011, para que una infraestructura de TI se considere crítica debe:
• Ser necesaria para el suministro de servicios esenciales (agua, energía, transporte,
etc.
• Ser indispensable por no disponer de solución alternativa Ser única
• Sectores Afectados
2015 / 2016
• Alimentación
2014
• Tecnologías Información y
• Electricidad
Comunicaciones
• Petróleo
• Agua
• Gas
• Administración Pública
• Nuclear
• Espacio
• Finanzas
• Investigación
• Administración
• Salud
• Tributaria
• Químico
• Transporte
61
ASIOP
Obligaciones Luis Pedrosa
• Un Plan de Protección Específico (PPE) para cada una de las infraestructuras que
haya sido identificada como crítica por el Centro Nacional para la Protección de las
Infraestructuras Críticas (CNPIC)
62
ASIOP
Procedimiento regulador Luis Pedrosa
Operador Crítico:
Identificación y valoración de las
Propietario o gestor de una
infraestructuras
infraestructura crítica
CNPIC – Operador
Art. 2 Ley 08/2011 PIC
63
¿Dudas?