de Sistemas de Informacin Normativas Vinculadas Al Tema de Auditora y Seguridad en los SI
MBA Luis Elissondo
COBIT Gobernabilidad, Control y Auditora de Informacin y Tecnologas Relacionadas COBIT
C OBI T esta orientado a ser la herramienta de
gobierno de TI que ayude al entendimiento y a la
administracin de riesgos asociados con tecnologa de informacin y con tecnologas relacionadas. Productos COBIT AMBIENTE la creciente dependencia en informacin y en los sistemas que proporcionan dicha informacin la creciente vulnerabilidad y un amplio espectro de amenazas, tales como las "ciber amenazas" y la guerra de informacin la escala y el costo de las inversiones actuales y futuras en informacin y en tecnologa de informacin; y el potencial que tienen las tecnologas para cambiar radicalmente las organizaciones y las prcticas de negocio, crear nuevas oportunidades y reducir costos Destinatarios de COBIT CONTROL
Las polticas, procedimientos, prcticas y
estructuras organizacionales diseadas para Control se garantizar razonablemente que los objetivos define como del negocio sern alcanzados y que eventos no deseables sern prevenidos o detectados y corregidos
Una definicin del resultado o propsito que
Objetivo de control en se desea alcanzar implementando TI se define como procedimientos de control en una actividad de TI particular COBIT COBIT COBIT Requerimientos del Negocio COBIT Cualidades Inform. COBIT COBIT Recursos.TI COBIT Recursos.TI COBIT COBIT Dominios Marco COBIT Tabla Resumen Objetivo de Control Guia de Auditoria PO 1 Definicin de un Plan Estratgico Objetivos de control La tecnologa de la informacin como parte del plan del negocio a corto y largo plazo Plan de TI a largo plazo Adquirir el entendimiento mediante Entrevistas: Director General, Principal funcionario de finanzas, operacin, informacin. La obtencin de: Polticas y procedimentos del proceso de planificacin, los roles y las responsabilidades de la direccin. Guia de Auditoria PO 1 Definicin de un Plan Estratgico Evaluar los controles: considerando si existe una metodologa para formular los planes que abarque Las iniciativas de TI para dar soporte a la misin de la organizacin. Estudios de factibilidad de las iniciativas de TI Evaluacin de los riesgos de las iniciativas de TI Evaluar el cumplimiento verificando que: Las actas de las reuniones del comit de planificacin de la funcin de servicios de informacin reflejan el proceso de planificacin Se incluy efectivamente iniciativas relevantes de TI Guia de Auditoria PO 1 Definicin de un Plan Estratgico Sustentar el riesgo de los objetivos de control que no se logran Llevando a cabo el benchmarking de los planes de TI de organizaciones similares. Identificando los casos en que la tecnologa de la informacin no logra dar respuesta a la misin y las metas de la organizacin Otras Normativas sobre Seguridad en los Sistemas www.ifac.org Guas sobre tecnologa de la informacin: No. 1 - Managing Security of Information No. 2 - Managing Information Technology Planning for Business Impact No. 3 - Acquisition of Information Technology No. 4 - The Implementation of Information Technology Solutions No. 5 - IT Service Delivery and Support No. 6 - IT Monitoring www.ifac.org Small and Medium Practices (SMPs) Volume 1 - Controlling Computers in Business: Backup, Archive and Restore Volume 2 - Controlling Computers in Business: Physical Security Volume 3 - Controlling Computers in Business: Logical Access Security Volume 4 - Controlling Computers in Business: Selection, Implementation and Testing of Packaged Software Volume 5 - Controlling Computers in Business: Computer Disaster Recovery Planning www.ifac.org Otras publicaciones:
Board Briefing on IT Governance, 2nd Edition
Information Security Governance: Guidance for
Boards of Directors and Executive Management
E-Business and the Accountant
Normativa ISO ISO 17799: establece algunas definiciones, como por ejemplo, la definicin del concepto de seguridad informtica, por qu es necesaria la seguridad informtica?, cmo establecer los requerimientos de seguridad?, evaluacin de riesgo,etc define que los controles que se deben implementar abarcan las polticas, las prcticas, los procedimientos, las estructuras organizacionales y las funciones del software evaluacin de riesgos, la misma comprende la revisin sistemtica de los procesos, midiendo el impacto potencial de una falla de seguridad y la probabilidad de ocurrencia de la misma Normativa ISO ISO 17799 Componentes: 1- Poltica de seguridad 2- Organizacin de la seguridad 3- Clasificacin y control de los activos 4- Seguridad del personal 5- Seguridad fsica y ambiental 6- Gestin de las comunicaciones y operaciones 7- Control de accesos 8- Desarrollo y mantenimiento de sistemas 9- Administracin de la continuidad del negocio 10- Cumplimiento ISO 17.799 Poltica de Seguridad
En este punto la norma
establece el concepto de poltica de seguridad, cmo debe ser documentada y cmo debe realizarse la revisin y evaluacin. ISO 17.799 Organizacin de la Seguridad Se basa en que el problema de seguridad debe ser compartido por todos los integrantes de la organizacin y propone la creacin de un foro gerencial sobre la seguridad de la informacin, cuya funcin principal es la de coordinar la implementacin de controles de seguridad ISO 17.799 Clasificacin y Control de los Activos Trata la identificacin de los activos de informacin de la organizacin y quines son los responsables de lo mismos. As define los recursos de informacin, tales como bases de datos y archivos, pero tambin incluye otros como la documentacin de sistemas, los materiales de capacitacin, los planes de continuidad, etc. Es decir, aborda un concepto amplio de lo que es informacin. Luego incluye los recursos de software de aplicacin, los activos fsicos (equipamiento) y los servicios generales ISO 17.799 Seguridad del Personal Sostiene que la responsabilidad en materia de seguridad debe ser establecida en la etapa de reclutamiento e incluida en los aspectos contractuales, adems de ser adecuadamente monitoreada. As es que incluye qu aspectos deben ser tenidos en cuenta en la seleccin y poltica de personal, en los acuerdos de confidencialidad, los trminos y condiciones del empleo, la capacitacin de usuarios, el registro de incidentes y la existencia de un rgimen disciplinario. ISO 17.799 Seguridad Fsica y Ambiental En este punto se incluye todo aquello referido al establecimiento de actividades que impidan accesos no autorizados, daos o interferencia de la informacin. Abarca los aspectos fsicos tales como la proteccin de oficinas, recintos e instalaciones ISO 17.799 Gestin de las operaciones y comunicaciones Se establece cmo deben realizarse los procedimientos relativos al procesamiento de la informacin, planificacin y aprobacin de sistemas, proteccin contra software malicioso, mantenimiento, administracin de medios informticos removibles, intercambios de informacin y software, acuerdos de intercambio de informacin y software.. ISO 17.799 Control de Accesos Detalla las pautas para el acceso a la informacin y los procesos de negocio, abarcando los procesos de definicin de polticas de accesos, administracin de usuarios (altas, permisos, administracin de contraseas), responsabilidad del usuario, control de acceso a la red, utilizacin de utilitarios, accesos remotos, etc. ISO 17.799 Desarrollo y Mantenimiento de Sistemas Comprende lo relacionado con la explotacin de la informacin mediante la utilizacin de software comercial (adquirido) y software desarrollado por la propia organizacin. As es que incluye las mejoras y los requerimientos de seguridad, la validacin en el ingreso, el procesamiento y la salida de datos, la incorporacin de controles criptogrficos, los controles relativos al software para evitar la manipulacin del cdigo protegiendo programas fuente, los adecuados procesos de desarrollo y soporte, etc. ISO 17.799 Administracin de la continuidad del negocio El objetivo es que la organizacin siga funcionando y realizando sus actividades principales, asegurando la continuidad de los procesos crticos de la organizacin. Abarca desde el diseo del plan de continuidad, el anlisis del impacto, la implantacin, la prueba y el mantenimiento del plan. ISO 17.799 Cumplimiento
Se refiere al cumplimiento de la normativa
legal vigente en el lugar donde la organizacin desempea sus actividades. Aqu se incluyen aspectos relativos al derecho de propiedad intelectual, la proteccin de registros, la privacidad de la informacin personal, las polticas de seguridad y la auditora de sistemas. Normativa ISO 27.001 Esta norma toma el concepto de enfoque de procesos y resalta la importancia de: Entender cules son los requerimientos de la seguridad informtica de la organizacin y la necesidad de establecer polticas y objetivos de seguridad informtica. Implementar y operativizar controles para administrar los riesgos en seguridad. Monitorear y revisar el desempeo del ISMS. Proceso de mejora continua Normativa ISO 27.001 ISO 27001 Plan (establecer el ISMS): Se establece la poltica de ISMS, objetivos, procesos y procedimientos relevantes para la administracin de riesgos y mejoras de la seguridad para alcanzar las polticas y objetivos establecidos. Do (Implementar y operar el ISMS): Implementa y opera la poltica de ISMS, controles procesos y procedimientos. Check (Monitoreo y revisin del ISMS): Analiza y mide en la medida de lo posible el desempeo de los procesos relacionados con el ISMS, evala objetivos, experiencias e informa los resultados a la administracin para establecer las correcciones necesarias. Act (Mantener y Mejorar el ISMS): Realizar acciones correctivas y preventivas basadas en la auditora del ISMS, de manera tal de lograr la mejora continua del ISMS. www.ifac.org www.isaca.org Conclusiones y Preguntas