• No se han encontrado resultados

Auditoría de Controles usando COBIT 5 e ISO 27002

N/A
N/A
Info
Descargar
Protected

Academic year: 2021

Share "Auditoría de Controles usando COBIT 5 e ISO 27002"

Copied!
42
0
0

Cargando.... (Ver texto completo ahora)

Descargar ahora ( 42 página )

Texto completo

(1)

Auditoría de Controles

usando

COBIT 5 e ISO 27002

Carlos Lobos Medina, CISA, CISM Academico

(2)

AGENDA

Controles de TI

Modelos de Buenas Practicas

Auditoría de Controles

Caso Práctico

Conclusiones

(3)
(4)

OBJETIVOS DE LAS EMPRESAS

(5)

OBJETIVOS DE LAS TI

(6)

CONTROLES DE TI

Los controles se diseñan para brindar una garantía razonable de que se logren los objetivos del negocio

Los controles se diseñan para brindar una garantía razonable de que eventos no deseados puedan

evitarse, detectase y/o corregirse

(7)

CONTROLES DE TI

¿EXISTIRAN CONTROLES QUE PERMITAN GARANTIZAR DE MANERA RAZONABLE QUE LOS SERVICIOS DE TI SE

ENTREGAN DE ACUERDO A LOS REQUISITOS DEL NEGOCIO?

(8)

ALCANCE CONTROLES DE TI

CONTROLES GENERALES

CONTROLES DE APLICACIÓN

Manual de Preparación Examen CRISK 2014

CONTROLES DEL NEGOCIO • Objetivos del Negocio

• Requerimientos • Regulaciones

• Riesgo del Negocio

• Políticas • Procedimientos de Operación • Sistema Operativo • Aplicaciones • Base de Datos • Dispositivos de Red

(9)

CATEGORÍA DE CONTROLES DE TI

CONTROLES CORRECTIVOS

Manual de Preparación Examen CRISK 2014

CONTROLES COMPENSATORIOS

CONTROLES DETECTIVOS CONTROLES DISUASIVOS CONTROLES PREVENTIVOS

(10)

INTERDEPENDENCIA DE CONTROLES

CONTROL CORRECTIVO

Manual de Preparación Examen CRISK 2014

CONTROL COMPENSATORIO DISUASIVO CONTROL DETECTIVO CONTROL PREVENTIVO EVENTO DE AMENAZA AMENAZA VULNERABILIDAD IMPACTO Reduce Protege Provoca Disminuye Activa Descubre Explota Reduce Factibilidad

(11)

ENTORNO DE TI

(12)

LAS TI EN LA ACTUALIDAD

FACTOR CLAVE DE DIFERENCIACIÓN

AUMENTO DE LOS NIVELES DE DEPENDENCIA NIVELES OPERATIVOS DE RIESGO ELEVADOS

TOMA DE DECISIONES DE MAYOR IMPACTO OBJETIVOS DEL NEGOCIO IMPULSADOS POR TI

AUMENTO EN LA COMPLEJIDAD Y HETEROGENEIDAD MAYOR INTEGRACIÓN Y FLEXIBILIDAD

(13)

¿Cómo saber si los controles existentes

brindan una garantía razonable de que

se logren los objetivos del negocio?

¿Cómo saber si los controles existentes

brindan una garantía razonable de que

eventos no deseados puedan evitarse,

detectase y/o corregirse?

(14)

MARCOS Y BUENAS PRÁCTICAS

ISO 27000 Gestión de Seguridad de la Información (SGSI) COBIT Gobernabilidad de TI ISO 20000 Gestión de servicios de TI ITIL ISO 31000 Gestión de Riesgos ISO 22301 Gestión de Continuidad Negocio

(15)

BENEFICIOS DE LA ADOPCIÓN

ALTA ACEPTACIÓN A NIVEL INTERNACIONAL

REQUISITOS GENERICOS Y NEUTRALES TECNOLOGICAMENTE PROPORCIONAN DIRECTRICES DE IMPLEMENTACIÓN

ALTA APLICABILIDAD EN CUALQUIER TIPO DE ORGANIZACIÓN RECOGEN MEJORES PRACTICAS EN LA MATERIA

PROVEEN DE ELEMENTOS DE CONTROL Y MEDICIÓN

OTORGAN UNA LINEA BASE PARA LA CONDUCCIÓN DE ACTIVIDADES DE AUDITORÍA

(16)

COBIT 5.0

FOCO EN EL GOBIERNO DE TECNOLOGÍAS DE INFORMACIÓN

DEFINE 5 PRINCIPIOS ESTABLECE 7 CATALIZADORES

RECOGE BUENAS PRACTICAS DE DIVERSOS MARCOS REEMPLAZA EL 2012 A COBIT 4.1

PROPORCIONA 37 PROCESOS CATALIZADORES PROPORCIONA UNA FAMILIA DE PRODUCTOS

(17)
(18)
(19)

ISO 27002:2013

FACTOR CLAVE DE DIFERENCIACIÓN

AUMENTO DE LOS NIVELES DE DEPENDENCIA NIVELES OPERATIVOS DE RIESGO ELEVADOS

TOMA DE DECISIONES DE MAYOR IMPACTO OBJETIVOS DEL NEGOCIO IMPULSADOS POR TI

AUMENTO EN LA COMPLEJIDAD Y HETEROGENEIDAD MAYOR INTEGRACIÓN Y FLEXIBILIDAD

FOCO EN CONTROLES DE SEGURIDAD DE LA INFORMACIÓN

DEFINE 15 DOMINIOS DE SEGURIDAD ESTABLECE 34 OBJETIVOS DE CONTROL REESTRUCTURA LOS DOMINIOS DE CONTROL

REEMPLAZA A ISO 27002:2005

LINEAMIENTOS DE IMPLEMENTACIÓN DE 114 CONTROLES SE VINCULA UNA FAMILIA DE PRODUCTOS

(20)
(21)

ISO 27002:2013 - DOMINIOS

Política de seguridad de la Información Organización de la seguridad de la información

Seguridad de recursos humanos Administración de activos

Control de accesos Criptografía

Seguridad física y ambiental Seguridad de operaciones Seguridad de comunicaciones

Adquisición, desarrollo y mantención de sistemas Relaciones con proveedores

Administración de incidentes de seguridad Continuidad de la seguridad de la información

(22)

DESAFIO DE LA AUDITORÍA DE CONTROLES

Un reto al que se enfrentan los auditores, cuando llevan a cabo una auditoría de TI, es saber contra qué deben auditar.

Muchas organizaciones no han desarrollado completamente sus líneas de base para los controles de TI en todas las aplicaciones y tecnologías.

(23)

POSIBLES ESCENARIOS

ESCENARIO 1: La organización ha adoptado uno o más marcos de referencia para la gestión y operación de las TI

ESCENARIO 2: La organización ha desarrollado un propio de marco de referencia para la gestión y operación de las TI

ESCENARIO 3: La organización no posee un marco de referencia para la gestión y operación de las TI

(24)

ESCENARIOS 1

ESCENARIO 1: La organización ha adoptado uno o más marcos de referencia para la gestión y operación de las TI

Seleccionar controles claves del marco adoptado Evaluar efectividad de los controles seleccionados

(25)

ESCENARIO 2

ESCENARIO 2: La organización ha desarrollado un propio marco de referencia para la gestión y operación de las TI

Seleccionar controles claves del marco desarrollado

Evaluar efectividad de los controles

(26)

ESCENARIO 3

ESCENARIO 3: La organización no posee un marco de referencia para la gestión y operación de las TI

Identificar los marcos aplicables a la labor auditoría

Evaluar efectividad de los controles

Identificar criterios de auditoría específicos

(27)

BENEFICIOS PARA EL AUDITOR TI

Un auditor de TI puede hacer uso de estas normas como líneas de base para realizar su auditoría en referencia a ellas.

También pueden ser útiles para informar sobre deficiencias dado que se elimina la subjetividad.

Si se compara la afirmación: “sería conveniente mejorar la seguridad de las contraseñas” con “las contraseñas no están en conformidad con la normativa ISO 27001 sobre seguridad de la información”

(28)
(29)

ANTECEDENTES DEL CASO

DEFICIENTE ESTIMACIÓN DE RENDIMIENTO

FALTA DE CAPACITACIÓN FALTA DE PERSONAL CLAVE

DEFICIENTE ESTIMACIÓN DE CAPACIDAD ERRORES EN EL SOFTWARE

MALA GESTIÓN DE EXTERNALIZACIÓN PROBLEMAS DE CONTINUIDAD DEL NEGOCIO

(30)
(31)

EJEMPLO DE APLICACIÓN

PASO 1: Identificar los marcos aplicables

ISO 27002 Controles de Seguridad de la Información COBIT Gobernabilidad de TI

PASO 2: Seleccionar controles claves

(32)
(33)

PASO 3: Identificar criterios de auditoría específicos

COBIT

 APO07.01 Mantener la dotación de personal suficiente y adecuada  APO09.04 Supervisar e informar de los niveles de servicio

 APO09.05 Revisar acuerdos de servicio y contratos

APO10.05 Supervisar el cumplimiento y el rendimiento del proveedor  BAI04.01 Evaluar la disponibilidad, rendimiento y capacidad actual y

crear una línea de referencia

BAI04.02 Evaluar el impacto en el negocio

 BAI04.04 Supervisar y revisar la disponibilidad y la capacidad  BAI06.01 Evaluar, priorizar y autorizar peticiones de cambio

 BAI07.02 Planificar la conversión de procesos de negocio, sistemas y datos

BAI07.05 Ejecutar pruebas de aceptación

 DSS04.03 Desarrollar e implementar una respuesta a la continuidad del negocio

(34)

PASO 3: Identificar criterios de auditoría específicos

(35)

ISO 27002:2013 - DOMINIOS

Política de seguridad de la Información Organización de la seguridad de la información

Seguridad de recursos humanos Administración de activos

Control de accesos Criptografía

Seguridad física y ambiental Seguridad de operaciones Seguridad de comunicaciones

Adquisición, desarrollo y mantención de sistemas Relaciones con proveedores

Administración de incidentes de seguridad Continuidad de la seguridad de la información

(36)

PASO 3: Identificar criterios de auditoría específicos

ISO 27002

Controles de Seguridad de la Información

 12.1.2 Administración de Cambios  12.1.3 Administración de Capacidad

 12.5.1 Instalación de Software en Sistemas Operacionales  14.2.2 Procedimientos de gestión de cambios

 14.2.3 Revisión técnica de las aplicaciones después de los cambios en la plataforma operativa

 14.2.9 Pruebas de aceptación del sistema

 15.2.1 Monitoreo y revisión de los servicios del proveedor

15.2.2 Administración de cambios en los servicios del proveedor  17.1.1 Planificación de la continuidad de la SI

 17.1.2 Implementación de la continuidad de la SI

(37)

PASO 3: Identificar criterios de auditoría específicos

(38)

PASO 4: Evaluar la efectividad de los controles COBIT 5.0 Objetivos de Negocio ISO 27002 Regulaciones CRITERIOS Contexto Riesgo PROCEDIMIENTOS DE AUDITORÍA Auditoría Cumplimiento Auditoría Procedimental Auditoría de Controles Auditoría basada en Riesgos

(39)

CONCLUSIONES

La necesidad de implementar controles dependerá de los objetivos del negocio

El entorno de control en el ámbitos de las TI es complejo

La definición de un marco de referencia de TI al interior de las organizaciones es crucial

(40)

CONCLUSIONES

Los marcos de referencias como COBIT e ISO 27002 son instrumentos de alto valor en la auditoría de SI El apoyo en marcos y buenas practicas elimina la

subjetividad en actividades de auditoría

La comprensión y uso de estos marcos es clave para un Auditor de SI

La integración de estos marcos (y otros) permite el desarrollo de auditorías de un nivel de alcance y profundidad mucho mayor…. Nos permite hacer mejor nuestro trabajo.

(41)
(42)

CONTACTO

[email protected]

Carlos Lobos Medina

Académico Universidad Diego Portales CISA - CISM

Referencias

Descargar ahora ( PDF - 42 página - 1.28 MB )

Documento similar

La auditoría de cuentas en España : un estudio empírico sobre la función, utilidad y comprensión del informe de auditoría

Atendiendo a la Resolución 4 del ICAC, por la que se publican las Normas Técnicas de Auditoría 5 , “el objetivo de la auditoría de cuentas anuales de una entidad considerada en

Gestión de Auditoría. Septiembre 2019

Ejemplo: El auditor puede comparar los indicadores claves de desempeño de su cliente (liquidez, endeudamiento, rendimiento y actividad), con los indicadores de la industria del

UNIDAD DE AUDITORÍA INTERNA

“… En cada unidad de contabilidad se reflejará la integración contable y presupuestaria de sus operaciones respecto del movimiento de fondos, bienes y otros…”.

UNIDAD DE AUDITORÍA INTERNA

1. Analizará la planificación anual del Hospital Teodoro Maldonado Carbo para la adquisición de equipos e instrumental médico, vigilando que considere la implantación

Análisis de la Auditoría Interna como herramienta de apoyo estratégico al cumplimiento de los objetivos en las organizaciones: Una mini revisión de literatura.

complemento empresarial, dado su papel de supervisión y cumplimiento de funciones que permitió el logro de metas planteadas. Dicha función ha tenido transformaciones

De los controles disciplinarios a los controles securitarios

Al otro lado de las rejas: la construcción del discurso periodístico sobre la prisión (1881-1923) El holgazán por temperamento y por hábito podrá ser un hombre honrado, pero si lo es,

AUDITORÍA, COMITÉS DE AUDITORÍA E NEUTRALIDADE NA INFORMACIÓN NARRATIVA

En liña con estes resultados esperamos que o maior esforzo de auditoría im- plique unha maior calidade da información recollida no informe de xestión, polo que formulamos a

CONTAS ANUAIS 2013 INFORME DE AUDITORÍA E

Resolución definitiva de 20 de diciembre de 2011, de la Secretaría de Estado de Investigación, por la que se conceden ayudas para la realización de proyectos de investigación dentro