Escolar Documentos
Profissional Documentos
Cultura Documentos
usando
COBIT 5 e ISO 27002
AGENDA
Controles de TI
Modelos de Buenas Practicas
Auditora de Controles
Caso Prctico
Conclusiones
ROL DE LAS TI
OBJETIVOS DE LAS TI
CONTROLES DE TI
Los controles se disean para brindar una garanta
razonable de que se logren los objetivos del negocio
CONTROLES DE TI
ALCANCE CONTROLES DE TI
CONTROLES DEL NEGOCIO
CONTROLES GENERALES
CONTROLES DE APLICACIN
Polticas
Procedimientos de Operacin
Sistema Operativo
Aplicaciones
Base de Datos
Dispositivos de Red
CATEGORA DE CONTROLES DE TI
CONTROLES COMPENSATORIOS
CONTROLES CORRECTIVOS
CONTROLES DETECTIVOS
CONTROLES DISUASIVOS
CONTROLES PREVENTIVOS
INTERDEPENDENCIA DE CONTROLES
AMENAZA
CONTROL Descubre
DETECTIVO
EVENTO DE
AMENAZA
Activa
Reduce
Factibilidad
CONTROL
COMPENSATORIO
DISUASIVO
Explota
VULNERABILIDAD
Protege
CONTROL
PREVENTIVO
Reduce
IMPACTO
Disminuye
CONTROL
CORRECTIVO
Provoca
ENTORNO DE TI
LAS TI EN LA ACTUALIDAD
OBJETIVOS DEL NEGOCIO IMPULSADOS POR TI
FACTOR CLAVE DE DIFERENCIACIN
TOMA DE DECISIONES DE MAYOR IMPACTO
AUMENTO DE LOS NIVELES DE DEPENDENCIA
NIVELES OPERATIVOS DE RIESGO ELEVADOS
AUMENTO EN LA COMPLEJIDAD Y HETEROGENEIDAD
MAYOR INTEGRACIN Y FLEXIBILIDAD
COBIT
Gobernabilidad
de TI
ISO 27000
Gestin de Seguridad de la
Informacin (SGSI)
ISO 22301
Gestin de Continuidad
Negocio
ISO 20000
Gestin de servicios de TI
ITIL
BENEFICIOS DE LA ADOPCIN
RECOGEN MEJORES PRACTICAS EN LA MATERIA
ALTA ACEPTACIN A NIVEL INTERNACIONAL
ALTA APLICABILIDAD EN CUALQUIER TIPO DE ORGANIZACIN
REQUISITOS GENERICOS Y NEUTRALES TECNOLOGICAMENTE
PROPORCIONAN DIRECTRICES DE IMPLEMENTACIN
PROVEEN DE ELEMENTOS DE CONTROL Y MEDICIN
OTORGAN UNA LINEA BASE PARA LA CONDUCCIN DE
ACTIVIDADES DE AUDITORA
COBIT 5.0
REEMPLAZA EL 2012 A COBIT 4.1
FOCO EN EL GOBIERNO DE TECNOLOGAS DE INFORMACIN
RECOGE BUENAS PRACTICAS DE DIVERSOS MARCOS
DEFINE 5 PRINCIPIOS
ESTABLECE 7 CATALIZADORES
PROPORCIONA 37 PROCESOS CATALIZADORES
PROPORCIONA UNA FAMILIA DE PRODUCTOS
ISO 27002:2013
OBJETIVOS
REEMPLAZA
DEL NEGOCIO
A ISOIMPULSADOS
27002:2005 POR TI
FOCO EN CONTROLES
FACTOR CLAVE
DE SEGURIDAD
DE DIFERENCIACIN
DE LA INFORMACIN
REESTRUCTURA
TOMA DE DECISIONES
LOS DOMINIOS
DE MAYOR
DE IMPACTO
CONTROL
AUMENTO
DEFINE DE
15 LOS
DOMINIOS
NIVELESDE
DESEGURIDAD
DEPENDENCIA
NIVELES
ESTABLECE
OPERATIVOS
34 OBJETIVOS
DE RIESGO
DE CONTROL
ELEVADOS
LINEAMIENTOS
AUMENTO ENDE
LAIMPLEMENTACIN
COMPLEJIDAD Y HETEROGENEIDAD
DE 114 CONTROLES
SEMAYOR
VINCULA
INTEGRACIN
UNA FAMILIAY DE
FLEXIBILIDAD
PRODUCTOS
POSIBLES ESCENARIOS
ESCENARIOS 1
ESCENARIO 1: La organizacin ha adoptado uno o
ms marcos de referencia para la gestin y
operacin de las TI
ESCENARIO 2
ESCENARIO 2: La organizacin ha desarrollado un
propio marco de referencia para la gestin y
operacin de las TI
ESCENARIO 3
ESCENARIO 3: La organizacin no posee un marco de
referencia para la gestin y operacin de las TI
ANALISIS DE CASO
EJEMPLO DE APLICACIN
PASO 1: Identificar los marcos aplicables
COBIT
Gobernabilidad
de TI
ISO 27002
Controles de Seguridad de
la Informacin
ISO 27002:2013
PROCEDIMIENTOS
DE AUDITORA
Auditora Procedimental
Auditora Cumplimiento
COBIT 5.0
Auditora de Controles
ISO 27002
Auditora basada en
Riesgos
Contexto Riesgo
CONCLUSIONES
La necesidad de implementar controles depender
de los objetivos del negocio
El entorno de control en el mbitos de las TI es
complejo
La definicin de un marco de referencia de TI al
interior de las organizaciones es crucial
CONCLUSIONES
Los marcos de referencias como COBIT e ISO 27002
son instrumentos de alto valor en la auditora de SI
El apoyo en marcos y buenas practicas elimina la
subjetividad en actividades de auditora
La comprensin y uso de estos marcos es clave para
un Auditor de SI
La integracin de estos marcos (y otros) permite el
desarrollo de auditoras de un nivel de alcance y
profundidad mucho mayor. Nos permite hacer
mejor nuestro trabajo.
CONSULTAS
CONTACTO
Carlos Lobos Medina
Acadmico Universidad Diego Portales
CISA - CISM
Carlos.lobos@udp.cl