Scribd Logo
Fazer o upload

Bem-vindo(a) ao Scribd!

  • Auditoría de Controles Usando COBIT 5 e ISO 27002

    Enviado por

    JPedro Rodríguez
    1K visualizações42 páginas
    Auditoría de Controles usando COBIT 5 e ISO 27002 Carlos Lobos Medina, CISA, CISM Académico Universidad Diego Portales

    Título original

    Auditoría de Controles usando COBIT 5 e ISO 27002

    Direitos autorais

    © © All Rights Reserved

    Formatos disponíveis

    PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    Denunciar este documento
    Auditoría de Controles usando COBIT 5 e ISO 27002 Carlos Lobos Medina, CISA, CISM Académico Universidad Diego Portales

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    1K visualizações42 páginas

    Auditoría de Controles Usando COBIT 5 e ISO 27002

    Enviado por

    JPedro Rodríguez
    Auditoría de Controles usando COBIT 5 e ISO 27002 Carlos Lobos Medina, CISA, CISM Académico Universidad Diego Portales

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    de 42

    Auditora de Controles

    usando
    COBIT 5 e ISO 27002

    Carlos Lobos Medina, CISA, CISM


    Academico
    Universidad Diego Portales

    AGENDA
    Controles de TI
    Modelos de Buenas Practicas
    Auditora de Controles
    Caso Prctico
    Conclusiones

    ROL DE LAS TI

    OBJETIVOS DE LAS EMPRESAS

    COBIT 5.0 Procesos Catalizadores

    OBJETIVOS DE LAS TI

    COBIT 5.0 Procesos Catalizadores

    CONTROLES DE TI
    Los controles se disean para brindar una garanta
    razonable de que se logren los objetivos del negocio

    Los controles se disean para brindar una garanta


    razonable de que eventos no deseados puedan
    evitarse, detectase y/o corregirse

    Manual de Preparacin Examen CRISK 2014

    CONTROLES DE TI

    EXISTIRAN CONTROLES QUE PERMITAN GARANTIZAR


    DE MANERA RAZONABLE QUE LOS SERVICIOS DE TI SE
    ENTREGAN DE ACUERDO A LOS REQUISITOS DEL
    NEGOCIO?

    Manual de Preparacin Examen CRISK 2014

    ALCANCE CONTROLES DE TI
    CONTROLES DEL NEGOCIO

    CONTROLES GENERALES

    CONTROLES DE APLICACIN

    Manual de Preparacin Examen CRISK 2014

    Objetivos del Negocio


    Requerimientos
    Regulaciones
    Riesgo del Negocio

    Polticas
    Procedimientos de Operacin

    Sistema Operativo
    Aplicaciones
    Base de Datos
    Dispositivos de Red

    CATEGORA DE CONTROLES DE TI
    CONTROLES COMPENSATORIOS
    CONTROLES CORRECTIVOS
    CONTROLES DETECTIVOS
    CONTROLES DISUASIVOS
    CONTROLES PREVENTIVOS

    Manual de Preparacin Examen CRISK 2014

    INTERDEPENDENCIA DE CONTROLES
    AMENAZA

    CONTROL Descubre
    DETECTIVO

    EVENTO DE
    AMENAZA

    Activa

    Reduce
    Factibilidad

    CONTROL
    COMPENSATORIO
    DISUASIVO

    Explota
    VULNERABILIDAD

    Protege

    CONTROL
    PREVENTIVO

    Reduce

    IMPACTO
    Disminuye

    Manual de Preparacin Examen CRISK 2014

    CONTROL
    CORRECTIVO

    Provoca

    ENTORNO DE TI

    GTAG N4 Management of IT Auditing The IIA.

    LAS TI EN LA ACTUALIDAD
    OBJETIVOS DEL NEGOCIO IMPULSADOS POR TI
    FACTOR CLAVE DE DIFERENCIACIN
    TOMA DE DECISIONES DE MAYOR IMPACTO
    AUMENTO DE LOS NIVELES DE DEPENDENCIA
    NIVELES OPERATIVOS DE RIESGO ELEVADOS
    AUMENTO EN LA COMPLEJIDAD Y HETEROGENEIDAD
    MAYOR INTEGRACIN Y FLEXIBILIDAD

    Cmo saber si los controles existentes


    brindan una garanta razonable de que
    se logren los objetivos del negocio?

    Cmo saber si los controles existentes


    brindan una garanta razonable de que
    eventos no deseados puedan evitarse,
    detectase y/o corregirse?

    MARCOS Y BUENAS PRCTICAS


    ISO 31000
    Gestin de Riesgos

    COBIT
    Gobernabilidad
    de TI

    ISO 27000
    Gestin de Seguridad de la
    Informacin (SGSI)
    ISO 22301
    Gestin de Continuidad
    Negocio
    ISO 20000
    Gestin de servicios de TI
    ITIL

    BENEFICIOS DE LA ADOPCIN
    RECOGEN MEJORES PRACTICAS EN LA MATERIA
    ALTA ACEPTACIN A NIVEL INTERNACIONAL
    ALTA APLICABILIDAD EN CUALQUIER TIPO DE ORGANIZACIN
    REQUISITOS GENERICOS Y NEUTRALES TECNOLOGICAMENTE
    PROPORCIONAN DIRECTRICES DE IMPLEMENTACIN
    PROVEEN DE ELEMENTOS DE CONTROL Y MEDICIN
    OTORGAN UNA LINEA BASE PARA LA CONDUCCIN DE
    ACTIVIDADES DE AUDITORA

    COBIT 5.0
    REEMPLAZA EL 2012 A COBIT 4.1
    FOCO EN EL GOBIERNO DE TECNOLOGAS DE INFORMACIN
    RECOGE BUENAS PRACTICAS DE DIVERSOS MARCOS
    DEFINE 5 PRINCIPIOS
    ESTABLECE 7 CATALIZADORES
    PROPORCIONA 37 PROCESOS CATALIZADORES
    PROPORCIONA UNA FAMILIA DE PRODUCTOS

    EVOLUCIN DE COBIT 5.0

    COBIT 5.0 PROCESOS CATALIZADORES

    ISO 27002:2013
    OBJETIVOS
    REEMPLAZA
    DEL NEGOCIO
    A ISOIMPULSADOS
    27002:2005 POR TI
    FOCO EN CONTROLES
    FACTOR CLAVE
    DE SEGURIDAD
    DE DIFERENCIACIN
    DE LA INFORMACIN
    REESTRUCTURA
    TOMA DE DECISIONES
    LOS DOMINIOS
    DE MAYOR
    DE IMPACTO
    CONTROL
    AUMENTO
    DEFINE DE
    15 LOS
    DOMINIOS
    NIVELESDE
    DESEGURIDAD
    DEPENDENCIA
    NIVELES
    ESTABLECE
    OPERATIVOS
    34 OBJETIVOS
    DE RIESGO
    DE CONTROL
    ELEVADOS
    LINEAMIENTOS
    AUMENTO ENDE
    LAIMPLEMENTACIN
    COMPLEJIDAD Y HETEROGENEIDAD
    DE 114 CONTROLES
    SEMAYOR
    VINCULA
    INTEGRACIN
    UNA FAMILIAY DE
    FLEXIBILIDAD
    PRODUCTOS

    EVOLUCIN SERIE ISO 27000

    ISO 27002:2013 - DOMINIOS


    Poltica de seguridad de la Informacin
    Organizacin de la seguridad de la informacin
    Seguridad de recursos humanos
    Administracin de activos
    Control de accesos
    Criptografa
    Seguridad fsica y ambiental
    Seguridad de operaciones
    Seguridad de comunicaciones
    Adquisicin, desarrollo y mantencin de sistemas
    Relaciones con proveedores
    Administracin de incidentes de seguridad
    Continuidad de la seguridad de la informacin
    Cumplimiento

    DESAFIO DE LA AUDITORA DE CONTROLES


    Un reto al que se enfrentan los auditores, cuando
    llevan a cabo una auditora de TI, es saber contra
    qu deben auditar.
    Muchas organizaciones no han desarrollado
    completamente sus lneas de base para los
    controles de TI en todas las aplicaciones y
    tecnologas.

    POSIBLES ESCENARIOS

    ESCENARIO 1: La organizacin ha adoptado uno o


    ms marcos de referencia para la gestin y
    operacin de las TI
    ESCENARIO 2: La organizacin ha desarrollado un
    propio de marco de referencia para la gestin y
    operacin de las TI
    ESCENARIO 3: La organizacin no posee un marco de
    referencia para la gestin y operacin de las TI

    ESCENARIOS 1
    ESCENARIO 1: La organizacin ha adoptado uno o
    ms marcos de referencia para la gestin y
    operacin de las TI

    Seleccionar controles claves del marco adoptado


    Evaluar efectividad de los controles seleccionados

    ESCENARIO 2
    ESCENARIO 2: La organizacin ha desarrollado un
    propio marco de referencia para la gestin y
    operacin de las TI

    Seleccionar controles claves del marco desarrollado


    Complementar con marcos de referencia relacionados
    Evaluar efectividad de los controles

    ESCENARIO 3
    ESCENARIO 3: La organizacin no posee un marco de
    referencia para la gestin y operacin de las TI

    Identificar los marcos aplicables a la labor auditora


    Seleccionar controles claves del marco adoptado
    Identificar criterios de auditora especficos
    Evaluar efectividad de los controles

    BENEFICIOS PARA EL AUDITOR TI


    Un auditor de TI puede hacer uso de estas normas
    como lneas de base para realizar su auditora en
    referencia a ellas.
    Tambin pueden ser tiles para informar sobre
    deficiencias dado que se elimina la subjetividad.
    Si se compara la afirmacin: sera conveniente
    mejorar la seguridad de las contraseas con las
    contraseas no estn en conformidad con la
    normativa ISO 27001 sobre seguridad de la
    informacin

    ANALISIS DE CASO

    ANTECEDENTES DEL CASO


    ERRORES EN EL SOFTWARE
    DEFICIENTE ESTIMACIN DE RENDIMIENTO
    DEFICIENTE ESTIMACIN DE CAPACIDAD
    FALTA DE CAPACITACIN
    FALTA DE PERSONAL CLAVE
    MALA GESTIN DE EXTERNALIZACIN
    PROBLEMAS DE CONTINUIDAD DEL NEGOCIO

    QUE CONTROLES AUDITAR?

    EJEMPLO DE APLICACIN
    PASO 1: Identificar los marcos aplicables
    COBIT
    Gobernabilidad
    de TI

    ISO 27002
    Controles de Seguridad de
    la Informacin

    PASO 2: Seleccionar controles claves


    Identificar procesos (COBIT) y dominios (ISO 27002)

    COBIT 5.0 PROCESOS CATALIZADORES

    PASO 3: Identificar criterios de auditora especficos


    COBIT

    APO07.01 Mantener la dotacin de personal suficiente y adecuada


    APO09.04 Supervisar e informar de los niveles de servicio
    APO09.05 Revisar acuerdos de servicio y contratos
    APO10.05 Supervisar el cumplimiento y el rendimiento del proveedor
    BAI04.01 Evaluar la disponibilidad, rendimiento y capacidad actual y
    crear una lnea de referencia
    BAI04.02 Evaluar el impacto en el negocio
    BAI04.04 Supervisar y revisar la disponibilidad y la capacidad
    BAI06.01 Evaluar, priorizar y autorizar peticiones de cambio
    BAI07.02 Planificar la conversin de procesos de negocio, sistemas y
    datos
    BAI07.05 Ejecutar pruebas de aceptacin
    DSS04.03 Desarrollar e implementar una respuesta a la continuidad del
    negocio
    DSS04.04 Ejercitar, probar y revisar el BCP.

    PASO 3: Identificar criterios de auditora especficos

    COBIT 5.0 - ISACA

    ISO 27002:2013 - DOMINIOS


    Poltica de seguridad de la Informacin
    Organizacin de la seguridad de la informacin
    Seguridad de recursos humanos
    Administracin de activos
    Control de accesos
    Criptografa
    Seguridad fsica y ambiental
    Seguridad de operaciones
    Seguridad de comunicaciones
    Adquisicin, desarrollo y mantencin de sistemas
    Relaciones con proveedores
    Administracin de incidentes de seguridad
    Continuidad de la seguridad de la informacin
    Cumplimiento

    PASO 3: Identificar criterios de auditora especficos


    ISO 27002
    Controles de Seguridad de la Informacin

    12.1.2 Administracin de Cambios


    12.1.3 Administracin de Capacidad
    12.5.1 Instalacin de Software en Sistemas Operacionales
    14.2.2 Procedimientos de gestin de cambios
    14.2.3 Revisin tcnica de las aplicaciones despus de los cambios
    en la plataforma operativa
    14.2.9 Pruebas de aceptacin del sistema
    15.2.1 Monitoreo y revisin de los servicios del proveedor
    15.2.2 Administracin de cambios en los servicios del proveedor
    17.1.1 Planificacin de la continuidad de la SI
    17.1.2 Implementacin de la continuidad de la SI
    17.1.3 Verificar, revisar y evaluar la continuidad de la SI

    PASO 3: Identificar criterios de auditora especficos

    ISO 27002:2013

    PASO 4: Evaluar la efectividad de los controles


    CRITERIOS
    Objetivos de Negocio
    Regulaciones

    PROCEDIMIENTOS
    DE AUDITORA
    Auditora Procedimental
    Auditora Cumplimiento

    COBIT 5.0

    Auditora de Controles

    ISO 27002

    Auditora basada en
    Riesgos

    Contexto Riesgo

    CONCLUSIONES
    La necesidad de implementar controles depender
    de los objetivos del negocio
    El entorno de control en el mbitos de las TI es
    complejo
    La definicin de un marco de referencia de TI al
    interior de las organizaciones es crucial

    CONCLUSIONES
    Los marcos de referencias como COBIT e ISO 27002
    son instrumentos de alto valor en la auditora de SI
    El apoyo en marcos y buenas practicas elimina la
    subjetividad en actividades de auditora
    La comprensin y uso de estos marcos es clave para
    un Auditor de SI
    La integracin de estos marcos (y otros) permite el
    desarrollo de auditoras de un nivel de alcance y
    profundidad mucho mayor. Nos permite hacer
    mejor nuestro trabajo.

    CONSULTAS

    CONTACTO
    Carlos Lobos Medina
    Acadmico Universidad Diego Portales
    CISA - CISM

    Carlos.lobos@udp.cl

    Você também pode gostar