Escolar Documentos
Profissional Documentos
Cultura Documentos
CISA Capitulo 2:
Gobierno y Gestion de Ti
Certified Information
Systems Auditor'
An RCP Certgicat[on
7 0
T a r e a s y C o n a c i m i e n t o s R e l a c i o n a d o s .................................................................................
70 Recarsos Sugeridos para Estudios Posteriores 79
Prquatas de Autoevaluaeion............................................................................................................................
80
Respuestas a las preguntas de Autoevaluacion..............................................................................................
81
Seccion Dos: Contenido
as_
liderazgo y estructuras y procesos y los objetivos de Ia
organizacionales que garantizan organizacion.
que la T1 de la empresa sostiene y T2.2 Evaluar la estructura
extiende Ia estrategia y los organizacional de TI y la
objetivos de la empresa (adaptado gestion de recursos
de IT Governance Institute, Board hwitanos (personal) para
Briefing On IT Governance, 2" determinar si respaldan
Edicion, USA, 2003). El las estrategias y los
conocimiento del gobiemo de TI es objetivos de la organizacion.
fundamental para el trabajo del T2.3 Evaluar la estrategia de TI,
auditor de Si y forma las bases para incluyendo Ia direccion de
el desarrollo de las practicas y Ti, y los procesos para el
mecanismos de control correctos desarrollo, Ia aprobacion, la
para la supervision y revision de la iinplementaciOn y el
gerencia. mantenirniento de la
estrategia para que este
alineada con las estrategias
OBJETIVOS y los objetivos de la
organizacion.
El objetivo de este dominio es T2.4 Evaluar las politicas, los
garantizar que el candidate a CISA estandares y los
comprende y puede ofrecer garantia procedimientos de TI de la
de que se ban implementado el organizacion y los procesos
liderazgo y las estructuras y los para su desarrollo,
procesos organizacionales aprobaciOn,
necesarios para lograr los objetivos implementacion,
y apoyar la estrategia de In mantenimiento y monitoreo
empresa. a fin de determinar si
respaldan la estrategia de TI
Este dominio represents el 14 y cumplen con los
por ciento del examen C1SA requerirnientos legales y
(aproxintadamente 28 regulatorios.
preguntas). T2.5 Evaluar la adecuacion del
sistema de gestion de la
TAREAS Y CONOCIMIENTOS calidad para determinar si
respalda las estrategias y
RELACIONADOS nos
objetivos de la organizaciOn
TAREAS de forma rentable.
T2.6 Evaluar Ia gestion de TI y
El dominio de gobiemo de TI
el main toreo de controles
contienc 11 tareas:
(por ejemplo, monitoreo
T2.1 Evaluar Ia efectividad de
continuo, aseguratniento
la estructura de gobiemo
de la calidad [QA]) para
de TI para determinar si
determinar si cumplen
las decisiones, las
con las politicas, los
direcciones y el
estandares y los
desempeilo de TI
procedimientos de Ia
respaldan las estrategias
organizacion.
T2,7 Evaluar las practicas de T2.10 Evaluar las practicas de
inversion, use y asignacion monitoreo y
de recursos de T1, aseguramiento para
incluyendo criterios tie dcterminar si el consejo
priorizacian, para de direcciOn y la alta
determinar si estan direccion reciben infant-
alineados con las melon suticiente y
estrategias y los objetivos oportuna sobre el
de Ia organizaciOn. desempefio de T1.
T2.8 Evaluar las estrategias y las T2.11 Evaluar el plan de
politicas de contratacion de continuidad del negocio de
TI y Las practicas de la organizacion para detemt
gestiOn de contratos para Mar la capacidad de la
determinar si respaldan las organizaciOn de continuar
estrategias y los objetivos de con las operaciones
la organiz.aciOn. esenciales del negocio
T2.9 Evaluar las practicas de durante el periodo de una
gestion de riesgos para interrupciOn de TI.
determinar si los riesgos de
la organizaciOn
relacionados con TI se CONOCIMIENTOS RELACIONADOS
gestionan adecuadamente. El candidate a CISA debe
comprender bien cada uno de los
temas a areas delineadas pot los
conocimientos relacionados. Estes
conocimientos son la base del
examen.
Existen 16 conocimientos
relacionados en el dominio que
cubren el gobiemo y Ia gestiOn de
TI:
CR2.1 Conocimiento del gobiemo,
Ia gestion, la seguridad y los
marcos de control de TI, asi
coma los estandares, las
directrices y las practicas
relacionadas
CR2.2 Conocimiento del proposito
de Ia estrategia, las
politicas, los estandares y
los procedimientos de TI
para una organizacion y los
elementos esenciales de
cada uno de ellos
CR2.3 Conocimiento de la
estructura organizacional,
los roles y las
responsabilidades
relacionados con TI practicas para monitorear
CR2.4 Conocimiento de los y reportar ei desempefio
procesos para el desarrollo, de TI (por ejemplo,
la implementaciOn y el cuadros de mando
mantenimiento de la (balanced scorecards),
estrategia, las politicas, los indicadores clave de
estandares y los desemperio [KPI]).
procedimientos de TI CR2.14 Conocimiento de las
CR2.5 Conocimiento de la direccion practicas de gestion de
de la tecnologia y la recursos humanos
arquitectura de TI de Ia (personal) de TI utilizadas
organizacion y sus para invocar el plan de
implicaciones para continuidad del negocio
establecer direcciones CR2.15 Conocirniento del analisis
estrategicas a largo plazo del impacto en el negocio
CR2.6 Conocirniento de leyes, (BIA) relacionado con el plan
regulaciones y estandares de continuidad del negocio
relevantes de Ia industria (BCP)
que afecten a la CR2.16 Conocimiento de los
organizaciOn estandares y procedimientos
CR2.7 Conocimiento de para el desarrollo y el
sistemas de gestion de la manteniiniento del plan de
calidad CR2.8 Conocimiento continuidad del negocio
del use de modelos de madurez (BCP) y metoclos de prueba
CR2.9 Conocimiento de las tecnicas
de optimizaciOn de procesos Relackin de las tareas con los
CR2.10 Conocimiento de las conocimientos relacionados Los
practicas de inversion y asignaciOn enunciados de las tareas retie* lo
de recursos de TI, que se espera que el candidata a
incluyendo criterios de CISA sepa hacer. Los enunciados
priorizacion (por ejemplo: tie conocimientos indican cada una
gestiOn de portafolios, de las areas donde el candidato a
gestion del valor, gestion CISA debe tener una buena
de proyectos) comprension para llevar a cabo las
CR2.11 Conocimiento de procesos tareas. Las relaciones entre las
de seleccion de proveedores tareas y los conocimientos
de TI, gestion de contratos, relacionados se muestran en la
gestion de relaciones y figura 2.1 hasta donde es posible
monitoreo del desemperio, hacerlo. NOtese que aun cuando a
incluyendo relaciones de menudo se presenta ma.s de una
outsourcing de terceros correspondencia, cada tares, por lo
CR2.12 Conocimiento de Ia gestion general, se relaciona con Inas de
de riesgos de Ia empresa un conocimiento.
CR2.13 Conocirniento de las
Para proporcionar alas partes interesadas Ia garantia de que los servicios de TI se Entendimiento de los 2.3.1 M
alinean con Ia vision, misian y objetivos del negocio, la alta gerencia debe aplicar un marcos de gobierno
marco de gobierno de TI. Los marcos de gobiemo de TI generalmente incluyen: dell 2.3.4 G
· Alineacion estrategica de los objetivos de TI con los objetivos del negocio
· Entrega de valor de TI
Entendimiento de roles 2.10
· Gest& de riesgos
y responsabilidades
· Administracion de recursos
relacionados con el 2.10.1
· Gest& del desemperio
gobierno de Ti
El marco de gobierno de TI permite a las partes interesadas asegurarse de que la
estrategia de TI, junto con su interpretacien en las actividades, esta completamente Mejores practicas y 2.7.1 P
alineada con el negocio. Esto incluye el rol efectivo de Ia gerencia ejecutiva de come se alinean con el
negocios en Ia creacien, el mantenimiento y la implementacion de Ia estrategia y gobierno de TI
gobierno de TI mediante los comites a nivel de direccion y a nivel ejecutivo. Practicas actuales de 2.9.2 P
Los comites, compuestos de "lideres de negocio". examinaran y aprobaran la sourcing y su impact()
en el gobiemo de Ti
estrategia de TI—junto con sus estandares, procedimientos y directrices Impacto de los 2.11.2
asociadas—con respecto a Ia estrategia, las metas y los objetivos del negocio requerimientos
para asegurarse quo: de gobierno de Ti
· La tecnologia permitira el logro de esos objetivos empresariales a trues en compromisos
de una implementacion oportuna y un desemperio adecuado de las contractuales
instalaciones necesarias.
· Los costos de TI serail minimizados en la provision de dichas instalaciones
para obtener el mejor valor de los recursos de TL
· Los roles y las responsabilidades, dentro de las funciones de TI y del
negocio, estan claramente definidos.
En todo momento, el marco de gobierno considerara los riesgos de negocios
Para mitigarcon
asociados los riesgos,
TI paralas organizaciones
garantizar que losidentifican
riesgos losse controles
tratan deque manera
consideran
adecuada criticos para la buena gest& de la empresa. Cada objetivo de control
y apropiada.
Se deriva del riesgo quo intenta manejar. El conocimiento de varios marcos de
Las organizaciones
control ayuda a identificarsiguen
los varios estandares,
objetivos basados enrequeridos
de control adecuados las mejores parapracticas
generalmente
organizacion. Los marcos de control, tales como COBIT, ISO (Internationallas
aceptadas. Estos estandares son de caracter generic° y
empresas deben
Organization adoptarlos segfin
for Standardization) susse
y otros, necesidades especificas.
usan para guiar Los estandares
a la gerencia para y
directrices de TI internacionales proporcionan abundante informacien
astalecer practices de TI; para monitorear, medir y mejorar el desempeno de dichas de analisis
comparativo
practices: (benchmarking)
y para para practices
ofrecer las mejores el gobierno de TI y facilitan
especificas que puedanun enfoque
adaptarseuniforme
a
de las practicas de gobierno de Ti sobre una base global.
las necesidades particulares del negocio. Estes marcos apoyan los procesos de
gobierno de 1-1 en
El conocimiento deunalos organized&
estandares yyson importentesinternacionales
las directrices repositories dede practices
TI de
gobierno de TI.
proporciona unaEl referencia
conocimiento de diferentes
disponible para elmarcos
auditordedecontrol
SI conayuda
el fin al
deauditor
evaluarde
SI a hacer analisis comparativo (benchmarking)
las iniciativas de gobierno de TI y is posician de
actuallos controles identificados por la
72
organization,
Manual dedePreparachin
las organizaciones. al Examen CISA 2015
ISACA. Todos los derechos reservados.
El conocimiento y entendimiento de estos marcos de control y su importancia para el
Section
gobierno de TI son esenciales para impulsar Una: Generalidades
Ia eficiencia y la efectividad en los Capitu
esfuerzos del gobierno de TI.
Cuando se hap implemented°, los marcos de control permiten a una organization dell
monitorear y medir el desempeno con respecto alas estrategias, political y practices
de TI al definir controles especificos, procedimientos y las mejores practices que se
C pueden
R 2 . 1 Cutilizer
o n o ceni reln gobierno
i e n t o ddeeTI.
l gLos
o bmarcos
i e r n oproporcionan
, l a g e s t ilaoestructura
n , l a s necesaria
eguridad y los marcos
para implementer politicas de gestiOn del desempeno clue, gestiOn
de control de TI, asI como los estandares, las directrices y las practicas de cumplimiento
r eylgestiOn
a c i o n de
a drecursos
a s ( c ode n tTI.
. ) Debido a la general aoeptaci6n de estos marcos,
tamblen son utilizados para medir el desempeno de los proveedores slave de
servicios de TI, proveedores y sodas Explication
externos. El examen CISA evaluara el Conceptos slave Referencia
entendimiento que tiene el auditor de SI de los marcos y como estospueden utilizarse a
pare garantizar la seguridad, integridad y disponibilidad de lainformacibn y su
procesamiento.
Propesito de los marcos de control y Dirndl se utilizan en Ia gestiOn de desempelio y recursos en una organized& d
2.3 Gobierno de Ia Ti de Ia empresa 2.9.7 Optimization del rendimiento
73
Naturaleza y propOsito 2.4 E
de las estrategias de TI I
Las empresas deben definir claramente la estructura organizacional para Entendimiento de los 2.3.2 C
demostrar cOmo son capaces de lograr Ia prestacion de servicios, roles relatives de cada 2.3
seguridad, gest& de riesgos y calidad de information adecuadas que Ia nivel de Ia estructura de
organizacien requiere. organizacional en el 2.9.3 G
gobierno de TI
La definicion de la estructura organizacional puede requerir la descripcian 2.10
y documented& de las responsabilidades de las funciones principales pare
garantizar la segregation de funciones adecuadas y para identificar guien 2.10.1
en Ia organized& usa y gestiona varias informaciones y recursos. El
auditor de SI debe comprender claramente la estructura organizacional y
los roles y responsabilidades del personal en todos los niveles dentro de
Ia estructura gerencia! de TI, asi como en otras areas de Ia organizacien
donde puedan existir responsabilidades o funciones relacionadas con II
(par ejernplo, propietarics de dates y sistemas), de rnanera que los
requerimientos de cada persona responsable seen transparentes.
Los modelos de rnadurez y de mejcra de procesos ayudan a las ernpresas Practices actuales 2.5 Mo
a evaluar el estado actual de su entorno de controles internos en pare medir el estado pr
cornparacion con el estado deseado y ayudan a identificar actividades para de madurez de Ia
avanzar hacia el estado deseado. Eats evaluaciOn es importante para el organizaciOn
auditor de SI porgue los resultados ilustran a Ia direccion ejecutiva la Impacto de las practices 2.9.2 Pract
efectividad, el cumplimiento y Ia relevancia de sus procedimientos, de sourcing en el estado
herramientas y procesos de TI coma soporte de alineacion con las de madurez actual y en
necesidades del negocio. Esta evaluaciOn Iambi& puede usarse pare el estado de madurez
revisal' las practices de gestiOn dentro de Ti pare determinar el deseado
cumplimiento con las estrategias y politicas organizacionales de TI.
Rol de is gerencia de 2.9.5 Gesti
calidad en Ia reduccion
de Ia brecha entre el
estado actual y el
estado deseado
Manual d e Preparacion of Examen CM 2015
ISACA. Todos los derechos reservados
75
Capitulo 2—Gobierno y Gestion de Ti
Con Ia tendencia creciente del outsourcing de la infraestructura de TI a Impacto de las practices 2.9.2 P
proveedores de servicios externos. es esencial conocer los Oltirrics de sourcing en el
enfoques en estrategias de contratacion, procesos y practices de gestiOn gobierno de TI
de contratos. El outsourcing de TI (y las soluoiones relacionadas, tales 2.10.1
Relacion entre gestion
como gestion de procesos y gestiOn de infraestructuras) puede ayudar a
de proveedores y el
reducir los costos yio complementer una experiencia propia de la
gobierno dell de la
empresa. Sin embargo, el outsourcing tambien puede introducir riesgos
entidad de outsourcing
adicionales. Por consiguiente, es esencial que el auditor de SI comprenda
los enfoques mes salidos de estrategias de contrataciOn, procesos y Terminos contractuales 2.11.2
practices de gestion de contratos, tales como que conceptos criticos se y su impacto en el
deben incluir en on contrato de externalizaciiin (outsourcing) y los manejo del gobierno de
reguerimientos del caso de negocio. TI de Ia entidad de
outsourcing
M
CI SA slt rs i Seccicin Uno: Generalidades C
in 11.14 , r-4 - MS10T
CR2.16 Conocimiento de
los estandares y
procedimientos para el
desarrollo y el
2.12.1 PlanificacionComprensian del del
mantenlmlento del plan
de continuidad
de continuidad del ciclo
negocio de SI de vide del
negoclo (BCP) y 2.12.3 Proceso de plan de desarrollo
planificacian de y
metodos de prueba continuidadmantenimiento
del negocio del BCP/
DRP
2.12.4 Politica de continuidad del negocio
Explication Conceptos slave R
2.12.5 Gest& de incidentes en la
planificacion de Ia continuidad del
negocio
2.12.7 Desarrollo de planes de continuidad
del negocio
2.12,8 Otros problemas en el desarrollo de
los planes
2.12.9 Componentes de un plan de
continuidad del negocio
2.12.10 Pruebas del plan
2.12.11 Resumen de continuidad del negocio
2.12.10 Pruebas delComprensian
plan de mos
2.13 Auditoria a tipos de pruebasdel
la continuidad denegocio
BCP,
los factores que se deben
considerar cuando se
determine el alcance
apropiado de Ia prueba,
los metodos pare
observer las pruebas
Ramos, Michael J.; Now to Comply With 5'arbanes-Oxley de
Section
recuperacion
404. 3'" Edickin, John Wiley & Sons Inc., USA.. 2008 y analizar
los resultados de las
pruebas and
Raval, Vasant; Ashok Fichadia; Risks, Controls,
Security: Concepts and Applications, John Wiley & Sons,
USA, 2007, Capitulo 6: System Availability and Business
Continuity
Un auditor de SI debe conocer los enfoques y metodos de prueba pare BCP/DPP pare evaluar is efectividad de los planes
funcionara en el caso de un desastre, es importante prober periOdic-amente el BCP/DRP, y garantizar que el esfuerzo de
observer pruebas; asegurar que las lecciones aprendidas" se registren y reflejen apropiadamente en un plan revised°, y re
informacik sabre las pruebas anteriores. Los elementos slave quo se deben buscar incluyen el grado en el cual Ia prueba u
previas a la planificaciOn quo no esiarian disponibles durante un desastre real. El objetivo de una prueba deberia ser ident
lugar de tener una prueba perfecta. Otro aspecto importante de las pruebas de BCP/DRP es proporcionar capacitaciOn a
participar en el proceso de recuperaciOn.
2012, www.isaca.orgicobit
•
ISO, ISO/IEC 38500:2008 Corporate Governance qf Wormation
Technology, Suiza, 2008.
IT Governance Institute, Board Briefing on IT Governance, 2Edicion, USA, 2003
11 Nova:
ISACA.
t5
de forma efectiva el Secchin Lino: Generalidades C
eumplim iento de los procesos y ISA S Certified Muni
ystems eauat*
las aplicaciones, i,cual de las
siguientes opciones seria Ia
MAS adecuada?
A. Un repositorio de documentos
2-4 e,La responsabilidad MAS
central
B. Un sistema de gestion de
iinportante de un oficial de
conocim lentos seguridad en una
C. Un Tablero de mandos organizaciOn es:
D. Benchmarking
A. recomendar y monitorear
las politicas de seguridad de
los datos.
B. promover la conciencia
sobre la seguridad dentro de
Ia organization.
C. establecer
procedimientos para
las politicas de
seguridad de TI.
D. administrar los controles de
acceso tisico y lOgico.
1
-5 igual de los siguientes elementos
se considera MAS critic para
una implementation satisfactoria
de un programa de seguridad de
la in fonnacion (SI)?
A. Un marco de gestiOn de
riesgos emprcsariales
(ERM) efeetivo
B. Compromiso de la alta
direction
C. Un proceso de creation de
presupuestos adecuado
D. Una planificacion
meticulosa de programas
A. El departamento de TI
tendril planes de corto alcance
o de largo alcance
dependiendo de los planes y
objetivos mils amplios de la
organizacion,
B. El plan estrategieo del
departamento de TI debe estar
orientado al tiempo y al
proyecto, pero no tan detallado
como para tratar y ayudar en la
determinaciOn de prioridades
para satisfacer las necesidades
de negocio.
C. La planiticaciOn de largo
alcance para el departamento
2-7 i,Cual de las siguientes tareas A. AprobaeiOn de las actividades
pueden ser ejecutadas por la de DBA.
misma persona en un centro in B. Segregacion de funciones.
formatico de procesainientc de C. Revisit-5n de registros de
informacian bien controlado? acceso y actividades.
D. RevisiOn del use de las
A. Administration de seguridad herramientas de la base de data
y gestion de cambios.
B. Operaciones infonnaticas y
desarrollo de sistemas. 2-9 Cuando una segregation de
C. Desarrollo de sistemas y funciones completa no puede
gestion de cambios. lograrse en un entomo de
D. Desarrollo de sistemas y sistema en linen, i,eual de las
mantenimiento de sistemas. siguientes funciones debe ser
separada de las dernas?
proporciona un conjunto
de informacion para
Certifiedsyst Information ilustrar el eumplimiento
de los procesos, las
Generalidades aplicaciones y los
elementos configurables y
mantiene a la empresa en
curso. Un repositorio de
documentos central
2-10 En una organization pequena, en proporciona muchos
la que la segregation de datos, pero no
responsabilidades no es practica, necesariamente la
un empleado desempelia information especifica que
funciones de operador de seria de utilidad para el
computadoras y de programador monitorco y el
de aplicacinnes. LCual de los cumplimiento.Un sisterna
siguientes controles debe de gestion de
recomendar el auditor de SI? conocimientos
proporciona informaciOn
A. Registro automatic° valiosa, pero
de cambios a las generalmente no es
bibliotecas de desarrollo. utilizado por Ia gerencia
B. Personal para analizar el
adicional para proveer eumplimiento,Uli
la segregacion de benchmarking
funciones.
proporciona information
C. Proccdimientos que
para ayudar a Ia gerencia
verifiquen que solo los
cambios de programa a adaptar la organizaciOn,
aprobados estan de forma oportuna, de
implementados. acuerdo con las
D. Controles de acceso tendencias y el entomo.
para impedir que el
operador haga 2-2 B Los planes estrategicos de SI
modificaciones a los deben resolver las
programas. necesidades del negocio
y eumplir los objetivos
RESPUESTAS A LAS futuros del negocio. Las
compras de hardware
PREGUNTAS DE pueden esbozarse pero
AUTOEVALUACON no ser especificadas y ni
los objetivos del Capitulo 2— Gobierno y Gesticin
presupuesto ni los de TI
proyectos de desarrollo
son altemativas de
elecciOn relevantes. Las
opciones A, C y D no
son puntos estrategicos. 2-4 A La responsabilidad
principal de un oficial de
2-3 C La planificaciOn a largo seguridad de la
plazo para el departamento informacion es
de TI debe reconocer las recomendar y monitorear
metas organizacionales, los las politicas de seguridad
adelantos tecnologicos y de la infbrmacion.
los requisites regulatorios. Promover la conciencia de
Tipicamente, el seguridad dentro de la
departamento de TI tendra organizaciOn es tuna de
tanto los planes de largo y las responsabilidades de
de corto plazo que sean un oficial de seguridad de
consistentes y que esten datos. Pero, no es tan
integrados con los planes importante como
de la organization. Estos recomendar y monitorear
planes deben estar las politicas de seguridad
orientados al tiempo y al de la information. El
proyecto, asi como departamento de TI, no el
tambien tratar los planes oficial de seguridad de
mas amplios de Ia datos, es responsable de
organization para alcanzar establecer procedimientos
las metas de esta. para las politicas de
seguridad de Ti
recomendadas por el
oficial de seguridad de la
inforrnacion y de la
administracion de los
controles de awes() fisico
y lOgico.
2.2 GOBIERNO
CORPORATIVO www.oecdorg/dataoecd/18/47/34080477.
pc). Mils especificamente, un gobierno
Los aspectos eficos, la toma de decisiones corporativo es on conjunto de
y las practicas en general dentro de una responsabilidades y practicas usadas
organizaciOn deben romentarse por
por la gerencia de una organizacion Este marco se utiliza cada vez etas en
para proveer direccion estrateQica, los organisinos gubernamentales de
pant garantizar, de ese mod°, que las diferentes paiscs en un esfuerzo para
metas se puedan aleanzar, los riesgos reducir Ia frecuencia y el impacto de
sewn manejados de manes adecuada y informes financieros inexactos y
los recursos organizacionales scan proveer mayor transparencia y
utilizados apropiadamente. responsabilidad. Muchas de estas
Organizacion para la CooperaciOn y el regulaciones gubemamentales incluyen
Desarrollo Economieo (OCDE) declara: un requerimiento para que la alta
"El gobierno corporally° incluye un direccion apniebe lo adecuado de los
conjunto de relaciones entre Ia controles internos e incluya una
direccion de una compaiiia, su consejo evaluation de los controles internos
de direcciOn, sus accionistas y otras organizacionales en los informes
partes interesadas. El gobierno financieros de la organizacion.
corporativo tambien ofrece Ia
estructura a traves de la cual se
estableeen los objetivos de la compania, y
2.3 GOBIERNO DE TI DE LA
se determinan los medios para lograr esos EMPRESA
objetivos y monitorear el desempefio.
Un buen gobierno corporative deberia El gobierno de TI de Ia empresa
ofrecer ineentivos apropiados para el (GEIT) impliea un sistema en el cual
consejo de direcciOn y Ia gestion para todas las partes interesadas, incluyendo
explorar los objetivos quo sear de el Consejo, clientes y departamentos
inheres para [a compania y sus internos, tales como finanzas,
accionistas y deberia facilitar un proporcionan una entrada en el proceso
monitoreo efectivo". (OECD 2004. de la toma de decisiones.
OECD Principles of Corporate
Governance, France, 2004, p. 1 1,
GEIT es el sistema de gestion quo
ivtviv.oecdore
usan los directores. En otras palabras,
clataoecd/32/18/31557724.pdfi.
el GEIT trata de Ia custodia de los
recursos do TI a nombre de las panes
interesadas, las males, al mismo
tiempo, esperan el retomo de su
inversion.
Los directores responsabies de esta
custodia velanin porque la gerencia
implemente los sistemas y controles
de Ti necesarios.
Necesidades de las
Partes Interesadas
ri
s
e
s
F
i
g
u
r
a
2
.
3
:
A
r
e
a
s
G
i
g
u
e
d
e
g
e
s
ti
O
n
y
g
o
b
i
e
r
n
o
d
e
C
O
B
1
T
Gobierno
(
Gestion
.
Fuente: ISACA. COUIT 5, ELIA. 2012, figura 15
Al
IS
LISACertifies Information Section Dos: Contenido Capitulo
_... ..._ .. .
Systems Auditor'
0
[w.N...•
elJeCX
Figura 2.5:
Cuadro de
mend('
integral
(balanced
scorecard,
BSC) de TI
Fuente: ISACA. Comperencias y practicas de dernirrio de gobierao de TI: Medir y derllostrar el
valor de Ti, USA, 2005, figura 7.
Contribucion al nogacio
COrno ve Ia direociOn al
departamento de TI?
Mision
Obtener una contribucion razonable
de las inversiones en TI
para el negocio · Causa
Objetivos A Elect°
AlineaciOn de Tlinegocio
• Entrega de valor Orientacion al futura
Orientacion al usuaria Gestion de costos Como esta posicionado la
i,Como ven los usuarios el Gestion de riesgos Tl para satisfacer futuras
departarnento de TI? necesidades?
Mision Mision
Ser el proveedor pretend° BSC de 11 Desarrollar oportunidades
de sisternas de inforrnacien que respondan a los futuros
Objetivos deseflos
Proveedor preferido de aplicaciones Objetivos
y operaciones Capacitacion y educacion
Asociacien con los usuarios del personal de 11
Satisfaccion del usuario Experiencia del personal
Excelencia operativa de TI Investigacion sobre
tecnologlas emergentes
LCuan eficientes y efectivos
son los procesos de TI? •
!Asian
__• Entregar aplicaciones y servicios 4_
de TI eficientes y efectivos
Objetivos
Desarrollos eficientes y efectivos
Operaciones eficientes y
efectivas Nivel de madurez de
procesos de TI
. ,
Fuente: ISACA, Information Security Governance: Guidance for Information Security Managers, 2008. Todos los derechos reserva
Nota: Las
responsabilidades
variaran de empresa a
empresa y las
responsabilidades qua
se rnuestran son las
responsabilidades inns
comunes del comite de
El comite de direccion de SI referencia puede basarse en
debe recibir informacion de diversos modelos como, por
gestion apropiada de los ejeniplo, Capability Maturity
departamentos de SI, do Model Integration* (CMMI"),
usuarios y de auditoria, para el modelo "Inicio,
coordinar y monitorear con Diagnostic°, Establecimiento,
efectividad los recursos de S[ ActuaciOn y Aprendizaje"
en la organizacion. El comite (IDEAL), etc.. Esta section
debe monitorear el presenta varios inodelos de
desempeno y establecer las madurez y de mejoramiento
acciones apropiadas para de procesos que los
alcanzar los resultados candidates a CISA pueden
deseados. El comite debe encontrar en una
reunirse periodicamente e organization.
inforrnar a Ia alta direccion.
Deben elaborarse aetas El Model(' de Eyaluaeion de
fonnales de las reuniones del Procesos (PAM) de COBIT,
comite de direccion de SE, que utiliza COB1T 5, ha sido
para docurnentar las desarrollado para abordar la
actividades y las decisiones necesidad de mejorar el rigor
del comite. y la confiabilidad de las
revisiones de procesos de TI.
Fl
modelo serve como un
2.5 MODELOS DE document° de referencia
MADUREZ Y para llevar a caho las
MEJORAMIENTO DE evaluaciones dc capacidad de
los procesos de TI actuales
PROCESOS de una organization y define
el conjunto minima de
La implementacion del requerimientos para Ilevar a
gobierno de TI requiere una cabo una evaluaciOn para
mediciOn de desempello asegurar que los resultados
constante de los recursos de scan coherentes, repetibles y
una organizacion que representativos de los
contribuyen a la ejecueion de procesos e.valuados. Se
procesos que prestan alinea con ISO/IEC 15504-2 y
servicios de Ti al negocio. El utiliza la capacidad de
inantenimiento de la eficacia procesos y los indicadores del
y eficiencia constantes de los desempeilo de proceso para
procesos requiere la deterniinar si se han
implementaciOn de un marco alcanzado los atributos del
de referencia de madurez de proceso.
procesos. El marco de
El modelo IDEAL es un orientar el mejoramiento de
model° de programa de procesos en un proyecto,
mejoramiento de procesos division a en toda la
de software (SP!), organizaciOn. CMMI ayuda a
desarrollado por el integrar las funciones
Software Engineering organizacionales
Institute (SE!). Dicho tradicionalmente separadas,
modelo forma una fijar objetivos y prioridades de
inforestructura para mejoramiento de procesos,
orientar a las empresas en proporcionar orientation para
la planificacion y aplieacion loo procesos de calidad y un
de un programa efectivo panto de referencia para
para eel inejoramiento de evaluar los procesos actuales.
procesos de software cticaz El modelo de capacidad del
y consta de cinco faces: proceso se basa en la norms
inicio, diagnostieo, ISO/ IEC 15504 Ingenieria de
estableeiiniento, actuation y software—Evaluation de
aprendizaje (IDEAL). procesos, reconocida
intemacionalmente.Este
CMMI es un enfoque de models alcanza los mismos
inejorarniento de procesos objetivos generales que Ia
que proporciona a las evaluation de procesos y
empresas los elernentos respaldo de mejoramiento de
esenciales de procesos procesos; es decir, provee un
efectivos. Se puede usar para media para medir
negocio. Esta consideration debe tomar tOcnico. Una politica de seguridad para
en cuenta los aspectos de tecnologia de la informacion y
confidencialidad y seguridad de la tecnologias relacionadas es un primer
informacion, las cuales pueden ser paso hacia la constniccion de la in
contrarios a Ia conveniencia del fraestructura de seguridad para
cliente. Las politicas generales en un organizaciones impulsadas por Ia
nivel superior y las politicas detalladas, tecnologia. Las politicas a menudo
en un nivel inferior, deben coincidir definiran el escenario tn tenninos de clue
con los objetivos del negocio. herramientas y procedimientos se
necesitan para Ia organizaciOn. Las
Los auditores de SI deben entender que politicas de seguridad deben equilibrar
las politicas son parte del alcanee de la el nivel de control con el nivel de
auditoria y deben coinprobar su productividad. Ademas, el costa de un
cumplimiento. Los controles de Si control nunca debe exceder el beneficio
deben fluir de las politicas de Ia que se espera obtener. Para disetiar e
empresa y los auditores de SI deben implemental- estas politicas, la cultura
usar las politicas como un pwno de organizacional desempefiara un papel
comparacion pant evaluar el importante. La politica de seguridad
cumplimiento. Sin embargo, si existen debe ser aprobada por la alta direcciOn,
politicas que obstaculizan el logro de y debe ser documentada y comunicada a
los objetivos de negocio, se deben todos los empleados y proveedores de
identificar y reportar para que sean servicio y socios de negocio (es decir,
mejoradas. El auditor de SI debe proveedores), segtm sea pertinente. La
tambien considerar el grado al que las politica de seguridad debe ser usada por
politicas se aplican a terceros o a los auditores de SI coin() un marco de
contratistas de externalization, el grado referencia para realizar diferentes
al que estos cumplen con las politicas, asignaciones de auditoria de SI. La
y si las politicas de los terceros o de los suficiencia y pertinencia de la politica de
proveedores de servicio externos estan seguridad podria tambien ser un area de
en contlicto con las politicas de la revision para el auditor de SI.
empresa.
DOCUMENT° DE POLITICA
Politica de seguridad de la DE SEGURIDAD DE LA
informacion INFORMACION
Una politica de seguridad comunica un La politica de seguridad de la
estOndar de seguridad coherente a los infonnacion debe establecer el
usuarios, a la gerencia y al personal compromiso de la gerencia y el enfoque
de la organizacion para gestionar la · Un marco para fijar los
seguridad de la infonnacion. El objetivos de control y los
estandarlSO/IEC 27001 (o los controles, incluyendo la estructura
estandares equivalentes), asi como Ia de evaluacion de riesgos y gestian
directriz 27002 pueden considerarse de riesgos.
como referencias para el contenido del · Una explicacion breve de las
document° de la politica de seguridad politicas, principios, estandares y
de la infonnaciOn. requisitos de cumplimiento de
importancia particular para la
docutnento de politica debe contener: organizacion, incluyendo:
· Una delmiciOn de seguridad — Cumplimiento con
de la informacion, sus objetivos los requerimientos
generales y su alcance, asi como la legislativos, regulatorios
importancia de la y contractuales
seguridad como un mecanismo que — Requerimientos de formation,
permite que se comparta Ia capacitation y concienciacien
infonnacion . en seguridad
· Una declaration de Ia intention Gestion de la continuidad del
de la gerencia, que apoye las metal negocio
y los principios de seguridad de la — Consecuencias de Ia violation de
informacion en Linea con la la politica de seguridad
estrategia y los objetivos de de la informacion
negocio. · Una definition de las
responsabilidades generales y
especificas para la gerencia de
seguridad de la infonnacion,
incluyendo reportar incidentes de
seguridad de la infonnaciOn.
· Referencias a Ia documentation
que puede respaldar Ia politica; por
ejemplo, politicas, estandares y
procedimientos Inas detallados de
seguridad para sistemas de
infonnacion especificos o reglas de
seguridad que deben acatar los
usuarios.
REVISION DE LA POLiTICA
DE SEGURIDAD DE LA
INFORMACION
La politica de seguridad de la
inforniacion debe revisarse con
intervalos planificados (por lo menos
una vez al at o cuando murrieran
cambios significativos en la empresa, en
sus operaciones cornerciales o en su
riesgo inherente relative a la seguridad,
para asegurar quo sign siendo pertinente,
adecuada y eficaz. La politica de
seguridad de la informacion debe tenor
un propietario al quo se haya otorgado la
responsabilidad de gestiOn aprobada
para desarrollar, revisar y evaluar la
politica de seguridad. La revision debe
incluir Ia evaluacion de las
oportunidades rye niejoramiento de Ia
politica de seguridad de la informacien
de la organizacion y un enfoque para
gestionar la seguridad de la informacion
ern respuesta al ambiente organizacional,
las circunstancias de negocio, las
condiciones legales o el ambiente
t6cnieo,
El mantcnimiento de In politica de
seguridad de la informacion debe
lunar en cuenta los resultados de
haber procedimientos definidos de objetivos de negocio
revisiOn de la gerencia, (pie · Mejoramiento del enloque de la
incluyan un cronograma o periodo para orizanizaciOn para gestionar la
la revision. seguridad de la informacion y sus
Las contribuciones a la revisiOn de Ia procesos
gerencia deben incluir: · Mejoramiento de los objetivos de
· Retroolimentacion de las panes control y los controles
interesaclas · Mejoramiento en Ia asignacion
· Resultados de revisiones de recursos yio
independientes responsabilidades.
§ Estatus de las acciones
preventivas y correctivas Se debe mantener un registro de las
- Resultados de las revisiones revisiones de la gerencia y SC debe
antcriores de Ia gerencia obtener Ia aprobacion de la gerencia
· Desempao del proceso y para la politica revisada.
cumplimiento de la politica de
seguridad de Ia informacion Nota: Esta revision es realizada
· Cambios que podrian afectar el en por la gerencia para tratar Ins
foque do In organizacion para cambios en factores ambientales.
gestionar la seguridad de Ia in
formaciOn, incluyendo cambios al Mientras revisa las politicas, el
ambiente organizacional; las auditor de SI debe valorar lo
circunstancias de negocio:, la siguiente:
disponibilidad de recursos; las · Base sabre Ia cml so ha
definido Ia politica-generalmentet
condiciones contractuales, regulatorias
y legales; o el ambiente tecnico se basa en un proceso de gestion
· Consideracian del use de de riesgos.
proveedores de servicio eXiCITIOS o · Pertinencia de estas politicas.
·
traslado al exterior do la funcion de Contenido de las politicas.
TI e funciones de negocio · Exccpciones a las politicas—
- aclarar en qu6 areas no se aplican
Las tendencies relacionadas con las
arnena7as y las vulnerabilidades las politicas y por qu6., por ejemplo,
· [ncidentes de seguridad de la es posiblc que las politicas de
informacian reportados contrasefias (passwords) no sean
· Recomendaciones suministradas compatibles con aplicaciones
por las autoridades relevantes, existentes.
- Proceso de aprobaciOn de
El resultado de la revision de la politicas.
gerencia debe incluir decisiones y · Proceso de implernentacion de
acciones relacionadas eon: politicas.
· Mcjora en la alineacion de la · Efectividad de irnplementaciOn
seguridad de la informaciOn con de politicas.
· Concienciae ion y capacitacion.
· Proceso periadieo de revision y espiritu (la intencion) del
actualizacion. enunciado de la politica. Los
procedimientos se deben escribir
2.7.2 PROCEDIMIENTOS de forma clam y concisa, de modo que
scan comprendidos facil
Los procediraientos son pasos definidos
y correctamente por todos los quo se
y doeumentados
deben regir por elle& Los
para alcanzar los objetivos de la
procedimientos documental) procesos de
politica. Deben derivarse de
negocio (administrativos
la politica madre e implementar el
Manual de Preparacian al Examen CISA 2015 97
Todos los derechos reservados.
Capitulo 2—Gobierno y Gestion de TI
Secchin Dos:
brD,Elar
La entrega de funciones de Si
puede incluir:
· Funciones in ternas—Realizadas
totalmente por el personal
de Ia organizacion
· Externalizadas—Realizadas por
el personal terceros
· I librido—Realizadas
por una rnezcla del personal
de Ia organizacion y de
terceros, puede
incluir personal en
asociaeiones de
negocios/suplementar
io
Las funciones de SI se
pueden Ilevar a cabo en
diferentes panes del monde,
para aprovechar las zonal
Seccicin Dos: seguirse tin proceso
Contenido CiSA A trI r
ir r il
riguroso. que incluya:
·
04)Inkum Definir la funcion de SI que
debe ser extemalizada.
· Describir los niveles
de scrvicio requeridos y
La organizacion debe evaluar sus las metricas minirnas
funciones de SI y determinar el que se deben cumplir.
inetoclo mas apropiado de · Estar consciente del
entregar las funciones de Sl, nivel deseado de
prestando consideracidn a lo conocimiento, habilidades y
siguiente: calidad que se espera del
·i,Es esta una funcion proveedor de servicio.
primordial para la · Conocer la
organizacion? infonnacidn actual
·Jiene esta funcion del costo intern°,
conocimientos, procesos y para campararlo con
personal especificos que scan las ofertas de
criticos para alcanzar las terceros.
metas y objetivos, y que no § Realizar revisiones de
se puedan obtener debida diligencia de posibles
externamente n en otro proveedores de servicio.
lugar?
-i,Puede esta funcion scr Us.ando esta informacion, la
cfcctuada por un tercero o en organizacion puede realizar
otro lugar por el mismo un analisis detallado de las
precio o por un precio ma's ofertas de los proveedores de
bajo, con la misma o mayor servicio y delerminar si la
calidad, y sin aurnentar el externalization pernutira a is
riesgo? organizacion cumplir sus
·i,Tiene la organizacion inetas de una fomia eficiente
experiencia administrando a en costa, con riesgo limitado.
terceros o usando lugares
distantesien el extranjero
El mismo proceso debe ser
para ejectitar funciones de SI
considerado cuando una
o de negocio?
organizacion escoge
Al completarse la estrategia "globalizar" o trasladar sus
de sourcing, el comitd de funciones de SI al extranjero.
direction de SI debe revisal y
aprobar Ia estrategia. En PractIcas y estrategias de
este panto, si la organizacion externalizacion
ha elegido usar Las practicas de
extemalizacion, debe externalization se refieren a
acuerdos contractuales por los ajustar el lama& at nivel adecuado,
etudes una organizaciOn la decision de externalizar
entrega el control de parte a la servicios
total idad de las funciones de productos requiere que Ia
SI a un tercero. La mayoria de gerencia vuelva a analizar el inarco
los departamentos de SI de control sabre el que puede
utilizan recursos de basarse.
infortnacion de una amplia
gania tic proveedores y, por lo
tanto, necesitan un proceso
definido de externalization
para administrar
efectivainente Jos acuerdos
contractuales con estos
proveedores.
ISI
· Establecer concedan el derecho a
parametros de auditar las operaciones del
desempefio especificos, proveedor (por ejemplo,
definidos, que deben ser acceso a instalaciones,
cumplidos, por ejemplo, acceso a los registros,
tiempos mininios de derecho a hacer copias,
procesamiento para las acceso al personal, provision
transacciones o tiempos de archivos computarizados)
minimos de retention para los que se relacionen con los
contratistas. servicios contratados.
· Incorporar criterios de · Asegurar que el
administraciOn de la contrato trata de manera
capacidad. adecuada las disposiciones
· Proveer de continuidad del negocio
disposiciones y recuperation ante
contractuales para desastres y las pruebas
hacer cambios al apropiadas.
contrato. · Determinar quc
· Proveer un proceso deben mantenerse la
claramente definido de confidencialidad, la
escalamiento y resoluciem de integridad y la
disputas. disponibilidad de los
· Asegurar que el contrato datos (algunas veces
indemnice a Ia compailia por denominado la triada
daftos causados por la CIA) propiedad de Ia
organizacion responsable organization, y
de los servicios external establecer claramente la
izados. propiedad de los datos.
· Requerir contratos de · Rcquerir que el
con fidencialidad que proveedor cumpla con todos
protejan a ambas partes. los requerimientos legales y
· Incorporar disposiciones regulatorios relevantes,
clams, no ambiguas, sobre el incluyendo los promulgados
"derecho a auditar", que despues de la in iciaciOn del
contrato.
Practices y estrategias de
globalizacien
Ademas de recurrir a Ia contrataciem de
funciones como servicios externos,
mochas organizaciones Ilan elegido
globalizar sus funciones de SI. La
globalization de las fitneiones de SI se
realiza por muchas de las mismas —La continuidad del negocio y la
razones citadas para la extemalizacion: recuperation ante desastres pudieran
sin embargo. la organizaciOn puede no estar establecidas y probadas de
escoger no externalizar la tuncion. manera adecuada.
Globalizar las funciones de Si requiere · Personal—Las
que la administration supervise modilicaciones que se
activamente las ubicaciones distantes y necesitan para las politicas de
las instalaciones en el extranjero. personal pudieran no
considerarse.
Cuando la organiz_aciOn realice las · Problemas de
funciones internamente, puede escoger telecomunicaciones—Los controles
trasladar las funciones de Si a otro y el aeceso a Ia red desde
Lugar o al extranjero. El auditor de SI ubicaciones distantes o en el
puede ayudar en este proceso al extranjero pueden estar sujetos a
asegurarse que Ia gerencia de SI mas interrupciones frecuentes o a
considere los riesgos y preocupaciones un flamer° mayor de riesgos de
de auditoria siguientes cuando detina la seguridad.
estrategia de globalization y erectile la · Problemas transfronterizes y
transition subsiguiente a las ubicaciones transeulturales—Administrar
en el extranjero: personas y procesos en multiples
· Aspectos legales, regulatorios zonas horarias, idiomas y culturas
y fiscales—Operar en un pais a puede presentar desafios y problemas
region diferente puede introducir no planeados. El Cluj° de datos entre
nuevos riesgos sabre los cuales la fronteras tambien puede estar sujeto a
organinciOn puede tener requerimientos legislativos, por
conocimientos limitados. ejemplo, que los datos deben estar
· Continuidad de las operaciones encriptados durante la transmisiOn.
Figura
2.9—Modelos de servicio de is computacion nube
en la
106
to
Seccian Dos: Contenido Capitulo 2—Gobierno y Gestion de TI
PRESTACION DE MONITORED V
SERVICIOS REVISION DE LOS
Se debe asegurar que los SERVICIOS DE
controles de seguridad, las TERCEROS
definiciones de servicio y los Los servicios, reportes y
niveles de entrega incluidos registros suministrados por el
en el contrato de prestacion tercero deben ser
de servicios por un tercero monitoreados y revisados
sean implementados, regularmente, y las auditorias
operados y rnantenidos por deben ser efectuadas
el tercero. regularmente. El monitoreo y
revision de los servicios de
La prestaciOn de servicios terceros deben asegurar que
por un tercero debe incluir
los terminos y condiciones de
los acuerdos de seguridad
seguridad de la informacion
de los contratos se ester negocio y de la Ti en
cumpliendo y que los general, es el foco principal
incidentes y problernas de al considerar el use de la
seguridad de infonnacion computation en la nube.
esten siendo manejados medida que las empresas
debidamente. Esto debe confien en la nube para
involucrar una relacion de ofrecer servicios que
administracion de servicios y tradicionalmente han lido
un proceso entre la manejados intemamente,
organizacion y el tercero para: tendran que hacer algunos
· Monitorear los niveles de cambios para ayudar a
descmpetio del servicio para garantizar
verificar el cumplimiento de
los contratos 108
· Revisar los reportes
de servicio producidos
por el tercero y
concertar reuniones
regulares para evaluar
el progreso que
requieran los contratos
· Suministrar informacion
sobre los incidentes de
seguridad de la infonnacion
y revision de esta
infonnacion por el tercero y
por Ia organizacion Como lo
exijan los contratos y las
directrices y procedimientos
de respaldo
· Revisar las pistas de
auditoria de terceros y los
registros de eventos de
seguridad, problemas
operativos, Pallas, rastreo
de faltas e intemtpciones
relacionadas con el
servicio entregado
· Resolver y manejar
cualquier problema
identificado
GOBIERNO DE LA NUBE
La direccion estrategica del
que continuen cumpliendo con personal de las unidades de
los objetivos de desempetio, negocio, que se vio obligado Lc
con su aprovisionamiento de anterionnente a pasar por Ia Ti de
tecnologia y que los negocios para obtener un servicio, ahora pu
esten estrate'gicamente puede prescindir de ella y los
alineados y el riesgo bajo recibir el servicio directamente sib
control. Ascgurar que TI esta desde la nube. Las politicas se · 1
alineada con el negocio, los deben modificar o desarrollar · I
sistemas son seguros y el para abordar el proceso de · r
riesgo es administrado es dificil sourcing, gestiOn y L
en cualquier entorno y afin mas discontinuidad del use de a
complejo en una relacion con servicios de la mtbe.
terceros. Las actividades
T
tipicas de gobierno, tales como La responsabilidad de
I
el establecimiento de metas, administrar la relacion con un
IQ:
las politicas y el desarrollo de tercero debe ser asignada a
111
estandares, Ia definicion de una persona designada o a un
4
roles y responsabilidades, y el equipo de administracion de
US
manejo del riesgo deben incluir servicios. Ademas, la
consideraciones especiales organizaciOn debe asegurar
cuando se trata de Ia que el tercero asigne 2.
tecnologia de la nube y sus responsabilidades para La
proveedores. verificar el cumplimiento y un
ejecutar los requcrimientos mi
Al igual que con todos los de los contratos. Se deben qu
cambios en la organizaciOn, es poner a disposition nil
de esperarse que sera suficientes habilidades y
necesario hacer algunos de
recursos tecnicos para de
ajustes en Ia forma en que se monitorear si los requisites
manejan los procesos de qu
del contrato, en particular los
negocio. Los procesos de un
requerimientos de seguridad
negocio, come procesamiento de la informacion, se estan
de datos, desarrollo y cumpliendo. Se debe El
recuperation de informacion, emprender una accion qu
son ejemplos de areas de apropiada cuando se
cambio potential. Ademas, sera observen deficiencias en la po
necesario considerar los prestacion del servicio. ne
procesos que detallan Ia forma los
de almacenar, archivar y La organizaciOn debe
respaldar la informacion. La mantener stificiente control y Ur
nube presenta muchas visibilidad general en todos ad
situaciones (micas que deben los aspectos de seguridad pu
abordar las empresas. Un gran relacionados con Ia pa
problema del gobiemo es que el infomsacion sensible o critica de
qu
Ca
ob
re
t
o las instalaciones de cuenta:
procesamiento de · Cambios hechos por
informacion a los que un la organizaciOn para
tercero tuvo implementar: — Mejoras
acceso, proceso o gestiona. La en los servicios
organizacian debe asegurar ofrecidos aclualmente
que se mantenga la visibilidad
en las actividades de seguridad Manual de Preparation a!
tales como administracion de Examen CISA 2015 '
cambios, identificaciOn de las 1SACA. Todos los derechos
reservados.
vulnerabilidades y
reporteirespuesta a incidentes
de seguridad de la informacion
a traves de un proceso de
reporte, formates y estructura
claramente definido. En el case
de la externalization, la
organizacion necesita estar
consciente de que la
responsabilidad en Ultima
instancia de la infonnacion
procesada por un proveedor de
servicios extemos sigue siendo
de Ia organizacion.
GESTION LW
CAMBIOS A LOS
SERVICIOS DE
TERCEROS
Se deben manejar los
cambios a la provision de
servicios, incluyendo
mantener y mejorar las
politicas de seguridad de la
information, procedimientos y
controles existentes, tomando
en cuenta la criticidad de los
sistemas y procesos de
negocio involucrados y
reevaluando los riesgos.
Presupuestos de Si
La gerencia de SI, como todos los
demas departamentos, debe
desarrollar ran presupuesto.
sot
informaciOn provee la funcion rectora Session Dos:
ContenidoInforental
para garantizar que la information y los ___________ CISA =lc kicky.
rccursos de procesamiento de informaciOn
de la organizacion bajo so control esten
debidamente protegidos. Esto incluiria
dirigir y facilitar Ia implementation de un
programa de seguridad de Ia infonnacion a 2.9.7 OPTIMIZACION DEL
nivel de toda la organizacion, que incluya RENDIMIENTO
el desarrollo de planes de analisis de El desempefio no es cuan bien funcione
impact() al negocio (BIA), de continuidad tin sistema; el desempeao es el servicio
del negocio (BCP) y de rectiperacion ante percibido por los usuarios y las partes
desastres (DRP) relacionados con interesadas. La optimizacion del
funciones del departamento de SI en desempeiio es el proceso de mejorar la
apoyo de los procesos criticos del negocio productividad de los sistemas de
de la organization. Un components informaciOn al maxima nivel posible
importante al establecer dichos programas sin inversion adicional innecesaria en
es la aplicacion de principios de infraestructura de Ti.
administration de riesgos para evaltiar los
riesgos para los activos de Ti, para mitigar Factores criticos de exito
estos riesgos pasta un nivel apropiado y En enfoques efectivos de gestiOn de
detenninado por la gerencia, y monitorear desempeao, las medidas no son solo
los riesgos residuales remanentes. utilizadas para asignar responsabilidades
a cumplir con los requerimientos de
Consulte el capitulo 5, Proteccian de los reportes. Son utilizadas para crear y
activos de infornaacion, facilitar la action para mejorar el
para obtener Inas detalles sabre la desernpefto y, por lo tanto, GEIT.
gestion de seguridad de la
in formacian. La medicien efectiva del
desempeflo depende de dos
aspectos slave que se abordan:
· La clara definicion de las metas
de desempeao
· El establccimiento de
metricas efectivas para
monitorcar el logro de las metas
110
M.
ISi
C Certified Information Seccion Dos: Contenido Capituto
CISA Systems Auditor'
La medicion y la presentacion de
reportcs del desemperio de Ti puede ser
un requerirniento establecido por la
legislaciOn o par contrato. Las practicas
adecuadas de medicion de desemperio
para la empresa incluyen medidas de
resultados pare valor del negocio,
ventaja competitive y metrica de
desemperio definida que muestre que
bien Cunciona Ia TI. Los incentivos,
como las recompensas, la
compensaciem y el reconocimiento
deben estar ligados a las medidas de
desemperio. Tambien es importante
compartir los resultados y el progreso
con los empleados, clientes y partes
interesadas.
2.10 ESTRUCTURA
ORGANIZATIVA Y
RESPONSABILIDADES DE
ref
cot
am
par
·
Ge
Capitulo 2—Gobierno y Gestian de TI Section Dos:
CISA Systuns Arritte Certif
Contenido
ent
·
Manual de Preparacion al Examen CISA 2015 C.e
111
en
los
Figura 2,12—Organization del Departamente de SI
·
Jefe de Inform acliiin Cc
o Gerente / Director do TI do
do
L ·
GestiM de Itiesgos Aplitacienes Gatos Soporte Thome Soporte 31 US-nail)
Go
Dperaclo
fur
de
· Administrader de
rep
Desarrollo I Ad mlnlstrador de Dates f
Ia Seguridad Nam i nis radon de Administrat
cot
Administrator de Soporte Admin istrador de Base Mesa de Servicio
· Coordinator de Soporte Tecnice Operacio
de Dates Cil
Recuperation Aiiie
Desastres CIi
· Programadores · Administrator de Redes · Program adores de Sistemas
de
(Aplicacienes) (LANIWANI (Sistema Operative) l a Uo
Opetanortie
· Anal istas de Sistemas · AdminiStrador · Analistas de Sistemas
(Aplicaclenes) de SiSternas (Operacidri de Sisternas) la
· Aseguram lento (SIsterna Operative)
de la Calidad
Ges
Con
ISACA. Todos los derechos reservados. mUlt
en las organizaciones grandes, CISA debe estar familiarizado a ge !
por an director general do con Ia segregation de funciones, inch
informacion (CIO). ·
Nota: El examen CISA no 2.10.1 ROLES I' Ac
prueba responsabilidades RESPONSABILIOADES DE SI de
especificas del trabajo, ya que ·
Los organigramas son elementos
pueden variar dentro de [as Pr(
importantes que deben conocer todos
organizaciones. Sin embargo, las prc
los empleados, ya que ellos proveen
responsabilidades conocidas firr
una definition clam de la jerarquia y
universalmente tales como los Mr•
autoridad del departamento. Adernas.,
propietarios del negocio, las ·
las descripciones de puestos de
funciones de seguridad de la Re
trabajo, los graficos de RACI y
informacion y la direction rec
diagranias de flujo de trabajo de la
ejecutiva podrian examinarse en :
cadena de responsabilidad brinda a los
la prueba, en especial cuando se
ernpleados del departamento de SI una
pnieban los controles de acceso Ope
direction mss completa y clara con
y la propiedad de los datos. Un El g
respect° a sus (y de otros) funcioncs y
de 01
requ
efic
prog
data
responsabilidades. El auditor de SI · Servicio de soporte (help desk)—
debe dedicar tiempo en un area En el entorno actual de SI, cada vez
auditada para observar y determinar si mas comparlias consideran importante
las deseripciones fonnales de puestos toner una funcion de servicio de
de trabajo y las estructuras coinciden soporte. Esta es una unidact dentro de
con las verdaderas y son adecuadas. una organization quo responde a
Generalmente se deben revisar las preguntas y problemas tecnicos gut
siguientes funciones de SI: enrrentan los usuarios. La mayona de
· Gestion de desarrollo de las compaiiias de sot rare tienen
sistemas--Responsable de los servicios de soporte. Las preguntas y
prograrnadores y analistas quo respuestas pueden ser realizadas por
implernentan los nuevos sista-ins y telefono, fax, correo cicctronico o
quo mantienen los sistemas existentes. rncnsajcria instantanea. El personal del
· Gestion de proyectos--Los servicio de soporte puede utilizar
gerentes de proyectos son software especial de Centro de soporte
responsables de planificar y ejecutar (help desk) de terceros quo les
los proyectos de SI y pueden reportar posibilita hallar rapidamente las
a una ofieina de gestion de proyectos respuestas a las preguntas mss
o a la organization de desarrollo, El frecuentes. Debe existir un
personal de gestion de proyectos procedimiento para registrar el
utiliza et presupuesto quo se les problema reportado, su resolucion y
asigna para la entrega de iniciativas escalarniento a efectos de un posterior
de SI e informar sabre el progreso de analisis de problemasipreguntas. Este
los proyectos al comite de direceiOn. procedimiento debe ayudar a
Los gerentes de proyectos juegan un monitorear los grupos de usuarios y
papel central en [a *crier& de la para mejorar los servicios de software/
vision de la estrategia do TI y del (instalaeiones de procesamiento de
comite de direccion al planiticar, infonnaciOn — IPA') brindados.
coordinar y entregar los proyectos de
SE a la empresa. La administration de servicio de
soporte incluye las siguientes
act ividades:
AdquisiciOn de hardware/software
(HW/SW) en
representacion de los usuarios
Apoyar a los usuarios finales con las
diticultades de HW/SW
— Capacitar a los usuarios para usar
I-1W/SW y bases do datos
— Responder las preguntas de los
usuarios finales
— Monitorear desarrol los tdcnicos
e in formar a los usuarios finales de · Usuario final—ResportsabEe
desarrollos que podrian ser de las operaciones relacionadas con
pertinentes para ellos — Detcnninar los servicios de aplicaciones del
la fuente de problemas con sistemas negoeio: utilizado para distinguir la
de production persona para quien se disefa5 el
o in ieiar acciones correctives product° (generalniente a nivel de
— In forrnar a los usuarios finales aplicaciOn) de Ia persona quo
sabre problemas con HW/ SW o programa, sirve o instals aplicaciones.
bases de dates que podrian afectar Vale la Pena serialar que hay una
sus controles por la instalacion de pequelia distinciOn entre los
actualizaciones do HW/SW Wrminos "usuario final" y "usuario".
— Iniciar eanibios para mejorar la El usuario final es levemente mas
eficiencia especifico, y se
Mao
ISACA. Todos
los derechos
reservados.
ISA{
Cat'lied intorroation
CISA Systems Auditor Section Dos: Contenido Capitu
!Sex' Cerlmr~
como un activo corporativo.
§ GestiOn de aseguramiento de la
calidad (QA)—Responsable de
negociar y facilitar actividades de
refiere a alguien que tendra acceso a
calidad en todas las areas de
una aplicacion de negocio, como se
tecnologia de informacian.
expresO aqui anteriormente. El
· Gestien de la seguridad de la
tennino usuario es mas amplio, y
informacion—Esta es una funcian
podria referirse a cuentas
gue generalmente se debe separar
adrainistrativas y euentas para acceso
del departamento de SI y debe estar
a plataformas.
encabezada por un CISO. El CISO
Gestian de soporte al usuario final
puede reportar al CIO o terier una
—Responsable del enlace entre el
relation indirecta (reporte indirect())
departamento de SI y los usuarios
con el 00. Incluso cuando el oficial
finales.
de seguridad se reporta al CIO,
§ Cestion de datos--Responsable
existe una posibilidad de conflicto,
de Ia arquitectura de los datos en los ya que las metas del CIO son
ambientes Inas grandes de TI y proporcionar de modo eficiente
encargado de gestionar los datos
servicios continuos de TI, mientras centro de datos incluye los servidores
que el CISO puede estar menos y el mainframe, perifericos como,
interesado en la reduction de costos porejemplo, impresoras de alta
si esto tiene un impacto en La velocidad, equipamiento de red,
calidad de la protection. medios magneticos y redes de area de
almacenamiento. Cortstituye una
Gestion de proveedores y inversion importante de activos y
contratistas de externalizacion tiene un impact() en la capacidad de la
Con el aumento de external izacion, organization para funcionar
que incluye el uso de eficazmente.
multiples proveedores, el personal
dedicado puede estar obligado a El grupo de control es responsable de
gestionar proveedores y contratistas Ia recoleccian, conversion y control del
de servicios externos, incluyendo ingreso de datos y el balanced y
realizar las siguientes funciones: distribution de los datos salientes a la
*Actuar coma el primer contacto comunidad de usuarios. El supervisor
para el vendedor y el contratista de del gnipo de control usualmente
externalizaciOn dentro de Ia funcian reporta al gerente de operaciones de
de Si las instalaciones de procesamiento de
Proveer indicaciones al contratista de information (IPF). El grupo de control
externalizaciOn sobre los problernas y de entradalsalida debe estar en un area
esealar intemamente dentro de la separada donde solo se pennita
organization y la funcien de SI personal autorizado, ya que ellos
•
Monitorear y reportar sobre los manejan datos sensibles. Pam obtener
niveles de servicio a la gerencia Inas infonnacion, ver seccion 3.12.1
§ Revisar los Controles de entradalorigen.
cambios al contrato
debidos a nuevos
requerimientos y
obtener aprobaciones
de SI
Operaciones y mantenimiento de
infraestructura El gerente de
operaciones es responsable del
personal de operaciones informaticas.
Esto incluye todo el personal
reguerido para operar el centro de
dates de tnanera eficiente y eficaz (por
ejemplo, operadores de computadora,
bibliotecarios, programadores y
personal de control de datos). El
Gesticin de medios aplicacion del sisterna deben tener
La gestion de medios se requiere para implantados controles para asegurar
registrar, emitir, recibir y que los dates esten validados, sean
salvaguardar todos los archivos de correctos, esten completos y
prograrna y de datos que se autorizados.
mantienen en medios extraibles.
Dependiendo del tamano de la Con el avarice de la tecnologia y la
organization, esta ftnicion se puede necesidad de adquirir datos desde que se
asignar a un individuo a tiempo originan, las organizaciones estan
compieto a a un miembro de desplegando sistemas automatizados
operaciones que tambien desempelie para Ia adquisiciOn de datos. Estos
otras funciones. sistemas incluyen lectores de cOdigo de
barras, a sistemas a los que se hace
Esta es una ftmcion crucial y por referenda como SCADA (AdquisiciOn
tanto, muchas organizaciones le de dates, supervisiOn y control). El
proveen soporte adiciortal mediante el termino SCADA comCmmente se
uso de software que ayuda a mantener refiere a sistemas centralizados los
el inventario asi como tambien maneja cuales monitorean y controlan sitios
el movimiento de medios de enteros, o a complejos de sistemas
almacenamiento. El uso de este propagados en areas grandes (en la
software tambien ayuda a mantener el escala de kilometros o minas). Estos
control de versiones y la gestion de sistemas son tipicos de las plantas
configuraciOn de los progratnas. industriales, acerias, plantas de energia,
instalaciones electricas y similares. La
Ingres° de datos mayor parte del control del sitio se
El ingreso de datos es critico para la realiza automaticamente par terminales
actividad de procesamiento remotos (RTUs)
de informaciOn. El ingreso de datos o por controladores logicos
puede incluir ingreso en tote programables (PLCs). Las funciones de
o ingreso en Linea. control del anfitrion (host) suelen
En Ia mayoria de las organizaciones, restringirse a autorizaciones basicas del
el personal de los departamentos de sitio o intervention a nivel de
usuarios hace su propio ingreso de supervision. tin ejernplo de sistemas
datos en linea. En machos ambientes automatizados para la adquisicion de
en linea, los datos son capturados datos son aquellos utilizados en las
desde la fuente original (par ejemplo, plataformas petroliferas para medir y
intercambio electronic° de datos controlar Ia extraction de petroleo y
[EDI], datos capturados via codigos de controlar la temperatura y el MO de
barra para gestion de tiempo, agua.
inventario de almacenes por
departamento). El departamento de La adquisicien de datos comienza en el
usuarios asi como tambien la nivel de RTU o PLC e incluye lecturas
de medidores y reportes de estado de a anular controles de RTU (PLC)
equipos que se comunican a SCADA normales. Los datos tambien se pueden
segiin se requiera. Luego, los datos se ingresar a un registro histOrico,
compilan y fonnatean de tal manera comnnmente creado en un sisterna de
que un operador de la sala de control gestion de bases de datos de uso
utilizando redes de interfaces hombre- general, para permitir analisis de
maquina (IIMI) puede tomar tendencias y otras auditorias
decisiones de supervisidat para ajustar analiticas.
Administration de la seguridad
La administration de seguridad cornienza con el compromiso de la
gerencia. La gerencia debe entender y evaluar los riesgos de Ia
seguridad y debe desarrollar y hater cumplir una politica escrita
que establezca con claridad los estandares y los procedimientos que
se deben seguir. Las funciones del administrador de seguridad
deben estar definidas en la politica. Para proveer una adecuada
segregation de funciones, esta persona debe ser un empleado de
tiempo completo que reporte directamente al director de Ia
instalacien. Sin embargo, en una empresa pequefia, puede no ser
pnictico contratar a una persona de tiempo completo para esta
posicion. La persona que realice esta funcion debe asegurar que los
diferentes usuarios esten curnpliendo con la politica de seguridad
corporativa y que los controles scan los adecuados para prevenir el
acceso no autorizado a los activos de la compania (incluyendo
datos, programas y equipos). Usualmente, las funciones del
Analist.
Los a na
basados
durante I
sistemas
usuario
func ion
a
documer
aplicacie
Arquite
Los arqi
disefian
de access
y estab le
argumen
funcion,
muy dife
de progn
Manua
ISACA. 1
Seccion Dos: Contenido Capitulo 2—Gobierno y Gestion de TI
Ac
Matrlz
Lo
me
yd
la 1
acc
CD
de control
a. Th-
Mgleso de Vas
Grupo
-
Red
437 .
ill t'1
...
eg d ,
(.,,
Grupo de control X X X X X X X
Analista de
X X X X
sistemas
;
Programador
de aplicaciones X X X X X X X
Mesa de ayuda y
X X X X X X X
Gerente de Soporte
Usuario final X X X X X X
Ingres() de dates X X X X X X
Operador de
X X X X X X X
computadoras
Administrador de
Ia base de dates X X X X X X X
Administrador de
X X X X X X X
redes de funciones diversas y criticas de tal forma que
ser responsible
pudieran ocurrir errores
Administrador deo apropiaciones indebidas y no ser
detectadas oportunamente,
sistemas enXel curso normal de
X los procesos
X de X X X
negocio. La segregacion
Administrador de de funciones es un importante medio por
el cual la
seSeguridad X fraudulentos
pueden prevenir y disuadir actos X y/o X X
_
maliciosos.
Programador
Las funciones de ser segregadas incluyen:
quo deben X X X X X X X
sistemas
· Custodia de los activos.
· Aseguramiento de Ia
AutorizaciOn. X X X
· calidad de transacciones.
Registro
X—La combinaciOn de estas funciones puede crear una posible debtlidad de control.
Si no existiera una segregaciOn de funciones adecuada, podria
ocurrir lo siguiente: por las acciones de
· Apropiacion indebida de activos. cualquier persona
· Estados ftnancieros falsos. queda por lo tanto
· DocumentaciOn financiera inexacta (por ejemplo, reducida. Los
errores o irregularidades). departamentos de S1
· Uso indcbido de rondos o Ia modificacion de datos podria y do usuarios
pasar inadvertida. finales deben
· Es posible quc no se detecten cambios o organizarse para
modificaciones de datos y programas no autorizados y lograr una
erroneos.
C „
„„., . G....ctred Information
LA i.& Systems koclitor .
por el sistema
de
cotnputacion.
· Revisiones de 2.11 AUDITORIA A LA ESTRUCTURA E •
supervision—Las
revisiones de supervision
IMPLEMENTACIoN DEL
pueden ser efectuadas a GOBIERNO DE TI
traves de observacion, •
investigation o Aunque son muchos los
remotamente. aspectos que le preocupan
· Revisiones independientes— al auditor de SI cuando
Las revisiones audita el funcionamiento
independientes se ilevan a de Si, algunos de los
cabo para compensar los indicadores mas
errores o Callas significativos de los
intencionales al seguir los problemas potenciales
procedimientos prescritos. incluyen:
Estas revisiones son · Actinides desfavorables
particularniente del usuario final
importantes cuando las § Costos excesivos
funciones en una · Gasto por encima del
organizaciOn pequefia no presupuesto
pueden ser segregadas - Proyectos atrasadus
debidamente. Dichas · Alta rotation de personal
revisiones ayudaran a · Personal con poca
detectar errores o experiencia
irregularidades. · Errores frecuentes de
FINV/SW
· Exceso de solicitudes
atrasadas de usuarios
· Largo tiempo de
respuesta de computadora
· Nurnerosos proyectos de
desarrollo interrumpidos v
suspendidos
· Conipras de
hardware/software sin
soporte 0 sin autorizacion
· Freeuentes ampliacioncs
de capacidad de HW/SW seguir en contra de los
· Informes cle excepcion transgresores. Por esta
largos razon, esta parte del
· Reportes de excepciones document° de politica debe
a los que no se les hizo ser tratado coma un
seguimiento document° confidencial.
· MotivaciOn deficiente - Cuadros
· Ausencia de planes de organizativosifuncionales—Proveen
reemplazo al auditor de S1 una
· Confianza en uno n dos comprension de la linen de
miembros clave del personal subordination dentro de un
· Falta de capacitation departamento u
adecuada organizacien determinados.
Ellos ilustran una division
2.11.1 REVISION DE de responsabilidades y dan
DOCUMENTACION una indicacian del grado de
segregaciOn de fiinciones
I,a siguiente documentation dentro de la organization.
debe ser revisada:
· Deseripciones de los puestos de
- Las estrategias, planes y
trabajo—Definen las
presupuestos de TI—Proveen
funciones y las
evidencia de planificacion
responsabilidades de los
y control de gestion sabre
cargos en toda la
el ambience de Si y el
organizacion. Estas proveen
alinearniento con la
a la organization Ia
estrategia del negocio.
capacidad de agrupar
· Documentation de politicas de puestos de trabajo similares
seguridad—Provee el estandar en distintos niveles •
a curnplir. Debe establecer categoria para garantizar
la posiciOn de Ia una compensacion justa a la
organization respecto de A
fuerza de trabajo. Ademas,
todos y cada into de los las descripciones de los
riesgos de seguridad. Debe puestos de trabajo dan
identificar quien es indication del grado de
responsable de segregacion de funciones
salvaguardar los acfivos de dentro de la organizacion y
la cornpailia, incluyendo los pueden ayudar a identificar
programas y los datos, las funciones de posible
Debe establecer las conflicts. Las descripciones
medidas preventives a de los puestos de trabajo
tomarse para brindar la deben identificar la posicion
proteeciOn adecuada y las a la que se subordina este
acciones que se deben
personal. El auditor de SI en conceptos correctos del
debe entonces verificar que negocio y no afecten la
los niveles de relation de segregacion de lunciones.
subordination esten basados
r d).
la
eliminaciones de archivos par esporadicas de parte de los usuarios.
accidente, versiones de aplicaciones que
no han sido probadas, perdida de los Basandose en la evaluation de riesgos, se
datos dc respaldo, ataques de negation fommlan escenarios del peer caso y
de servicio (DoS) de red, intrusiones y estrategias de contingencia a largo y corto
virus. Estos eventos pueden requerir plazo dentro de la estrategia de
acciones para recuperar el estado continuidad del negocio de SI para luego
operacional a fin de reanudar el incorporarlos en ci BCP (u afro plan). A
servicio. Las acciones pueden necesitar corto plazo, se puede requerir tine
del restablecimiento del hardware, instalacion de procesamiento alterna para
sonware o archivos de dates. satisfacer necesidades operatives
inmediatas (coma en el caso de un
Mochas interrupciones cornienzan con desastre natural). A largo plaza, se debe
simples incidences. Nonnalmente, si la identificar una nueva instalacion
organizacion posee un centre dc soporte permanente para recuperacion en caso de
(help desk) o un centro de servicio, este desastre, y este se debe equipar para
actuary come el sistema de advertencia proporcionar continuidad de los servicios
temprana pare reconocer las primeras de procesarniento de SI regularmente.
striates de una interruption intninente. A
menudo, tales interrupciones (par Planificacion para pandemias
ejemplo, un rendimiento de la base de Las pandemias pueden ser defmidas
datos que desmejora graduahnente) come las epidentias o brotes de
pasan desapercibidas. Haste que estallan enfernnedades infecciosas en los seres
estos "desastres progresivos" (la base de humanos, y que tienen la capacidad de
dates se detiene), solo causan quejas propagarse rapidamente en grandes
BC
Plan
Development
Analisis de Estrategia de
impacto del desarrollo de BC
Dependiendo de una estimation del nivel del dill° a Ia
negocio
_2 deem& de estrate
(implementaciOn de
contramedidas para
\...enfrentar riesgos).)
itLti
au
Reducir
Figura la probabilidad
2.15 —Diagrama de rein& entre incidente eControles
impacto
,
Monitored de (contramedidas{ClausufasPlan deoIJC en
especiales
( Gestion
Gestion
de de
Gestion
GestiOn de
de para enfrentar contratos de UPS
Sitio de procesamiento 4b- Controles
Controles aControles
Respaldo
DRgenerador
de IT de y
(centre) )
riesgos riesgos) Mitigar
.
5 , configuration
capacidad
incidentes
de reserva preventivos
detectivo las consecuencias
corrective's
endedoresiproveedores
recuperaciO
infraestructura
organization, es necesario industria y circunstancias,
categorizar todos los tipos de pero en general es
incidentes. Un sistema de directamente proporcional al
clasilicacion podria incluir las tiempo transcurrido desde el
siguientes categorias: inicio del incidente hasta su
insignificante, menor, mayor y solution.
crisis. La clasificacion puede
cambiar de manera dinamica Es necesario documentar,
mientras se resuelve el clasificar y revisar los
incidente. Estos niveles pueden incidentes menores, mayores
describirse como sigue: y de crisis hasta que se
· Los incidentes corrijan o resuelvan. Es un
insigniticantes son los que proceso dinthnico, debido a
causan dafios no perceptibles que un incidente mayor
o significativos, tales como puede disminuir en grado
colapsos muy breves del inomentaneamente y
sistema operativo (SO) con extenderse luego para
recuperacion total de convertirse en una crisis.
infonnacion o cartes moments
neos de energia con Los incidentes insignificantes
suministro permanente de se pueden analizar en
energia (UPS). terminos estadisticos para
· Los eventos menores son identificar cualquier causa
los que, aunque no scan sistemica o evitable.
insignificantes, no gencran
impactos materiales (de La figura 2.16 muestra un
importancia relativa) o ejemplo de tin sistema de
financieros negati vos. clasificackin de incidentes y
· Los incidentes mayores protocolo de reaccian.
causan un impact()
material negativo sobre los El director de seguridad (SO)
procesos de negocio y u otro individuo designado
pueden afectar otros debe ser notificado de todos
sistemas, departamentos o los incidentes relevantes tan
incluso clientes externos. pronto como
· La crisis es un incidente
mayor que puede Eerier un
impacto material (de
importancia relativa) serio
sobre el funcionamiento
pennanente del negocio y
pudiera afectar de manera
adversa otros sistemas o a
terceros. La severidad del
impacto depende de la
SE
cualquier evento figura 2.16). A medida que el
desencadenante ocurra. incidente evoluciona, este di
Luego, esta persona debe nivel debe ser reevaluado
seguir un protocol° de I)
regularmente por la persona o
escalamiento pre-establecido ;
el equipo a cargo, al que
(por ejemplo, llamar a un di
comunmente se Trace
portavo4 alertar a Ia alta S
referencia como equipo de
gerencia e involucrar a las di
respuesta a incidentes o
agencias regulatorias), el di
"firecall".
cual puede estar seguido por re
di
la invocation de un plan de 2.12.6 ANALISIS DE IMPACT° in
recuperaciOn, COITIO el DRP
de tecnologia de la
EN EL NEGOCIO si
informacian. El BIA es un paso critico en of
el desarrollo de la estrategia
El servicio se puede definir de continuidad del negocio y
como compromisos la subsiguiente P;
incluyentes con clientes que implementacion de las in
pueden ser consumidores contramcdidas de riesgo y el sc
extemos o departamentos BCP en particular. L
internos. Generalmente, Ia (1
prestaciOn de servicios es El BIA se utiliza para evaluar 1
regulada per acuerdos de los procesos criticos (y (f
nivel de servicio (SLA), los componentes de TI que los di
cuales pueden establecer el respaldan) y para determinar
tiempo improductivo maximo y marcos de tiempo, re
los estimados de prioridades, recursos e CE
P1
(r
se
Ion
CCertified irtformalioo Section Dos: Contenido Capitulo 2
CISA Systems Auditor*
_÷.._ M CP G rec s. ow
4 1 1
124
A
cl
t
CRITE RIO PRINCIPAL
t En nasal
—______________________________
tii
-
Nowa Fuera de See VICIO 2 ACCIONES
NIVEL Prilano 5 TIC° ACTUAL Ct
:P1319.
.
Segue- el Plan de Conbnuidad del II egodo 24
.. el Plan de Coritinuldad 12
..t.ietiar al St,I - y @V brilualMente 3 Las A 29.11 CIS s el
Snot 24 del Iteryl ,ao Alerlar al SU y 9Verltuairrento a L Agen [las r 9 onaies
I KC ICV.TE . ! 12
0ENTegmtirroar/ResteurareReertpuuar 9 ,.. Aderlar al St,i la
tt•,',.:P • arR e,AzurateRe
6 eirp Liz .v- A
C arreex.t.impi
)
COfrecW 4 2
Aiertar ai S1.1
Si se corirwma alerlar al SO ' es
INCIC9.‘TE Comely R E A2C C I O N E S A N T E L1O S N I V E L E S D E I N C I D E N T E V C R I S I S
V. ENCP •
Carmel, I C9 1.1 ma gement IA dm nistrador Senor)
SLI Sensor
r
41,C,CENT
INCIGU•T
EtrENC.Irt
9910Khrir.-.7
VAYV
l'JC
IC. . LP-.,
NIVEL "I SO. Seculliy
Pkrdea oacor(oticial
6e idteVded A rtaicar
de la SC Reg eeutarrrente
so-giro-los
Pirdtda AS
deC E R,t FC161-!sticvil
R IbOuf
tulnsacqm
TDATOS ea
ONArus c Tielet.do
S C Ot;•sards,
MPLE PLATA,
M E Noel
toes TA ar
R er
0rernvere
RPI OASS
Iselvtoo
almacenamiento) son bastante visibles. y, para cada proceso, el impact()
Otros (por ejemplo, pasarelas estima en tiempo (horas, dias,
(gateways), servidores de transporte, semanas). El mismo enfoque se usa al
dispositivos de red) pueden quedar fuera estimar el impacto de la perdida de
de alcance y pernianecer "invisibles". datos. Si es necesario, el impacto
Por ejemplo, una aplicaciOn de banca financier° se puede estimar utilizando
no puede realizar sus servicios si las las mismas t&nicas, para asignar el
pasarelas (gateways) de pago no estan valor financiero a la banda de impact()
activas, Con frecuencia, las partes particular.
vitales de la aplicacion o los datos
criticos pueden residir en las estaciones Ademas, los datos del BIA se pueden
de trabajo del usuario. Idealmente, al recolectar en las ventanas de tiempo
completarse el BIA, estos componentes necesarias para suministrar recursos vitales
"ocultos" se deben descubrir e incluir en —cuanto tiempo puede funcionar Ia
el campo del programa (proyecto) de organizacion si se data un suministro o
continuidad del negocio para man& IlegO el reemplazo. Por ejemplo,
incorporarlos posterionnente en el BCP. i,cuanto tiempo funcionard el banco sin
tarjetas plasticas con chips para
Nota: El auditor de SI deberia personalizarlos en Las tarjetas de credit° o
poder evaluar el BIA. El cuando necesitara TI que se traigan las
enunciado de tarea en la practica estaciones de trabajo de escritorio despues
laboral establece: evaluar el BCP de tin desastre? Esisten diferentes enfoques
de la organizacion para asegurar para realizar tin BIA. Uno de los enfoques
su capacidad de continuar con populares es el cuestionario. Este enfoque
operaciones empresariales involucra el desarrollo de un cuestionario
esenciales durante el periodo de detallado y su distribuciOn a los usuarios
una interruption de TI. El slave en las areas de TI y usuario final. La
auditor necesita saber en que informacion
consiste el desarrollo de un BIA,
de manera de poder evaluarlo
apropiadamente. Sin embargo, el
candidato a CISA no sera
sometido a prueba sabre como se
man un BIA 0 que metodo se
utiliza para realizar tut BIA.
Total
Estrateg las de
RecuperaciO
n
Tiempo
y costo.
accidentes. Si existe un accidente, los sometera a prueba de calculos de
costos variables aumentaria costes.
significativamente (per ejemplo, su
emirate de "warm site" puede contemplar Clasificacion de operaciones y
una cuota anual plena mas una cuota analisis de criticidad i_,Que es Ia
diaria per oeupacion real) debido a la clasificacien de riesgo del sistema?
necesidad de personal adicional, horns Involucra una detemtinacien de riesgo
extra, transporte y otros problemas basada en el impact° derivado del
logistices (per ejemplo, per diem, nuevas period() de tiempo de recuperaciOn
lineas de comunicacion). C
critico, asi come tambien la
posibilidad de que ocurra una
Si la estrategia de continuidad del interrupciOn adversa. Muchas
negocio busca un tiempo de organizaciones utilizaran un riesgo de
recuperaciOn rinds large, sera metros ocurrencia para determinar un cosh)
costosa que una estrategia de tiempo mas razonable de preparacien. Per
reducido, pero puede ser mas susceptible ejemplo, pueden determinar que La
a que los costos de tiempo fuera de existe un riesgo de 0,1 per ciento (o I las
servicio salgan de control. en 1 000) de que en los prOximos pa
cinco Aces Ia organizacion sufrira una La
Uno de los resultados importantes del seria interrupcion, Si el impacto el
BIA, aparte del RTO y RPO, es que evaluado de una interrupcion es US 10
proporciona una mantra de agrupar $10 millones, el costo razonable 5S
sistemas de information de acuerdo a su maxim° de estar preparado puede ser re(
tiempo de recuperacion. Este suele de US SI 0 mil tones x 0,1 per ciente = ay
server contra guia en la selecciOn de US SIO 000 durante cinco afies. Este yc
soluciones tecnologicas (es decir, inetode se llama Expectativa de
controles) que soportan Ia continuidad perdidas anuales (ALE). En este La
del negocio y la recuperaciOn en caso de proceso de analisis basado en el ea!
desastre de TI. riesgo, la prierizacion de sistemas
criticos puede oeurrir al desarrollar 2.
En resurnen, es necesario minimizar la estrategias de recuperacion. El
suma de rectos los costos—tiempo fuera procedimiento de clasifteaciOn de DI
de servicio y recuperacion. El primer riesgo se deberia realizar en To
amp° (costes de tiempo ftiera de coordinacian con el procesamiento de an;
servicio) aumenta en el tiempo, mientras SI y el personal de usuario final. pU
que el segundo (costos de recuperacion) del
disminuye en el tiempo; la suma es Un sistema caracteristico de al
generalmente una curva en U. En la pane calificacian de riesgos puede ; is
inferior de la curva en U, se puede contener las clasificaciones que re c
encontrar el costo mas bajo. aparecen en la figura 2.19. qui
los
Nets: El candidate a CISA no se ·
C
p
·
126 Manual de Preparation al Examen CISA 2015
ISACA. Todos los derechos reservados.
M
IS,
. aerkiSed Int o
LISA Weirs Ami rmationte Section Dos: Contenido Capitulo 2
i
471,,r
seguros.
'Mutter° telefonico de los
contactos en los servicios
Este directorio telefonico debe contener suministrados por
la siguiente informaciiitu personal contratado.
'Nattier° telefonico y
· Lista de contactos por orden
de prioridad (es decir, j,a qui& contactos de organismos
deberia llamarse primero?) legales, reglamentarios o
· Niimeros teleftinicos y direcciones gubemamentales, de ser
principales y para necesario.
emergencias por cada persona · Un procedimiento para
critica de contacto. Usualmente deterrninar a cuantas personas se
scrim los lideres clave de equipo tibia') mientras se utilizaba la cadena
quienes se encarguen de de Ilamadas (call tree)
comunicarse con los integrantes de
sus equipos. Respaldo de los sumlnIstros
§ Nitmeros telefonicos y requerldos
direcciones de El plan debe tener provisiones para
=.•
d
ser filnaados o copiados por otros efectivamente se prueban en su
medios. Cuando Ia pOliza too totalidad. Esto no descarta hacer
requiere especificamente que los pruebas totales o parciales, porque
datos se filmen antes de su una de los propOsitos de Ia prueba al
transportacien y el trabajo no se tibia, plan de continuidad del negocio es
la gerencia debe obtener del servicio determinar que tan bien funciona el
de mensajeria de la aseguradora una plan o clue partes del plan requieren
•
cam que describa en fonria especifica mejoras.
la posiciOn del servicio de inensajeria
de la compaiiia aseguradora y la Las pniebas deben programarse
cobertura en caso de destmcciOn de durante un tiempo que minimice las
los datos. intemipciones de operaciones
normales. Los fines de sernana son, •
Es importante recordar varios puntos por lo general, un buen moment() para
slave sabre el seguro. La mayoria de realizar las pruebas. Es importante que
los seguros cubrcn finicamente las los miembros slave del equipo de
perdidas financieras con base en el recuperacion participen en el proceso
nivel historic° y no en el nivel actual de la prueba y le dediquen el tiempo
de rendimiento. El auditor de SI necesario para poner todo su emperio
tambien se ocupara de garantizar que en ello. La prueba debe incluir todos
Ia valoracion de los elementos los componentes criticos y simular las
asegurados, como el equipamiento condiciones reales de procesamiento L
tecnico, la infraestructura y datos, sea durante los momentos de mayor
adecuada y este actualizada. Ademas, actividad, aun si se Ileva a eabo fuera e
el seguro indemniza par perdida de de las horas pica. d
imagen o fondo de comercio.
Tampoco, el seguro indemniza por Especificaciones e
perdida de imagen o fondo de En la prueba deberia hacerse enfasis en 1
comercio, el cumplimiento de 4
d
las siguientes tareas:
2.12.10 PRUEBAS DEL PLAN · Verificar la integridad y
precision del BCP.
Muchas pruebas de continuidad del
· Evaluar el desempeno del
negocio no alcanzan a ser una prueba
personal involucrado en el ejereicio.
a toda escala de todas las porciones ri
· Informar sabre la capacitation y it
operativas de la organizacian, si
concienciacion de los empleados que
L •
e
•
•
no formen parte de un equipo de Ejecucion de la prueba
continuidad del negocio. Para realizar las pruebas, se debe Ilevar
- Evaluar Ia coordination entre a cabo cada una de las
los miembros del equipo y los siguientes fases de prueba:
contratistas y proveedores · Prueba preliminar—El conjunto
extemos. do acciones necesarias destinadas a
· Medir Ia habilidad y la establecer la etapa para la prueba
capacidad del sitio alterno para real. Esta lase incluye desde colocar
realizar procesamientos mesas en el area de recuperacion de
recomendados. operaciones hasta transportar e
- Evaluar la capacidad de instalar equipo telefonico de
recuperaciOn de registros vitales. respaldo. Estas actividades estan
· Evaluar el estado y la fuera del ambito de aquellas que
cantidad de equipos c insumos ocurririan en el caso de una
que se han reubicado al sitio ernergencia real, en la cual par lo
de recuperacion, general no hay una advertencia del
· Medic el desempelio general de evento y, por tanto, ningun tiempo
las actividades de procesamiento de para tomar acciones preparatorias.
sistemas de informaciOn y operativos · Prueba—Esta es Ia action real
para mantener la entidad de negocio. de la prueba del plan de continuidad
del negocio. Se ejecutan las
Nota: Este forma parte actividades operativas reales pant
importante de la probar los objetivos especificos del
responsabilidad del auditor — plan. Se deben hacer capturas de
evaluar los resultados y el datos, Ilamadas telefonicas,
valor del BCP y las pruebas procesamiento de sistemas de
infonnaciOn, manejo de pedidos y
DRP.
movimiento de personal, equipo y
proveedores. Los evaluadores deben
reviser a los miembros del personal
mientras realizan [as tareas
designadas. Esta es la pnieba real de
preparation para responder a una
emergencia.
· Prueba posterior—La
depuraciOn de las actividades de
grupo. Esta lase comprende
asignaciones como regresar todos los
recursos a su lugar apropiado,
desconectar los equipos, regresar al
personal a sus ubicaciones nonnales y
borrar todos los datos de Ia compaiiia
de los sistemas de terceros. La
depuracion posterior a Ia prueba
Ell
Seccidn Dos: Contenido Capitulo 2—Gobierno y Gestitin de Ti
CCurtifiedInformation CISA
In !SAP' GM% r41.104Swims
Auditor'
awl
CISA
cn
syceremstiTe" Seccion Dos: Contenido Capitulo 2—Gobierno y Ge
FI erAter.a.muimn
Ver las
respuestas y
explicaciones
a las
preguntas del
caso de
estudio al
final del
Roltulo
(pagina t31),
Manual de Preparation at Examen CISA 2015 135
ISACA. Todos los derechos reservados_
Yu
Capitulo 2—Gobierno y Gestidn de 71 Section Dos: Contenido CISA
2
3
a
3
1
2