ABosch LOPD Catic

a mida
Manresa, 18-11-2008
AUDITORIA de Sistemes dInformaci CONTROL INTERN Millores en el compliment

Antoni Bosch i Pujol, CISA, CISM
Director IAITG Director IT-Governance IDT-UAB Founder President ISACA-Barcelona Director Mster en Auditora y Proteccin de Datos (UAB) antoni.bosch@uab.es
http://idt.uab.es/people/curr/bosch.htm www.eae.es http://cpdp.uab.es/mapd 2008 Auditoria C.I. LOPD http://idt.uab.es www.isacabcn.org
www.epractice.eu/community/itgovernance
Manresa 18-11-2008 - p. 1
2008 Antoni Bosch
AUDITORIA
Proceso sistemtico por el cual una persona competente e independiente obtiene y evala objetivamente evidencias respecto a afirmaciones sobre una entidad econmica o un caso con el fin de formarse una opinin e informar sobre el grado en que dicha informacin se ajusta a un conjunto determinado de estndares
AUDITORIA SISTEMAS DE INFORMACIN

Proceso de recoleccin y evaluacin de evidencias para determinar si los sistemas de informacin y recursos relacionados, salvaguardan adecuadamente los activos, mantienen la integridad de los datos y del sistema, proveen informacin fiable, logran efectivamente las metas de la organizacin, consumen los recursos de manera eficiente, y tienen en vigor los controles internos que proveen una garanta razonable de que se alcanzarn los objetivos del negocio, operativos y de control.
2008 Auditoria C.I. LOPD
Manresa 18-11-2008 - p. 2
2008 Antoni Bosch
AUDITORA art.96 regl. LOPD

1.- A partir del nivel medio los sistemas de informacin e instalaciones de tratamiento y almacenamiento de datos se sometern, al menos cada dos aos, a una auditora interna o externa que verifique el cumplimiento del presente ttulo. Con carcter extraordinario deber realizarse dicha auditora siempre que se realicen modificaciones sustanciales en el sistema de informacin que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptacin, adecuacin y eficacia de las mismas. Esta auditora inicia el cmputo de dos aos sealado en el parrafo anterior. 2.- El informe de auditora deber dictaminar sobre la adecuacin de las medidas y controles a la Ley y su desarrollo reglamentario, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deber, igualmente, incluir los datos, hechos y observaciones en que se basen los dictmenes alcanzados y recomendaciones propuestas. 3.- Los informes de auditora sern analizados por el responsable de seguridad competente, que elevar las conclusiones al responsable del fichero para que adopte las medidas correctoras adecuadas y quedarn a disposicin de la Agencia de Proteccin de Datos, o en su caso, de las autoridades de control de las comunidades autnomas.
2008 Auditoria C.I. LOPD Manresa 18-11-2008 - p. 3
2008 Antoni Bosch
IMPORTANCIA DE LA AUDITORA DE SI
Dependencia creciente de la informacin y de los sistemas que proporcionan dicha informacin. La creciente vulnerabilidad y un amplio espectro de amenazas y ciber-amenazas. El coste de las actuales y futuras inversiones en informacin y en Sistemas de Informacin. El potencial que tienen las tecnologas para cambiar radicalmente las organizaciones y las prcticas de negocio, crear nuevas oportunidades y reducir costes.
Manresa 18-11-2008 - p. 4
2008 Antoni Bosch
BENEFICIOS Y COSTES
DEBILIDADES AMENAZAS
FORTALEZAS
OPORTUNIDADES
Manresa 18-11-2008 - p. 5
2008 Antoni Bosch
COSTES - AMENAZAS
QUE PASA SI HAY
Prdida de Confidencialidad Prdida de Integridad Prdida de Disponibilidad Incumplimiento leyes o contratos Atentado contra el honor y la intimidad Daos personales Incorrecta realizacin actividades Efectos negativos en relaciones externas Prdidas econmicas
Manresa 18-11-2008 - p. 6
2008 Antoni Bosch
BENEFICIOS OPORTUNIDADES
Reto Estratgico=Ventaja Competitiva Mejora en el Control Interno
Manresa 18-11-2008 - p. 7
2008 Antoni Bosch
VIOLACIN LEYES O CONTRATOS

La Constitucin Cdigo Penal y Civil Ley Proteccin Datos, Intelectual LSSI Cdigo Comercio
Manresa 18-11-2008 - p. 8
2008 Antoni Bosch
VIOLACIN LEYES O CONTRATOS

PRDIDA DE CONFIDENCIALIDAD
Obligada por ley? Responsabilidades penales? Responsabilidades civiles? Regulada por contrato?
PRDIDA DE INTEGRIDAD
Obligada por ley?
PRDIDA DE DISPONIBILIDAD
Infraccin de leyes? Obligacin por ley?
Hacienda, SS, Registro Mercantil
Fechas lmite? Plazos de entrega contractuales?

2008 Antoni Bosch
ATENTADO CONTRA EL HONOR Y LA INTIMIDAD

Ficheros de datos personales Adquisicin sin autorizacin Revelacin sin autorizacin Uso para otras finalidades Corrupcin de los datos
Manresa 18-11-2008 - p. 10
2008 Antoni Bosch
ATENTADO CONTRA EL HONOR Y LA INTIMIDAD

Qu dao individual? Usos no autorizados de los datos? Perfiles financieros? Perfiles de salud? Dao por prdida de los datos?
Qu dao si se corrompen los datos? Cundo debera ser observado?
Dao posicin social? Dao posicin econmica?
2008 Antoni Bosch
DAOS PERSONALES
UCI (Unidades Cuidados Intensivos) Sistemas diagnstico mdico Controladores de vuelo Controladores de trfico
Manresa 18-11-2008 - p. 12
2008 Antoni Bosch
DAOS PERSONALES
Perjuicios fsicos? Perjuicios psicolgicos?
Peligro para la salud?
Daos fsicos?
2008 Antoni Bosch
INCORRECTA REALIZACIN ACTIVIDADES

Obligaciones fiscales Retrasos en la entrega Producciones deficientes Control de calidad insuficiente
Manresa 18-11-2008 - p. 14
2008 Antoni Bosch
INCORRECTA REALIZACIN ACTIVIDADES

Datos crticos?
Investigacin Causas penales
Restriccin en las operaciones? Daos importantes? Daos en cascada? Atribuciones a personas errneas?
Prdida de tiempo? Repercusin a otras aplicaciones?
2008 Antoni Bosch
EFECTOS RELACIONES EXTERNAS

Imagen de la compaa Prdida de confianza Perjuicio relaciones otras compaas Prdida posicin competitiva
Manresa 18-11-2008 - p. 16
2008 Antoni Bosch
EFECTOS RELACIONES EXTERNAS

Implicaciones revelaciones no autorizadas? Prdida ventaja competitiva? Dudas sobre secretos oficiales? Inseguridad social o poltica? Daos por datos incorrectos? Prdida de prestigio? Inseguridad social o poltica? Prdida de calidad de producto?
Restriccin de servicios? Conocimiento por terceros?
2008 Antoni Bosch
PERDIDAS ECONMICAS
Difusin I+D no autorizada Manipulacin informacin econmica Prdida de ventas Destruccin sistemas de reserva Robo o destruccin Hardware
Manresa 18-11-2008 - p. 18
2008 Antoni Bosch
PERDIDAS ECONMICAS
Reclamaciones econmicas? Ventaja econmica para terceros? Copias ilegales? Publicacin antes de tiempo? Prdidas financieras? Reclamaciones econmicas? Ordenes de produccin errneas? Decisiones errneas? Perjuicios produccin, inventario, distribucin Retraso en los pagos? Coste reparacin o reposicin? Penalizaciones contractuales? Clientes afectados?
Manresa 18-11-2008 - p. 19


2008 Antoni Bosch
Documentacin Resultados
Aplicaciones de TI Sistemas de TI Comunicaciones Salas de TI
Manresa 18-11-2008 - p. 20
2008 Antoni Bosch
Aplicaciones-Sistema de TI
APLICACIONES No m A1 A2 A3 A4 A5 A6 A7 Descripci Nmines Subsidis Control despeses viatges Autentificaci usuaris Gesti del sistema X Intercanvi (e-mail, ...) Gesti documental X X X LOP D X X X X X X X X SISTEMA S1 S2 S3 S4 S5 S6 S 7
Manresa 18-11-2008 - p. 21
2008 Antoni Bosch
RIESGO AUDITORA DE SI
Riesgo Inherente
Asociado a la propia naturaleza del negocio
Dinero vs Muebles
Riesgo de Control
Eficiencia del procedimiento
Revisiones manuales vs Revisiones automatizadas
Riesgo de Deteccin
Eficacia.Procedimiento inadecuado de prueba
Riesgo General
Nivel de riesgo dispuesto a asumir el ASI
Manresa 18-11-2008 - p. 22
2008 Antoni Bosch
FASES AUDITORA de SI
Manresa 18-11-2008 - p. 23
2008 Antoni Bosch
FASES DE UNA AUDITORA DE SI

Inicio Planificacin Ejecucin Informe Cierre
Manresa 18-11-2008 - p. 24
2008 Antoni Bosch
INICIO
Carta de apertura.
Auditora interna. Auditora externa.
Sujeto.
rea que ser auditada.
Objetivo.
Propsito de la auditora.
Alcance.
Sistemas especficos Funcin Unidad de negocio
Perodo revisado.
2008 Antoni Bosch
INICIO : Ejemplo A
Sujeto : Identificacin del rea a auditar General, Desarrollo, Mantenimiento, Explotacin, Seguridad, Aplicaciones de negocio, ..
Objetivo de la auditora
Estrategia, supervisin, riesgos, exactitud, integridad, aplicacin, datos, ...
Alcance
Identificar los sistemas especficos y/o unidad de negocio Funcin, geografa, . Comunicacin formal, Grado de anlisis, Riesgos a cubrir, Duracin
Perodo revisado. Fecha de inicio a fecha de finalizacin.

2008 Antoni Bosch
INICIO : Ejemplo B
Objetivo de la auditora
El objetivo del presente trabajo ser la realizacin de la auditora del cumplimiento del reglamento de Medidas de Seguridad .
Alcance
El alcance del trabajo cubre los fichero de nivel medio y alto. las medidas de nivel bsico, medio y alto el entorno informtico UNIX los sistemas de tratamiento ubicados en Manresa .
La duracin estimada del trabajo ser de 4 semanas, iniciando el 18 de noviembre y finalizando el 16 de diciembre. El presente trabajo abarcar los datos de carcter personal comprendidos entre el 18 de noviembre del 2006 y 18 de noviembre de 2008.
Manresa 18-11-2008 - p. 27
2008 Antoni Bosch
PLANIFICACIN (1/4)
Recopilacin de Informacin inicial.
Organigrama Visitar las instalaciones clave Obtener:
Leyes y regulaciones pertinentes Publicaciones sectoriales Informes anuales Anlisis financieros independientes
Revisar planes estratgicos. Entrevistar gerentes clave Revisar informes anteriores

2008 Antoni Bosch
PLANIFICACIN (1/4)
Manresa 18-11-2008 - p. 29
2008 Antoni Bosch
PLANIFICACIN (2/4)
Anlisis de riesgos (inherente).
1.- Caracterizacin del Sistema 2.- Identificacin amenazas 3.- Identificacin vulnerabilidades 4.- Anlisis de control 5.- Clculo probabilidad 6.- Anlisis impacto 7.- Determinacin del riesgo
Manresa 18-11-2008 - p. 30
2008 Antoni Bosch
PLANIFICACIN (2/4): ejemplo

Identificacin de riesgos (I) Riesgo de negocio a cubrir Evaluacin de riesgo inherente (II)
Probabilidad
(P)
Impacto (I)
Evaluacin Riesgo (P x I)
Actividades de Control (IV) Existencia (Controles) Evaluacin del diseo de controles (existencia y suficiencia) Evaluacion Riesgo Residual
Manresa 18-11-2008 - p. 31
Test
2008 Antoni Bosch
PLANIFICACIN (3/4)
Establecimiento de objetivos.
Traducir:
Objetivos generales en objetivos especficos
Fundamentar:
existen controles internos cumplimiento requisitos legales
Identificar:
objetivos de control controles relacionados controles compensatorios
2008 Antoni Bosch
PLANIFICACIN (4/4)
Recursos y Calendario.
Personal disponible Experiencia Habilidades tcnicas
Programa de trabajo
Desarrollar un plan detallado Informes comparativos sobre el plan Ajustes sobre el plan y medidas correctivas
Manresa 18-11-2008 - p. 33
2008 Antoni Bosch
PLANIFICACIN (4/4): ejemplo
Manresa 18-11-2008 - p. 34
2008 Antoni Bosch
EJECUCIN (1/13)
Identificacin reas crticas
Relevancia para el proceso de negocio Cambios recientes
proceso de negocio tecnologa personal
Incidentes Auditoras anteriores Controles aplicados por gerencia

2008 Antoni Bosch
EJECUCIN (2/13)
Anlisis de Procedimientos de Control.
Proceso de Control
1.- Se especific un estndar para un proceso. 2.- Existe un medio para saber qu esta sucediendo en el proceso. 3.- La unidad de control compara la informacin con el estndar. 4.- Existen acciones correctivas
Observaciones de Control
1.- Responsabilidad clara y NO ambigua 2.- Estndares:
documentados con claridad y precisin mantenidos comunicados
3.- Definicin precisa de lo que constituye una desviacin. 4.- Requerimientos de evidencia para:
informacin de control informacin de la accin correctiva
2008 Antoni Bosch
Proceso de Control
(Font IT Governance Institute Cobit 3.0, USA 2000)
Responsabilidad Estndares Procesos de control documentados Informacin de control Evidencia y Auditabilitat
Manresa 18-11-2008 - p. 37
2008 Antoni Bosch
EJECUCIN (3/13)
Anlisis de Riesgos de La Auditora.
Evaluacin del Riesgo de control Evaluacin del Riesgo de deteccin Calcular Riesgo Total
Manresa 18-11-2008 - p. 38
2008 Antoni Bosch
EJECUCIN (4/13)
Lista de personas a entrevistar. Tipos entrevista:
Inicial Investigacin Final
Manresa 18-11-2008 - p. 39
2008 Antoni Bosch
EJECUCIN (5/13)
Fases entrevista(1/4):
Preparacin
Tipo Objetivos Enfoque Formato Temas Preguntas concretas
Manresa 18-11-2008 - p. 40
2008 Antoni Bosch
EJECUCIN (6/13)
Fases entrevista (2/4) :
Conduccin
Iniciar
Objetivo de la entrevista y hacer hablar al entrevistado
Escuchar
Escuchar activamente y recordar los temas
Enfocar
Dirigir la atencin a temas para profundizar
Sondear
Profundizar en temas importantes planteados por el entrevistado
Utilizar
Informacin obtenida
2008 Antoni Bosch
EJECUCIN (7/13)
Protocolo
Minimizar las variaciones respecto del objetivo Escuchar la mayor parte del tiempo Permitir tiempo para pensar Evitar ser condescendiente y crtico Evitar sarcasmos Evitar jerga Evitar desacuerdos y enfrentamientos Estar atento e interesado Responder cortsmente Mantener una formalidad relajada sin familiaridades
Manresa 18-11-2008 - p. 42
2008 Antoni Bosch
EJECUCIN (8/13)
Anlisis
Separar los hechos de las opiniones Asimilar la informacin obtenida Clarificar los puntos poco claros Identificar nuevos puntos
Manresa 18-11-2008 - p. 43
2008 Antoni Bosch
EJECUCIN (9/13)
Seleccionar metodologa apropiada o desarrollar herramientas de auditora.
Software generalizado de auditora ACL, IDEA, ... Utilities Comandos SQL Software de control de accesos de terceros Sistemas de aplicacin Informes integrados del sistema
2008 Antoni Bosch
EJECUCIN (10/13)
Identificacin/documentacin.
Quin realiza la tarea. Dnde se realiza la tarea. Sobre qu datos de entrada se realiza la tarea. Qu resultados se esperan de la tarea. Cules son los procedimientos establecidos para realizar la tarea.
Manresa 18-11-2008 - p. 45
2008 Antoni Bosch
EJECUCIN (11/13)
Evaluacin.
Leyes, regulaciones y criterios organizacionales en cuanto a su aplicacin sobre los procedimientos Procedimientos
eficientes proporcionan aseguramiento razonable
realizacin de la tarea cumplimiento objetivo de control
Controles compensatorios Estructura de control eficaz

2008 Antoni Bosch
EJECUCIN (12/13)
Pruebas de cumplimiento.
Adherencia de la organizacin a los controles prescritos Comprobacin de controles y su funcionamiento Entrevistas y revisin de documentacin Slo se realizan sobre la base de los procedimientos que han sido determinados como eficaces
Manresa 18-11-2008 - p. 47
2008 Antoni Bosch
EJECUCIN (12/13): Ejemplo

Riesgo: Intrusin de personal no autorizado en las salas de ordenadores y comunicaicones. Referencia normativa: Las puertas de la sala de ordenadores con recursos crticos debern estar permanentemente cerradas. Pruebas a realizar:
Inspeccin fsica de la sala de servidores para verificar que las puertas de estas salas se encuentran permanentemente cerradas.
WP- 230-10. El dia xx hemos visitado la sala en compaa del director de IT. Hemos observado lo siguiente:
La sala cuenta con dos puertas de acceso. La sala no cuenta con ventanas. Las puertas de acceso permanecen cerradas bajo llave.
CONCLUSION: Adecuado
2008 Antoni Bosch
EJECUCIN (13/13)
Pruebas sustantivas.
Fundamenta la integridad de un procesamiento real Provee evidencias de la validez del resultado final Proporcin inversa a las pruebas de cumplimiento
Manresa 18-11-2008 - p. 49
2008 Antoni Bosch
EVIDENCIA
Toda aquella informacin empleada por el auditor de SI para determinar si la entidad o los datos auditados cumplen con los criterios u objetivos de auditora establecidos. Es necesario que las conclusiones del auditor estn basadas en la suficiencia de la evidencia conseguida
Independencia del proveedor de la evidencia Calificacin de la persona que proporciona la informacin o la evidencia Objetividad de la evidencia Duracin de la evidencia
Manresa 18-11-2008 - p. 50
2008 Antoni Bosch
EVIDENCIA
Tcnicas para conseguir evidencias:
Revisin de la estructura de la organizacin de IS Revisin de las polticas, procedimientos y estndares de IS Revisin de la documentacin de IS Entrevistar al personal adecuado Observacin de procesos y procedimientos de ejecucin empleados.
Manresa 18-11-2008 - p. 51
2008 Antoni Bosch
INFORME
Anlisis de Resultados. Valoracin de Riesgos. Presentacin y Discusin Informe Provisional. Pruebas adicionales si es el caso. Borrador Informe. Revisin y Cierre Papeles de trabajo.
Manresa 18-11-2008 - p. 52
2008 Antoni Bosch
INFORME: ejemplo
OBSERVACIN La Sociedad no dispone de copias de seguridad externas. EFECTO Dicha ausencia no permite asegurar la disponibilidad de la informacin en caso de contingencia. RECOMENDACIN Implantar un procedimiento que asegure la realizacin de copias de seguridad externa.
2008 Antoni Bosch
CIERRE
Crear recomendaciones. Informe Definitivo.
Opinin favorable. Opinin con salvedades. Opinin denegada. Opinin adversa.
Manresa 18-11-2008 - p. 54
2008 Antoni Bosch
Informes de Auditora de Sistemas

Concepto.
Son el producto final de los trabajos de auditora. Corresponde a la fase de Comunicacin de resultados.
Objetivos.
Informar los resultados de la auditora a la Alta Direccin y a los usuarios interesados (internos y externos). Dejar evidencia de haber informado los hallazgos de auditora ms relevantes a las partes interesadas. Suscitar acciones de mejora.
2008 Antoni Bosch
Contenido de los Informes de Auditora

Resumen Mediciones Efectuadas a la Proteccin Existente y Riesgo Residual.
De la evaluacin de la Estructura de Control Interno. Por escenarios de riesgo De la verificacin de Controles: por dependencias.
Dictamen u opinin de la auditora sobre el rea revisada.

Por escenarios de riesgo o por dependencias.
Hallazgos (Puntos Mejorables), Implicaciones y Recomendaciones.

Sobre deficiencias y debilidades de Control Interno existentes. Sobre Pruebas de Cumplimiento: Incumplimientos y debilidades Sobre Pruebas Sustantivas: inexactitudes en la informacin manejada por el proceso o sistema auditado.
2008 Antoni Bosch
Lista de comprobacin de calidad para los informes de Auditora

SI Todos los puntos del informe interesan al destinatario del mismo ? Todos los comentarios y puntos mejorables includos en el informe se revisaron con el auditado para determinar su exactitud y si est de acuerdo con las recomendaciones ? Todos los hallazgos y recomendaciones incluidas en el informe son suficientemente explcitas como para que el auditado entienda su significado e importancia y se sienta motivado a tomar acciones correctoras? ______ NO ______
______
______
______ _______
Manresa 18-11-2008 - p. 57
2008 Antoni Bosch

Todas las observaciones includas en el informe son lo suficientemente importantes como para justificar el tiempo que el auditado dedique para su lectura ?. En los papeles de trabajo existe suficiente evidencia para soportar los hallazgos y las recomendaciones de auditoria? Todas las recomendaciones incluidas en el informe fueron evaluadas con suficiente detalle para determinar su costo/beneficio? Si las recomendaciones incluidas no son viables por costo/efectividad, otras circunstancias justifican su inclusin.
Manresa 18-11-2008 - p. 58
SI
NO
_____
_____
______
____
______
_____
______
______
2008 Antoni Bosch
En el informe nicamente se incluyen puntos que tienen alto potencial de prdida y bajo costo. Tienen sentido los ttulos utilizados para encabezar los comentarios u observaciones. El informe no contiene o explica la terminologa tcnica de Sistemas y de auditora. El informe se emite oportunamente (a tiempo) de modo que pueda obtenerse el mximo beneficio.
Manresa 18-11-2008 - p. 59
SI
NO
______
______
______
______
______
______
______
______
2008 Antoni Bosch
CONTROL INTERNO
Manresa 18-11-2008 - p. 60
2008 Antoni Bosch
CONTROL
Las polticas, procedimientos, prcticas y estructuras organizativas diseadas para garantizar razonablemente que los objetivos del negocio se alcanzarn y que se prevendrn o detectarn y se corregirn los eventos no deseados.
OBJETIVO DE CONTROL
Una definicin del resultado o propsito que se desea alcanzar implementando procedimientos de control en una actividad de TI particular.
Enfoque COBIT
El enfoque del Control en TI se lleva a cabo visualizando la informacin necesaria para dar soporte a los procesos de negocio y considerando la informacin como el resultado de la aplicacin combinada de recursos relacionados con la TI que deben ser administrados por procesos de TI.
Manresa 18-11-2008 - p. 61
2008 Antoni Bosch
COBIT
Manresa 18-11-2008 - p. 62
2008 Antoni Bosch
The COBIT Cube

Manresa 18-11-2008 - p. 63
2008 Antoni Bosch
BUSINESS OBJECTIVES
COBIT
INFORMATION effectivness eficiency confidentiality integrity availability compliance reliability IT RESOURCES Applications Information Infrastructure People ACQUISITION AND IMPLEMENTATION PLANNING AND ORGANISATION
MONITOR AND EVALUATE
DELIVERY AND SUPPORT 2008 Auditoria C.I. LOPD Manresa 18-11-2008 - p. 64
2008 Antoni Bosch
Business Objectives IT Processes Criteria and effectiveness effectiveness efficiency efficiency domains confidenciality confidenciality
integrity integrity availability availability compliance compliance reliability reliability
ME1 Monitor and evaluate IT performance. ME2 Monitor and evaluate internal control. ME3 Ensure regulatory compliance. ME4 Provide IT governance.
IT RESOURCES

PO1 Define a strategic IT plan. PO2 Define the information architecture. PO3 Determine technological direction. PO4 Define the IT processes, organisation and relationships. PO5 Manage the IT investment. PO6 Communicate management aims and direction. PO7 Manage IT human resources. PO8 Manage quality. PO9 Assess and manage IT risks. PO10 Manage projects.
Applications Information Infrastructure People
PLANNING AND ORGANISATION
MONITORING AQUISITION AND IMPLEMENTATION

DS1 Define and manage service levels. DS2 Manage third-party services. DS3 Manage performance and capacity. DS4 Ensure continuous service. DS5 Ensure systems security. DS6 Identify and allocate costs. DS7 Educate and train users. DS8 Manage service desk and incidents. DS9 Manage the configuration. DS10 Manage problems. DS11 Manage data. 2008 Auditoria C.I. LOPD DS12 Manage the physical environment. DS13 Manage operations.
DELIVERY AND SUPPORT
Manresa 18-11-2008 - p. 65
AI1 Identify automated solutions. AI2 Acquire and maintain application software. AI3 Acquire and maintain technology infrastructure. AI4 Enable operation and use. AI5 Procure IT resources. AI6 Manage changes. 2008 Antoni Bosch AI7 Install and accredit solutions and changes.
COBIT 4.1
Manresa 18-11-2008 - p. 66
2008 Antoni Bosch
Modelo CONTROL
Manresa 18-11-2008 - p. 67
2008 Antoni Bosch
CLASIFICACION DE LOS CONTROLES Preventivos. Detectivos. Correctivos. Generales. De aplicacin.
Manresa 18-11-2008 - p. 68
2008 Antoni Bosch
Modelo de Control
El control sobre Proceso de TI Que satisface

Requerimento de negocio
Focalizndose en Metas TI Se logra con Controles clave Se mide con Mtricas clave
2008 Antoni Bosch
Control sobre el proceso

DS5 Garantizar la seguridad de los Sistemas
que satisface el requisito de negocio de TI para
mantener la integridad de la informacin y de la infraestructura de procesamiento y minimizar el impacto de las vulnerabilidades e incidentes de seguridad.
focalizndose en
la definicin de polticas, procedimientos y estndares de seguridad de TI y en el monitoreo, deteccin, reporte y resolucin de las vulnerabilidades e incidentes de seguridad.
se logra con
El entendimiento de los requerimientos, vulnerabilidades y amenazas de seguridad. La administracin de identidades y autorizaciones de los usuarios de forma estandarizada. Probando la seguridad de forma regular.
y se mide con
El nmero de incidentes que daan la reputacin con el pblico El nmero de sistemas donde no se cumplen los requerimientos de seguridad El nmero de violaciones en la segregacin de tareas.
2008 Antoni Bosch
DS5 - Garantizar la seguridad de los Sistemas

DS5.1 Management of IT Security Manage IT security at the highest appropriate organisational level, so the management of security actions is in line with business requirements. DS5.2 IT Security Plan Translate business information requirements, IT configuration, information risk action plans and information security culture into an overall IT security plan. The plan is implemented in security policies and procedures together with appropriate investments in services, personnel, software and hardware. Security policies and procedures are communicated to stakeholders and users. DS5.3 Identity Management All users (internal, external and temporary) and their activity on IT systems (business application, system operation, development and maintenance) should be uniquely identifiable. User access rights to systems and data should be in line with defined and documented business needs and job requirements. User access rights are requested by user management, approved by system owner and implemented by the security-responsible person. User identities and access rights are maintained in a central repository. Cost-effective technical and procedural measures are deployed and kept current to establish user identification, implement authentication and enforce access rights. DS5.4 User Account Management Ensure that requesting, establishing, issuing, suspending, modifying and closing user accounts and related user privileges are addressed by user account management. An approval procedure outlining the data or system owner granting the access privileges should be included. These procedures should apply for all users, including administrators (privileged users), internal and external users, for normal and emergency cases. Rights and obligations relative to access to enterprise systems and information are contractually arranged for all types of users. Perform regular management review of all accounts and related privileges. DS5.5 Security Testing, Surveillance and Monitoring Ensure that IT security implementation is tested and monitored proactively. IT security should be reaccredited periodically to ensure the approved security level is maintained. A logging and monitoring function enables the early detection of unusual or abnormal activities that may need to be addressed. Access to the logging information is in line with business requirements in terms of access rights and retention requirements. 2008 Auditoria C.I. LOPD Manresa 18-11-2008 - p. 71
2008 Antoni Bosch
DS5 - Garantizar la seguridad de los Sistemas

DS5.6 Security Incident Definition Ensure that the characteristics of potential security incidents are clearly defined and communicated so security incidents can be properly treated by the incident or problem management process. Characteristics include a description of what is considered a security incident and its impact level. A limited number of impact levels are defined and for each the specific actions required and the people who need to be notified are identified. DS5.7 Protection of Security Technology Ensure that important security-related technology is made resistant to tampering and security documentation is not disclosed unnecessarily, i.e., it keeps a low profile. However, do not make security of systems reliant on secrecy of security specifications. DS5.8 Cryptographic Key Management Determine that policies and procedures are in place to organise the generation, change, revocation, destruction, distribution, certification, storage, entry, use and archiving of cryptographic keys to ensure the protection of keys against modification and unauthorised disclosure. DS5.9 Malicious Software Prevention, Detection and Correction Ensure that preventive, detective and corrective measures are in place (especially up-to-date security patches and virus control) across the organisation to protect information systems and technology from malware (viruses, worms, spyware, spam, internally developed fraudulent software, etc.). DS5.10 Network Security Ensure that security techniques and related management procedures (e.g., firewalls, security appliances, network segmentation And intrusion detection) are used to authorise access and control information flows from and to networks. DS5.11 Exchange of Sensitive Data Ensure sensitive transaction data are exchanged only over a trusted path or medium with controls to provide authenticity of content proof of submission, proof of receipt and non-repudiation of origin. 2008 Auditoria C.I. LOPD Manresa 18-11-2008 - p. 72
2008 Antoni Bosch
DS5 - Ensure systems security RACI Chart
Manresa 18-11-2008 - p. 73
2008 Antoni Bosch
DS5 - Ensure systems security Goals & Metrics
Manresa 18-11-2008 - p. 74
2008 Antoni Bosch
Control sobre el proceso

ME3 Asegurar el Cumplimiento Regulatorio
que satisface el requisito de negocio de TI para
cumplir las leyes y regulaciones
focalizndose en
la identificacin de todas las leyes y regulaciones aplicables, el nivel correspondiente de cumplimiento de TI y la optimizacin de los procesos de TI para reducir el riesgo de no cumplimiento
se logra con
La identificacin de los requisitos legales y regulatorios relacionados con la TI La evaluacin del impacto de los requisitos regulatorios El monitoreo y reporte del cumplimiento de los requisitos regulatorios
y se mide con
El costo del no cumplimiento de TI, incluyendo multas Tiempo promedio de demora entre la identificacin de los problemas externos de cumplimiento y su resolucin Frecuencia de revisiones de cumplimiento
2008 Antoni Bosch
RACI
Manresa 18-11-2008 - p. 76
2008 Antoni Bosch
Modelos de Madurez
Manresa 18-11-2008 - p. 77
2008 Antoni Bosch
Modelo de Madurez
0 No existente cuando
Existe poca conciencia respecto a los requerimientos externos que afectan a TI, sin procesos referentes al cumplimiento de requisitos regulatorios, legales y contractuales.
1 Inicial/Ad Hoc cuando

Existe conciencia de los requisitos de cumplimiento regulatorio, contractual y legal que tienen impacto en la organizacin. Se siguen procesos informales para mantener el cumplimiento, pero solo si la necesidad surge en nuevos proyectos o como respuesta a auditoras o revisiones.
2 Repetible pero intuitiva cuando

Existe el entendimiento de la necesidad de cumplir con los requerimientos externos y la necesidad se comunica. En los casos en que el cumplimiento se ha convertido en un requerimiento recurrente., como en los reglamentos regulatorios o en la legislacin de privacidad, se han desarrollado procedimientos individuales de cumplimiento y se siguen ao con ao. No existe, sin embargo, un enfoque estndar. Hay mucha confianza en el conocimiento y responsabilidad de los individuos, y los errores son posibles. Se brinda entrenamiento informal respecto a los requerimientos externos y a los temas de cumplimiento.
2008 Antoni Bosch
Modelo de Madurez
3 Proceso definido cuando
Se han desarrollado, documentado y comunicado polticas, procedimientos y procesos, para garantizar el cumplimiento de los reglamentos y de las obligaciones contractuales y legales, pero algunas quiz no se sigan y algunas quiz estn desactualizadas o sean poco prcticas de implantar. Se realiza poco monitoreo y existen requisitos de cumplimiento que no han sido resueltos. Se brinda formacin sobre requisitos legales y regulatorios externos que afectan a la organizacin Se forma respecto a los procesos de cumplimiento definidos. Existen contratos pro forma y procesos legales estndar para minimizar los riesgos asociados con las obligaciones contractuales
Manresa 18-11-2008 - p. 79
2008 Antoni Bosch
Modelo de Madurez
4 Administrado y medible cuando
Existe un entendimiento completo de los eventos y de la exposicin a requerimientos externos, y la necesidad de asegurar el cumplimiento a todos los niveles. Existe un esquema formal de entrenamiento que asegura que todo el equipo est consciente de sus obligaciones de cumplimiento. Las responsabilidades son claras y se ha comprendido la propiedad de los procesos. El proceso incluye una revisin del entorno para identificar requerimientos externos y cambios recurrentes. Existe un mecanismo implantado para monitorear el no cumplimiento de los requisitos externos, reforzar las prcticas internas e implantar acciones correctivas. Los eventos de no cumplimiento se analizan de forma estndar en busca de las causas raz, con el objetivo de identificar soluciones sostenibles. Se usan buenas prcticas internas estandarizadas para necesidades especficas tales como reglamentos vigentes y contratos de servicio.
Manresa 18-11-2008 - p. 80
2008 Antoni Bosch
Modelo de Madurez
5 Optimizado cuando
Existe un proceso bien organizado, eficiente e implantado para cumplir con los requerimientos externos, basado en una sola funcin central que brinda orientacin y coordinacin a toda la organizacin. Hay un amplio conocimiento de los requerimientos externos aplicables, incluyendo sus tendencias futuras y cambios anticipados, as como la necesidad de nuevas soluciones. La organizacin participa en discusiones externas con grupos regulatorios y de la industria para entender e influenciar los requerimientos externos que la puedan afectar. Se han desarrollado mejores prcticas que aseguran el cumplimiento de los requisitos externos, y esto ocasiona que haya muy pocos casos de excepciones de cumplimiento. Existe un sistema central de rastreo para toda la organizacin, que permite a la gerencia documentar el flujo de trabajo, medir y mejorar la calidad y efectividad del proceso de monitoreo del cumplimiento. Existe un proceso externo de auto-evaluacin de requerimientos y se ha refinado hasta alcanzar el nivel de buena prctica. El estilo y la cultura administrativa de la organizacin referente al cumplimiento es suficientemente fuerte, y se elaboran los procesos suficientemente bien para que el entrenamiento se limite al nuevo personal y siempre que ocurra un cambio significativo.
Manresa 18-11-2008 - p. 81
2008 Antoni Bosch
Factores Crticos de xito

PO AI DS MO
Manresa 18-11-2008 - p. 82
2008 Antoni Bosch
IT Risk
(Font Westerman. MIT Sloan CISR,2005)
Manresa 18-11-2008 - p. 83
2008 Antoni Bosch
Metodologia danlisi de riscos. (NIST SP 800-30)
Manresa 18-11-2008 - p. 84
2008 Antoni Bosch
MITIGACIN del RIESGO

Asumir el riesgo
Aceptar el riesgo potencial y continuar operando
Evitar el riesgo
Eliminar la causa (apagar el sistema)
Limitar el riesgo
Implementar controles Plan para priorizar, implementar y mantener controles Reducir la prdida en base al conocimiento de las vulnerabilides
Transferir el riesgo
Pliza de seguro
2008 Antoni Bosch
Indicadores de Objetivos(KGI) Indicadores de Rendimiento (KPI)

KGI
KPI
Manresa 18-11-2008 - p. 86
2008 Antoni Bosch
RETO TCTICO Paso a la accin: Implementacin

1.- Priorizar acciones
Especial nfasis matriz de riesgo ALTO
2.- Evaluar recomendaciones

No siempre los controles o procesos recomendados son los adecuados a nuestra organizacin
3.- Analizar coste-beneficio

Descripcin del coste y beneficio de implementar o no
4.- Seleccionar controles y procesos

Deben combinarse controles de gestin, operacionales y tcnicos Medidas organizativas y tcnicas
5.- Asignar responsabilidades

Personal interno y externo
6.- Desarrollar un plan de accin

Equipo responsable, fechas, costes,
7.- Implementar los controles y procesos seleccionados

Reduciremos el riesgo pero no lo eliminaremos
RIESGO CERO = COSTE INFINITO

2008 Antoni Bosch
NUESTRO RETO ESTRATGICO

1. Sea Proactivo, no reactivo 2. Sepa cuando redisear 3. Involucre a todos los altos directivos 4. Tome decisiones 5. Clarifique el manejo de las Excepciones 6. Incentive adecuadamente 7. Asigne propiedad y responsabilidades 8. Considere diferentes niveles 9. Sea Transparente y eduque 10. Implemente mecanismos comunes
Manresa 18-11-2008 - p. 88
2008 Antoni Bosch
?????????????
Antoni Bosch i Pujol, CISA, CISM antoni.bosch@uab.es www.eae.es http://idt.uab.es www.isacabcn.org
Manresa 18-11-2008 - p. 89
2008 Antoni Bosch

ABosch LOPD Catic

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

ABosch LOPD Catic

Enviado por

Direitos autorais:

Formatos disponíveis

a mida

AUDITORIA de Sistemes dInformaci CONTROL INTERN Millores en el compliment

2008 Antoni Bosch

AUDITORIA SISTEMAS DE INFORMACIN

2008 Auditoria C.I. LOPD

2008 Antoni Bosch

AUDITORA art.96 regl. LOPD

2008 Antoni Bosch

2008 Auditoria C.I. LOPD

2008 Antoni Bosch

2008 Auditoria C.I. LOPD

2008 Antoni Bosch

2008 Auditoria C.I. LOPD

2008 Antoni Bosch

2008 Auditoria C.I. LOPD

2008 Antoni Bosch

VIOLACIN LEYES O CONTRATOS

2008 Auditoria C.I. LOPD

2008 Antoni Bosch

VIOLACIN LEYES O CONTRATOS

Fechas lmite? Plazos de entrega contractuales?

2008 Antoni Bosch

ATENTADO CONTRA EL HONOR Y LA INTIMIDAD

2008 Auditoria C.I. LOPD

2008 Antoni Bosch

ATENTADO CONTRA EL HONOR Y LA INTIMIDAD

2008 Antoni Bosch

2008 Auditoria C.I. LOPD

2008 Antoni Bosch

2008 Antoni Bosch

INCORRECTA REALIZACIN ACTIVIDADES

2008 Auditoria C.I. LOPD

2008 Antoni Bosch

INCORRECTA REALIZACIN ACTIVIDADES

2008 Antoni Bosch

EFECTOS RELACIONES EXTERNAS

2008 Auditoria C.I. LOPD

2008 Antoni Bosch

EFECTOS RELACIONES EXTERNAS

2008 Antoni Bosch

2008 Auditoria C.I. LOPD

2008 Antoni Bosch

2008 Auditoria C.I. LOPD

2008 Antoni Bosch

2008 Auditoria C.I. LOPD

2008 Antoni Bosch

2008 Auditoria C.I. LOPD

2008 Antoni Bosch

2008 Auditoria C.I. LOPD

2008 Antoni Bosch

2008 Auditoria C.I. LOPD

2008 Antoni Bosch

FASES DE UNA AUDITORA DE SI

2008 Auditoria C.I. LOPD

2008 Antoni Bosch

2008 Antoni Bosch

Perodo revisado. Fecha de inicio a fecha de finalizacin.

2008 Antoni Bosch

2008 Auditoria C.I. LOPD

2008 Antoni Bosch

Revisar planes estratgicos. Entrevistar gerentes clave Revisar informes anteriores

2008 Antoni Bosch

2008 Auditoria C.I. LOPD