Presentacion TFM

Auditora para eI diseo de un marco de controI sobre operaciones

de administracin de Ios servicios de ficheros e impresin en
pIataforma Microsoft para una empresa de servicios de TI
orientada a ITIL
Presentacin deI Trabajo Fin de Mster
Autora
Sara P.A.
Tutora
Lorena B.R.
'I Edicin Mster de Auditora Informtica ALI
Universidad Politcnica de Madrid
9 mayo 2008
Presentacion TFM
9 Mayo 2008 Sara P.A. Transparencia 2
Contenidos
A. ntroduccin
M y MITSE
Situacin de partida
B. Objetivos y alcance
Objetivos del proyecto
Alcance trabajos auditora S
Limitaciones encontradas
C. Metodologa de trabajo
D. Resultados obtenidos
E. Conclusiones
A. Introduccin
E. ConcIusiones
D. ResuItados
C. Mtodo
B. AIcance
Presentacion TFM
9 Mayo 2008 Sara P.A. Transparencia 3
Building Materials
Multinacional. Nombre ficticio
Sede en Austria
Fabrica, distribuye y comercializa materiales
de construccin
En expansin:
Nuevas adquisiciones en Asia-Pacfico
Segundo grupo en su sector a nivel mundial
ncremento sostenido beneficios ltimos aos
A. Introduccin
Presentacion TFM
9 Mayo 2008 Sara P.A. Transparencia 4
BMITSE (I)
:ilding Materials IT Services
Creada en 2002. Sede en Madrid
Responsabilidades:
1. Despliegue/mantenimiento
aplicaciones e infraestructura
tecnolgica
2. Soporte tcnico T
(Service Center)
** Con ayuda de Local T (LIT) **
Basada en ITIL
A. Introduccin
Presentacion TFM
9 Mayo 2008 Sara P.A. Transparencia 5
BMITSE (y II)
Procesos NO implementados (o en proceso de
cambio):
Problem Management
Config:ration Management
Service Level Management
Objetivos 2008-2010:
Certificacin SO 27001 (CPD Madrid)
Certificacin SO 20000
A. Introduccin
Presentacion TFM
9 Mayo 2008 Sara P.A. Transparencia 6
Situacion de partida (I)
Administracin informtica centralizada: LT con pocos
privilegios
Service Desk iba a sufrir una transformacin:
A. Introduccin
Presentacion TFM
9 Mayo 2008 Sara P.A. Transparencia 7
Situacion de partida (II)
Necesidad de delegar ciertos privilegios
administrativos a los LT
Se inicia proyecto para disear e implementar
procedimiento de delegacin
Tras piloto surgen DUDAS...
Es seg:ro?
lineado con normativa y
objetivos estratgicos (ISO's)?
A. Introduccin
Presentacion TFM
9 Mayo 2008 Sara P.A. Transparencia 8
Obfetivos del proyecto (I)
Proponer marco de control adecuado, que
permita:
Mantener (como mnimo) nivel conformidad con
normativa corporativa y obligaciones contractuales
Contribuir a alineacin suficiente con especificaciones
SO 20000 relativas a fases PLAN-DO-CHECK del ciclo
de Deming
Cumplir suficientemente los requisitos de
documentacin de SO 20000
Posibilitar que BMTSE gestione adecuadamente los
riesgos que podra introducir el nuevo esquema de
administracin
B. AIcance
Presentacion TFM
9 Mayo 2008 Sara P.A. Transparencia 9
Obfetivos del proyecto (II)
decuacin y $uficiencia de controles a
proponer Interloc:tor para el Proyecto
(BMTSE)
ivel de conformidad anterior a delegacin
Evaluacin de Control
B. AIcance
Presentacion TFM
9 Mayo 2008 Sara P.A. Transparencia 10
Alcance de los trabafos de
auditoria de SI (I)
B. AIcance
Conseguir OBJETI'OS reaIizando actividades deI
!lan de !royecto:
Revisar:
Normativa y procedimientos de aplicacin
Documentacin proyecto de delegacin
Evaluar nivel cumplimiento: normativa aplicable, SO 20000
Analizar nuevos riesgos
Elaborar nforme !reliminar
Consensuar Plan de ccin
Elaborar nforme Final
Presentacion TFM
9 Mayo 2008 Sara P.A. Transparencia 11
Alcance de los trabafos de
auditoria de SI (y II)
B. AIcance
FUERA DEL ALCANCE
Actividades que salgan del mbito contemplado (oficina principal
de Madrid de MITSE, operaciones objeto de delegacin)
Disear, implementar o supervisar implantacin marco de control
Elaborar documentacin aparte de nformes Preliminar y Final
Supervisar implantacin procedimiento de delegacin
...
CuaIquier actividad no contempIada en !lan de !royecto
Presentacion TFM
9 Mayo 2008 Sara P.A. Transparencia 12
Limitaciones
1. Disponibilidad personal
mposibilidad realizar entrevistas con ciertos Managers
2. Al alcance
mposibilidad de recabar evidencia fiable ALCANCE
RESTRNGDO A:
Change Management
Service Level Management
Sec:rity Management
Cumplimiento especificaciones SO 20000 aplicables
B. AIcance
Presentacion TFM
9 Mayo 2008 Sara P.A. Transparencia 13
Metodologia de trabafo (I)
C. Mtodo
1. Revisin de documentacin
2. Entrevistas
3. Recoleccin y anlisis de evidencias (E'ALUACIN CONTROL)
4. Anlisis de Riesgos
5. Elaboracin conclusiones y recomendaciones
Validar Informe Preliminar, consensuar Plan de ccin
6. nforme Final
Presentacion TFM
9 Mayo 2008 Sara P.A. Transparencia 14
Metodologia de trabafo (II)
C. Mtodo
AnIisis Riesgos
Modelado Riesgos, Microsoft Operations Framework (MOF):
Conceptos SACA: riesgos inherente, de control, resid:al
Pesos importancia relativa de cada aspecto considerado:
Change Management, Service Level Management, Sec:rity
Management, cumplimiento ISO 20000
Presentacion TFM
9 Mayo 2008 Sara P.A. Transparencia 15
Evaluacion de Control
EvaIuacin deI niveI de
conformidad con
NiveI de
conformidad
evaIuado
Puntuacin
obtenida
Puntuacin
mxima
Change Management ALTO 28 40
Service Level Management MEDIO 37 70
Sec:rity Management BAJO 77 310
SO 20000 BAJO 38 160

D. ResuItados D. ResuItados
Presentacion TFM
9 Mayo 2008 Sara P.A. Transparencia 16
Analisis de Riesgos
1. 30 riesgos identificados y evaluados
2. Priorizacin: FACTOR DE EXPOSICIN (impacto, probabilidad)
3. Impactos definidos por BMTSE, con criterio:
Sec:rity Mgmt Change Mgmt SL Mgmt ISO 20k
Mapa de Riesgos
1.1.2
U.2.1
1.1.1 7.1.1
3.2.1
8.3.1
8.2.1
3.1.1 1.1.3
8.1.1 1.3.1
2.3.1
7.2.1
U.1.1
6.1.1
2.1.1 4.3.1 5.2.1
4.1.1
2.2.3
2.2.1 5.3.1
U.3.1
4.2.1
9.1.1
1.2.1
4.5.1
5.1.1
2.2.2
4.4.1
ProbabiIidad
I
m
p
a
c
t
o
D. ResuItados D. ResuItados
Presentacion TFM
9 Mayo 2008 Sara P.A. Transparencia 17
Recomendaciones y sugerencias
D. ResuItados D. ResuItados
Elaborar, controlar y mantener formalmente documentacin
para servicios a delegar:
Configuracin estndar servicios
Diagrama RAC
Procedimientos Operativos
Guas de resolucin de problemas
Manuales de Usuario (herramientas no estndar)
Gestionar riesgos evaluados (proceso cclico)
Controlar ejecucin procedimiento delegacin
Realizar revisiones independientes gestin servicios
...
Presentacion TFM
9 Mayo 2008 Sara P.A. Transparencia 18
Plan de Accion
>80% #ecomendaciones, >30% S:gerencias
Prioriza GESTN DE RESGOS:
15 riesgos tratados:
11 MTGADOS
2 TRANSFERDOS
2 EVTADOS
Riesgos del 4 cuadrante ACEPTADOS
Poco probable Moderada Probable M:y probable
M:y alto 3er Cuadrante 3er Cuadrante 1er Cuadrante 1er Cuadrante
lto 3er Cuadrante 3er Cuadrante 1er Cuadrante 1er Cuadrante
Medio 4 Cuadrante 4 Cuadrante 2 Cuadrante 2 Cuadrante
ajo 4 Cuadrante 4 Cuadrante 2 Cuadrante 2 Cuadrante
Leyenda:
Riesgo a TRATAR - prioridad ALTA
Riesgo a TRATAR - prioridad MEDIA
Riesgo a TRATAR - prioridad BAJA
No existen riesgos en este Cuadrante
Riesgo que NO va a ser tratado (ACEPTACIN)
MATRIZ DE RESPUESTA
ProbabiIidad
I
m
p
a
c
t
o
Matriz de Respuesta DetaIIada
23
28
27 27
26
22
28
27 27
22 22
21
20
19
15
11 11 11
10
9
8 8
13
11
10
7
6
4
2
7
ProbabiIidad
I
m
p
a
c
t
o
D. ResuItados D. ResuItados
Presentacion TFM
9 Mayo 2008 Sara P.A. Transparencia 19
Conclusiones
E. ConcIusiones E. ConcIusiones
Beneficios para BMITSE
Mejorar coordinacin y comunicacin entre departamentos
Conseguir mayor satisfaccin cliente (M) y empleados
Avanzar en establecimiento cultura empresarial "orientada
al riesgo
Lecciones aprendidas
mportancia de conseguir respaldo del nivel ms alto de
management posible
Presentacion TFM
9 Mayo 2008 Sara P.A. Transparencia 20
Preguntas y Comentarios