Auditora y Seguridad

de Sistemas de Informacin
Normativas
Vinculadas
Al
Tema de Auditora
y Seguridad en los
SI


MBA Luis Elissondo

COBIT
Gobernabilidad, Control y Auditora
de Informacin y Tecnologas
Relacionadas
COBIT
COBIT esta orientado a ser la herramienta de
gobierno de TI que ayude al entendimiento y a la
administracin de riesgos asociados con
tecnologa de informacin y con tecnologas
relacionadas.

Productos COBIT
AMBIENTE
la creciente dependencia en informacin y en los sistemas
que proporcionan dicha informacin
la creciente vulnerabilidad y un amplio espectro de
amenazas, tales como las "ciber amenazas" y la guerra de
informacin
la escala y el costo de las inversiones actuales y futuras
en informacin y en tecnologa de informacin; y
el potencial que tienen las tecnologas para cambiar
radicalmente las organizaciones y las prcticas de negocio,
crear nuevas oportunidades y reducir costos
Destinatarios de COBIT
CONTROL
Control se
define como
Las polticas, procedimientos, prcticas y
estructuras organizacionales diseadas para
garantizar razonablemente que los objetivos
del negocio sern alcanzados y que eventos
no deseables sern prevenidos o detectados y
corregidos
Objetivo de control en
TI se define como
Una definicin del resultado o propsito que
se desea alcanzar implementando
procedimientos de control en una actividad
de TI particular
COBIT
COBIT
COBIT Requerimientos
del Negocio
COBIT Cualidades Inform.
COBIT
COBIT Recursos.TI
COBIT Recursos.TI
COBIT
COBIT Dominios
Marco COBIT
Tabla Resumen
Objetivo de Control
Guia de Auditoria PO 1
Definicin de un Plan Estratgico
Objetivos de control
La tecnologa de la informacin como parte del
plan del negocio a corto y largo plazo
Plan de TI a largo plazo
Adquirir el entendimiento mediante
Entrevistas: Director General, Principal funcionario
de finanzas, operacin, informacin.
La obtencin de: Polticas y procedimentos del
proceso de planificacin, los roles y las
responsabilidades de la direccin.

Guia de Auditoria PO 1
Definicin de un Plan Estratgico
Evaluar los controles: considerando si existe
una metodologa para formular los planes que
abarque
Las iniciativas de TI para dar soporte a la misin de la
organizacin.
Estudios de factibilidad de las iniciativas de TI
Evaluacin de los riesgos de las iniciativas de TI
Evaluar el cumplimiento verificando que:
Las actas de las reuniones del comit de planificacin
de la funcin de servicios de informacin reflejan el
proceso de planificacin
Se incluy efectivamente iniciativas relevantes de TI


Guia de Auditoria PO 1
Definicin de un Plan Estratgico
Sustentar el riesgo de los objetivos de control
que no se logran
Llevando a cabo el benchmarking de los planes de TI
de organizaciones similares.
Identificando los casos en que la tecnologa de la
informacin no logra dar respuesta a la misin y las
metas de la organizacin


Otras Normativas sobre
Seguridad en los Sistemas
www.ifac.org
Guas sobre tecnologa de la informacin:
No. 1 - Managing Security of Information
No. 2 - Managing Information Technology
Planning for Business Impact
No. 3 - Acquisition of Information Technology
No. 4 - The Implementation of Information
Technology Solutions
No. 5 - IT Service Delivery and Support
No. 6 - IT Monitoring


www.ifac.org
Small and Medium Practices (SMPs)
Volume 1 - Controlling Computers in Business:
Backup, Archive and Restore
Volume 2 - Controlling Computers in Business:
Physical Security
Volume 3 - Controlling Computers in Business: Logical
Access Security
Volume 4 - Controlling Computers in Business:
Selection, Implementation and Testing of Packaged
Software
Volume 5 - Controlling Computers in Business:
Computer Disaster Recovery Planning


www.ifac.org
Otras publicaciones:

Board Briefing on IT Governance, 2nd Edition

Information Security Governance: Guidance for
Boards of Directors and Executive Management

E-Business and the Accountant



Normativa ISO
ISO 17799:
establece algunas definiciones, como por ejemplo, la
definicin del concepto de seguridad informtica, por
qu es necesaria la seguridad informtica?, cmo
establecer los requerimientos de seguridad?,
evaluacin de riesgo,etc
define que los controles que se deben implementar
abarcan las polticas, las prcticas, los
procedimientos, las estructuras organizacionales y las
funciones del software
evaluacin de riesgos, la misma comprende la
revisin sistemtica de los procesos, midiendo el
impacto potencial de una falla de seguridad y la
probabilidad de ocurrencia de la misma

Normativa ISO
ISO 17799 Componentes:
1- Poltica de seguridad
2- Organizacin de la seguridad
3- Clasificacin y control de los activos
4- Seguridad del personal
5- Seguridad fsica y ambiental
6- Gestin de las comunicaciones y operaciones
7- Control de accesos
8- Desarrollo y mantenimiento de sistemas
9- Administracin de la continuidad del negocio
10- Cumplimiento
ISO 17.799 Poltica de Seguridad
En este punto la norma
establece el concepto de
poltica de seguridad, cmo
debe ser documentada y cmo
debe realizarse la revisin y
evaluacin.

ISO 17.799 Organizacin de la
Seguridad
Se basa en que el problema de seguridad
debe ser compartido por todos los
integrantes de la organizacin y propone
la creacin de un foro gerencial sobre la
seguridad de la informacin, cuya funcin
principal es la de coordinar la
implementacin de controles de seguridad

ISO 17.799 Clasificacin y
Control de los Activos
Trata la identificacin de los activos de
informacin de la organizacin y quines son los
responsables de lo mismos. As define los
recursos de informacin, tales como bases de
datos y archivos, pero tambin incluye otros
como la documentacin de sistemas, los
materiales de capacitacin, los planes de
continuidad, etc. Es decir, aborda un concepto
amplio de lo que es informacin. Luego incluye
los recursos de software de aplicacin, los
activos fsicos (equipamiento) y los servicios
generales
ISO 17.799 Seguridad del
Personal
Sostiene que la responsabilidad en materia de
seguridad debe ser establecida en la etapa de
reclutamiento e incluida en los aspectos
contractuales, adems de ser adecuadamente
monitoreada. As es que incluye qu aspectos
deben ser tenidos en cuenta en la seleccin y
poltica de personal, en los acuerdos de
confidencialidad, los trminos y condiciones del
empleo, la capacitacin de usuarios, el registro
de incidentes y la existencia de un rgimen
disciplinario.
ISO 17.799 Seguridad Fsica y
Ambiental
En este punto se incluye todo aquello
referido al establecimiento de
actividades que impidan accesos no
autorizados, daos o interferencia de la
informacin. Abarca los aspectos
fsicos tales como la proteccin de
oficinas, recintos e instalaciones
ISO 17.799 Gestin de las
operaciones y comunicaciones
Se establece cmo deben realizarse los
procedimientos relativos al procesamiento
de la informacin, planificacin y
aprobacin de sistemas, proteccin contra
software malicioso, mantenimiento,
administracin de medios informticos
removibles, intercambios de informacin y
software, acuerdos de intercambio de
informacin y software..
ISO 17.799 Control de Accesos
Detalla las pautas para el acceso a la
informacin y los procesos de negocio,
abarcando los procesos de definicin
de polticas de accesos, administracin
de usuarios (altas, permisos,
administracin de contraseas),
responsabilidad del usuario, control de
acceso a la red, utilizacin de utilitarios,
accesos remotos, etc.
ISO 17.799 Desarrollo y
Mantenimiento de Sistemas
Comprende lo relacionado con la explotacin de
la informacin mediante la utilizacin de software
comercial (adquirido) y software desarrollado por
la propia organizacin. As es que incluye las
mejoras y los requerimientos de seguridad, la
validacin en el ingreso, el procesamiento y la
salida de datos, la incorporacin de controles
criptogrficos, los controles relativos al software
para evitar la manipulacin del cdigo
protegiendo programas fuente, los adecuados
procesos de desarrollo y soporte, etc.
ISO 17.799 Administracin de la
continuidad del negocio
El objetivo es que la organizacin siga
funcionando y realizando sus actividades
principales, asegurando la continuidad de
los procesos crticos de la organizacin.
Abarca desde el diseo del plan de
continuidad, el anlisis del impacto, la
implantacin, la prueba y el mantenimiento
del plan.
ISO 17.799 Cumplimiento
Se refiere al cumplimiento de la normativa
legal vigente en el lugar donde la
organizacin desempea sus actividades.
Aqu se incluyen aspectos relativos al
derecho de propiedad intelectual, la
proteccin de registros, la privacidad de la
informacin personal, las polticas de
seguridad y la auditora de sistemas.
Normativa ISO 27.001
Esta norma toma el concepto de enfoque
de procesos y resalta la importancia de:
Entender cules son los requerimientos de la
seguridad informtica de la organizacin y la
necesidad de establecer polticas y objetivos
de seguridad informtica.
Implementar y operativizar controles para
administrar los riesgos en seguridad.
Monitorear y revisar el desempeo del ISMS.
Proceso de mejora continua
Normativa ISO 27.001
ISO 27001
Plan (establecer el ISMS): Se establece la poltica de ISMS,
objetivos, procesos y procedimientos relevantes para la
administracin de riesgos y mejoras de la seguridad para
alcanzar las polticas y objetivos establecidos.
Do (Implementar y operar el ISMS): Implementa y opera la
poltica de ISMS, controles procesos y procedimientos.
Check (Monitoreo y revisin del ISMS): Analiza y mide en la
medida de lo posible el desempeo de los procesos
relacionados con el ISMS, evala objetivos, experiencias e
informa los resultados a la administracin para establecer las
correcciones necesarias.
Act (Mantener y Mejorar el ISMS): Realizar acciones correctivas y
preventivas basadas en la auditora del ISMS, de manera tal de
lograr la mejora continua del ISMS.

www.ifac.org
www.isaca.org
Conclusiones y Preguntas