Auditoría de Controles usando COBIT 5 e ISO 27002

Auditoría de Controles usando COBIT 5 e ISO 27002

Carlos Lobos Medina, CISA, CISM Academico Universidad Diego Portales

AGENDA Controles de TI Modelos de Buenas Practicas Auditoría de Controles Caso Práctico Conclusiones

ROL DE LAS TI

OBJETIVOS DE LAS EMPRESAS

COBIT 5.0 – Procesos Catalizadores

OBJETIVOS DE LAS TI

COBIT 5.0 – Procesos Catalizadores

CONTROLES DE TI Los controles se diseñan para brindar una garantía razonable de que se logren los objetivos del negocio

Los controles se diseñan para brindar una garantía razonable de que eventos no deseados puedan evitarse, detectase y/o corregirse

Manual de Preparación Examen CRISK 2014

CONTROLES DE TI

¿EXISTIRAN CONTROLES QUE PERMITAN GARANTIZAR DE MANERA RAZONABLE QUE LOS SERVICIOS DE TI SE ENTREGAN DE ACUERDO A LOS REQUISITOS DEL NEGOCIO?

Manual de Preparación Examen CRISK 2014

ALCANCE CONTROLES DE TI CONTROLES DEL NEGOCIO

CONTROLES GENERALES

CONTROLES DE APLICACIÓN

Manual de Preparación Examen CRISK 2014

• • • •

Objetivos del Negocio Requerimientos Regulaciones Riesgo del Negocio

• Políticas • Procedimientos de Operación

• • • •

Sistema Operativo Aplicaciones Base de Datos Dispositivos de Red

CATEGORÍA DE CONTROLES DE TI CONTROLES COMPENSATORIOS CONTROLES CORRECTIVOS CONTROLES DETECTIVOS CONTROLES DISUASIVOS CONTROLES PREVENTIVOS

Manual de Preparación Examen CRISK 2014

INTERDEPENDENCIA DE CONTROLES AMENAZA

CONTROL Descubre DETECTIVO

EVENTO DE AMENAZA

Activa

Reduce Factibilidad

CONTROL COMPENSATORIO DISUASIVO

Explota VULNERABILIDAD

Protege

CONTROL PREVENTIVO

Reduce

IMPACTO Disminuye

Manual de Preparación Examen CRISK 2014

CONTROL CORRECTIVO

Provoca

ENTORNO DE TI

GTAG N°4 – Management of IT Auditing – The IIA.

LAS TI EN LA ACTUALIDAD OBJETIVOS DEL NEGOCIO IMPULSADOS POR TI FACTOR CLAVE DE DIFERENCIACIÓN TOMA DE DECISIONES DE MAYOR IMPACTO AUMENTO DE LOS NIVELES DE DEPENDENCIA NIVELES OPERATIVOS DE RIESGO ELEVADOS AUMENTO EN LA COMPLEJIDAD Y HETEROGENEIDAD MAYOR INTEGRACIÓN Y FLEXIBILIDAD

¿Cómo saber si los controles existentes brindan una garantía razonable de que se logren los objetivos del negocio?

¿Cómo saber si los controles existentes brindan una garantía razonable de que eventos no deseados puedan evitarse, detectase y/o corregirse?

MARCOS Y BUENAS PRÁCTICAS ISO 31000 Gestión de Riesgos

COBIT Gobernabilidad de TI

ISO 27000 Gestión de Seguridad de la Información (SGSI) ISO 22301 Gestión de Continuidad Negocio ISO 20000 Gestión de servicios de TI ITIL

BENEFICIOS DE LA ADOPCIÓN RECOGEN MEJORES PRACTICAS EN LA MATERIA ALTA ACEPTACIÓN A NIVEL INTERNACIONAL ALTA APLICABILIDAD EN CUALQUIER TIPO DE ORGANIZACIÓN REQUISITOS GENERICOS Y NEUTRALES TECNOLOGICAMENTE PROPORCIONAN DIRECTRICES DE IMPLEMENTACIÓN PROVEEN DE ELEMENTOS DE CONTROL Y MEDICIÓN OTORGAN UNA LINEA BASE PARA LA CONDUCCIÓN DE ACTIVIDADES DE AUDITORÍA

COBIT 5.0 REEMPLAZA EL 2012 A COBIT 4.1 FOCO EN EL GOBIERNO DE TECNOLOGÍAS DE INFORMACIÓN RECOGE BUENAS PRACTICAS DE DIVERSOS MARCOS DEFINE 5 PRINCIPIOS ESTABLECE 7 CATALIZADORES PROPORCIONA 37 PROCESOS CATALIZADORES PROPORCIONA UNA FAMILIA DE PRODUCTOS

EVOLUCIÓN DE COBIT 5.0

COBIT 5.0 – PROCESOS CATALIZADORES

ISO 27002:2013 OBJETIVOS REEMPLAZA DEL NEGOCIO A ISOIMPULSADOS 27002:2005 POR TI FOCO EN CONTROLES FACTOR CLAVE DE SEGURIDAD DE DIFERENCIACIÓN DE LA INFORMACIÓN REESTRUCTURA TOMA DE DECISIONES LOS DOMINIOS DE MAYOR DE IMPACTO CONTROL AUMENTO DEFINE DE 15 LOS DOMINIOS NIVELESDE DESEGURIDAD DEPENDENCIA NIVELES ESTABLECE OPERATIVOS 34 OBJETIVOS DE RIESGO DE CONTROL ELEVADOS LINEAMIENTOS AUMENTO ENDE LAIMPLEMENTACIÓN COMPLEJIDAD Y HETEROGENEIDAD DE 114 CONTROLES SEMAYOR VINCULA INTEGRACIÓN UNA FAMILIAY DE FLEXIBILIDAD PRODUCTOS

EVOLUCIÓN SERIE ISO 27000

ISO 27002:2013 - DOMINIOS Política de seguridad de la Información Organización de la seguridad de la información Seguridad de recursos humanos Administración de activos Control de accesos Criptografía Seguridad física y ambiental Seguridad de operaciones Seguridad de comunicaciones Adquisición, desarrollo y mantención de sistemas Relaciones con proveedores Administración de incidentes de seguridad Continuidad de la seguridad de la información Cumplimiento

DESAFIO DE LA AUDITORÍA DE CONTROLES Un reto al que se enfrentan los auditores, cuando llevan a cabo una auditoría de TI, es saber contra qué deben auditar. Muchas organizaciones no han desarrollado completamente sus líneas de base para los controles de TI en todas las aplicaciones y tecnologías.

POSIBLES ESCENARIOS

ESCENARIO 1: La organización ha adoptado uno o más marcos de referencia para la gestión y operación de las TI ESCENARIO 2: La organización ha desarrollado un propio de marco de referencia para la gestión y operación de las TI ESCENARIO 3: La organización no posee un marco de referencia para la gestión y operación de las TI

ESCENARIOS 1 ESCENARIO 1: La organización ha adoptado uno o más marcos de referencia para la gestión y operación de las TI

Seleccionar controles claves del marco adoptado Evaluar efectividad de los controles seleccionados

ESCENARIO 2 ESCENARIO 2: La organización ha desarrollado un propio marco de referencia para la gestión y operación de las TI

Seleccionar controles claves del marco desarrollado Complementar con marcos de referencia relacionados Evaluar efectividad de los controles

ESCENARIO 3 ESCENARIO 3: La organización no posee un marco de referencia para la gestión y operación de las TI

Identificar los marcos aplicables a la labor auditoría Seleccionar controles claves del marco adoptado Identificar criterios de auditoría específicos Evaluar efectividad de los controles

BENEFICIOS PARA EL AUDITOR TI Un auditor de TI puede hacer uso de estas normas como líneas de base para realizar su auditoría en referencia a ellas. También pueden ser útiles para informar sobre deficiencias dado que se elimina la subjetividad. Si se compara la afirmación: “sería conveniente mejorar la seguridad de las contraseñas” con “las contraseñas no están en conformidad con la normativa ISO 27001 sobre seguridad de la información”

ANALISIS DE CASO

ANTECEDENTES DEL CASO ERRORES EN EL SOFTWARE DEFICIENTE ESTIMACIÓN DE RENDIMIENTO DEFICIENTE ESTIMACIÓN DE CAPACIDAD FALTA DE CAPACITACIÓN FALTA DE PERSONAL CLAVE MALA GESTIÓN DE EXTERNALIZACIÓN PROBLEMAS DE CONTINUIDAD DEL NEGOCIO

¿QUE CONTROLES AUDITAR?

EJEMPLO DE APLICACIÓN PASO 1: Identificar los marcos aplicables COBIT Gobernabilidad de TI

ISO 27002 Controles de Seguridad de la Información

PASO 2: Seleccionar controles claves Identificar procesos (COBIT) y dominios (ISO 27002)

COBIT 5.0 – PROCESOS CATALIZADORES

PASO 3: Identificar criterios de auditoría específicos COBIT            

APO07.01 Mantener la dotación de personal suficiente y adecuada APO09.04 Supervisar e informar de los niveles de servicio APO09.05 Revisar acuerdos de servicio y contratos APO10.05 Supervisar el cumplimiento y el rendimiento del proveedor BAI04.01 Evaluar la disponibilidad, rendimiento y capacidad actual y crear una línea de referencia BAI04.02 Evaluar el impacto en el negocio BAI04.04 Supervisar y revisar la disponibilidad y la capacidad BAI06.01 Evaluar, priorizar y autorizar peticiones de cambio BAI07.02 Planificar la conversión de procesos de negocio, sistemas y datos BAI07.05 Ejecutar pruebas de aceptación DSS04.03 Desarrollar e implementar una respuesta a la continuidad del negocio DSS04.04 Ejercitar, probar y revisar el BCP.

PASO 3: Identificar criterios de auditoría específicos

COBIT 5.0 - ISACA

ISO 27002:2013 - DOMINIOS Política de seguridad de la Información Organización de la seguridad de la información Seguridad de recursos humanos Administración de activos Control de accesos Criptografía Seguridad física y ambiental Seguridad de operaciones Seguridad de comunicaciones Adquisición, desarrollo y mantención de sistemas Relaciones con proveedores Administración de incidentes de seguridad Continuidad de la seguridad de la información Cumplimiento

PASO 3: Identificar criterios de auditoría específicos ISO 27002 Controles de Seguridad de la Información           

12.1.2 Administración de Cambios 12.1.3 Administración de Capacidad 12.5.1 Instalación de Software en Sistemas Operacionales 14.2.2 Procedimientos de gestión de cambios 14.2.3 Revisión técnica de las aplicaciones después de los cambios en la plataforma operativa 14.2.9 Pruebas de aceptación del sistema 15.2.1 Monitoreo y revisión de los servicios del proveedor 15.2.2 Administración de cambios en los servicios del proveedor 17.1.1 Planificación de la continuidad de la SI 17.1.2 Implementación de la continuidad de la SI 17.1.3 Verificar, revisar y evaluar la continuidad de la SI

PASO 3: Identificar criterios de auditoría específicos

ISO 27002:2013

PASO 4: Evaluar la efectividad de los controles CRITERIOS Objetivos de Negocio Regulaciones

PROCEDIMIENTOS DE AUDITORÍA Auditoría Procedimental Auditoría Cumplimiento

COBIT 5.0

Auditoría de Controles

ISO 27002

Auditoría basada en Riesgos

Contexto Riesgo

CONCLUSIONES La necesidad de implementar controles dependerá de los objetivos del negocio El entorno de control en el ámbitos de las TI es complejo La definición de un marco de referencia de TI al interior de las organizaciones es crucial

CONCLUSIONES Los marcos de referencias como COBIT e ISO 27002 son instrumentos de alto valor en la auditoría de SI El apoyo en marcos y buenas practicas elimina la subjetividad en actividades de auditoría La comprensión y uso de estos marcos es clave para un Auditor de SI La integración de estos marcos (y otros) permite el desarrollo de auditorías de un nivel de alcance y profundidad mucho mayor…. Nos permite hacer mejor nuestro trabajo.

CONSULTAS

CONTACTO Carlos Lobos Medina Académico Universidad Diego Portales CISA - CISM

[email protected]