MISI - Auditoria y Seguridad en TI (UP13) - Sesion 1 y 2

Auditoria y Seguridad en las Empresas

PhD (c) Manuel Caldas Núñez PMP ® | ITIL ITIL ® Exper Expertt (Life (Lifecy cycle cle Stre Stream) am) | COB COBIT IT ® F

Acerca del Profesor Manuel Manu el Ca Cald ldas as Nú Núñe ñez, z, ac actu tual alme ment nte e de dese semp mpeñ eña a el car argo go de Ge Gerren ente te de Co Cons nsu ult ltor oría ía Es Estr tra até tégi gicca en Tecnología de Información; ha laborado en destacadas empresas de consultoría y de educación especializadas en Tecnología de la Información. Así como también cuenta con una Maestría en Inge In geni nier ería ía de Se Segu guri rida dad d In Info form rmát átic ica. a. Ca Cand ndid idat ato o a Doc octo torr (Do Doct ctor or of Bu Busi sine ness ss Ad Admi mini nist stra rati tion on DB DBA) A),, adicionalmente ha sido capacitado en Estados Unidos y Argentina. PhD (c) Manuel Caldas Nuñez Microsoft Certified Trainer (MCT®) & EXIN Best Practice Accredited Trainer & PECB Accredited Trainer APMG ITIL® Services Manager / APMG ITIL® Practitioner APMG ITIL® Expert / EXIN ITIL® Expert Project Management Professional (PMP®) COBIT 5® Foundations Auditor Líder en ISO 27001:2005 27001:2005 - Seguridad de la Información Información Registro Registro Internacional IRCA* Implementador Lider ISO/IEC 20000* PECB Implementador Lider ISO/IEC 27001* PECB Implementador Lider ISO/IEC 22301* PECB

Presentación de los alumnos Nombre Profesión Profe sión y especialización Experiencia años y laboral Trabajo actual Expectativas del curso

Introducción a COBIT 4.1 Por qué TI necesita un marco de control de TI? Quién necesita un marco de control de TI? Cómo y por qué es utilizado COBIT?

Por qué TI necesita un marco de Control? Algunas de estas condiciones le son familiares? •

Crecimiento en la complejidad de los ambientes de TI

•

Infraestructuras fragmentadas de TI

•

Ausencia de comunicación entre los gerentes de negocio y de TI

•

Frustración del usuario usuario ante ante la implementación de soluciones empíricas empíricas

•

Percepción Perc epción de costos de TI fuera de control

Antecedentes •

Control Objectives Objectives for Information and related Technology

• Ori Origin ginalm alment ente e desa desarro rrolla llado do por ISA ISACF CF (Inf (Inform ormati ation on Sys System temss Audi Auditt and Con Contro troll Fou Founda ndatio tion), n), hoy lla llamad mada a ITG ITGII ( Inf Inform ormati ation on Tech echnolo nology gy Governance Institute) •

Proporciona Propo rciona panorama para control de TI

•

Versión 3 desarrollada en el año 2000

•

Versión On-line lanzada en el año 2003

•

Versión 4 lanzada en octubre de 2005

Composición de COBIT 4.1 • Con Confor formad mado o por 34 obj objeti etivos vos de control control de alto alto nivel nivel en sus cuatro cuatro dominios

• Ca Cada da obj objet etiv ivo o de con contro troll es está tá so sopo porta rtado do po porr lo loss Li Line neam amie ient ntos os de Auditoría

• Los Lineami Lineamiento entoss de Audi Auditorí toría a en tot total al contiene contienen n 318 obj objeti etivos vos de control recomendados

• Li Line neam amie ient ntos os Ge Gere renc ncia iales les,, or orie ient ntado adoss a la im imple pleme ment ntac ación ión de la metodología

Familia de Productos COBIT •

Directrices de Gerencia (Management Guidelines)

•

Resumen Resume n Ejecutivo (Executive Summary)

•

Marco Referen Referencial cial (Framework)

•

Objetivos de Control (Control Objectives)

•

Directrices de Auditoría (Audit Guidelines)

• Conju Conjunto nto de Herramientas Herramientas de Implementació Implementación n (Implementatio (Implementation n Tool Set)

COBIT esta orientado a ser la herramienta de gobierno de TI que ayude al entendi dim miento y a la administración de riesgos asoc as ocia iado doss co con n te tecn cnol olog ogía ía de in info form rmac ació ión n y co con n te tecn cnol olog ogía íass relacionadas.

¿Quiénes están detrás de COBIT? IT Governance Institute

Reconocida como líder mundial en el Reconocida gobierno, control y evaluación de TI.

COBIT – Cualidades Información

COBIT – Recursos de TI

Marco de COBIT

Mode Mo delo lo de Ma Madu dure rez z - CO COBI BIT T 0

1

Leyenda: Estado actual Estado internacional Mejor práctica Objetivo estratégico

2

3

4

Nivel de madurez: 0 .. No existe 1 .. Básico 2 .. Repetible 3 .. Documentado y comunicado 4 .. Función de monitoreo 5 .. Optimizado y automatizado

5

Algo de Historia de ISACA

• Fundada en 1969, como EDP Auditors Association (38 años) • Más de 30,000 miembros en más de 100 países • Más de 170 capítulos alrededor del mundo

Objetivos y Beneficios • Proveer un marco único reconocido a nivel mundial de las “mejores “mejores prácticas” de control y seguridad de TI. TI. • Consolidar y armonizar estándares originados y desarrollados en diferentes países. • Concientizar a la comunidad sobre importancia del control y la auditoria de TI. • Enlazar los objetivos y estrategias de los negocios con la estructura de control de la TI, como factor crítico de éxito • Aplicar a todo tipo de organizaciones independiente de sus plataformas de TI. • Reite  Reiterar rar sobre la importancia de la información, como uno de los recursos más valiosos de toda organización exitosa.

Panorama de COBIT Objetivos del Negocio

Gobierno de TI Monitorear y Evaluar

Planear y Organizar

CobiT

1. Monitorear y evaluar rendimiento de TI 2. Monitorear y evaluar control interno 3. Asegurar cumplimiento con requerimientos externos 4. Proveer gobierno de TI

1. Definir un plan estratégico de TI 2. Definir la arquitect arquitectura ura de información 3. Determinar la dirección tecnológica 4. Definir la organización y relaciones de TI 5. Manejo de la inversión en TI 6. Comunicación de la directrices Gerenciales 7. Administración del Recurso Humano 8. Administrar calidad 9. Evaluar y administrar Riesgos 10. Administración de Proyectos

Req. Información Efectividad, Eficiencia, Confidencialidad, Integridad, Disponibilidad, Cumplimiento,Confiabilidad

Entregar y Soportar

1.Definir y administrar niveles de servicio 2.Administrar servicios de terceros 3.Administrar rendimiento y capacidad 4.Asegurar servicio continuo 5.Asegurar seguridad de sistemas 6.Identificar y asignar costos 7.Educar y entrenar usuarios 8.Administrar mesa de ayuda e incidentes 9.Administrar la configuración 10.Administrar problemas 11.Administrar datos 12.Administrar el ambiente físico 13.Administrar las Operaciones

Recursos de TI

Adquirir e Implementar

Datos, Aplicaciones Tecnología, Instalaciones, Recurso Humano 1. 2. 3. 4. 5. 6. 7.

Identificar soluciones automatizadas Adquirir y mantener software de aplicación Adquirir y mantener infraestructura de TI Establecer operación y uso Asignar recursos de TI Administrar Cambios Instalar y acreditar soluciones y cambios

Panorama de COBIT

Integración Integr ación de otros Estándares • ITIL (IT Infrastructure Library) • ISO 17799 (Information Security Management) • German Baseline Standards (Technical Security) • ISO 13335 (Risk Management) M anagement) • ISO 15408 (Common Criteria) • CoSo (Control System) • Ensec (German TUEV) •… •…

COBIT y otros Estándares

COBIT e ITIL

Support IT Services

Deliver IT Services

-Service Desk -Incident Management -Problem Management -Configuration Management -Change Management -Release Management

-Capacity Management -Financial Manageme Management nt -Customer Relationship Mgmt -Service Level Management -Continuity Management -Availability ability Management -Software ware development lifecycle -Software ware lifecycle support -Testing IT Services

Manage Applications -Business Continuity -Partnership and Outsourcing -Surviving Change -Transformation ion o f business practise

The Business Perspective

-Network Service Management -Network -Operations ons Management -Management of local processors -Computer Installation -Systems Management

Manage the Infrastructure

COBIT e ISO/IEC 17799:2000

Preguntas?

¿?

Caso: Evaluación del nivel de cumplimiento con COBIT 4.1 Tomando como referencia la empresa donde trabaja usted, evalué el nivel de cumplimiento de los siguientes procesos:

Materiales: Documento en PDF de COBIT 4.1 Spanish y la Matriz en Excel Controles Controles DS5.xls DS5.xlsxx Entregables: Sustentación y presentación en PPT (enviar por email al prof profe esor sor par para la respec specti tiv va evalua aluaci ción ón,, máx máximo imo 04 diap diapos osit itiivas: as: Expl xplicar icar el escenario de la Empresa, Explicar la valoración y resultados, Recom ecomen enda daci cion ones es y acci accion ones es a tomar omar)) Tiempo:

ho

incl incl

ción ción

Trabajo: Relacionar Practicas / Marcos / Metodologías con COBIT 4.1 Presentar y Sustentar: ¿Qué modelos, marcos, practicas se tiene para? -

Gestión Gestió n de Proy royect ecto o (PMB (PMBOK) OK) Gestión Gest ión de Pr Proveedor oveedores es (ITIL e ISO 2000020000-1) 1) Gestión Gest ión de Cam Cambios bios (ITI (ITIL L e ISO 200 2000000-1) 1) Gestió Ges tión n de Rie Riesgo sgoss (ISO 270 27000 00 e ISO 200 20000) 00) Operac Ope racione ioness en TI (ITI (ITIL L e ISO 200 2000000-1) 1)

Relacione 10 criterios, principios, indicadores, métricas de los modelos anteriormente anteriorment e mencionados con COBIT 4.1 Entregables: Sustentación y presentación en PPT (enviar por email al profesor para la respe respecti ctiva va evalu evaluaci ación, ón, máxi máximo mo 10 diapos diapositi itiva vas) s) Tiempo: 02 hor horas, incl incluy uye e sust susten enta taci ción ón