Temas 3 y 4 El proceso de la auditoria de seguridad/Gobierno TI: framework COBIT

Metodologías de evaluación de riesgos de ISACA

HAY 3 Metodologías: GENERICA, SIMPLIFICADA Y AMPLIADA.

METODOLOGIA DE EVALUACION DE RIESGO GENERICA. Esquema:

Riesgo - Objetivos de control – Control – Pruebas de cumplimiento - Pruebas sustantivas

METODOLOGIA DE EVALUACION DE RIESGO GENERICA. Pruebas de cumplimiento

Pruebas de cumplimiento: verifican si existe el control si funciona eficientemente y si lo hace con eficacia.

METODOLOGIA DE EVALUACION DE RIESGO GENERICA. Pruebas sustantivas

Solo se emplean si el control no supera las pruebas de cumplimiento.

METODOLOGIA DE EVALUACION DE RIESGO SIMPLIFICADA

a.      Emplea una lista de comprobación o de control (checklist) para auditar si están implementados determinados controles. 

b.      Posibles respuestas en el checklist: Si, No, N/A, Observaciones.

METODOLOGIA DE EVALUACION DE RIESGO AMPLIADA

a.      Atañe, principalmente, a los productos software comerciales o a una tecnología concreta.

b.      Categorías: Audit Tools, ejemplo: CAATs (Computer Assisted Audit Techniques), Audit retrievals (ejemplo: scripts para obtener evidencias), Audit Trails (pistas de auditorias, ejemplo cambios introducidos en BD o archivos).

FASES Proceso de auditoria

1) Planificación, 2) Ejecución, 3) Elaboración de informe y 4) Presentación de resultados

5 pasos para el programa de auditoria:

1.      Determine el objeto de auditoría—¿Qué estás auditando y sus detalles?. (alcance)

2.      Defina el objetivo de la auditoría—¿Por qué está auditando esto? (que se pretende)

3.      Establezca el alcance de la auditoría—¿Cuáles son los límites de la auditoría? (ámbito y límites)

4.      Realice una planificación previa de la auditoría (pre-auditoría)—¿Cuáles son los factores específicos de riesgo? Análisis de riesgos, análisis de recursos y normas aplicables.

5.      Determine los procedimientos de auditoría y los pasos para la recopilación de datos—¿Cómo probará los controles que mitigan estos riesgos?

Planificación de auditoria:

Incluyes conocer misión, objetivos, metas y procesos del negocio, identificar políticas, normas, directrices, procedimientos y estructura de la organización, evaluar análisis de riesgos y su impacto, realizar revisión del nivel de control interno, establecer el alcance y objetivos de la auditoria, desarrollar estrategia y enfoque y asignar/planificar logística.

Ejecución (Realización) de auditoria

Incluye Obtener evidencias, comprender el control interno, hacer pruebas de cumplimiento y sustantivas, documentar los hallazgos.

Materialidad:

Es la importancia que se le da a un elemento de información relacionado con su impacto o efecto que puede tener en el funcionamiento de la entidad auditada.

Es muy importante que el auditor tenga un criterio para establecer dicha materialidad.

Redacción y distribución de informe

Características del informe de auditoría: Incluye: Contexto, Objetivos y alcance, Metodología, Resumen ejecutivo, Desarrollo del trabajo, Plan de acción- recomendaciones, acción y beneficios, Conclusiones, Comentarios/limitaciones y anexos: recopilación de información, Anexo de evidencias, entrevistas y documentos consultados.

Comunicación de resultados: mediante reunión de cierre con resumen ejecutivo o presentación oral o visual.

Gobierno corporativo- Definicion ISACA

El gobierno corporativo se define como un comportamiento ético corporativo que debe promover la Alta Dirección para la creación y presentación de beneficios para todas las partes interesadas (stakeholders).

Gobierno TI: ISO 38500

Segun ITGI:

·       Gobierno TI incorporado al gobierno corporativo.

·       Los Directivos deben definir y organizar estructuras y procesos que garanticen que el entorno TI haga sus tareas conforme a lo esperado y perfectamente alineado con la estrategia empresarial (Plan director TI).

Gobierno de TI: Objetivo principal

El objetivo principal del Gobierno de ti es: Definición conjunta de objetivos de negocio, definición conjunta de los medios para alcanzarlos y definición conjunta de la monitorización de los medios.

Gobierno de TI: Abarca:

·    Los Sistemas de informacion, la tecnología, las comunicaciones, aspectos comerciales (relaciones proveedores TI), legales (legislaciones aplicables) y los actores implicados.

Gobierno de TI vs Gobierno Corporativo

Gobierno TI es un elemento crítico de Gobierno Corporativo, y debe alinear los objetivos de TI con los objetivos de negocio para soportar la estrategia del negocio.

la importancia del auditor interno para garantizar el cumplimiento del sistema de control

Gobierno de TI: Actividades principales acorde a ISO38500

EVALUAR – DIRIGIR - MONITORIZAR

Norma ISO 38500

Contiene una serie de principios para mejorar la eficacia y eficiencia de las empresas y que puede ser empleada por cualquier organización para que la dirección controle sus sistemas TI y así garantizar la confidencialidad, integridad y disponibilidad de su información CID.

Norma ISO 38500-Beneficios

• Reconocer la importancia del gobierno de TI: riesgos y altas inversiones.

• Asegurar la conformidad con la normativa (CID)

• Facilita un marco de (6 principios y 3 tareas) para que la dirección los emplee a la hora de evaluar, dirigir y supervisar el uso de las TI en sus empresas.

Norma ISO 38500 - 6 Principios fundamentales

1) RESPONSABILIDAD, 2) ESTRATEGIA, 3) ADQUISICION, 4) DESEMPEÑO, 5) CONFORMIDAD, 6) COMPORTAMIENTO HUMANO.

Framework COBIT - Historia

1996 Cobit1: marco para auditar TI.

1988 Cobit2 (Control) - 2000 Cobit3 (Gestión) - 2005/7 Cobit4 y 4.1 (Gobierno TI)

2012 Cobit 5: Gobierno Corporativo TI, marco de negocio para el gobierno y gestión de TI)

2018 Cobit19: Marco y sistema de Gobierno TI.

Framework COBIT - ESTRUCTURA:

o   Marco de Referencia (5 principios y 7 catalizadores)

o   Guías de catalizadores (enablers guide)

o   Guías profesionales de COBIT que incluyen: Implementación de COBIT, COBIT para seguridad de información, para aseguramiento, para riesgos, Modelo de Evaluación de Procesos.

Objetivos del gobierno que marca Cobit:

Creación de valor para sus partes interesadas, manteniendo el equilibrio entre la realización de beneficios y la opcimizacion de los riesgos y el uso de recursos.

COBIT 5 Principios

1.      Satisfacer las necesidades de las partes interesadas (interna y externas de la organización)

2.      Cubrir la empresa extremo a extremo.

3.      Aplicar un marco de referencia único integrado. Integra los marcos de ISACA y alineado con otros: ITIL, PMBOK, PRINCE2, ISO 27000, 38500, 31000, etc.

4.      Hacer posible un enfoque holístico. Con los 7 catalizadores (habilitadores)

5.      Separar el gobierno de la gestión. Propone 5 Dominios: 1 de gobierno y 5 de gestión.

COBIT: 7 Catalizadores (habilitadores)

1. Los Principios, Políticas y Marcos son el vehículo para traducir el comportamiento deseado en una guía práctica para la gestión diaria.

2. Los procesos describen un conjunto organizado de prácticas y actividades para alcanzar ciertos objetivos y producir un conjunto de resultados que ayudan al logro de los objetivos generales relacionados con TI.

3. Las Estructuras Organizacionales son las principales entidades de toma de decisiones en una empresa.

4. La Cultura, la Ética y el Comportamiento de las personas y de la empresa son muy a menudo subestimados como un factor de éxito en las actividades de gobernanza y gestión.

5. La información está omnipresente en cualquier organización e incluye toda la información producida y utilizada por la empresa. Se requiere información para mantener la organización en funcionamiento y bien gobernada, pero a nivel operativo la información es, a menudo, el producto clave de la empresa misma.

6. Los Servicios, la Infraestructura y las Aplicaciones incluyen la infraestructura, tecnología y aplicaciones que proveen a la empresa de procesamiento y servicios de tecnología de la información.

7. Las Personas, Habilidades y Competencias están vinculadas a las personas y son necesarias para completar con éxito todas las actividades y, para tomar decisiones correctas y tomar acciones correctivas.

Modelo Capacidad COBIT - Cascada de metas:

•       Paso 1: Los motivos de las partes interesadas influyen en las necesidades de las partes interesadas

•       Paso 2: Las necesidades de las partes interesadas desencadenan metas empresariales

•       Paso 3: Cascada de metas de empresa a metas relacionadas con las TI

•       Paso 4: Cascada de metas relacionadas con las TI hacia metas catalizadoras

COBIT - Dominios de gobierno:

El Gobierno concibe, prioriza y toma decisión. (Consejo de Administración)

1.      Evaluar orientar y supervisar: 5 procesos.

COBIT - Dominios de la gestión:  

La Gestión planifica, construye, ejecuta y controla lo que indica el gobierno. El Gobierno (Consejo de Administración) está por encima de la gestión (CEO).

1.      Alinear, planificar y organizar: 13 procesos.

2.      Construir, adquirir e implementar: 10 procesos.

3.      Entregar, dar servicio y soporte: 6 procesos.

4.      Supervisar, evaluar y valorar: 3 procesos

COBIT: Modelo de capacidad:

Permite determinar el nivel de madurez de estos procesos del 0 al 5:

0.      Proceso incompleto: el proceso no es sistemático y no alcanza su propósito.

1.      Proceso ejecutado: el proceso alcanza su propósito.

2.      Proceso gestionado: el proceso ejecutado se implementa de forma gestionada (planificación, supervisión y ajustes), bajo un control de los resultados.

3.      Proceso establecido: el proceso gestionado se desarrolla bajo un proceso establecido y definido para lograr los resultados.

4.      Proceso predecible: es un proceso establecido que se ejecuta en unos límites preestablecidos.

5.      Proceso optimizado: existe una mejora continua del proceso predecible anterior para alcanzar las metas empresariales.

Continuidad de negocio (BCP) y recuperación de Desastres (DRP) - OBJETIVO:

Permitir al negocio continuar brindando sus servicios críticos en caso de desastre y que pueda sobrevivir a una interrupción grave de sus sistemas de información.

BCP PLAN DE CONTINUIDAD DE NEGOCIO:

Un plan de BCP es un proceso diseñado para reducir el riesgo del negocio derivado de una interrupción inesperada de sus funciones críticas necesarias para su supervivencia.

•       El primer paso de un BCP es una evaluación del riesgo (análisis de impacto) lo que permite encontrar los procesos mas importantes que soportan el negocio.

El BCP está compuesto por:

·       Plan de recuperación de desastres (DRP): recuperar instalación.

·       Plan de continuidad de operaciones (COOP): actividades a realizar por el negocio mientras se lleva a cabo la recuperación.

·       Plan de recuperación del Negocio (BRP): Regreso a la normalidad, instalación recuperada o nueva.

ISO 22301

Es el estándar mas importante de continuidad de negocio. Indica cuales son las bases de un sistema de gestión de continuidad de negocio, mostrando el proceso a seguir para el desarrollo e implementación de un BCP.

FASES PARA DESARROLLAR E IMPLEMENTAR UN BCP:

1.      Hacer BIA business impact análisis: Delimitación de alcance y análisis de contexto.

2.      Definición de la estrategia de contingencia: a partir del BIA.

3.      Elaboración del plan BCP

4.      Definición del plan de mantenimiento y de las pruebas

5.      Realización de las pruebas.

BIA: Bussiness Impact Analysis

En el BIA identificamos todos los procesos críticos de la organización, los servicios de soportes y métricas básicas como: tiempo objetivo de recuperación (RTO-recovery time objective) y a partir de donde recupero (RPO-recovery point objective).

Estrategias de recuperación.

Hot Sites, Warm Sites (parcialmente configurado, tiene redes y equipos), Cold Sites (solo ambiente básico cableado, aire , piso,,,).