Auditoria al Gobierno de TI y Gobierno de SI

PROGRAMA

ASIC

IIsrael Rosales Marco CISA, CEH, CSSH, ASIC, CCFP, Ing

Gobierno de TI
TECNOLOGA DE LA INFORMACIN

IIsrael Rosales Marco CISA, CEH, CSSH, ASIC, CCFP, Ing

Antecedentes del Modulo

Un Auditor de SI debe estar en capacidad de entender y proveer aseguramiento de que la organizacin cuenta con la estructura, las polticas, los mecanismos y las practicas de monitoreo necesarios para alcanzar los requerimientos de Gobierno corporativo de TI.

IIsrael Rosales Marco CISA, CEH, CSSH, ASIC, CCFP, Ing

Definicin de Gobierno

El conjunto de responsabilidades y practicas, ejercidas por el consejo de direccion y la direccion ejecutiva, con la finalidad de brindar una direccion estrategica, garantizar que se logren los objetivos, determinar que los riesgos se administran de forma apropiada y verificar que los recursos de la empresa se utilizan con responsabilidad. IT Governance Institute - ITGI
IIsrael Rosales Marco CISA, CEH, CSSH, ASIC, CCFP, Ing

Evolucion
Encargado de Sistemas Soporte solo
a los sistemas

Administracion del departamento de sistemas y usuarios

Supervisor/Jefe de Sistemas

Gerente de Sistemas Gestion de TI,

planificar para entregar valor agregado al negocio.

Comite Directivo de TI Gobierno de

TI, estrategias de negocio.
IIsrael Rosales Marco CISA, CEH, CSSH, ASIC, CCFP, Ing

Concepto

El Gobierno de TI provee las estructuras que unen los procesos de TI, los recursos de TI y la informacin con las estrategias y los objetivos de la empresa.

IIsrael Rosales Marco CISA, CEH, CSSH, ASIC, CCFP, Ing

Practica 1
Disene una estructura de Gobierno de TI

(organigrama)

IIsrael Rosales Marco CISA, CEH, CSSH, ASIC, CCFP, Ing

Estructura Organizacional de TI

IIsrael Rosales Marco CISA, CEH, CSSH, ASIC, CCFP, Ing

Para que sirve?

El Gobierno de TI ayuda a asegurar la alineacin de

los objetivos de TI con los de la empresa.

IIsrael Rosales Marco CISA, CEH, CSSH, ASIC, CCFP, Ing

Como nace?

Preocupacin por el creciente nivel de gasto en TI.

Los gerente de negocio directores que exigen un mejor rendimiento de las inversiones de TI
La necesidad de cumplir con requerimientos regulatorios (ASFI) La seleccin de proveedores de servicio y la gestin de contratacin. Riesgos cada vez ms complejos relacionadas con TI. La creciente madurez La necesidad de las empresas de valorar su desempeo.

IIsrael Rosales Marco CISA, CEH, CSSH, ASIC, CCFP, Ing

En Bolivia

Circular SB 443/2003, artculo 3 Polticas normas y procedimientos, inciso a) Gestin:

La gestin o administracin, deber contener a lo menos, las polticas, normas y procedimientos respecto a:
Plan Informtico. Comit de Informtica Comit operativo del rea

IIsrael Rosales Marco CISA, CEH, CSSH, ASIC, CCFP, Ing

Aspectos Bsicos

Al Gobierno de TI le incumben dos cosas:

Que TI entregue valor al negocio (Alineacin estratgica) Que los riesgos de TI sean gestionados (Responsabilidad de la empresa - Comits)

IIsrael Rosales Marco CISA, CEH, CSSH, ASIC, CCFP, Ing

reas del Gobierno de TI

Alineacin Estratgica.- Vincular planes de negocio y de TI. Entrega de Valor.- Asegurar que TI entrega beneficios prometidos con respecto a la estrategia. Gestin de Recursos.- Inversin optima de recursos crticos. Gestin de Riesgos.- Concientizacin de Riesgos Medicin de desempeo.- seguimiento y monitoreo a la implementacin de la estrategia. (utilizando cuadros de mando integral)

IIsrael Rosales Marco CISA, CEH, CSSH, ASIC, CCFP, Ing

Rol de Auditoria en Gobierno de TI

La auditoria est bien posicionada para proveer importantes recomendaciones de practicas a la alta direccin. Implica auditar al ms alto nivel de la organizacin.

IIsrael Rosales Marco CISA, CEH, CSSH, ASIC, CCFP, Ing

Directorio
Es su responsabilidad aprobar polticas y sanciones

relacionadas con incumplimiento.

IIsrael Rosales Marco CISA, CEH, CSSH, ASIC, CCFP, Ing

Comits

Cada Comit desarrolla una agenda u orden del da y se renen con el qurum y la periodicidad establecida previamente.

El secretario designado ser responsable de dar lectura al acta de anterior reunin y de gestionar su aprobacin

IIsrael Rosales Marco CISA, CEH, CSSH, ASIC, CCFP, Ing

Comits Directivos
La labor de supervisin del Directorio se ejerce a

travs de los diferentes comits directivos.

Los deberes y las responsabilidades del comit deben

estar definidos en un documento formal de estatutos.

IIsrael Rosales Marco CISA, CEH, CSSH, ASIC, CCFP, Ing

Comite Directivo de TI
Es una mejor practica de la Industria. Grupo estratgico representado por dos o mas miembros del directorio, incluido el Gerente General. Un comit estratgico de TI, monitorea el valor, los riesgos y el desempeo de TI. Provee informacin al Directorio para respaldar la toma de decisiones relacionado a estrategias de TI.
IIsrael Rosales Marco CISA, CEH, CSSH, ASIC, CCFP, Ing

Funciones del Comit Directivo de TI

Funciones Generales: Promover el establecimiento de polticas y normas en materia de uso de Tecnologa de la Informacin. Definir las prioridades para las inversiones en Tecnologa de la Informacin Aprobar el Plan Estratgico de Tecnologa de la Informacin. Evaluar la gestin de Tecnologa de la Informacin. Realizar seguimiento a los principales proyectos de Tecnologa de la Informacin
IIsrael Rosales Marco CISA, CEH, CSSH, ASIC, CCFP, Ing

Comits Ejecutivos
Gerencia General establece diferentes comits

internos, con la participacin de gerencias y niveles ejecutivos para considerar aspectos relativos a la administracin, el negocio, al control interno y de riesgos

IIsrael Rosales Marco CISA, CEH, CSSH, ASIC, CCFP, Ing

Comite Ejecutivo de TI
Grupo interno conformado por los Gerentes de la

organizacion que intervienen en los procesos de informacion, incluye al Gerente General

IIsrael Rosales Marco CISA, CEH, CSSH, ASIC, CCFP, Ing

Funciones del Comit Ejecutivo de TI

Analizar, evaluar y establecer lineamientos generales en los asuntos relativos al planeamiento, aplicacin, control y mejoramiento de los sistemas existentes, nuevas tecnologas y recursos informticos. Realizar seguimiento a TI. Efectuar la revisin y seguimiento a informes de Auditorias de las reas de Operaciones y Tecnologa de la Informacin y efectuar el seguimiento a las acciones ejecutadas. Aprobar ajustes y/o mejoras en los procedimientos. Analizar amenazas (modificaciones en normativas, necesidad de incorporar nuevos productos, etc.). Analizar y recomendar presupuestos de elementos tecnolgicos requeridos a incorporar.

IIsrael Rosales Marco CISA, CEH, CSSH, ASIC, CCFP, Ing

Comite Operativo de TI
Comite interno conformado por los departamentos

del area de TI.

IIsrael Rosales Marco CISA, CEH, CSSH, ASIC, CCFP, Ing

ValIT
Val IT es un conjunto de documentos que proveen

un marco de trabajo para el gobierno de las inversiones en TI, creado por el ITGI.
Es una declaracin formal de los principios y

procesos para la administracin del portafolio de TI. (Complementando a COBIT).

IIsrael Rosales Marco CISA, CEH, CSSH, ASIC, CCFP, Ing

Recomendaciones

Las polticas las aprueba el Directorio en Pleno, no el Comit Directivo.

Los procedimientos los aprueba la Gerencia General, no el Comit Ejecutivo.

COBIT es el modelo para el Gobierno de TI

TI y SI deben ser manejados como armas estratgicas.

El Auditor de Sistemas (ASIC) debe prestar total atencin a la importancia de la planeacin estratgica de TI.

IIsrael Rosales Marco CISA, CEH, CSSH, ASIC, CCFP, Ing

Gobierno de SI
SEGURIDAD DE LA INFORMACIN

IIsrael Rosales Marco CISA, CEH, CSSH, ASIC, CCFP, Ing

Antecedentes
La seguridad de la informacin abarca todos los procesos de informacin, tanto fsicos, como electrnicos, independiente de si ellos involucran personas, y tecnologas o relaciones con socios comerciales, clientes o terceros. No es razonable esperar que el personal de nivel mas bajo acate las medidas de seguridad si stas no son ejercidas por la alta direccin.
IIsrael Rosales Marco CISA, CEH, CSSH, ASIC, CCFP, Ing

Gobierno de SI
Es un subconjunto de gobierno corporativo, que provee direccin estratgica para las actividades de seguridad y asegura que se logren los objetivos.

IIsrael Rosales Marco CISA, CEH, CSSH, ASIC, CCFP, Ing

Concepto
Gobierno de Seguridad de la Informacin, es el conjunto de responsabilidades y prcticas ejercidas por el grupo directivo, con el objetivo de proveer direccin estratgica, asegurar que los objetivos se alcancen, validar que los riesgos de la informacin sean apropiadamente administrados y verificar que los recursos de la empresa se usen responsablemente.

IIsrael Rosales Marco CISA, CEH, CSSH, ASIC, CCFP, Ing

Para que sirve?

Garantizar que los riesgos de Seguridad de la Informacin sean gestionados de manera adecuada y que los recursos de informacin de la empresa se usen con responsabilidad.

IIsrael Rosales Marco CISA, CEH, CSSH, ASIC, CCFP, Ing

Como se ejecuta?
Mediante estrategias, politicas y la estructura de Seguridad de la Informacin. Para proteger de forma adecuada los recursos de informacin, se debe elevar el problema a una actividad a nivel de Comit Directivo como con las otras funciones criticas de Gobierno.

Debe ser tratada y apoyada por los niveles ms altos de la organizacin

IIsrael Rosales Marco CISA, CEH, CSSH, ASIC, CCFP, Ing

Marco General de Gobierno

Estrategia completa de Seguridad

Polticas de seguridad vigentes

Normas para cada poltica Estructura organizacional efectiva de seguridad libre

de conflictos de inters. Procesos de monitoreo institucionalizados.

IIsrael Rosales Marco CISA, CEH, CSSH, ASIC, CCFP, Ing

Alcance de l gobierno de SI
La SI trata todos los aspectos de la informacion, ya

sea oral, escrita, impresa, electrnica o relegada a cualquier otro medio sin importar si ha sido creada, vista, transportada, almacenada o destruida. La Seguridad de TI solo trata con la seguridad dentro las fronteras del dominio tecnolgico.

IIsrael Rosales Marco CISA, CEH, CSSH, ASIC, CCFP, Ing

Practica 2
Disene una estructura de Gobierno de SI

(organigrama)

IIsrael Rosales Marco CISA, CEH, CSSH, ASIC, CCFP, Ing

Estructura Organizacional de SI

IIsrael Rosales Marco CISA, CEH, CSSH, ASIC, CCFP, Ing

CISO
Todas las empresas tienen un CISO, independiente

de que este funcionario lleve o no el ttulo y an cuando el Alto Directorio no tenga conocimiento.
La responsabilidad legal se extiende por defecto y en

ultima instancia recae sobre la Alta Direccin.

Los Gerentes prudentes, elevan la seguridad de la

informacin, a posicin de Gerente de Seguridad de la Informacin (CISO).

IIsrael Rosales Marco CISA, CEH, CSSH, ASIC, CCFP, Ing

CIO Vs. CISO

La seguridad es una funcin regulatoria, mientras TI es un departamento de operaciones

La seguridad de TI se ocupa de la seguridad de la tecnologia y es tipicamente impulsada desde el nivel del Gerente de TI (CIO).

La seguridad de la informacion, se ocupa del universo de riesgos, beneficios y procesos relacionados con la informacin, debe ser impulsada por la Gerencia de Seguridad (CISO), respaldado por el Comite Directivo
IIsrael Rosales Marco CISA, CEH, CSSH, ASIC, CCFP, Ing

Gerente de Seguridad (CISO)

Desarrolla la estrategia de seguridad con la colaboracin de unidades clave de negocio y obtiene la aprobacin de la misma por parte de la alta direccin.

IIsrael Rosales Marco CISA, CEH, CSSH, ASIC, CCFP, Ing

OSF y OSL

Control de Acceso Fisico OSF

Guardias Camaras Barreras

Control de Acceso Logico OSL

Identificacion Autenticacion Autorizacion

ACCESOS

IIsrael Rosales Marco CISA, CEH, CSSH, ASIC, CCFP, Ing

OSI

Evala, no implementa.

Riesgo inadmisible.
IIsrael Rosales Marco CISA, CEH, CSSH, ASIC, CCFP, Ing

Comit Directivo de SI
Un gobierno efectivo de SI se puede lograr slo

mediante la participacin del Comit directivo o de la alta direccin en la aprobacin de la poltica, monitoreo y mtricas apropiadas.
El Comit de SI debe delegar al Gerente de SI La Seguridad afecta todos los procesos de una

organizacin. Para ser efectiva, la seguridad debe ser penetrante en toda la empresa.
IIsrael Rosales Marco CISA, CEH, CSSH, ASIC, CCFP, Ing

Funciones del Comit de SI

Revisar los planes de largo y corto alcance del departamento de SI.

Revisar y aprobar adquisiciones importantes

Revisar y aprobar las estrategias de asignacin de ciertas actividades. Apoyar el desarrollo e implementacin de un programa de gestin de la seguridad de la informacin. Reportar al Directorio sobre las actividades de SI
IIsrael Rosales Marco CISA, CEH, CSSH, ASIC, CCFP, Ing

Polticas
Documentos de Alto nivel que representan la filosofa corporativa:
Poltica de Seguridad de la Informacin

Es el primer paso hacia la construccin de una infraestructura de seguridad. Esta formado por un conjunto de polticas:
Politica de seguridad de la informacion de alto nivel Politica de clasificacion de datos Politica de uso aceptable Politica de computacion para el usuario final Politicas de control de acceso

IIsrael Rosales Marco CISA, CEH, CSSH, ASIC, CCFP, Ing

Modelo de Madurez
0: Inexistente no hay reconocimiento de necesidad de seguridad 1: Provisional - No hay procesos formales 2: Repetible Entendimiento emergente del riesgo 3: Proceso definido Conciencia sobre la seguridad en toda la empresa

4: Administrado Procedimiento establecido de gestin de riesgos, se cuenta con politicas y normas.

5: Optimizado Procesos implementados, monitoreados y administrados en toda la organizacin.
IIsrael Rosales Marco CISA, CEH, CSSH, ASIC, CCFP, Ing

Plan de Respuesta a Incidentes de Seguridad

Plan de Respuesta a Incidentes (IRP) para detectar ataques cibernticos (internos o externos) contra los sistemas de Tecnologa de la Informacin y como recuperarse ante uno efectivo. Equipo formalizado (interno/externo o combinado) de especialistas para brindar Respuesta inmediata en caso de Incidentes de Seguridad de la Informacin, que participe de manera activa en:
Reaccionar de manera inmediata ante acciones sospechosas de seguridad. Investigacin interna de hechos irregulares (pre-forense corporativa). Prevencin y deteccin de manipulacin y fraude informtico. Acciones sospechosas en las aplicaciones Custodio y traslado de evidencia digital. Ataque Masivo de virus o programas maliciosos a la red. Sospechas de Intrusin o Extrusin en la red del Banco. Defacement (desfiguracin) a la pgina web institucional del producida por atacantes informticos. Ola de ataques a los clientes de banca por internet (Phishing, pharming, smishing, etc.). Clasifique los riesgos para vulnerabilidades. Tratamiento de escena del hecho y coleccin de evidencia digital. Cada de sistema por un periodo superior al aceptado en el plan de contingencia. Mantener contacto con equipos de respuesta a incidentes de seguridad de otras entidades financieras. Difundir la cultura de seguridad de la informacin entre los funcionarios.

IIsrael Rosales Marco CISA, CEH, CSSH, ASIC, CCFP, Ing

Pregunta Tipo
El propsito del gobierno de TI es en ultima instancia:
A. Alentar el uso ptimo de TI. B. Reducir los costos de TI.

C. Descentralizar los recursos de TI en toda la

organizacin D. Centralizar el control de TI.

IIsrael Rosales Marco CISA, CEH, CSSH, ASIC, CCFP, Ing

Pregunta Tipo
La participacion de la alta gerencia es MAS importante en el desarrollo de:
A. Planes estratgicos B. Polticas de SI. C. Procedimientos de SI D. Normas y lineamientos

IIsrael Rosales Marco CISA, CEH, CSSH, ASIC, CCFP, Ing