Prcticas y controles de Tecnologas de Informacin Fuente: Metodologa de Auditora de Informtica / Administracin y Seguridad de Proyectos de TI

PASOS CREADOS POR EHH PARA DESARROLLAR EL CASO DE NEGOCIO (CASO PRCTICO): 1. Identificar los procesos COBIT (dos mximo) que les corresponden. 2. Identificar las reas ms importantes del capitulo 8 (Matriz de riesgos), que les corresponden (cuatro reas mximo). 3. El ejercicio que aqu se explica es para un solo proceso de COBIT y para una sola rea, si a usted le tocan dos procesos deber repetir la misma mecnica. 4. Listar en la tabla de Matriz de Objetivos de Control por Componente de TI (ver ejemplo tabla COBIT MAI EHH) cada uno de los objetivos de control del proceso desarrollado y en la derecha escribir las siguientes columnas: a. El primer componente del rea del libro seleccionada b. El segundo componente del rea seleccionada c. Los dems componentes (uno por columna) del rea seleccionada. 5. Cruzar en la Matriz de Objetivos de control por componente de TI cada objetivo de control que tenga relacin con el componente de TI en el cuadro correspondiente (ver tabla ejemplo). 6. Nombrar en cada cuadro una poltica conforme al siguiente estndar: a. Escribir primero las siglas del proceso de COBIT seleccionado, por ejemplo: DS5 b. Aadir la primera letra del rea de TI seleccionada, (SI) Sistemas de Informacin, por ejemplo. c. Agregar la primera letra del componente del rea seleccionado, (O) de Operacin, por ejemplo. d. Aadir un guin medio (-) e. Aadir el nmero del objetivo de control seleccionado (3) por ejemplo. f. Darle un nombre lgico (de acuerdo al proceso y al componente del rea de TI seleccionados) a la poltica. Por ejemplo el nombre ms conveniente para la administracin en la empresa del software que sea adquirido e implementado, puede ser el siguiente: Poltica de Administracin de Identidades en Sistemas de Informacin. g. Ya con el nombre de la poltica, se debe asignar un cdigo a la misma. h. Derivado de los puntos del inciso a al inciso e, el cdigo de la poltica ser: PDS5SIO-3 i. Otro ejemplo sera la Poltica de Legalizacin de Software Adquirido, ser: AI1SL-2. 7. Se incluyen en un cuadro las definiciones de cada objetivo de control del proceso. 8. Ya con el cuadro completo que menciona los cdigos de las polticas correspondientes, se debe proceder a documentar la poltica y procedimiento correspondiente, tal como se ilustra en 9. Es importante indicar que la poltica se describe brevemente sealando de manera concreta lo que DEBE hacerse, y el procedimiento indicar el detalle de cmo, quines y con qu puede ejecutarse lo que pide la poltica. Si quieren documentar bien cada poltica, leer mis tres libros o en Internet, otros libros o lo que les diga su experiencia y criterio al respecto. 10. El procedimiento puede ocupar una o ms hojas y si desean incluyan diagramas de flujo si creen que as el procedimiento es ms fcil de aplicar. 11. Cada uno deber desarrollar las polticas bajo esta mecnica y regresando a clases lo platicamos y aclaramos, Se debe entregar el trabajo final la penltima semana y exponer tambin antes de que se acabe el semestre. 12. Dudas a mi correo o en la clase por favor. 13. Para evitar contratiempos y perder tiempo valioso de la clase, les pido que lleven el libro, el COBIT, su tarea y mucho entusiasmo y ganas de participar.

Derechos Reservados 1993, 2004, 2011

Enrique Hernndez, CISM, CGEIT

Prcticas y controles de Tecnologas de Informacin Fuente: Metodologa de Auditora de Informtica / Administracin y Seguridad de Proyectos de TI

MATRIZ DE OBJETIVOS DE CONTROL POR COMPONENTE DE TECNOLOGA DE INFORMACIN

COBIT

COMPONENTES DEL AREA DE SISTEMAS DE INF

Operacin

Proceso Nombre

DS-3

Poltica DS5SIO-3

DS5.3 Administracin de Identidad Asegurar que todos los usuarios (internos, externos y temporales) y su actividad en sistemas de TI (aplicacin de negocio, entorno de TI, operacin de sistemas, desarrollo y mantenimiento) deben ser identificables de manera nica. Permitir que el usuario se identifique a travs de mecanismos de autenticacin. Confirmar que los permisos de acceso del usuario al sistema y los datos estn en lnea con las necesidades del negocio definidas y documentadas y que los requerimientos de trabajo estn adjuntos a las identidades del usuario. Asegurar que los derechos de acceso del usuario se solicitan por la gerencia del usuario, aprobados por el responsable del sistema e implementado por la persona responsable de la seguridad. Las identidades del usuario y los derechos de acceso se mantienen en un repositorio central. Se despliegan tcnicas efectivas en coste y procedimientos rentables, y se mantienen actualizados para establecer la identificacin del usuario, realizar la autenticacin y habilitar los derechos de acceso.

Derechos Reservados 1993, 2004, 2011

Enrique Hernndez, CISM, CGEIT

Prcticas y controles de Tecnologas de Informacin Fuente: Metodologa de Auditora de Informtica / Administracin y Seguridad de Proyectos de TI

POLTICA DS5SIO-3

Es Poltica de la empresa, que todos los accesos de los usuarios de los diferentes sistemas de informacin en operacin sean clasificados, justificados, otorgados, registrados, monitoreados y cancelados de acuerdo a los criterios de segregacin de funciones y acceso a transacciones crticas para garantizar la integridad, confidencialidad y cumplimiento de la informacin que se utiliza por los diferentes procesos de negocio.
(Referencia MIA de Enrique Hernndez: Sistemas de Informacin en Operacin / DS5 Cobit)

POLTICAS
ASOCIADAS DEL PROCESO

DS5:

PROCEDIMIENTO DSSI1 1. Se deben generar controles de acceso lgico a sistemas, datos y programas para restringir el uso solamente a personal autorizado (se clasifican niveles de acceso, autorizacin y autenticacin por perfil de usuario). 2. Se identificarn los requerimientos de Privacidad y Confidencialidad, de acuerdo a las aplicaciones que brindan apoyo a procesos crticos como ventas, nmina, inventarios, compras, cuentas por pagar, cuentas por cobrar, tesorera, etc. 3. Se implantar un programa de seguridad integral basado en la administracin de identidades. 4. Se identifican recursos de cmputo y software que administran perfiles de acceso, para garantizar que los accesos sean clasificados, otorgados, registrados, monitoreados, cambiados, cancelados o bloqueados siguiendo el criterio del perfil de acceso versus puesto y roles de cada usuario. 5. Se definen responsables para administrar perfiles de acceso de acuerdo a cada proceso crtico de negocio (dueos de proceso y subprocesos) como ventas, RH, AyF, etc. 6. Se deben definir responsables para administrar sistemas, programas y datos que garanticen el cumplimiento de leyes y regulaciones orientadas a la proteccin de informacin. 7. Se desarrollarn procedimientos para el uso del encriptamiento de datos, donde la empresa as lo defina. 8. Se deben generan procedimientos preventivos y detectivos que garanticen que solamente usuarios autorizados tengan acceso a la informacin que su puesto y roles le permiten. Pueden usarse tcnicas de control de acceso fsico y acceso lgico: Uso de passwords, tokens, tarjetas, biometra. Etc. 9. Se deben implementar controles de acceso a nivel ruteador y firewalls como sea necesario.

PO2 PO3 PO9 AI2 AI6 DS1 DS7 DS8 ME1

POLTICAS
ASOCIADAS DE OTROS PROCESOS:

DS7--AI6--DS1---

Derechos Reservados 1993, 2004, 2011

Enrique Hernndez, CISM, CGEIT

Prcticas y controles de Tecnologas de Informacin Fuente: Metodologa de Auditora de Informtica / Administracin y Seguridad de Proyectos de TI

10. Se desarrollarn medidas administrativas y acciones legales contra empleados u organizaciones que hagan mal uso de la informacin de la empresa o causen dao deliberado 11. Se debe evaluar la conveniencia de centralizar la administracin de la seguridad y en aspectos especficos para el manejo de identidades (creaci y aprovisionamiento, cambios y cancelacin de accesos y privilegios a nivel individual y colectivo). 12. Se identificarn y difundirn responsabilidades en el uso de la informacin, las cuales pueden ser auditadas en cualquier momento que lo defina la empresa. 13. Se debe de capacitar a los empleados en el uso y aprovechamiento de los sistemas, programas y datos, incluyendo la induccin a nuevos empleados . 14. Se deben implementar herramientas de software para monitorear cumplimiento, detectar intrusiones y generar reportes del uso de sistemas, programas y datos 15. Se identifican y registran los puntos fsicos de acceso a las instalaciones y o recursos de cmputo donde se localizan sistemas, datos y programas crticos que estn en produccin 16. Se debe implementar un procedimiento para la identificacin, seguimiento, escalacin y solucin de problemas relacionados con los sistemas, programas o datos instalados 17. Se deben generar reportes de desempeo de los proveedores de telecomunicaciones, seguridad, procesamiento que contribuyan y-o afecten al buen uso de los sistemas, programas y datos crticos de la empresa . 18. Todos los accesos, privilegios y perfiles deben ser auditados de forma regular para garantizar el cumplimiento de los criterios de informacin generalmente aceptados. 19. La empresa debe establecer como estndar el uso de bitcoras de acceso y uso de todos los sistemas de informacin en operacin. 20. Todos los cambios a perfiles de acceso a los sistemas, a las estructuras de datos y al cdigo fuente deben autorizarse.

Derechos Reservados 1993, 2004, 2011

Enrique Hernndez, CISM, CGEIT