Auditoría de Sistemas de Información: Seguridad y ... · @CarlosChalico #InfoDFprivacidad Carlos Chalico CISA, CISSP, CISM, CGEIT, CRISC, ISO27000 LA, PbD Ambassador! Ouest Business

Conferencia

Auditoría de Sistemas de Información: Seguridad y Protección de Datos Personales

Enero de 2014

@CarlosChalico #InfoDFprivacidad

Carlos Chalico

CISA, CISSP, CISM, CGEIT, CRISC, ISO27000 LA, PbD Ambassador

Ouest Business Solutions Inc.

Director Eastern Region

��2@CarlosChalico

#InfoDFprivacidad

¿Quién está ahí?


Agenda

��3

• Antecedentes

• Conceptos Generales

• Marcos Referenciales

• Preguntas y respuestas

ANTECEDENTES

Enero de 2014


¿Qué es Privacidad?

��5

•En términos generales privacidad es la habilidad de controlar cómo un individuo es identificado, contactado y localizado.

•Por décadas, los principios sobre privacidad han evolucionado presentando algunos temas en común a pesar de relacionarse con estructuras legales y sociales diferentes alrededor del mundo.

•“La Privacidad agrupa los derechos y obligaciones de los individuos y las organizaciones con respecto a la colección, uso, revelación y retención de información para identificar personas (personally identifiable information / PII)”

•Fuente: AICPA


Avance en el mundo

��6

LEYENDAS Ley Nacional de privacidad o protección de datos vigente

Otras leyes significativas vigentes

Leyes de Privacidad o Protección de Datos emergentes

LEYENDAS Ley Nacional de privacidad o protección de datos vigente

Otras leyes significativas vigentes

Leyes de Privacidad o Protección de Datos emergentes


Avance en México

• 2003. IFAI

• 2006. InfoDF

• 2007. Artículo 6 constitucional

• 2008. Ley de Protección de Datos Personales para el DF

• 2009. Artículos 16 Constitucional y 73 fracción XXIX-O

• 2010. Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP)

• 2012. Reglamento LFPDPPP

��7


Retos

• ¿Qué sigue?

• Cumplimiento

• Revisión

• Seguimiento

• Mejora

• ¿Cómo?

��8


Retos

��9


Retos

��10

Gast

o To

tal

Alto

Bajo1990’s 2000’sTiempo

Brecha de SeguridadSistemas de Información

Seguridad de la Información

Fuente: EY

CONCEPTOS GENERALES

Enero de 2014


Riesgo

��12

La posibilidad de que una amenaza aproveche una o varias vulnerabilidades en

uno o varios activos, causándoles daños

que pueden variar en su magnitud


Control

��13

¿Qué es?


Riesgo y Control

��14

El control cubre exactamente el riesgoRi

esgo

Contr

olSituación Ideal


Riesgo y Control

��15

El control excede el riesgoRi

esgo

Contr

ol

Sobrecontrol


Riesgo y Control

��16

El control no cubre el riesgoRi

esgo

Contr

olRiesgo Remanente

Mitigar Eliminar Transferir Asumir


Clasificación de Controles

��17

Controles de Aplicación

Controles Manuales Dependientes de IT

Controles Generales de IT

Manual Preventivo

(Puramente) Controles Manuales

Manual Detectivo

Controles Automatizados

Controles Manuales


Controles

��18

Controles de Aplicación y Manuales Dependientes de TI

Controles Generales de TI

Entorno TI


El Entorno de TI

��19

PhysicalNetworks

PlataformasDatos/DBMS

ProcesosProcesos

Entorno Físico

Redes

Plataformas

Datos / Sistema de Administración de Bases de Datos

Aplicaciones

Procesos

Tipos de Controles de Aplicación – Ediciones de Entrada – Validaciones de Datos – Información de Excepciones – Segregación de Funciones (seguridad) – Validaciones de Reglas de Negocios – Restricciones de Acceso – Controles de Interfase – Controles de Configuración

Con

trol

es G

ener

ales

de

TI Controles generales de TI

– Garantía de Continuidad del Servicio – Administración de Rendimiento y

Capacidad – Administración de la Seguridad del Sistema – Administración de Problemas e Incidentes – Administración de Datos – Administración del Espacio Físico de TI – Administración de Operaciones – Administración de Cambios

Con

trol

es d

e A

plic

ació

n y

Con

trol

es M

anua

les

Los Controles Generales brindan la base para los controles de aplicación


¿Cómo Enfrentarlo?

��20

MARCOS REFERENCIALES

Enero de 2014

MARCOS REFERENCIALES


Marcos Referenciales

��22

COBITCOSO

ISO27000

BS10012

ITILISO38500

ISO31000

PMBoK

PbD

TOGAF

CMMIPRINCE2.


Marcos Referenciales

��23


Gobierno Corporativo de TI

COBIT 5

COBIT en el tiempo

��24

Gobierno de TI

COBIT4.0/4.1

Administración

COBIT3

Control

COBIT2

www.isaca.org/cobit

Auditoría

COBIT1

2005/720001998

Evo

luci

ón d

el e

nfoq

ue

1996 2012

Val IT 2.0 (2008)

Risk IT (2009)

© 2012 ISACA® All rights reserved.

http://www.isaca.org/cobit


Información, beneficio, valor

• La información es un bien valioso

• Los datos personales son una pieza clave

• La TI constituye un soporte indiscutible

• Entre los beneficios que hoy se buscan están

• Calidad en la información

• Generación de valor en los procesos de tratamiento

• Manejo adecuado de riesgos relacionados

• Optimización de costos asociados.

��25


Valor para las partes interesadas

• Buen gobierno y buena administración

• La información y la TI deben ser reconocidas como elementos de valor

• Cada día hay mayores exigencias de cumplimiento

• COBIT 5 proporciona un marco integral para lograr la generación de valor a través de un la aplicación de un efectivo modelo de gobierno y administración de TI.

��26


Gobierno y Administración de TI

• Gobierno de TI: Asegura que la organización alcance sus objetivos a través de la evaluación de las necesidades, condiciones y opciones de las partes interesadas; estableciendo dirección a través de la priorización de acciones y la toma de decisiones; y monitoreando el cumplimiento, desempeño y progreso de las acciones ejecutadas para alcanzar los objetivos y seguir la dirección establecida.

��27



• Administración de TI: Planea, construye, ejecuta y monitorea que las actividades ejecutadas estén en línea con la dirección establecida por el cuerpo de gobierno de la organización para alcanzar los objetivos institucionales.

��28



��29

Administración de TI

Gobierno de TI

PlaneaDiseñaDecideMonitorea

ConstruyeEjecuta

{{


Principios y habilitadores

• COBIT ayuda a las organizaciones a

• Generar y reconocer valor de TI

• Equilibrar disminución de riesgos y uso de recursos

• Tener un enfoque holístico

• COBIT cuenta con

• 5 Principios

• 7 habilitadores

��30


Los principios de COBIT

��31

Principios de COBIT 5

1. Satisfacer las

necesidades de las partes

interesadas

2. Cubrir la Organización de

forma integral

3. Aplicar un solo marco integrado

4. Habilitar un enfoque holistico

5. Separar el Gobierno de la Administración

Fuente: COBIT® 5, Figura 2. © 2012 ISACA® Todos los derechos reservados.


Los habilitadores de COBIT

��32

Fuente: COBIT® 5, Figura 12. © 2012 ISACA® Todos los Derechos Reservados

1. Principios, Políticas y Marcos

2. Procesos 3. Estructuras Organizacionales

4. Cultura, Ética y Comportamiento

5. Información6. Servicios,

Infraestructura y Aplicaciones

7. Personas, Habilidades y Competencias

RECURSOS


Ahondemos en los principios

��33

Principios de COBIT 5

1. Satisfacer las

necesidades de las partes

interesadas

2. Cubrir la Organización de

forma integral

3. Aplicar un solo marco integrado

4. Habilitar un enfoque holistico

5. Separar el Gobierno de la Administración


Satisfacer las necesidades de las partes interesadas

• Las organizaciones requieren crear valor para las partes interesadas.

��34

Necesidades de las partes interesadas

Impu

lsan

Objetivo del Gobierno: Creación de Valor

Realización de Beneficios

Optimización de Recursos

Optimización de Manejo de

Riesgos

Fuente: COBIT® 5, Figura 3. © 2012 ISACA® Todos los derechos reservados.


��35


!●Las Organizaciones tienen muchas partes interesadas y “crear valor” tiene diferentes significados – a veces conflictivos – para cada una de ellas. ●En el Gobierno se trata de negociar y decidir entre los diversos intereses de beneficio de las diferentes partes interesadas. ●El sistema de Gobierno deberá considerar a todas las partes interesadas al tomar decisiones con respecto a la evaluación de riesgos, los beneficios y el manejo de recursos. ●Para cada decisión se pueden, y se deben, hacer las siguientes preguntas:

¿Quién recibe los beneficios? ¿Quién asume el riesgo? ¿Qué recursos se necesitan?


● Las necesidades de las Partes Interesadas deben ser transformadas en una estrategia accionable para la Organización.

● Las metas en cascada de COBIT 5 traducen las necesidades de las Partes Interesadas en metas específicas, accionables y personalizadas dentro del contexto de la Organización, de las metas relacionadas con la TI y de las metas habilitadoras.

��36


Pasan a

Influencia

Pasan a

Impulsadores de las Partes Interesadas

Metas de la Organización

Metas Relacionadas con TI

Metas Habilitadoras


Optimización de Riesgos


Necesidades de las Partes Interesadas

Fuente: COBIT® 5, Figura 4. © 2012 ISACA® Todos los derechos reservados


Los beneficios de las Metas en Cascada de COBIT 5: ●Permiten definir las prioridades para implementar, mejorar y asegurar el gobierno corporativo de la TI, en base de los objetivos (estratégicos) de la Organización y los riesgos relacionados: ●En la práctica, las metas en cascada: ●Definen los objetivos y las metas tangibles y relevantes, en diferentes

niveles de responsabilidad. ●Filtran la base de conocimiento de COBIT 5, en base a las metas

corporativas para extraer una orientación relevante para la inclusión en los proyectos específicos de implementación, mejora o aseguramiento. ●Claramente identifican y comunican qué importancia tienen los

habilitadores (algunas veces muy operacionales) para lograr las metas corporativas.

��37



Cubrir a la organización de Forma Integral

●COBIT 5 se concentra en el gobierno y la administración de la tecnología de la información y relacionadas desde una perspectiva integral a nivel de toda la Organización. ●Esto significa que COBIT 5: ● Integra el gobierno de la TI corporativa en el gobierno corporativo, o sea,

el sistema de gobierno para la TI corporativa propuesto por COBIT 5 se integra, de una manera fluida, en cualquier sistema de gobierno, toda vez que COBIT 5 está alineado a los últimos desarrollos en gobierno corporativo. ●Cubre todas las funciones y los procesos dentro de la Organización;

COBIT 5 no solamente se concentra en la “Función de la TI”, sino trata la tecnología de la información y relacionadas como activos que necesitan ser manejados como cualquier otro activo, por todos en la Organización.

��38


��39

Los Componentes Clave de un Sistema

de Gobierno

Fuente COBIT® 5, Figura 9. © 2012 ISACA® Todos los derechos reservados.

Fuente COBIT® 5, Figura 8. © 2012 ISACA® Todos los derechos reservados.

Objectivo del Gobierno: Creación de Valor


Optimización de Riesgos


Habilitadores de Gobierno

Alcance del Gobierno

Roles, Actividades y Relaciones

Dueños y Partes

Interesadas

Ente Regulador Administración

Operaciones y

Ejecución

Roles, Actividades y RelacionesDelegan Fijar

Directivas

MonitorearRendición de Cuentas Informar

Instruir y Alinear

Cubrir a la organización de Forma Integral


Aplicar un solo marco integrado

��40


Aplicar un solo marco integrado

●COBIT 5 está alineado con los últimos marcos y normas relevantes usados por las organizaciones: ●Corporativo: COSO, COSO ERM, ISO/IEC 9000, ISO/IEC 31000 ●Relacionado con TI: ISO/IEC 38500, ITIL, la serie ISO/IEC 27000, TOGAF,

PMBOK/PRINCE2, CMMI ●Etc.

●Así se permite a la Organización utilizar COBIT 5 como integrador macro en el marco de gobierno y administración. ●ISACA está desarrollando el modelo de capacidad de los procesos para facilitar al usuario de COBIT el mapeo de las prácticas y actividades contra los marcos y normas de terceros.

��41


Habilitar un enfoque holístico

Los Habilitadores de COBIT 5 son: ●Factores que, individual y colectivamente, influyen sobre si algo funcionará – en el caso de COBIT, Gobierno y Administración sobre la TI corporativa. ●Impulsados por las metas en cascada, o sea: las metas de alto nivel relacionadas con la TI definen qué deberían lograr los diferentes habilitadores. ●Descritos por el marco de COBIT 5 en siete categorías.

��42


Habilitar un enfoque holístico

��43

Fuente: COBIT® 5, Figura 12. © 2012 ISACA® Todos los Derechos Reservados

1. Principios, Políticas y Marcos

2. Procesos 3. Estructuras Organizacionales

4. Cultura, Ética y Comportamiento

5. Información6. Servicios,

Infraestructura y Aplicaciones

7. Personas, Habilidades y Competencias

RECURSOS


Habilitar un enfoque holístico!1. Procesos – Describen una serie organizada de prácticas y actividades para lograr determinados

objetivos y producir una serie de resultados como apoyo al logro de las metas globales relacionadas con la TI.

2. Estructuras Organizacionales – Constituyen las entidades claves para la toma de decisiones en una organización.

3. Cultura, Ética y Comportamiento – De los individuos así como de la organización; se subestima frecuentemente como factor de éxito en las actividades de gobierno y administración.

4. Principios, Políticas y Marcos – Son los vehículos para traducir el comportamiento deseado en una orientación práctica para la administración diaria.

5. Información – Se encuentra presente en todo el ambiente de cualquier organización; o sea se trata de toda la información producida y usada por la Organización. La información es requerida para mantener la organización andando y bien gobernada, pero a nivel operativo, la información frecuentemente es el producto clave de la organización en si.

6. Servicios, Infraestructura y Aplicaciones – Incluyen la infraestructura, la tecnología y las aplicaciones que proporcionan servicios y procesamiento de tecnología de la información a la organización.

7. Personas, Habilidades y Competencias – Están vinculadas con las personas y son requeridas para completar exitosamente todas las actividades y para tomar las decisiones correctas, así como para llevar a cabo las acciones correctivas.

��44


Habilitar un enfoque holístico!●Administración y Gobierno sistémico mediante habilitadores

interconectados – Para lograr los objetivos principales de la Organización, siempre debe considerarse una serie interconectada de habilitadores, o sea, cada habilitador: ●Necesita una entrada de otros habilitadores para ser completamente efectivo, o sea, los procesos necesitan información, las estructuras organizacionales necesitan habilidades y comportamiento. ●Entrega un producto de salida a beneficio de otros habilitadores, o sea, los procesos entregan información, las habilidades y el comportamiento hacen que los procesos sean eficientes.

●Esto constituye un principio CLAVE que surge del trabajo de desarrollo de ISACA en el Modelo de Negocios para la Seguridad de la Información.

��45


Habilitar un enfoque holísticoLas Dimensiones de los habilitadores de COBIT 5: ●Todos los habilitadores tienen una serie de dimensiones

comunes. Dicha serie de dimensiones comunes: ● Proporciona una manera común, sencilla y estructurada para tratar los

habilitadores ● Permite a una entidad manejar sus interacciones complejas ● Facilita resultados exitosos de los habilitadores

��46

Fuente: COBIT® 5, Figura 13. © 2012 ISACA® Todos derechos reservados.

Métricas para el Logro de las Metas (Indicadores de Resultados)

Métricas para la Aplicación de Prácticas (Indicadores de Desempeño)

¿Se aplican Buenas Prácticas?

¿Se administra el Ciclo de Vida?

¿Se Logran las Metas de los

¿Se atienden las Necesidades de las Partes Interesadas?

Dim

ensi

ón d

e H

abili

tado

res

Adm

inis

traci

ón d

el

Des

empe

ño d

e lo

s H

abili

tado

res

Partes Interesadas

Metas Ciclo de Vida Buenas Prácticas

• Internas • Externas

• Calidad Intrínseca • Calidad Contextual (Relevancia, Efectividad) • Accesabilidad y Seguridad

• Planificar • Diseñar •Construir/Adquirir/ Crear/Implementar • Usar/Operar • Evaluar/Monitorear • Actualizar/Disponer

• Prácticas • Productos de Trabajo


Separar el gobierno de la administración

●El marco de COBIT 5 plasma una distinción muy clara entre el Gobierno y la Administración. ●Estas dos disciplinas: ●Comprenden diferentes tipos de actividades ●Requieren diferentes estructuras organizacionales ●Cumplen diferentes propósitos

●Gobierno— En la mayoría de las organizaciones el Gobierno es responsabilidad de la Junta Directiva bajo el liderazgo de su Presidente. ●Administración— En la mayoría de las organizaciones, la Administración es responsabilidad de la Gerencia Ejecutiva, bajo el liderazgo del Gerente General (CEO).

��47



��48

COBIT 5 propone que las organizaciones implementen los procesos de gobierno y administración de tal manera que las áreas claves queden cubiertas, tal como se muestra a continuación:

Administración

GobiernoNecesidades de la Organización

Retroalimentación MonitorearDirigir

Evaluar

Planificar (APO)

Construir (BAI)

Operar (DSS)

Monitorear (MEA)




��49

●El marco de COBIT 5 describe siete categorías de habilitadores (Principio 4). Los procesos constituyen una categoría. ●Una organización puede definir sus procesos como estime conveniente, siempre y cuando queden cubiertos todos los objetivos necesarios de gobierno y administración. Las organizaciones más pequeñas podrán tener menos procesos, las organizaciones más grandes y más complejas podrán tener muchos procesos, todos para cubrir los mismos objetivos. ●COBIT 5 incluye un Modelo de Referencia de Procesos, que define y describe en detalle un número de procesos de administración y de gobierno.


Procesos de COBIT

��50



Modelo de capacidad

��51



Modelo de implementación

��52

Fuente: COBIT® 5, Figura 5 © 2012 ISACA® Todos derechos reservados.



��53




��54



¿Por qué es importante?

��55


¿Cómo proceder?• Análisis de Riesgos basado en el modelo de privacidad

• Identificación de sistemas personales

• Priorización por criticidad

• Identificación de riesgos

• ¿Qué puede fallar a la luz de nuestros intereses, aseveraciones u objetivos de control?

• ¿Que relación existe entre los principios de la ley y los objetivos de control?

• ¿Qué amenaza primordial debemos combatir?��56


¿Cómo proceder?

• Identificación de controles

• ¿Mitigan realmente el riesgo?

• ¿Consideramos el riesgo remanente?

• ¿Cómo se trata?

• ¿Qué tipo de controles identificamos?

• ¿Cómo los probamos?

• ¿Y los controles generales?

��57


¿Cómo proceder?

• Medición de riesgo

• ¿Tenemos algún modelo?

• ¿COBIT? ¿La Ley?

• Definición de recomendaciones

• ¿Qué decirle al ente auditado?

• ¿Cómo mitigo el riesgo y genero valor?

• ¿Cómo presento los resultados?

• ¿Cómo doy seguimiento?��58


¿Qué es lo que típicamente preocupa?

• Control de Accesos.

• Control de Cambios.

• Operaciones: Control de trabajos programados, generación de respaldos, respuesta a incidentes

��59


¿Qué debiera ocuparnos?

• Licitud

• Consentimiento

• Calidad de los datos

• Confidencialidad

• Seguridad

• Disponibilidad

• Temporalidad

��60


Usemos COBIT

��61



Usemos COBIT

��62

Fuente: COBIT® 5. © 2012 ISACA® Todos derechos reservados.

• AP013. Pág. 113

• DSS06. Pág. 197

• BAI04. Pág. 141


¿Y además de COBIT?

��63

PhysicalNetworks

PlataformasDatos/DBMS

ProcesosProcesos

Entorno Físico

Redes

Plataformas

Datos / Sistema de Administración de Bases de Datos

Aplicaciones

Procesos

Tipos de Controles de Aplicación – Ediciones de Entrada – Validaciones de Datos – Información de Excepciones – Segregación de Funciones (seguridad) – Validaciones de Reglas de Negocios – Restricciones de Acceso – Controles de Interfase – Controles de Configuración

Con

trol

es G

ener

ales

de

TI Controles generales de TI

– Garantía de Continuidad del Servicio – Administración de Rendimiento y

Capacidad – Administración de la Seguridad del Sistema – Administración de Problemas e Incidentes – Administración de Datos – Administración del Espacio Físico de TI – Administración de Operaciones – Administración de Cambios

Con

trol

es d

e A

plic

ació

n y

Con

trol

es M

anua

les

Los Controles Generales brindan la base para los controles de aplicación



��64

Fuente: BSI 10012:2009 BSI Todos derechos reservados.



��65


Algunos casos

• ¿Qué preocupaciones deberíamos tener?

• ¿Qué elementos tecnológicos hay que considerar?

• ¿Qué acciones debemos ejecutar?

• ¿Qué marcos referenciales utilizar?

��66


Algunos casos

1. Una organización ha decidido poner en marcha un nuevo proceso de manejo de archivos que contempla el uso de una aplicación que mantendrá registro de todos los expedientes existentes, además del historial de los movimientos de expedientes al ser removidos del archivo. El proceso será muy diferente respecto de como operan hoy y la aplicación de soporte está siendo desarrollada por personal interno con equipos disponibles fuera de uso y utilizando programas de código abierto.

��67


Algunos casos!

2. Una organización ha decidido contratar a un proveedor para que opere su centro de atención telefónica. El proveedor es una compañía internacional de origen canadiense, sus servidores son mantenidos por otro proveedor que ha puesto a disposición una aplicación a través del concepto de “Software as a Service (SaaS), lo que quiere decir que todo se opera en la nube y que los datos se almacenarán en un lugar impreciso. Los operadores desarrollarán actividades en México.

��68


Algunos casos!

!

3. Una organización ha habilitado un sistema para habilitar el ejercicio de derechos ARCO, con él, los interesados o titulares, pueden llamar a un centro de atención telefónica para ejercer sus derechos ARCO o ejecutar el proceso a través de un sitio web. El desarrollo del sistema ha corrido a cargo de un despacho externo, se ha usado tecnología de punta, incluso los interesados pueden acceder al sitio vía dispositivos móviles. La operación del sitio queda a cargo de personal de la organización, aunque las labores de mantenimiento al sistema son ejecutadas por el proveedor.

��69


Conclusiones

• Hay una gran dependencia de TI en los sistemas de datos personales

• Deben reconocerse, identificarse y analizarse los riesgos relacionados con TI en la operación de sistemas de datos personales

• El reconocimiento de estos riesgos debe realizarse en conjunto con el de otros que dependan también de TI y/o que afecten a la información

• La cooperación entre áreas es indispensable para lograr el éxito

��70


Conclusiones

• Existen marcos referenciales como COBIT, BS10012 o PbD que pueden ser de utilidad

• Los marcos referenciales no suplen el sentido común

• Los elementos tecnológicos en sí mismos deben ser considerados

• La elaboración de acciones recomendadas debe perseguir no solamente la disminución del riesgo, sino la generación de valor

��71


¡Muchas gracias!

��72

Carlos Chalico

CISA, CISSP, CISM, CGEIT, CRISC, ISO27000 LA, PbD Ambassador

Ouest Business Solutions Inc.

[email protected]

(647)6388062

twitter: @CarlosChalico

LinkedIn: ca.linkedin.com/in/carloschalico/

mailto:[email protected]

http://ca.linkedin.com/in/carloschalico/

Documents

Auditoría de Sistemas de Información: Seguridad y ... · @CarlosChalico #InfoDFprivacidad Carlos Chalico CISA, CISSP, CISM, CGEIT, CRISC, ISO27000 LA, PbD Ambassador! Ouest Business