www.isaca.org.uy nueva normativa asociada a la gobernabilidad y seguridad de la información ap...
TRANSCRIPT
www.isaca.org.uy
Nueva normativa asociada a la gobernabilidad y seguridad de la
información
AP Graciela Ricci, CISA, CGEIT, CRISC
www.isaca.org.uy
Agenda
1. Contexto: ¿qué está pasando? 2. ¿Confianza en la información o en los procesos
que la administran? 3. Evolución de la normativa
www.isaca.org.uy
• Los marcos regulatorios cada vez son más robustos en todos los territorios y todas las industrias.
• La complejidad y el valor de los modelos de reporte es un problema que va en aumento, paralelamente a lo anterior.
• La auditoría desde el punto de vista profesional es más relevante.
1. Contexto:¿qué está pasando?
• Muchos territorios creen que es un buen momento para mejorar su modelo de reporte
• Los riesgos a los que están expuestas las organizaciones en relación a la gobernabilidad y aseguramiento de su información son cada vez mayores
• Las prácticas de IT Outsourcing continúan en aumento.
www.isaca.org.uy
1. Contexto:¿qué está pasando?
Sin embargo:
• El aseguramiento y gobernabilidad de la seguridad de la información recién está comenzando a preocupar a las organizaciones.
• La integración de los modelos de reporte no es un punto clave en la agenda de ningún CIO
www.isaca.org.uy
2. ¿Confianza en la información o en los procesos que la administran?
www.isaca.org.uy
Confianza en el procesamiento
6
Tranquilidad Beneficio comercial Valor
Confianza en la información Construyendo una ventaja competitiva
•Contar con controles, procesos y una estructura de gobierno que brinde información oportuna para medir el progreso del negocio y el logro de sus metas y objetivos
•Contar con información actualizada promoviendo su uso para garantizar el cumplimiento e identificar aspectos de gobernabilidad a mejorar el posicionamiento en el mercado
• Negocio “rescilente” a partir del uso de la información para gestionar sus riesgos
•Toma de decisión efectiva basada en información confiable
•Alcanzar buena reputación y relacionamiento con los “stakeholders” , ganando su confianza siendo proactivos en la implementación de controles en la generación y procesamiento de la información
•Contar con mecanismos que promuevan la mejora continua desde el punto de vista de la seguridad
•Aplicar mejores prácticas
•Mejorar la competitividad
Muy buen negocio
•Lograr la apertura y transparencia de la información y los mecanismos de reporte de forma que sea fácilmente accesible, garantizando los aspectos de confidencialidad que correspondan.
•Tranquilidad de que la información ha sido fuertemente controlada en forma total y robusta.
Buen negocio
www.isaca.org.uy
• El reconocimiento de las organizaciones respecto a la necesidad de que su información sea confiable, es lo que le da el espacio, tanto a auditores internos como externos, para desarrollar sus actividades.
• Pero en el contexto antes mencionado, debería ser también muy importante para las organizaciones poder lograr un nivel de confianza razonable respecto a los procesos que aplican los terceros involucrados en la generación/gestión de su información.
2. ¿Confianza en la información o en los procesos que la administran?
www.isaca.org.uy
Teniendo en cuenta el contexto antes presentado y la necesidad de las organizaciones de mejorar la gobernabilidad y seguridad de la información, ¿cómo construir confianza en el relacionamiento de las entidades? :
•Cuando una organización terceriza total o parcialmente alguna función o tarea (más aún si ésta es crítica para el negocio), muchos de los riesgos a los que esté expuesto el prestador del servicio en relación a su capacidad de proveerlo, pasan a ser riesgos de la organización (entidad) contratante. (IT Outsourcing, Cloud Services, etc.)
•Estructuras de Control Interno debilitadas
3. Evolución de la normativa
www.isaca.org.uy
• Fraudes
• Cambios tecnológicos relevantes
• Cambios regulatorios y de modelos de reporte
• Foco de los organismos reguladores en el control interno (SOX, Basilea II, etc.)
• Violaciones a la privacía y robo de identidades
• Fusiones y adquisiciones
3. Evolución de la normativa
www.isaca.org.uy
Algunas herramientas:
• SOC (Service Organization Control)
• ISO/IEC 27000
• ISO/IEC 22301
3. Evolución de la normativa
www.isaca.org.uy
Reportes SOC
•El AICPA (American Institute of Certified Public Accountants) ha desarrollado un marco que asiste a los CPAs en la revisión de los controles de los prestadores de servicio, proveyéndole una confianza razonable a la gerencia de la entidades (contratantes):
– SOC 1
– SOC 2
– SOC 3
3. Evolución de la normativa
www.isaca.org.uy
Reportes SOC - Su historia
3. Evolución de la normativa
1992
www.isaca.org.uy
Reportes SOC - Su historia
3. Evolución de la normativa
2010
2011
www.isaca.org.uy
Reporte SOC1
Fue desarrollado bajo el estándar SSAE 16 Reporting on Control at a Service Organization )
En este tipo de trabajo el auditor opinará sobre los controles del proveedor del servicio que son relevantes desde el punto de vista de los controles de la entidad en relación a sus reportes financieros. Existen 2 tipos de reporte:
–Tipo 1: opinión en base a la descripción de la gerencia sobre el sistema mediante el cual presta el servicio y la adecuación del diseño de los controles tendientes a lograr los objetivos de control incluidos en esta descripción a una fecha específica
–Tipo 2: opinión en base a la descripción de la gerencia sobre el sistema mediante el cual presta el servicio y el diseño y efectividad en la operación de los controles tendientes a lograr los objetivos de control incluidos en esta descripción durante un período determinado.
3. Evolución de la normativa
www.isaca.org.uy
Reporte SOC2
Este reporte permite al auditor opinar respecto a:
– Seguridad
– Disponibilidad
– Integridad de procesamiento
– Confidencialidad
– Privacidad
Siendo de interés cuando un tercero opera, recolecta, procesa, trasmite, almacena, organiza, mantiene o dispone de la información de la entidad
3. Evolución de la normativa
www.isaca.org.uy
Reporte SOC2
Existen 2 tipos de reportes:
– Tipo 1: Similar al de SOC1, y también se trabaja sobre la descripción del sistema realizada por la gerencia
– Tipo 2: También es similar a su correspondiente de SOC 1 pero en este se incluye la descripción de las pruebas realizadas para probar los controles tendientes a garantizar los 5 atributos clave del sistema antes mencionados y los resultados obtenidos.
3. Evolución de la normativa
www.isaca.org.uy
Reporte SOC3
La diferencia principal entre este reporte y SOC 2 es que SOC 3 no es restringido, ya que no se incluye la descripción de las pruebas utilizadas para la evaluación de los controles tendientes a garantizar los atributos clave de la organización
Este reporte permite colocar el sello correspondiente en el website de la organización
3. Evolución de la normativa
www.isaca.org.uy
www.isaca.org.uy
Draft statement ofapplicability
(SOA)
Final statement
of applicability Audit framework
(Security improvement workstreams)
Scoping & Planning
An embedded ISO27001 ISMS Security Control
Framework
Gap Analysis Combined
Report
External Auditor
Gap Analysis
Exposure Assessment
Business Asset, BIA
Communication, Awareness, Training & Knowledge
Sharing Workshops
Risk Assessment, Treatment and Management
(People)(Process
) (Physical) (Technology)
Risk Register
Draft SecurityImprovementProgramme (SIP)
Governance (roles, Committe
e)
Principles, policies,
procedures
ISMS (monit
or, Audit)
Technology
Peop
le
Process
DO
CHECK
PLAN
AC
T
ASSESS
DESIGN
OPERATE
3. Evolución de la normativa – ISO /IEC 27000
www.isaca.org.uy
3. Evolución de la normativa – ISO /IEC 22301
www.isaca.org.uy
3. Evolución de la normativa – ISO /IEC 223014. Contexto de la organización
4.1 Expectativas de la organización respecto a la continuidad del negocio considerando tanto factores internos como externos a la misma.
4.2 Conocer las necesidades y expectativas de los interesados
4.3 Determinar el alcance del Sistema de Gestión de la continuidad del negocio
4.4 Definir e implementar el BCMS
5. Liderazgo
5.1 Participación y compromiso de Alta Gerencia
5.2 Comité de Gestión (respecto del BCMS)
5.3 Política de Continuidad Operativa
5.4 Estructura de roles, responsabilidad y autoridad
www.isaca.org.uy
3. Evolución de la normativa – ISO /IEC 223016. Planificación
6.1 Actividades para la localización de riesgos y oportunidades en relación a la continuidad del negocio
6.2 Definición de los objetivos de continuidad y planes para lograrlos
www.isaca.org.uy
3. Evolución de la normativa – ISO /IEC 223017. Soporte
7.1 Recursos
7.2 Personas competentes
7.3 Nivel de concientización
7.4 Comunicación
7.5 Documentos (del BCMS)
www.isaca.org.uy
3. Evolución de la normativa – ISO /IEC 22301
8. Operación
8.1 Planificación y control operativo (se incluye definir los criterios parea establecer que se va a prevenir y cuándo se va a responder)
8.2 Business Impact Analysis (BIA) y Análisis de Riesgos
8.3 Definición de las estrategias de recuperación del negocio y de prevención
8.4 Establecer e implementar los procedimientos de recuperación del negocio (Planes – incluyendo: detección, activación, recuperación, operación en régimen de contingencia y vuelta a la normalidad)
8.5 Entrenamiento y prueba
www.isaca.org.uy
3. Evolución de la normativa – ISO /IEC 22301Desarrollo los Planes Preventivos y la Solución de Continuidad del
Negocio de acuerdo a lo planificado
www.isaca.org.uy
3. Evolución de la normativa – ISO /IEC 22301
9. Evaluación del desempeño
9.1 Monitoreo, medición, análisis y evaluación
9.2 Auditoría interna
9.3 Revisión por parte de la Gerencia
10. Mejora
10.1 Acciones correctivas y no conformidades
10.2 Mejora continua