Nueva normativa asociada a la
gobernabilidad y seguridad de la
información
AP Graciela Ricci, CISA, CGEIT, CRISC
www.isaca.org.uy
Agenda
1. Contexto: ¿qué está pasando?
2. ¿Confianza en la información o en los procesos que la
administran?
3. Evolución de la normativa
www.isaca.org.uy
1. Contexto:¿qué está pasando?
• Los marcos regulatorios cada vez
son más robustos en todos los
territorios y todas las industrias.
• Muchos territorios creen que es
un buen momento para mejorar
su modelo de reporte
• La complejidad y el valor de los
modelos de reporte es un
problema que va en aumento,
paralelamente a lo anterior.
• Los riesgos a los que están
expuestas las organizaciones en
relación a la gobernabilidad y
aseguramiento de su información
son cada vez mayores
• La auditoría desde el punto de
vista profesional es más
relevante.
www.isaca.org.uy
• Las prácticas de IT Outsourcing
continúan en aumento.
1. Contexto:¿qué está pasando?
Sin embargo:
• El aseguramiento y gobernabilidad
de la seguridad de la información
recién está comenzando a preocupar a
las organizaciones.
• La integración de los modelos de
reporte no es un punto clave en la
agenda de ningún CIO
www.isaca.org.uy
2. ¿Confianza en la
información o en los
procesos que la
administran?
www.isaca.org.uy
Tranquilidad
Valor
Confianza en la información
• Contar con controles, procesos y una estructura de
gobierno que brinde información oportuna para medir el
progreso del negocio y el logro de sus metas y objetivos
• Contar con información actualizada promoviendo su uso
para garantizar el cumplimiento e identificar aspectos de
gobernabilidad a mejorar el posicionamiento en el mercado
Beneficio comercial
Construyendo una ventaja
competitiva
• Toma de decisión efectiva
basada en información
confiable
Confianza en el procesamiento
• Alcanzar buena reputación
y relacionamiento con los
“stakeholders” , ganando su
confianza siendo proactivos
en la implementación de
controles en la generación y
procesamiento de la
información
• Lograr la apertura y transparencia de la información y los
mecanismos de reporte de forma que sea fácilmente
accesible, garantizando los aspectos de confidencialidad
que correspondan.
• Contar con mecanismos que
promuevan la mejora
continua desde el punto de
vista de la seguridad
• Tranquilidad de que la información ha sido fuertemente
controlada en forma total y robusta.
• Aplicar mejores prácticas
• Negocio “rescilente” a partir del uso de la información para
gestionar sus riesgos
Buen negocio
6
www.isaca.org.uy
• Mejorar la competitividad
Muy buen negocio
2. ¿Confianza en la información o en los procesos
que la administran?
• El reconocimiento de las organizaciones respecto a la necesidad de
que su información sea confiable, es lo que le da el espacio, tanto a
auditores internos como externos, para desarrollar sus actividades.
• Pero en el contexto antes mencionado, debería ser también muy
importante para las organizaciones poder lograr un nivel de
confianza razonable respecto a los procesos que aplican los
terceros involucrados en la generación/gestión de su información.
www.isaca.org.uy
3. Evolución de la normativa
Teniendo en cuenta el contexto antes presentado y la necesidad de las
organizaciones de mejorar la gobernabilidad y seguridad de la
información, ¿cómo construir confianza en el relacionamiento
de las entidades? :
• Cuando una organización terceriza total o parcialmente alguna
función o tarea (más aún si ésta es crítica para el negocio), muchos
de los riesgos a los que esté expuesto el prestador del servicio en
relación a su capacidad de proveerlo, pasan a ser riesgos de la
organización (entidad) contratante. (IT Outsourcing, Cloud
Services, etc.)
• Estructuras de Control Interno debilitadas
www.isaca.org.uy
3. Evolución de la normativa
• Fraudes
• Cambios tecnológicos relevantes
• Cambios regulatorios y de
modelos de reporte
• Foco de los organismos
reguladores en el control interno
(SOX, Basilea II, etc.)
• Violaciones a la privacía y robo
de identidades
• Fusiones y adquisiciones
www.isaca.org.uy
3. Evolución de la normativa
Algunas herramientas:
• SOC (Service Organization Control)
• ISO/IEC 27000
• ISO/IEC 22301
www.isaca.org.uy
3. Evolución de la normativa
Reportes SOC
• El AICPA (American Institute of Certified Public Accountants) ha
desarrollado un marco que asiste a los CPAs en la revisión de los
controles de los prestadores de servicio, proveyéndole una confianza
razonable a la gerencia de la entidades (contratantes):
– SOC 1
– SOC 2
– SOC 3
www.isaca.org.uy
3. Evolución de la normativa
Reportes SOC - Su historia
1992
www.isaca.org.uy
3. Evolución de la normativa
2011
Reportes SOC - Su historia
2010
www.isaca.org.uy
3. Evolución de la normativa
Reporte SOC1
Fue desarrollado bajo el estándar SSAE 16 Reporting on Control at a Service
Organization )
En este tipo de trabajo el auditor opinará sobre los controles del proveedor del
servicio que son relevantes desde el punto de vista de los controles de la entidad
en relación a sus reportes financieros. Existen 2 tipos de reporte:
– Tipo 1: opinión en base a la descripción de la gerencia sobre el sistema
mediante el cual presta el servicio y la adecuación del diseño de los controles
tendientes a lograr los objetivos de control incluidos en esta descripción a
una fecha específica
– Tipo 2: opinión en base a la descripción de la gerencia sobre el sistema
mediante el cual presta el servicio y el diseño y efectividad en la operación
de los controles tendientes a lograr los objetivos de control incluidos en esta
descripción durante un período determinado.
www.isaca.org.uy
3. Evolución de la normativa
Reporte SOC2
Este reporte permite al auditor opinar respecto a:
– Seguridad
– Disponibilidad
– Integridad de procesamiento
– Confidencialidad
– Privacidad
Siendo de interés cuando un tercero opera, recolecta, procesa, trasmite,
almacena, organiza, mantiene o dispone de la información de la entidad
www.isaca.org.uy
3. Evolución de la normativa
Reporte SOC2
Existen 2 tipos de reportes:
– Tipo 1: Similar al de SOC1, y también se trabaja sobre la descripción del
sistema realizada por la gerencia
– Tipo 2: También es similar a su correspondiente de SOC 1 pero en este se
incluye la descripción de las pruebas realizadas para probar los controles
tendientes a garantizar los 5 atributos clave del sistema antes
mencionados y los resultados obtenidos.
www.isaca.org.uy
3. Evolución de la normativa
Reporte SOC3
La diferencia principal entre este reporte y SOC 2 es que SOC 3 no es
restringido, ya que no se incluye la descripción de las pruebas utilizadas para la
evaluación de los controles tendientes a garantizar los atributos clave de la
organización
Este reporte permite colocar el sello correspondiente en el website de la
organización
www.isaca.org.uy
www.isaca.org.uy
3. Evolución de la normativa – ISO /IEC 27000
Scoping &
Planning

Gap
Analysis 
ASSESS
OPERATE
Exposure
Assessment
Business
Asset, BIA
Risk Register
External
Auditor


An embedded
ISO27001 ISMS
Security Control
Framework
PLAN
Draft Security
Improvement
Programme
(SIP)
Principles,
policies,
procedures
DESIGN
Technolo
gy
CHECK
DO
Governan
ce (roles,
Committe
e)
ACT
Gap Analysis
Combined
Report
Risk Assessment,
Treatment and Management
ISMS
(monit
or,
Audit)
(Security improvement workstreams)
(People)
Draft
statement of
applicability
(SOA)
www.isaca.org.uy
(Process)
(Physical)
(Technology)
Final
statement
of applicability


Audit
framework
Communication,
Awareness,
Training &
Knowledge
Sharing
Workshops
3. Evolución de la normativa – ISO /IEC 22301
www.isaca.org.uy
4. Contexto de la organización
4.13.
Expectativas
de la organización
respecto 5. Liderazgo
Evolución
de la normativa
– ISO /IEC 22301
a la continuidad del negocio
5.1 Participación y compromiso de Alta
considerando tanto factores internos
Gerencia
como externos a la misma.
5.2 Comité de Gestión (respecto del
4.2 Conocer las necesidades y expectativas
BCMS)
de los interesados
5.3 Política de Continuidad Operativa
4.3 Determinar el alcance del Sistema de
5.4 Estructura de roles,
Gestión de la continuidad del negocio
responsabilidad y autoridad
4.4 Definir e implementar el BCMS
www.isaca.org.uy
3. Evolución de la normativa – ISO /IEC 22301
6. Planificación
6.1 Actividades para la localización
de riesgos y oportunidades en
relación a la continuidad del
negocio
6.2 Definición de los objetivos de
continuidad y planes para
lograrlos
www.isaca.org.uy
3. Evolución de la normativa – ISO /IEC 22301
7. Soporte
7.1 Recursos
7.2 Personas competentes
7.3 Nivel de concientización
7.4 Comunicación
7.5 Documentos (del BCMS)
www.isaca.org.uy
8. Operación
8.1 Planificación y control operativo (se incluye definir los criterios
3. Evolución
de la normativa – ISO /IEC 22301
parea establecer que se va a prevenir y cuándo se va a responder)
8.2 Business Impact Analysis (BIA) y Análisis de Riesgos
8.3 Definición de las estrategias de recuperación del negocio y de
prevención
8.4 Establecer e implementar los procedimientos de recuperación del
negocio (Planes – incluyendo: detección, activación, recuperación,
operación en régimen de contingencia y vuelta a la normalidad)
8.5 Entrenamiento y prueba
www.isaca.org.uy
3. Evolución de la normativa – ISO /IEC 22301
Desarrollo los Planes Preventivos y la
Solución de Continuidad del Negocio
de acuerdo a lo planificado
www.isaca.org.uy
3. Evolución de la normativa – ISO /IEC 22301
9. Evaluación del desempeño
9.1 Monitoreo, medición, análisis y
evaluación
9.2 Auditoría interna
9.3 Revisión por parte de la
Gerencia
www.isaca.org.uy
10. Mejora
10.1 Acciones correctivas y no
conformidades
10.2 Mejora continua
¿Preguntas?
Muchas Gracias
Graciela Ricci
[email protected]
www.isaca.org.uy
Descargar

Slide 1