Nueva normativa asociada a la gobernabilidad y seguridad de la información - PowerPoint PPT Presentation

nueva normativa asociada a la gobernabilidad y seguridad de la informaci n n.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
Nueva normativa asociada a la gobernabilidad y seguridad de la información PowerPoint Presentation
Download Presentation
Nueva normativa asociada a la gobernabilidad y seguridad de la información

play fullscreen
1 / 27
Nueva normativa asociada a la gobernabilidad y seguridad de la información
156 Views
Download Presentation
kalil
Download Presentation

Nueva normativa asociada a la gobernabilidad y seguridad de la información

- - - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript

  1. Nueva normativa asociada a la gobernabilidad y seguridad de la información AP Graciela Ricci, CISA, CGEIT, CRISC

  2. Agenda • Contexto: ¿qué está pasando? • ¿Confianza en la información o en los procesos que la administran? • Evolución de la normativa

  3. Los marcos regulatorios cada vez son más robustos en todos los territorios y todas las industrias. La complejidad y el valor de los modelos de reporte es un problema que va en aumento, paralelamente a lo anterior. La auditoría desde el punto de vista profesional es más relevante. • Contexto:¿qué está pasando? • Muchos territorios creen que es un buen momento para mejorar su modelo de reporte • Los riesgos a los que están expuestas las organizaciones en relación a la gobernabilidad y aseguramiento de su información son cada vez mayores • Las prácticas de IT Outsourcing continúan en aumento.

  4. Contexto:¿qué está pasando? Sin embargo: El aseguramiento y gobernabilidad de la seguridad de la información recién está comenzando a preocupar a las organizaciones. La integración de los modelos de reporte no es un punto clave en la agenda de ningún CIO

  5. ¿Confianza en la información o en los procesos que la administran?

  6. Valor Tranquilidad Beneficiocomercial Confianza en la información Construyendo una ventaja competitiva • Contar con controles, procesos y una estructura de gobierno que brinde información oportuna para medir el progreso del negocio y el logro de sus metas y objetivos • Contar con información actualizada promoviendo su uso para garantizar el cumplimiento e identificar aspectos de gobernabilidad a mejorar el posicionamiento en el mercado • Negocio “rescilente” a partir del uso de la información para gestionar sus riesgos • Toma de decisión efectiva basada en información confiable • Alcanzar buena reputación y relacionamiento con los “stakeholders” , ganando su confianza siendo proactivos en la implementación de controles en la generación y procesamiento de la información • Contar con mecanismos que promuevan la mejora continua desde el punto de vista de la seguridad • Aplicar mejores prácticas • Mejorar la competitividad Confianza en el procesamiento • Lograr la apertura y transparencia de la información y los mecanismos de reporte de forma que sea fácilmente accesible, garantizando los aspectos de confidencialidad que correspondan. • Tranquilidad de que la información ha sido fuertemente controlada en forma total y robusta. Buen negocio Muy buen negocio

  7. El reconocimiento de las organizaciones respecto a la necesidad de que su información sea confiable, es lo que le da el espacio, tanto a auditores internos como externos, para desarrollar sus actividades. Pero en el contexto antes mencionado, debería ser también muy importante para las organizaciones poder lograr un nivel de confianza razonable respecto a los procesos que aplican los terceros involucrados en la generación/gestión de su información. • ¿Confianza en la información o en los procesos que la administran?

  8. Teniendo en cuenta el contexto antes presentado y la necesidad de las organizaciones de mejorar la gobernabilidad y seguridad de la información, ¿cómo construir confianza en el relacionamiento de las entidades? : Cuando una organización terceriza total o parcialmente alguna función o tarea (más aún si ésta es crítica para el negocio), muchos de los riesgos a los que esté expuesto el prestador del servicio en relación a su capacidad de proveerlo, pasan a ser riesgos de la organización (entidad) contratante. (IT Outsourcing, Cloud Services, etc.) Estructuras de Control Interno debilitadas • Evolución de la normativa

  9. Fraudes Cambios tecnológicos relevantes Cambios regulatorios y de modelos de reporte Foco de los organismos reguladores en el control interno (SOX, Basilea II, etc.) Violaciones a la privacía y robo de identidades Fusiones y adquisiciones • Evolución de la normativa

  10. Algunas herramientas: SOC (Service Organization Control) ISO/IEC 27000 ISO/IEC 22301 • Evolución de la normativa

  11. Reportes SOC El AICPA (American Institute of CertifiedPublicAccountants) ha desarrollado un marco que asiste a los CPAs en la revisión de los controles de los prestadores de servicio, proveyéndole una confianza razonable a la gerencia de la entidades (contratantes): SOC 1 SOC 2 SOC 3 • Evolución de la normativa

  12. Reportes SOC - Su historia • Evolución de la normativa 1992

  13. Reportes SOC - Su historia • Evolución de la normativa 2010 2011

  14. Reporte SOC1 Fue desarrollado bajo el estándar SSAE 16 Reportingon Control at a ServiceOrganization ) En este tipo de trabajo el auditor opinará sobre los controles del proveedor del servicio que son relevantes desde el punto de vista de los controles de la entidad en relación a sus reportes financieros. Existen 2 tipos de reporte: Tipo 1: opinión en base a la descripción de la gerencia sobre el sistema mediante el cual presta el servicio y la adecuación del diseño de los controles tendientes a lograr los objetivos de control incluidos en esta descripción a una fecha específica Tipo 2: opinión en base a la descripción de la gerencia sobre el sistema mediante el cual presta el servicio y el diseño y efectividad en la operación de los controles tendientes a lograr los objetivos de control incluidos en esta descripción durante un período determinado. • Evolución de la normativa

  15. Reporte SOC2 Este reporte permite al auditor opinar respecto a: Seguridad Disponibilidad Integridad de procesamiento Confidencialidad Privacidad Siendo de interés cuando un tercero opera, recolecta, procesa, trasmite, almacena, organiza, mantiene o dispone de la información de la entidad • Evolución de la normativa

  16. Reporte SOC2 Existen 2 tipos de reportes: Tipo 1: Similar al de SOC1, y también se trabaja sobre la descripción del sistema realizada por la gerencia Tipo 2: También es similar a su correspondiente de SOC 1 pero en este se incluye la descripción de las pruebas realizadas para probar los controles tendientes a garantizar los 5 atributos clave del sistema antes mencionados y los resultados obtenidos. • Evolución de la normativa

  17. Reporte SOC3 La diferencia principal entre este reporte y SOC 2 es que SOC 3 no es restringido, ya que no se incluye la descripción de las pruebas utilizadas para la evaluación de los controles tendientes a garantizar los atributos clave de la organización Este reporte permite colocar el sello correspondiente en el website de la organización • Evolución de la normativa

  18. Evolución de la normativa – ISO /IEC 27000 ASSESS OPERATE Scoping & Planning Gap Analysis Exposure Assessment External Auditor Risk Assessment, Treatment and Management An embedded ISO27001 ISMS Security Control Framework   Gap Analysis Combined Report Business Asset, BIA   Risk Register PLAN DESIGN Draft SecurityImprovement Programme (SIP) Process ACT DO People (Security improvement workstreams) Technology CHECK (Technology) (Physical) Communication, Awareness, Training & Knowledge Sharing Workshops (People) (Process) Draft statement ofapplicability (SOA) Final statementof applicability Audit framework Governance (roles, Committee)  ISMS (monitor, Audit) Principles, policies, procedures 

  19. Evolución de la normativa – ISO /IEC 22301

  20. 4. Contexto de la organización • 4.1 Expectativas de la organización respecto a la continuidad del negocio considerando tanto factores internos como externos a la misma. • 4.2 Conocer las necesidades y expectativas de los interesados • 4.3 Determinar el alcance del Sistema de Gestión de la continuidad del negocio • 4.4 Definir e implementar el BCMS • 5. Liderazgo • 5.1 Participación y compromiso de Alta Gerencia • 5.2 Comité de Gestión (respecto del BCMS) • 5.3 Política de Continuidad Operativa • 5.4 Estructura de roles, responsabilidad y autoridad • Evolución de la normativa – ISO /IEC 22301

  21. Evolución de la normativa – ISO /IEC 22301 • 6. Planificación • 6.1 Actividades para la localización de riesgos y oportunidades en relación a la continuidad del negocio • 6.2 Definición de los objetivos de continuidad y planes para lograrlos

  22. Evolución de la normativa – ISO /IEC 22301 • 7. Soporte • 7.1 Recursos • 7.2 Personas competentes • 7.3 Nivel de concientización • 7.4 Comunicación • 7.5 Documentos (del BCMS)

  23. 8. Operación • 8.1 Planificación y control operativo (se incluye definir los criterios parea establecer que se va a prevenir y cuándo se va a responder) • 8.2 Business ImpactAnalysis (BIA) y Análisis de Riesgos • 8.3 Definición de las estrategias de recuperación del negocio y de prevención • 8.4 Establecer e implementar los procedimientos de recuperación del negocio (Planes – incluyendo: detección, activación, recuperación, operación en régimen de contingencia y vuelta a la normalidad) • 8.5 Entrenamiento y prueba • Evolución de la normativa – ISO /IEC 22301

  24. Evolución de la normativa – ISO /IEC 22301 Desarrollo los Planes Preventivos y la Solución de Continuidad del Negocio de acuerdo a lo planificado

  25. Evolución de la normativa – ISO /IEC 22301 10. Mejora 10.1 Acciones correctivas y no conformidades 10.2 Mejora continua 9. Evaluación del desempeño 9.1 Monitoreo, medición, análisis y evaluación 9.2 Auditoría interna 9.3 Revisión por parte de la Gerencia

  26. ¿Preguntas? Muchas Gracias Graciela Ricci Graciela.ricci@uy.pwc.com