1 / 27

Nueva normativa asociada a la gobernabilidad y seguridad de la información

Nueva normativa asociada a la gobernabilidad y seguridad de la información. AP Graciela Ricci, CISA, CGEIT, CRISC. Agenda. Contexto: ¿qué está pasando? ¿Confianza en la información o en los procesos que la administran? Evolución de la normativa.

kalil
Download Presentation

Nueva normativa asociada a la gobernabilidad y seguridad de la información

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Nueva normativa asociada a la gobernabilidad y seguridad de la información AP Graciela Ricci, CISA, CGEIT, CRISC

  2. Agenda • Contexto: ¿qué está pasando? • ¿Confianza en la información o en los procesos que la administran? • Evolución de la normativa

  3. Los marcos regulatorios cada vez son más robustos en todos los territorios y todas las industrias. La complejidad y el valor de los modelos de reporte es un problema que va en aumento, paralelamente a lo anterior. La auditoría desde el punto de vista profesional es más relevante. • Contexto:¿qué está pasando? • Muchos territorios creen que es un buen momento para mejorar su modelo de reporte • Los riesgos a los que están expuestas las organizaciones en relación a la gobernabilidad y aseguramiento de su información son cada vez mayores • Las prácticas de IT Outsourcing continúan en aumento.

  4. Contexto:¿qué está pasando? Sin embargo: El aseguramiento y gobernabilidad de la seguridad de la información recién está comenzando a preocupar a las organizaciones. La integración de los modelos de reporte no es un punto clave en la agenda de ningún CIO

  5. ¿Confianza en la información o en los procesos que la administran?

  6. Valor Tranquilidad Beneficiocomercial Confianza en la información Construyendo una ventaja competitiva • Contar con controles, procesos y una estructura de gobierno que brinde información oportuna para medir el progreso del negocio y el logro de sus metas y objetivos • Contar con información actualizada promoviendo su uso para garantizar el cumplimiento e identificar aspectos de gobernabilidad a mejorar el posicionamiento en el mercado • Negocio “rescilente” a partir del uso de la información para gestionar sus riesgos • Toma de decisión efectiva basada en información confiable • Alcanzar buena reputación y relacionamiento con los “stakeholders” , ganando su confianza siendo proactivos en la implementación de controles en la generación y procesamiento de la información • Contar con mecanismos que promuevan la mejora continua desde el punto de vista de la seguridad • Aplicar mejores prácticas • Mejorar la competitividad Confianza en el procesamiento • Lograr la apertura y transparencia de la información y los mecanismos de reporte de forma que sea fácilmente accesible, garantizando los aspectos de confidencialidad que correspondan. • Tranquilidad de que la información ha sido fuertemente controlada en forma total y robusta. Buen negocio Muy buen negocio

  7. El reconocimiento de las organizaciones respecto a la necesidad de que su información sea confiable, es lo que le da el espacio, tanto a auditores internos como externos, para desarrollar sus actividades. Pero en el contexto antes mencionado, debería ser también muy importante para las organizaciones poder lograr un nivel de confianza razonable respecto a los procesos que aplican los terceros involucrados en la generación/gestión de su información. • ¿Confianza en la información o en los procesos que la administran?

  8. Teniendo en cuenta el contexto antes presentado y la necesidad de las organizaciones de mejorar la gobernabilidad y seguridad de la información, ¿cómo construir confianza en el relacionamiento de las entidades? : Cuando una organización terceriza total o parcialmente alguna función o tarea (más aún si ésta es crítica para el negocio), muchos de los riesgos a los que esté expuesto el prestador del servicio en relación a su capacidad de proveerlo, pasan a ser riesgos de la organización (entidad) contratante. (IT Outsourcing, Cloud Services, etc.) Estructuras de Control Interno debilitadas • Evolución de la normativa

  9. Fraudes Cambios tecnológicos relevantes Cambios regulatorios y de modelos de reporte Foco de los organismos reguladores en el control interno (SOX, Basilea II, etc.) Violaciones a la privacía y robo de identidades Fusiones y adquisiciones • Evolución de la normativa

  10. Algunas herramientas: SOC (Service Organization Control) ISO/IEC 27000 ISO/IEC 22301 • Evolución de la normativa

  11. Reportes SOC El AICPA (American Institute of CertifiedPublicAccountants) ha desarrollado un marco que asiste a los CPAs en la revisión de los controles de los prestadores de servicio, proveyéndole una confianza razonable a la gerencia de la entidades (contratantes): SOC 1 SOC 2 SOC 3 • Evolución de la normativa

  12. Reportes SOC - Su historia • Evolución de la normativa 1992

  13. Reportes SOC - Su historia • Evolución de la normativa 2010 2011

  14. Reporte SOC1 Fue desarrollado bajo el estándar SSAE 16 Reportingon Control at a ServiceOrganization ) En este tipo de trabajo el auditor opinará sobre los controles del proveedor del servicio que son relevantes desde el punto de vista de los controles de la entidad en relación a sus reportes financieros. Existen 2 tipos de reporte: Tipo 1: opinión en base a la descripción de la gerencia sobre el sistema mediante el cual presta el servicio y la adecuación del diseño de los controles tendientes a lograr los objetivos de control incluidos en esta descripción a una fecha específica Tipo 2: opinión en base a la descripción de la gerencia sobre el sistema mediante el cual presta el servicio y el diseño y efectividad en la operación de los controles tendientes a lograr los objetivos de control incluidos en esta descripción durante un período determinado. • Evolución de la normativa

  15. Reporte SOC2 Este reporte permite al auditor opinar respecto a: Seguridad Disponibilidad Integridad de procesamiento Confidencialidad Privacidad Siendo de interés cuando un tercero opera, recolecta, procesa, trasmite, almacena, organiza, mantiene o dispone de la información de la entidad • Evolución de la normativa

  16. Reporte SOC2 Existen 2 tipos de reportes: Tipo 1: Similar al de SOC1, y también se trabaja sobre la descripción del sistema realizada por la gerencia Tipo 2: También es similar a su correspondiente de SOC 1 pero en este se incluye la descripción de las pruebas realizadas para probar los controles tendientes a garantizar los 5 atributos clave del sistema antes mencionados y los resultados obtenidos. • Evolución de la normativa

  17. Reporte SOC3 La diferencia principal entre este reporte y SOC 2 es que SOC 3 no es restringido, ya que no se incluye la descripción de las pruebas utilizadas para la evaluación de los controles tendientes a garantizar los atributos clave de la organización Este reporte permite colocar el sello correspondiente en el website de la organización • Evolución de la normativa

  18. Evolución de la normativa – ISO /IEC 27000 ASSESS OPERATE Scoping & Planning Gap Analysis Exposure Assessment External Auditor Risk Assessment, Treatment and Management An embedded ISO27001 ISMS Security Control Framework   Gap Analysis Combined Report Business Asset, BIA   Risk Register PLAN DESIGN Draft SecurityImprovement Programme (SIP) Process ACT DO People (Security improvement workstreams) Technology CHECK (Technology) (Physical) Communication, Awareness, Training & Knowledge Sharing Workshops (People) (Process) Draft statement ofapplicability (SOA) Final statementof applicability Audit framework Governance (roles, Committee)  ISMS (monitor, Audit) Principles, policies, procedures 

  19. Evolución de la normativa – ISO /IEC 22301

  20. 4. Contexto de la organización • 4.1 Expectativas de la organización respecto a la continuidad del negocio considerando tanto factores internos como externos a la misma. • 4.2 Conocer las necesidades y expectativas de los interesados • 4.3 Determinar el alcance del Sistema de Gestión de la continuidad del negocio • 4.4 Definir e implementar el BCMS • 5. Liderazgo • 5.1 Participación y compromiso de Alta Gerencia • 5.2 Comité de Gestión (respecto del BCMS) • 5.3 Política de Continuidad Operativa • 5.4 Estructura de roles, responsabilidad y autoridad • Evolución de la normativa – ISO /IEC 22301

  21. Evolución de la normativa – ISO /IEC 22301 • 6. Planificación • 6.1 Actividades para la localización de riesgos y oportunidades en relación a la continuidad del negocio • 6.2 Definición de los objetivos de continuidad y planes para lograrlos

  22. Evolución de la normativa – ISO /IEC 22301 • 7. Soporte • 7.1 Recursos • 7.2 Personas competentes • 7.3 Nivel de concientización • 7.4 Comunicación • 7.5 Documentos (del BCMS)

  23. 8. Operación • 8.1 Planificación y control operativo (se incluye definir los criterios parea establecer que se va a prevenir y cuándo se va a responder) • 8.2 Business ImpactAnalysis (BIA) y Análisis de Riesgos • 8.3 Definición de las estrategias de recuperación del negocio y de prevención • 8.4 Establecer e implementar los procedimientos de recuperación del negocio (Planes – incluyendo: detección, activación, recuperación, operación en régimen de contingencia y vuelta a la normalidad) • 8.5 Entrenamiento y prueba • Evolución de la normativa – ISO /IEC 22301

  24. Evolución de la normativa – ISO /IEC 22301 Desarrollo los Planes Preventivos y la Solución de Continuidad del Negocio de acuerdo a lo planificado

  25. Evolución de la normativa – ISO /IEC 22301 10. Mejora 10.1 Acciones correctivas y no conformidades 10.2 Mejora continua 9. Evaluación del desempeño 9.1 Monitoreo, medición, análisis y evaluación 9.2 Auditoría interna 9.3 Revisión por parte de la Gerencia

  26. ¿Preguntas? Muchas Gracias Graciela Ricci Graciela.ricci@uy.pwc.com

More Related