Páginas

jueves, 24 de julio de 2014

Mejores Prácticas y Nuevas Necesidades #COBIT



Año tras año, por una razón o por otra, debemos aplicar medidas de seguridad a la información. Ya fue en su día la ley orgánica de protección de datos, la ISO 17999 y 27001 muy solicitadas tras el 11S,  la ley de administración electrónica, el esquema nacional de seguridad, infraestructuras críticas, medidas necesarias para el Cloud,…






Aunque las ISO son parte de las mejores prácticas reconocidas, las indico por su fuerte acogida tras los casos del 11S.

Estas mejores prácticas (ISO, ITIL, COBIT,…) implantadas en muchas organizaciones total o parcialmente, según las prioridades de la organización, se enfrentan de forma continua a amenazas o cambios legislativos, y supuestamente las organizaciones siguen teniéndolas implantadas con plenas garantías.

Recientemente recibí una solicitud de apoyo a una empresa para enfrentarse a los cyber ataques, su introducción fue que ya tenían las mejores prácticas implementadas. ¿?. ¿Todas?,  ¿con qué grado? Son preguntas sin respuesta, por lo general las organizaciones tienen implantado todo y quieren algo nuevo, pero en la mayor parte de los casos, la vigencia de esas buenas prácticas está disponible y no siempre implantada o implantada con garantías para los servicios prioritarios de la organización.

De forma práctica  y hablando de “mi libro” de cabecera para los informes de recomendaciones, os muestro algunos de los ejemplos de COBIT con las necesidades de las legislaciones indicadas.

Comparando los procesos de COBIT con la LOPD, sin entrar en los referentes a la política y gobierno de la información, por lo vagos que son los descritos en la LOPD en comparación con COBIT, por ejemplo si vemos la clasificación de la información en la LOPD tenemos los artículos 92, 101 y mas genéricos del 84 al 114, donde se trata solo la clasificación de información y soportes con datos personales. En COBIT tenemos los procesos:

  • APO01.06 - Definir la propiedad de la información (datos) y del sistema
  • BAI08.02 - Identificar y clasificar las fuentes de información.
  • BAI08.03 - Organizar y contextualizar la información, transformándola en conocimiento
Entre estos procesos encontramos objetivos de TI y objetivos de la organización, tabla RACI, procesos de entrada y salida relacionados, actividades a realizar y otras guías o buenas prácticas relacionadas.
Entre esas actividades además de definir de forma abierta la clasificación de la información con vista a la organización, y definir los responsables de la información ya encontramos medidas indicando la necesidad del cifrado según la clasificación de la organización. En la ISO 27002 podríamos hablar del Proceso 6. Organización de la Seguridad de la Información.

En la Administración electrónica, donde algunas de las prioridades es autenticación, confiabilidad, en este caso COBIT 4.1 en todos sus procesos nos indicaba como afianzar cada una de estas características de la información.

El esquema nacional de seguridad (ENS), es una legislación muy similar a la ISO 27002, del que ya conocemos los mapeos existentes entre:
•    ISO 17799 y COBIT 4. http://www.isaca.org/Knowledge-Center/Research/Documents/COBIT-Mapping-ISO-IEC-17799-2005-With-COBIT-4_res_Eng_0106.pdf
•    Alineación de COBIT 4.1, ITIL v3 y la ISO 27002: Aligning COBIT® 4.1, ITIL® V3 and ISO/IEC 27002 for Business Benefit
Por otro lado, en ocasión anterior hice charla comparando COBIT 4.1 con ENS http://www.slideshare.net/rsoriano/isaca-habla-del-ens

Infraestructuras críticas, donde recientemente se está hablando que España es uno de los países más preparados al respecto. En mi opinión más que preparados debería indicar REGULADOS, que no preparados, algunas de las infraestructuras críticas aun no conocen si lo son, y digo algunas por no decir todas. Dentro de COBIT 4.1 en cuanto a seguridad física encontramos el DS12 Administración del Ambiente Físico o en COBIT 5 DSS01.04 Gestionar el entorno, DSS01.05 Gestionar las instalaciones, DSS05.05 Gestionar el acceso físico a los activos de TI.

Cloud
Respecto al CLOUD ISACA ya presento el documento Controls and Assurance in the Cloud Using COBIT 5. Donde podemos encontrar los procesos relacionados, arboles de decisión, RACI, tablas de mitigación de amenazas enlazadas con los procesos de COBIT 5 for Information Security y mucho más. http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/Controls-and-Assurance-in-the-Cloud-Using-COBIT-5.aspx
 
Y sin olvidar el común de todos, la formación a los usuarios, para garantizar su concienciación y evitar que el usuario caiga en las amenazas existentes, por ejemplo en COBIT 4.1 el P06. Comunicar las Aspiraciones y la Dirección de la Gerencia o en COBIT 5 el APO01 Gestionar el Marco de Gestión de TI

Recientemente  SC Magazine en un artículo sobre un estudio de ISACA acerca del APT (http:// ow.ly/yXwCL), indicaban que los controles tradicionales seguían siendo usados contra las amenazas no tradicionales.

Seguiremos legislando, y las mejores prácticas se seguirán actualizando, pero la seguridad de la organización se seguirá midiendo por su punto de seguridad más débil.
Publicado por en No hay comentarios:
Etiquetas: , , , , , , ,

lunes, 21 de julio de 2014

Informes de Auditoría. Previsiones económicas de corrección o sanción

Tanto en las revisiones de cumplimiento de aspectos legales como de la certificación de las mejores prácticas, empleamos los informes de auditoría.

El equipo de auditoría prepara los puntos de control de la auditoría a realizar obtenidos de los puntos de revisión de la materia. Con esto obtienen un listado de puntos a comprobar o checklist. Este checklist servirá como línea base de los mínimos / máximos de revisión y permitirá que el equipo de auditoría marque por cada punto al menos los siguientes estados:
  • Cumple. La organización tiene cubierto el control indicado sin problemas.
  • No Cumple. La organización no tiene cubierto el control indicado.
Otros estados posibles y recomendables serian:
  • No aplica. Este control no es aplicable a la organización
  • No cumple plenamente. Aunque en un principio tiene controles establecidos para garantizar que se cumple este punto se encuentran evidencias que indican que no siempre es así.


Sobre los resultados obtenidos, al menos sobre el estado de No Cumple y No Cumple Plenamente, se deben indicar consecuencias o conclusiones del incumplimiento, es decir, que podría suceder si se sigue sin tener un control establecido que garantice el cumplimiento de ese control. Por supuesto, no es necesario en un principio indicar para los controles legales indicar que podría ser sancionado ya que se sobre entiende para todos ellos. Pero si otras consecuencias, por ejemplo supongamos el caso siguiente:

"Por normativa interna, se exige la revisión semanal de los registros de acceso a las instalaciones, donde se creara un informe, que se reportará a la gerencia, indicando las personas externas a la organizacion que entran, durante cuanto tiempo estan en la organzizacion, con que finalizad y de que empresa provienen".
Revisando los informes generados y enviados a la gerencia, se observa que si incluye la información indicada pero se detecta que el 15% de los informes analizados no fue enviado a la gerencia. Por lo que se indica en este caso que no cumple plenamente.

Junto a las consecuencias, se debe indicar, para cada grupo de evidencias detectadas sobre uno de los  controles establecidos, la recomendación a seguir, que básicamente es el establecimiento del control definido.

Estas recomendaciones suelen poder agruparse en proyectos que sobre un área determinada permiten implantar diferentes controles y por tanto mejorar con un único esfuerzo la situación existente. Cada grupo o proyecto, podría contener una estimación de tiempos para completarse, coste asociado para llevarlo a cabo y un índice que muestre como mejoraría el nivel existente, debido a cuantos controles mejora y en qué nivel, ya sea total o parcial. Además en este caso, también podría unirse la indicación para las revisiones legales del importe de la sanción por no tener cada uno de los controles indicados en este punto.


Con estas recomendaciones finales agrupadas por proyecto y con los tres indicadores anteriores indicados, tiempo, importe (implantar / sanción) y mejora prevista, se permite a la organización priorizar de forma eficiente los proyectos a realizar a corto, medio y largo plazo.

De esta forma sobre esa tabla de recomendaciones final, la organización podrá indicar, para cada uno de los proyectos:
  • Si lo va a realizar
    • Corto plazo
    • Medio plazo
    • Largo plazo
  • No lo va a realizar y la razón por la que no lo realiza:
    • Coste
    • Complejidad
    • Otros


Si a todo esto unimos la frecuencia con que una organización se enfrenta a revisiones de cumplimiento o certificación, es recomendable que el equipo de auditoría se prepare los checklist permitiendo realizar la revisión sobre el máximo número de leyes o normas, para fácilmente seleccionar cuales son los que se desean revisar. Así, además de reducir el tiempo en la revisión de los puntos de control, las recomendaciones para la organización tendrán mucho más valor al incorporar todas o casi todas las normas que les aplican, pudiendo priorizar con mejor visión los proyectos y riesgos asociados a las materias en cuestión.
Publicado por en No hay comentarios:
Etiquetas: , , , , , , ,
Suscribirse a: Entradas (Atom)