Auditoria (BYOD) Trae Tu Propio Dispositivo - Modificado

Traiga su propio dispositivo (BYOD), Auditora de seguridad y garanta Programa
Traer su propio Dispositivo (BYOD) Auditora De Seguridad y garanta programas
ISACA Board of Directors Gregory T. Grocholski, CISA, The Dow Chemical Co., USA, International President. Allan Boardman, CISA, CISM, CGEIT, CRISC, ACA, CA (SA), CISSP, Morgan Stanley, UK, Vice President. Juan Luis Carselle, CISA, CGEIT, CRISC, Wal-Mart, Mexico, Vice President Christos K. Dimitriadis, Ph.D., CISA, CISM, CRISC, INTRALOT S.A., Greece, Vice President Ramses Gallego, CISM, CGEIT, CCSK, CISSP, SCPM, Six Sigma Black Belt, Dell,, Spain, Vice President Tony Hayes, CGEIT, AFCHSE, CHE, FACS, FCPA, FIIA, Queensland Government, Australia, Vice President Jeff Spivey, CRISC, CPP, PSP, Security Risk Management Inc., USA, Vice President Marc Vael, Ph.D., CISA, CISM, CGEIT, CISSP, Valuendo, Belgium, Vice President Kenneth L. Vander Wal, CISA, CPA, Ernst & Young LLP (retired), USA, Past International President Emil DAngelo, CISA, CISM, Bank of Tokyo-Mitsubishi UFJ Ltd., (retired), USA, Past International President John Ho Chi, CISA, CISM, CRISC, CBCP, CFE, Ernst & Young LLP, Singapore, Director Krysten McCabe, CISA, The Home Depot, USA, Director Jo Stewart-Rattray, CISA, CISM, CGEIT, CRISC, CSEPS, BRM Holdich, Australia, Director Knowledge Board Marc Vael, Ph.D., CISA, CISM, CGEIT, CRISC, CISSP, Valuendo, Belgium, Chairman Rosemary M. Amato, CISA, CMA, CPA, Deloitte Touche Tohmatsu Ltd., The Netherlands Steven Andrew Babb, CGEIT, CRISC, UK Thomas E. Borton, CISA, CISM, CRISC, CISSP, Cost Plus, USA Phil J. Lageschulte, CGEIT, CPA, KPMG LLP, USA Jamie Pasfield, CGEIT, ITIL V3, MSP, PRINCE2, Pfizer, UK Salomon Rico, CISA, CISM, CGEIT, Deloitte, Mexico Guidance and Practices Committee Phil J. Lageschulte, CGEIT, CPA, KPMG LLP, USA, Chairman Dan Haley, CISA, CGEIT, CRISC, MCP, Johnson & Johnson, USA Yves Marcel Le Roux, CISM, CISSP, CA Technologies, France Aureo Monteiro Tavares Da Silva, CISM, CGEIT, Vista Point,, Brazil Jotham Nyamari, CISA, Deloitte, USA Connie Lynn Spinelli, CISA, CRISC, CFE, CGMA, CIA, CISSP, CMA, CPA, BKD LLP, USA Siang Jun Julia Yeo, CISA, CPA (Australia), Visa Worldwide Pte. Limited., Singapore Nikolaos Zacharopoulos, CISA, DeutschePostDHL, Germany
ISACA and IT Governance Institute (ITGI) Affiliates and Sponsors Information Security Forum Institute of Management Accountants Inc. ISACA chapters ITGI France ITGI Japan Norwich University Socitum Performance Management Group Solvay Brussels School of Economics and Management Traiga su propio dispositivo (BYOD), Auditora de seguridad y garanta Programa Strategic Technology Management Institute (STMI) of the National University of Singapore University of Antwerp Management School ASIS International Hewlett-Packard IBM Symantec Corp.
Tabla de Contenido
I. II. III. IV. V. VI. Introduccin ........................................................................................................................................ 7 Uso de este documento...................................................................... Error! Bookmark not defined. Control de Anlisis de los Vencimientos .......................................... Error! Bookmark not defined. Aseguramiento y Marco de Control .................................................................................................. 16 Resumen Ejecutivo de Auditoria/Garantia ........................................................................................ 18 Proteccin contra malware .............................................................................................. 18 Programa de Auditora/ garantia ....................................................................................................... 21 1.5.2 Establecer el proceso para sugerir e implementar cambios en el programa de auditora / aseguramiento y las autorizaciones necesarias.................................................................. 25 1.6.2. Comunicar atributos de xito para el propietario del proceso o de los interesados, y obtener un acuerdo. .......................................................................................................... 25 1.8.1. Determinar entregables intermedios, incluyendo conclusiones iniciales, informe de estado, informes preliminares, vencimientos el prrafo respuestas e informe definitivo. 26 1.9.1. Conducir una conferencia de apertura para hablar de los objetivos de revisin con el ejecutivo responsable de sistemas operativos e infraestructura....................................... 26 2. GESTIN DE RIESGOS .................................................................................................................. 26 2.1.1. BYOD evaluacin de riesgos inicial ................................................................... 27 Control: Gestin realiz una evaluacin de riesgos antes de la ejecucin del programa BYOD. ................................................................................................................................ 27 2.1.2. BYOD Control de Evaluacin de Riesgo En curso: ............................................ 28 Una evaluacin de riesgo es realizada y aprobada por la direccin donde cambios principales son iniciados al programa BYOD o reafirmar la evaluacin de riesgo anterior. ............................................................................................................................................. 28 3. Politicas ............................................................................................................................................. 29 3.1.1. Empleado BYOD Control de Acuerdo:............................................................... 29 Requieren el acuerdo de empleado (o cualquier otra poltica que incluye declaraciones de Empleo BYOD Aceptables y ser firmado por todos los empleados/contratistas BYOD) claramente define las responsabilidades mutuas de la empresa y el signatario, uniendo el dispositivo (s) BYOD del empleado a las redes de la empresa y sistemas de informacin. 29 3.1.2. 3.1.3. Poltica de Empleo Mvil Aceptable (MAUP)Control: ...................................... 34 Recursos Humanos (recursos humanos) Apoyo a Control de BYOD: ................ 35 El empleado debe adherirse a MAUP de la organizacin. .................................................. 34 BYOD procesos son integrados en servicios de recursos humanos, poltica, y el cumplimiento....................................................................................................................... 35 3.1.4. Los Contratistas Controlan: ................................................................................. 37 Los contratistas son limitados en su acceso y capacidades uniendo a las redes de la empresa y sistemas de informacin. .................................................................................................. 37
1. PLANIFICACIN Y ALCANCE DE LA AUDITORA ....................................................................... 21
Traiga su propio dispositivo (BYOD), Auditora de seguridad y garanta Programa 3.2.1. Control: Las exenciones de la poltica BYOD son aplicadas, repasadas, y autorizado en la conformidad con los procedimientos de Excepciones De poltica de la empresa. 38 4. Legal .................................................................................................................................................. 40 4.1.1. Participacin Legal en las Polticas y Procedimientos de BYOD ....................... 40 Control: El asesor legal ha revisado y proporcionado aprobacin documentada de las polticas y procedimientos de BYOD con respecto a las cuestiones legales. ...................... 40 4.1.2. Retencin Legal................................................................................................... 41 Control: Polticas Legales y los procedimientos de retencin se han establecido para todos los propietarios y dispositivos BYOD. ................................................................................ 41 5. .TCNICa Y APOYO DE USUARIO .............................................................................................. 42 5.1.1. 6. Servicio de ayuda ................................................................................................ 42 Control: Un servicio de ayuda o de funcin de apoyo similares existe para BYOD. ......... 42 GOBIERNO ...................................................................................................................................... 43 6.1.1. 6.1.2. Aprobacin de Polticas ...................................................................................... 43 Supervisin y Ejecucin BYOD.......................................................................... 44 Control: la poltica BYOD ha sido aprobada por la direccin ejecutiva. ............................ 43 Control: La direccin ejecutiva recibe informes de estado regulares sobre el uso de BYOD y la adhesin a las polticas. ................................................................................................ 44 7. FORMACION ................................................................................................................................... 45 7.1.1. Formacin Inicial: ............................................................................................... 45 Control: usuarios BYOD estn obligados a asistir a la capacitacin inicial sobre BYOD procedimientos poltica, MAUP y apoyo. ........................................................................... 45 7.1.2. Seguridad y la formacin en temas de: ............................................................... 46 Control: se requiere realizar una sensibilizacin y formacin continua, por lo menos anualmente. ......................................................................................................................... 46 8. CAPA De SEGURIDAD PARA DISPOSITIVO MVIL ............................................................... 47 8.1.1. 8.1.2. Restricciones de acceso a Dispositivos ............................................................... 47 Acceso de Datos: ................................................................................................. 49 Control: usuarios BYOD estn obligados a restringir el acceso a sus dispositivos. ........... 47 Control: Acceso a los datos est en alineado con los requisitos de clasificacin de datos de la organizacin y la funcin laboral de los trabajadores. .................................................... 49 8.1.3. permiso explcito para borrar datos ..................................................................... 50 Control: usuarios BYOD deben comprometerse por escrito a los procedimientos de seguridad para proteger o borrar datos y aplicaciones de la organizacin en el caso de que el dispositivo ya no est disponible para la organizacin.................................................... 50 8.1.4. Cifrado y proteccin de datos:............................................................................. 51 Control: El cifrado fuerte se implementa para proteger la confidencialidad de los datos sensibles en reposo sobre, o en trnsito hacia / desde todos los dispositivos mviles BYOD. ............................................................................................................................................. 51 8.1.5. Acceso Remoto: .................................................................................................. 51
Traiga su propio dispositivo (BYOD), Auditora de seguridad y garanta Programa Control: Conexiones de acceso remoto a los dispositivos BYOD se encuentran restringidas. ............................................................................................................................................. 51 8.1.6. Proteccin contra malware: ................................................................................. 53 Control: Se requiere que los dispositivos mviles BYOD tener defensas antimalware estndar. .............................................................................................................................. 53 8.2.1. Acceso a la red .................................................................................................... 54 Control: los usuarios BYOD estn sujetos a los mismos controles de acceso como todos los otros usos. ............................................................................................................................ 54 9. Gestin de dispositivos mviles ........................................................................................................ 55 9.1.1. Gestin de dispositivos mviles (MDM) se despliega ........................................ 55 Control: Una herramienta estndar de la industria de software MDM se despliega para administrar todos los dispositivos mviles, incluidos los dispositivos propiedad de los empleados (BYOD). ............................................................................................................ 55 9.1.2. Gestin Central de dispositivos BYOD: ............................................................. 56 Control: El MDM proporciona funciones de administracin centralizada a la complejidad y el tamao de la poblacin BYOD. ...................................................................................... 56 9.1.3. Control de Distribucin de Software Seguro: El MDM facilita la distribucin segura de apps sensible a negocio con mandos apropiados contra la introduccin "de granuja" apps. .......................................................................Error! Bookmark not defined. 9.1.4. Supervisin de Control de Uso BYOD: .............................................................. 62 EL MDM proporciona el interrogatorio adecuado y capacidades de reportaje de manejar la poblacin BYOD proactivamente. .......................................Error! Bookmark not defined. 9.1.5. 9.1.6. 9.2.1. Interfaces a Otro Control de Sistemas: ................................................................ 64 Control de Direccin Remoto: ............................................................................ 65 MDM Control de Seguridad De aplicacin:........................................................ 65 El MDM facilita interfaces a otros sistemas financieros y de negocio. .............................. 64 Verificacin de funcionalidad de direccin remota............................................................. 65 Los servidores MDM son sujetos a la misma proteccin de red que otros servidores sensibles de la empresa. ...................................................................................................... 65 VII. Evaluacin de la Madurez ............................................................................................... 66 VIII. Grado de marudez vs. Tiempo de evaluacion ................................................................................... 83
I. Introduccin
Visin de Conjunto ISACA ha desarrollado la TI Seguridad MarcoTM (ITAFTM) como un modelo de prctica completo y bueno. ITAF proporciona normas que estn diseadas de manera obligatoria, y son los principios que guan y rigen el funcionamiento de la auditora de TI y profesionales de la seguridad. Las guas proporcionan informacin y orientacin para la prctica de auditora y seguridad. Las herramientas y tcnicas proporcionan metodologas, herramientas y plantillas para proporcionar orientacin en la aplicacin de los procesos de auditora y seguridad de TI.
Propsito El programa de auditora / seguridad es una herramienta y modelo para ser utilizado como una gua para la realizacin de un proceso de garanta especfica. El Comit de Garanta de ISACA ha encargado a los programas de auditora / seguridad a ser desarrollado para su uso por los profesionales de seguridad y auditora de TI. Este programa de auditora / seguridad est destinado a ser utilizado por la auditora y seguridad de profesionales en TI con el conocimiento necesario de la materia objeto de examen, como se describe en ITAF, seccin 2200-Normas generales. Los programas de auditora / seguridad son parte de ITAF, seccin Herramientas y tcnicas de seguridad de 4000-TI.
Marco de Control Los programas de auditora /seguridad se han desarrollado en alineacin con COBIT -especficamente COBIT 4,1-utilizando generalmente aplicables y aceptadas buenas prcticas. Reflejan ITAF, secciones Procesos de Gestin 3400-3600-TI, seguridad y auditora de procesos, y 3800-TI Auditora y Seguridad de gestin. Muchas empresas han adoptado varios marcos a nivel empresarial, incluido el Comit de Organizaciones Patrocinadoras de la Comisin Treadway (COSO) Marco de Control Interno. La importancia de las medidas de control se ha mejorado debido a los requisitos reglamentarios por la Comisin de Valores de EE.UU. (SEC), segn las indicaciones de la Ley Sarbanes-Oxley de 2002 de EE.UU. y leyes similares en otros pases. Tratan de integrar los elementos del marco de control utilizados por el equipo de auditora / seguridad en general, la auditora informtica y marco de seguridad. Desde COSO es ampliamente utilizado, ha sido seleccionada para su inclusin en el programa de auditora / seguridad. El revisor puede borrar o cambiar el nombre de estas columnas para alinear con el marco de control de la empresa.
Gobierno de TI, riesgos y Control Gobierno de TI, el riesgo y el control son fundamentales en la realizacin de cualquier proceso de gestin de la seguridad. Gobierno del proceso bajo revisin se evaluar como parte de las polticas y controles de supervisin de gestin. Riesgo juega un papel importante en la evaluacin de lo que debe auditar y cmo la administracin se acerca y gestiona el riesgo. Ambos temas sern evaluados como pasos en el programa de auditora / seguridad. Los controles son el punto de evaluacin primaria en el proceso. El programa de
auditora / seguridad identificar los objetivos de control y los pasos para determinar la efectividad del diseo y control. Responsabilidades de los profesionales de Seguridad y Auditora en TI Los de Auditora y seguridad profesional se espera que personalicen este documento para el medio ambiente en el que se est realizando un proceso de verificacin. Este documento es para ser utilizado como una herramienta de revisin y punto de partida. Puede ser modificado por la seguridad y auditoria de TI profesional; no pretende ser una lista de verificacin o cuestionario. Se supone que la auditora de TI y profesionales de seguridad tiene el Auditor Certificado de Sistemas de Informacin (CISA) la designacin, o tiene la experiencia en la materia necesaria requerida para llevar a cabo la obra y es supervisado por un profesional con la designacin CISA y necesaria experiencia en el tema de forma adecuada para revisar el trabajo realizado.
II. Uso de este documento

Este programa de auditora / seguridad fue desarrollado para ayudar a la auditora y profesional en el diseo y ejecucin de una revisin de seguridad. Detalles relativos al formato y el uso del documento: Programa de Trabajo(pasos) La primera columna del programa se describen los pasos a realizar. El esquema de numeracin utilizado proporciona una funcin de trabajo de papel de numeracin para facilitar la referencia cruzada al documento de trabajo especfico para esa seccin. El documento fsico fue diseado en Microsoft Word. Se fomenta la auditora y seguridad de TI profesional para realizar modificaciones a este documento para reflejar el entorno especfico que se examina. El paso 1 es parte de la recopilacin de los hechos y la preparacin previa al trabajo de campo. Debido a que el pre-trabajo de campo es esencial para una revisin exitosa y profesional, las medidas han sido detalladas en este plan. Las medidas de primer nivel, por ejemplo, 1,1, estn en negrita y proporcionan al revisor de alcance o de alto nivel de explicacin de la finalidad para las medidas auxiliares. Comenzando en el paso 2, se detallan los pasos asociados con el programa de trabajo. Para simplificar el uso del programa, el programa de auditora / seguridad describe el objetivo-la auditora / seguridad razonable para la realizacin de los pasos en el rea temtica. Cada paso de revisin se enumeran a continuacin el control. Estas medidas pueden incluir la evaluacin del diseo de control, caminando a travs de un proceso de entrevistas, observacin o de otra manera verificar el proceso y los controles que abordan ese proceso. En muchos casos, una vez que el diseo de control ha sido verificado, las pruebas especficas necesitan ser realizados para proporcionar la seguridad de que el proceso asociado con el control est siendo seguido. La evaluacin de la madurez, que se describe en ms detalle ms adelante en este documento, constituye la ltima seccin del programa.
El plan de auditora / seguridad de recapitulacin-los procesos asociados a la realizacin y revisin de papeles de trabajo, preparacin de temas y recomendaciones, redaccin de informes y el informe de intercambio de informacin ha sido excluida de este documento, ya que es el estndar para la funcin de auditora / seguridad deben ser identificadas en las normas de la empresa en otros lugares. COBIT 4.1 Referencia Cruzada El COBIT referencia cruzada proporciona la auditora profesional de seguridad y con la capacidad para referirse al objetivo especfico de control de COBIT que soporta el paso de auditora / seguridad. El objetivo de control de COBIT se debe identificar para cada paso de auditora / seguridad de la seccin. Mltiples referencias cruzadas no son infrecuentes. Procesos en los niveles ms bajos en el programa de trabajo son demasiado para ser una referencia cruzada a COBIT. El programa de auditora / seguridad est organizado de manera de facilitar una evaluacin a travs de una estructura paralela al proceso de desarrollo. COBIT provee objetivos de control en profundidad y las prcticas de control sugeridas en cada nivel. Como los comentarios profesionales de cada control, l / ella debe hacer referencia a COBIT 4.1 o la Gua de seguridad de TI: Uso de COBIT para la buena prctica de la orientacin de control. Componentes COSO Como se seal en la introduccin, COSO y similares marcos se han convertido cada vez ms popular entre los profesionales de auditora y seguridad. Esto vincula el trabajo de control de marco de control de la empresa. Mientras que la auditora de TI / funcin de seguridad utiliza COBIT como marco, la auditora operativa y la garanta de los profesionales utilizan el marco establecido por la empresa. Desde COSO es el marco de control interno ms frecuente, se ha incluido en este documento y es un puente para alinear TI auditora /seguridad con el resto de la funcin de auditora / seguridad. Muchas organizaciones de auditora / seguridad incluyen los componentes de control de COSO dentro de su informe y resumen de las actividades de seguridad al comit de auditora del consejo de administracin. Para cada control, la auditora y seguridad profesional debe indicar el componente COSO (s) abordado. Es posible, pero por lo general no es necesario, para extender este anlisis a paso el nivel especfico de auditora. El marco de control interno COSO original contena cinco componentes. En 2004, COSO public una gestin de riesgos (ERM) Marco Integrado Empresa, que incluye ocho componentes. El marco ERM tiene un negocio de decisin hacen en comparacin con el Marco de Control Interno Integrado 2004. Las grandes empresas estn en el proceso de adopcin de ERM. Los dos marcos se comparan en la Figura 1.
Figure 1Comparativa de Control Interno COSO y marcos integrados de gestin del riesgo institucional Marco de Control Interno Integrado Control de Medio Ambiente: El ambiente de control marca la pauta de una organizacin, que influye en la conciencia de control de su gente. Es el fundamento de todos los dems componentes del control interno, proporcionando disciplina y estructura. Los factores del ambiente de control incluyen la integridad, los valores ticos, el estilo de gestin operativa, la delegacin de los sistemas de autoridad, as como los procesos para la gestin y desarrollo de personas en la organizacin. ERM Marco Integrado Medio Ambiente Interno: El ambiente interno abarca la pauta de una organizacin, y establece la base de cmo se ve y se dirigi a la gente de la entidad, incluyendo la filosofa de gestin de riesgos y la propensin al riesgo, la integridad y los valores ticos y el entorno en el que operan los riesgos.
Establecimiento de Objetivos: Los objetivos deben existir antes de que la direccin pueda identificar eventos potenciales que afectan a su rendimiento. Gestin de riesgos corporativos asegura que la direccin ha puesto en marcha un proceso para fijar objetivos y que los objetivos elegidos apoyen y estn alineados con la misin de la entidad y que sean compatibles con su propensin al riesgo. Identificacin de eventos: Los eventos internos y externos que afectan el logro de los objetivos de la entidad deben ser identificados, distinguiendo entre riesgos y oportunidades. Las oportunidades se canalizan de vuelta a la estrategia de gestin o procesos de fijacin de objetivos.
Figure 1Comparativa de Control Interno COSO y marcos integrados de gestin del riesgo institucional Marco de Control Interno Integrado Evaluacin de Riesgo: Cada entidad afronta una variedad de riesgos de las fuentes externas e internas que deben ser evaluadas.Una condicin previa para arriesgar la evaluacin es el establecimiento de objetivos, y, as, la evaluacin de riesgo es la identificacin y el anlisis de riesgos relevantes al logro de objetivos asignados. La evaluacin de riesgo es un requisito previo para determinar cmo los riesgos deberan ser manejados. ERM Marco Integrado Evaluacin de Riesgo: Los riesgos son analizados, considerando la probabilidad y el impacto, como una base para determinar como ellos podran ser manejados. El riesgo reas es evaluado en una base inherente y residual.
Respuesta de Riesgo: Gestin selecciona riesgo respuestas evitar, aceptar, reducir o compartir los riesgos-el desarrollo de un conjunto de acciones para adaptar los riesgos a la tolerancia al riesgo de la entidad y apetito de riesgo. Actividades de Control: Las actividades de control son las polticas y procedimientos que ayudan a asegurar que las directivas de gestin se llevan a cabo. Ellos ayudan a garantizar que se tomen las medidas necesarias para hacer frente a los riesgos para el logro de los objetivos de la entidad. Las actividades de control se producen en toda la organizacin, a todos los niveles y en todas las funciones. Incluyen una gama de actividades tan diversas como aprobaciones, autorizaciones, verificaciones, conciliaciones, revisiones de desempeo operativo, seguridad de activos y segregacin de funciones. Actividades de Control: Las polticas y procedimientos se establecen e implementan para ayudar a asegurar la respuesta; los riesgos se llevan a cabo de una manera eficaz.
Figure 1Comparativa de Control Interno COSO y marcos integrados de gestin del riesgo institucional Marco de Control Interno Integrado Informacin y Comunicacin: Los sistemas de informacin juegan un papel clave en los sistemas de control interno, ya que producen los informes, incluidos los operativos, financieros y de informacin relacionada con el cumplimiento que permiten ejecutar y controlar el negocio. En un sentido ms amplio, la comunicacin efectiva debe garantizar el flujo de informacin, a travs y por la organizacin. La comunicacin efectiva tambin debe garantizarse con partes externas, tales como clientes, proveedores, reguladores y accionistas. Supervisin: Sistemas de control interno deben ser monitoreados, un proceso que evala la calidad del desempeo del sistema en el tiempo. Esto se logra a travs de actividades permanentes de monitoreo o evaluaciones independientes. Deficiencias de control interno detectadas a travs de estas actividades de monitoreo deben ser reportados se deben tomar acciones anteriores y correctoras para garantizar la mejora continua del sistema. ERM Marco Integrado Informacin y Comunicacin: La informacin relevante se identifica, captura y comunica en un marco de tiempo y forma que las personas puedan llevar a cabo sus responsabilidades. La comunicacin efectiva se produce tambin en un sentido ms amplio, que fluye hacia abajo, a travs y por la entidad.
Supervisin: La totalidad de la gestin del riesgo se controla y se hagan modificaciones segn sea necesario. El monitoreo se lleva a cabo a travs de las actividades de gestin en curso, evaluaciones independientes o ambas cosas.
El Marco de Control Interno Integrado de 1992 se ocupa de las necesidades de la auditora y aseguramiento profesional: entorno de control, evaluacin de riesgos, actividades de control, informacin y comunicacin, y monitoreo. Como tal, ISACA ha optado por utilizar el modelo de los cinco componentes de estos programas de auditora / seguridad. Al completar las columnas de componentes COSO, tenga en cuenta las definiciones de los componentes tal como se describe en la Figura 1.
Referencia de hipervinculo Las buenas prcticas exigen la auditora y seguridad profesional para crear un documento de trabajo para cada elemento de lnea, que describe el trabajo realizado, los problemas identificados y conclusiones. La referencia / hipervnculo ha de ser utilizado para cotejar entre el paso de auditora / seguridad al documento de trabajo que lo sustenta. El sistema de numeracin de este documento presenta un esquema de numeracin de lista para los papeles de trabajo. Si se desea, un vnculo al documento de trabajo se puede pegar en esta columna.
Nmero de referencias cruzadas Esta columna se puede utilizar para marcar un hallazgo / tema que la auditora y la seguridad profesional de TI quiere investigar ms a fondo o establecer como hallazgo potencial. Los resultados posibles deben documentarse en un documento de trabajo que indica la disposicin de los hallazgos (formalmente notificado, reportado como una nota o hallazgo verbal o exento).
Comentarios La columna de comentarios se puede utilizar para indicar a la renuncia de un paso o de otras notaciones. No debe ser utilizado en lugar de un documento de trabajo que describe el trabajo realizado.
III. Control de Anlisis de los Vencimientos

Una de las peticiones constantes de los interesados que hayan sido sometidos a auditora de TI / aseguramiento de comentarios es un deseo de entender cmo se compara su rendimiento con las buenas prcticas. Profesionales de auditora y aseguramiento deben proporcionar una base objetiva para las conclusiones de la revisin. Modelo de madurez para la gestin y el control de los procesos de TI el cual se basa en un mtodo de evaluacin de la organizacin, por lo que puede ser calificado de un nivel de madurez de inexistente (0) a optimizado (5). Este enfoque se deriva del modelo de madurez que el Software del Instituto de Ingeniera (SEI) de la Universidad Carnegie Mellon ha definido para la madurez de desarrollo de software.
La Gua de Seguridad TI Usando COBIT, Apndice VII-Modelo de Madurez de Control Interno, en la figura 2, proporciona un modelo de madurez genrico que muestra el estado del entorno de control interno y el establecimiento de controles internos de una empresa. Se muestra cmo la gestin de control interno, y la conciencia de la necesidad de establecer mejores controles internos, por lo general se desarrollan a partir de un nivel ptimo. El modelo proporciona una gua de alto nivel para ayudar a los usuarios de COBIT aprecian lo que se requiere para los controles internos eficaces en TI y ayudar a posicionar su empresa en la escala de madurez.
Figure 2Modelo de madurez del Control Interno Nivel de Estado de Medio Madurez Control Interno 0-No existente Ambiente de Establecimiento Internos de Controles
No hay ningn reconocimiento de la necesidad de control interno. El control no es parte de la cultura o de la misin de la organizacin. Hay un alto riesgo de deficiencias de control e incidentes. Hay un cierto reconocimiento de la necesidad de control interno. El acercamiento a las necesidades de riesgo y el control desorganizado, sin comunicacin o monitoreo. Las deficiencias no se identifican. Los empleados no son conscientes de sus responsabilidades.
No hay intencin de evaluar la necesidad de control interno. Los incidentes se tratan a medida que surgen.
1 Inicial
No hay conciencia de la necesidad de una evaluacin de lo que se necesita en trminos de controles de TI. Cuando se lleva a cabo, es slo sobre una base, a un alto nivel y la en caso de incidentes significativos. La evaluacin aborda slo el incidente real.
2 Repetible Los controles estn en su lugar, pero no pero estn documentados. Su funcionamiento intuitiva depende de los conocimientos y la motivacin de las personas. La efectividad no se evala adecuadamente. Existen muchas deficiencias en el control y no se tratan adecuadamente, las consecuencias pueden ser graves. Las acciones de gestin para resolver los problemas de control no son prioritarias o consistentes. Los empleados no pueden ser conscientes de sus responsabilidades. 3 Definido Los controles estn en su lugar y debidamente documentadas. Eficacia de funcionamiento se evala de forma peridica y hay un nmero medio de problemas. Sin embargo, el proceso de evaluacin no est documentado. Mientras que la administracin es capaz de hacer frente previsiblemente con la mayora de los problemas de control, algunas deficiencias de control y los efectos persisten an podran ser graves. Los empleados son conscientes de sus
Evaluacin de las necesidades de control se produce slo cuando sea necesario para el seleccionado los procesos de TI para determinar el nivel actual de control de la madurez, el nivel objetivo que debe ser alcanzado y los vacos que existen. Un enfoque del taller informal, involucrando a los administradores y el equipo involucrado en el proceso, se utiliza para definir un enfoque adecuado a los controles para el proceso y para motivar a un plan de accin acordado. Los procesos crticos de TI se identifican con base en indicadores de valor y riesgo. Un anlisis detallado se realiz para identificar los requisitos de control y la causa raz de las deficiencias y desarrollar oportunidades de mejora. Adems de los talleres facilitados, se utilizan las herramientas y las entrevistas se llevan a cabo para apoyar el anlisis y asegurarse de que un propietario de procesos de TI posee y dirige el proceso de evaluacin y
Figure 2Modelo de madurez del Control Interno Nivel de Estado de Medio Madurez Control Interno Ambiente de Establecimiento Internos mejora. TI proceso critico se define regularmente con todo el apoyo y el acuerdo de los titulares correspondientes procesos de negocio. Evaluacin de los requisitos de control se basa en la poltica y la madurez actual de estos procesos, tras un minucioso anlisis y medida involucrar a los actores clave. La responsabilidad de estas evaluaciones es clara y forzada. Estrategias de mejora se apoyan en los casos de negocios. El rendimiento en el logro de los resultados deseados se supervisa constantemente. Revisiones de control externos se organizan de vez en cuando. Cambios en el negocio consideran los procesos crticos de TI y cubren cualquier necesidad de volver a evaluar la capacidad de control del proceso. Procesos de TI propietarios realizan peridicamente autoevaluaciones para confirmar que los controles estn en el nivel adecuado de madurez para satisfacer las necesidades del negocio y consideran atributos de madurez para encontrar maneras de hacer los controles ms eficientes y eficaces. Los puntos de referencia de organizacin a las mejores prcticas externas y busca asesoramiento externo sobre la efectividad del control interno. Para los procesos crticos, revisiones independientes se llevan a cabo para dar garantas de que los controles se encuentran en el nivel deseado de madurez y funciona segn lo previsto. de Controles
responsabilidades de control. 4 Hay un control interno efectivo y Administrad entorno de gestin de riesgos. A, la o y medible evaluacin formal y documentada de los controles se produce con frecuencia. Muchos controles son automticos y regularmente revisados. La administracin es probable detectar la mayora de los problemas de control, pero no todos los problemas se identifican de forma rutinaria. Hay un seguimiento constante para hacer frente a las debilidades de control identificadas. Un uso limitado, tctica de la tecnologa se aplica para automatizar los controles.
5 Optimizado Un riesgo para toda la empresa y el programa de control proporciona un control continuo y eficaz y resolucin de cuestiones de riesgo. El control interno y gestin de riesgos se integran con las prcticas empresariales, apoyados con control automtico en tiempo real con plena responsabilidad para el monitoreo de control, gestin de riesgos y cumplimiento. Evaluacin de control es continua, basado en la autoevaluacin y la brecha y el anlisis de causa raz. Los empleados estn activamente involucrados en las mejoras de control.
La evaluacin modelo de madurez es uno de los pasos finales en el proceso de evaluacin. La auditora de TI y seguridad profesional puede hacer frente a los controles clave en el mbito del programa de trabajo y formular una evaluacin objetiva del nivel de madurez de las prcticas de control. La evaluacin de la madurez puede ser una parte del informe de auditora / seguridad y puede ser utilizado como una mtrica de ao en ao para documentar la progresin en la mejora de los controles. Sin embargo, debe tenerse en cuenta que la percepcin del nivel de madurez puede variar entre el proceso / propietario de los activos de TI y el auditor. Por lo tanto, el auditor debe obtener el consentimiento de las partes interesadas en cuestin antes de presentar el informe final a la gestin. Al concluir la revisin, una vez que todas las conclusiones y recomendaciones, se han completado, el profesional evala el estado actual de la estructura de control COBIT y le asigna un nivel de madurez mediante la escala de seis niveles. Algunos mdicos utilizan decimales (x.25, x.5, x.75) para indicar gradaciones en el modelo de madurez. Como referencia adicional, COBIT proporciona una definicin de las denominaciones de vencimiento por el objetivo de control. Si bien este enfoque no es obligatorio, el proceso se proporciona como una seccin separada al final del programa de auditora / seguridad para aquellas empresas que deseen implementarlo. Se sugiere que se haga una evaluacin de la madurez en el nivel de control de COBIT. Para dar ms valor al cliente / cliente, el profesional tambin puede obtener las metas de madurez del cliente / cliente. Con los niveles de madurez de destino evaluados y la, el profesional puede crear una presentacin grfica eficaz que describe el logro o brechas entre lo real y los objetivos de madurez de destino. Un grfico se ofrece como la ltima pgina del documento (seccin VIII), con base en las evaluaciones de la muestra.
IV. Aseguramiento y Marco de Control

ISACA Marco y Normas de Garanta de TI Las secciones siguientes en ITAF son relevantes a la Seguridad BYOD: 3427- Gestin De la Informacin de TI 3450- Procesos TI 3470- Gestin de riesgos 3490- Soporte de Cumplimiento Normativo TI 3630.4- Operaciones de Sistemas de Informaciones 3630.5- Recursos Humanos TI 3630.7- Gestin de seguridad de la informacin 3630.11- Gestin y control de Redes. 3630.12- Sistema de soporte de Software (Gestin de dispositivos mviles) 3630.14- Gestin y control del Sistema Operativo. 3630.17- Identificacin y la Autorizacin
ISACA Control Framework BYOD de seguridad se centra en la gestin de riesgos, la gestin de la configuracin del dispositivo y de la seguridad, los recursos humanos y la formacin de los usuarios. Debido a que ningn grupo de reas de COBIT domina los procesos primarios y los procesos de nivel inferior que estn muy extendidas, con fines de evaluacin y modelos de madurez, se utilizar el rea de COBIT de alto nivel. Dnde se pueden identificar procesos de COBIT ms especficas, que se incluirn en el programa de auditora / seguridad de COBIT Referencia cruzada. Procesos de COBIT que slo se hace referencia una vez que no pueden ser incluidos. COBIT entre sus reas incluyen: PO2 Definir la arquitectura de la informacin. PO6 Comunicar Objetivos de Gestin y Direccin. PO6.1 Polticas de TI y Control de Medio Ambiente. PO6.3 Polticas de gestin de TI PO7.4 Formacin del Personal.
PO7 Administrar Recursos Humanos. PO9 Evalan y gestionar los riesgos de TI DS5 Garantizar la seguridad del Sistema. DS5.1 Gestin de seguridad de TI DS5.3 Gestin de Identidad DS5.4 Administracin de cuentas de usuario. DS5.5 Pruebas de Seguridad, Vigilancia y Monitoreo. DS5.9 Prevencin de Software Malintencionado, Deteccin y la Correccin. DS5.10 Seguridad de la Red. DS5.11 Intercambio de datos confidenciales.
DS9 Administrar la Configuracin DS9.1 Repositorio de configuracin y de la lnea de base DS9.2 Identificacin y mantenimiento de los elementos de configuracin. DS11 Maneja DataDS11.6
Referente a las Prcticas de Control IT de COBIT del Instituto de Gobernanza: La direccin para Alcanzar Objetivos de Control para Acertar la Gobernanza, la 2da Edicin, 2007, para la prctica de control relacionada valora y arriesga a conductores.
V. Resumen Ejecutivo de Auditoria/Garantia

BYOD
Traiga su propio dispositivo (BYOD) es un fenmeno reciente de la explosin de los dispositivos de comunicacin personal que se utilizan para llevar a cabo tareas relacionadas con el trabajo. Antes de BYOD, una organizacin que proporciona smartphones (a menudo los dispositivos Blackberry), computadoras porttiles, y, ms recientemente, Tablet PC para los empleados. Estos dispositivos mviles eran propiedad de la organizacin y por lo general accede a las redes de la organizacin a travs de una interfaz de gestin muy controlado, como el Blackberry Enterprise Server (BES). Ahora con BYOD,-propiedad privada dispositivos-smartphones y tablets-se les permite acceder a las redes y los datos de la organizacin celular. Los empleados ven esto como una ventaja, ya que pueden combinar sus dispositivos privados con los dispositivos necesarios para el trabajo. La ventaja obvia de la empresa es la contencin de costes, es decir, el ahorro que supone no tener que comprar estos dispositivos propiedad de los empleados. En cambio, las organizaciones suelen ofrecer a cada empleado-propietario con un estipendio para cubrir los costos de los planes de datos, etc BYOD es a la vez una solucin y un nuevo riesgo. La organizacin se enfrenta a mantener la seguridad y privacidad de los datos a travs de dispositivos que ni posee ni controla totalmente. Los problemas de control de la seguridad primaria y son las siguientes: La proteccin de los datos confidenciales y propiedad intelectual Proteccin de las redes a las que se conectan los dispositivos BYOD Responsabilidad y rendicin de cuentas para el dispositivo y la informacin contenida en l Eliminacin de datos de la organizacin de los dispositivos propiedad de los empleados a la terminacin del empleo o prdida del dispositivo Proteccin contra malware
Impacto en el Negocio y Riesgo El impacto en el negocio de BYOD es similar a la de la informtica mvil. El riesgo de negocio incluye: La infeccin por malware, que puede dar lugar a fugas, la corrupcin o la falta de disponibilidad de datos Fuga o compromiso de los datos sensibles, debido a los dispositivos mviles BYOD perdidos o mal asegurada La publicidad negativa, la prdida de la reputacin, el incumplimiento de las leyes o los requisitos de la industria, multas y demandas. BYOD riesgo especfico se centra en: Controles de acceso y control de la seguridad del dispositivo
Capacidad para eliminar los datos empresariales sensibles al terminar su empleo o prdida del dispositivo Cuestiones de gestin relacionadas con el apoyo muchos tipos diferentes de dispositivos, sistemas operativos y aplicaciones Asegurar que los dispositivos BYOD propiedad de los empleados estn debidamente respaldados en todo momento.
Objetivos y alcance Objetivos-El examen de auditora / aseguramiento de BYOD har lo siguiente: Ofrecer una gestin con una evaluacin de las polticas y procedimientos de BYOD y su efectividad operativa Identificar el control interno y deficiencias normativas que puedan afectar a la organizacin Identificar los problemas de control de la informacin de seguridad que podran afectar a la fiabilidad, la precisin y la seguridad de los datos de la empresa, debido a deficiencias en los controles informticos mviles
Alcance-El examen se centrar en: Los dispositivos BYOD que se conectan a las redes de la organizacin o que contienen datos de la organizacin Los dispositivos BYOD en mbito incluyen todas las variedades de telfonos inteligentes, Tablet PC y sus diferentes sistemas operativos
Eficacia de activos, adecuacin de los dispositivos especficos para los procesos implementados y prcticas de compra relacionados con los dispositivos mviles estn fuera del alcance de esta revisin. Habilidades de auditora mnimos La auditora de TI y seguridad profesional debe tener una comprensin de la buena prctica de mantenimiento de los dispositivos mviles, la seguridad y los controles. Debido a que este es un campo dinmico, los profesionales que realizan esta auditora deben asegurarse de que se han realizado las investigaciones necesarias para comprender las tecnologas bsicas empleadas por los proveedores de servicios de dispositivos mviles y fabricantes de dispositivos. Evaluacion
Visite www.isaca.org / BYOD-AP y el uso de la funcin de retroalimentacin para proporcionar sus comentarios y sugerencias sobre este documento. Tus comentarios son un elemento muy importante en el desarrollo de la orientacin ISACA para sus constituyentes y es muy apreciada.
VI.
Programa de Auditora/ garantia

COSO COBIT
Actividades de Control Evaluacin del riesgo Monitoreo Informacin y Comunicacin
Auditora /Programa de los pasos de seguridad
Referencia cruzada
1. PLANIFICACIN Y ALCANCE DE LA AUDITORA Definir objetivos de la auditora / seguridad. Los objetivos de la auditora / seguridad son de alto nivel y se describen los objetivos generales de la auditora.
1.1
1.1.1. Revisin de los objetivos de la auditora / seguridad de la introduccin de este programa de auditora / seguridad. 1.1.2 Modificacin de los objetivos de la auditora / seguridad para alinearse con el universo de auditora / seguridad, plan anual y de alquiler.
Ambiente de Control
Referen cuestin cia Referen Comentarios hiperenl cia ace cruzada
COSO COBIT
Actividades de Control Evaluacin del riesgo Monitoreo
Referencia cruzada
1.2 Definir
los lmites de la revisin. La revisin debe tener un alcance definido. El revisor debe entender el entorno operativo y preparar una propuesta de alcance, sujeto a una evaluacin de riesgos ms tarde.
1.2.1 Realizar un recorrido de alto nivel de las iniciativas BYOD, metas y procesos, incluida la estrategia BYOD y poltica BYOD. 1.2.2 Establecer los lmites iniciales de la revisin de auditora / seguridad. 1.2.2.1 Identificar las limitaciones y / restricciones que afectan a la auditora. o
Informacin y Comunicacin
Ambiente de Control
COSO COBIT
Referencia cruzada
de la seguridad El examen requiere dos fuentes de las normas. Las normas empresariales definidas en la documentacin de polticas y procedimientos establecen expectativas de la empresa. Como mnimo, deben aplicarse las normas de la empresa. La segunda fuente, una referencia de buena prctica, establece estndares de la industria. Las mejoras deben ser propuestas para hacer frente a las diferencias entre los dos.
1.3 Definicin
1.3.1 Determinar si un marco de gestin de la seguridad apropiada, tal como la norma ISO 27002 o la serie de NIST 800, se puede utilizar como una referencia de buenas prcticas.
de identificacin y riesgos. La evaluacin de riesgos es necesaria para saber en qu deben centrarse los recursos de auditora. El enfoque basado en el riesgo garantiza la utilizacin de los recursos de auditora de la manera ms eficaz.
1.4 Documento
Ambiente de Control
COSO COBIT
Referencia cruzada
1.4.1 Identificar el riesgo del negocio asociado a la implementacin de BYOD. 1.4.2 En base a la evaluacin de riesgos, identificar los cambios en el alcance. 1.4.3 Discuta los riesgos de TI, las empresas y la gestin de auditora operativa y ajustar la evaluacin de riesgos, si es necesario del proceso de cambio El enfoque de la auditora inicial se basa en la comprensin del usuario del sistema operativo y el riesgo asociado. A medida que se realizan nuevas investigaciones y anlisis, los cambios en el alcance y el enfoque se traducir. 1.5.1 Identificar los recursos de auditora / aseguramiento de TI de alto nivel responsable de la revisin.
1.5 Definicin
Ambiente de Control
COSO COBIT
Referencia cruzada
1.5.2 Establecer el proceso para sugerir e implementar cambios

en el programa de auditora / aseguramiento y las autorizaciones necesarias. 1.6 Defina
el proceso de cambio. Los factores de xito necesitan ser identificados. La comunicacin regular es esencial entre el equipo de auditora / seguridad de TI, y otros equipos de control de la empresa. 1.6.1. Identificar los criterios para una evaluacin positiva (esto debe existir en las normas y procedimientos de la funcin de auditora / aseguramiento). 1.6.2. Comunicar atributos de xito para el propietario del proceso o de los interesados, y obtener un acuerdo.
1.7. Definir los recursos de auditora / garanta exigida. Los recursos necesarios se definen en la introduccin de este programa de auditora / seguridad 1.7.1. Determinar las habilidades necesarias para el examen de auditora / seguridad. 1.7.2. Determinar los recursos totales estimados (horas) y el calendario (fechas de inicio y final) que se
Ambiente de Control
COSO COBIT
Referencia cruzada
requieren para la revisin. 1.8. Definicin de entregables. Entregables no se limitan al informe final. La comunicacin entre los equipos de auditora / aseguramiento y el dueo del proceso (s) en relacin con las expectativas de prestaciones es esencial para el xito de asignacin. 1.8.1. Determinar entregables intermedios, incluyendo conclusiones iniciales, informe de estado, informes preliminares, vencimientos el prrafo respuestas e informe definitivo. 1.9. Comunicarse. El proceso de revisin de cuentas/aseguramiento claramente es comunicado al cliente/cliente. 1.9.1. Conducir una conferencia de apertura para hablar de los objetivos de revisin con el ejecutivo responsable de sistemas operativos e infraestructura. 2. GESTIN DE RIESGOS 2.1.Evaluacin del riesgo Auditora / Aseguradora Objetivo: BYOD est sujeta a
Ambiente de Control
COSO COBIT
Referencia cruzada
los procesos de evaluacin de riesgos de rutina. 2.1.1. BYOD evaluacin de riesgos inicial Control: Gestin realiz una evaluacin de riesgos antes de la ejecucin del programa BYOD. 2.1.1.1. Determinar si una evaluacin de riesgo de BYOD hubiera sido realizada antes de la aceptacin del programa. 2.1.1.2. Obtener y repasar la documentacin de evaluacin de riesgo, de ser disponible, determinar si el nivel de control es adecuado de apoyar el programa BYOD. 2.1.1.3. Obtener minutos de consejo u otra documentacin para apoyar la aprobacin de la evaluacin de riesgo.
PO9.2
Ambiente de Control
COSO COBIT
Referencia cruzada
2.1.2. BYOD Control de Evaluacin de Riesgo En curso: Una evaluacin de riesgo es realizada y aprobada por la direccin donde cambios principales son iniciados al programa BYOD o reafirmar la evaluacin de riesgo anterior. 2.1.2.1. Determinar si evaluaciones de riesgo subsecuentes han sido realizadas despus de la evaluacin de riesgo inicial. 2.1.2.2. Obtener y repasar la documentacin de evaluacin de riesgo, de ser disponible, determinar si el alcance de evaluacin de riesgo es adecuado de apoyar los cambios del programa BYOD y protege la empresa como apropiado.
PO9.4
Ambiente de Control
COSO COBIT
Referencia cruzada
3. POLITICAS 3.1.Objetivo de Revisin de cuentas/ Poltica de seguridad: La poltica que apoya BYOD iniciativas ha sido definida, documentada, aprobada, puesta en prctica y mantenida. 3.1.1. Empleado BYOD Control de Acuerdo: Requieren el acuerdo de empleado (o cualquier otra poltica que incluye declaraciones de Empleo BYOD Aceptables y ser firmado por todos los empleados/contratistas BYOD) claramente define las responsabilidades mutuas de la empresa y el signatario, uniendo el dispositivo (s) BYOD del empleado a las redes de la empresa y sistemas de informacin. 3.1.1.1. Verificar que el empleado debe firmar el acuerdo BYOD antes de que su dispositivo sea activado sobre la red de la empresa. 3.1.1.2. Verificar que como una tcnica de conciencia, los empleados deben repasar y firmar el acuerdo BYOD cada ao.
PO6.3 PO7.4
Ambiente de Control
COSO COBIT
Referencia cruzada
3.1.1.3. Verificar que requieren que empleados dimitan el acuerdo BYOD siempre que un nuevo dispositivo BYOD sea desplegado. 3.1.1.4. Repasar al empleado BYOD el acuerdo para las prcticas siguientes: La Empresa no es responsable del plan de servicio de empleado o el dispositivo. El Empleado puntualmente debe relatar un dispositivo perdido o robado mvil, dentro de un perodo definido. Si la empresa provee un subsidio o el estipendio para el empleo de negocio de dispositivo, los trminos del empleo de empleado y responsabilidades financieras claramente son descritos, y el acuerdo de documentos de empleado va una firma. El Empleado ejercer el cuidado razonable previsto del dispositivo. El empleado no revelar a terceros no autorizados los datos de la empresa almacenados en, o accesible a travs de, el dispositivo BYOD.
Ambiente de Control
COSO COBIT
Referencia cruzada
El Empleado se suscribir a la poltica de empleo de la empresa. El Empleado se suscribir a la poltica de seguridad de los datos de la empresa. El Empleado cumplir con el acuerdo puesto al da BYOD cuando es revisado y distribuido. El Empleado guardar el dispositivo BYOD en la orden trabajador, completando la reparacin necesaria en un plazo de tiempo razonable. 3.1.1.5. Repasar el acuerdo BYOD para averiguar que el empleado acepta, sujeto a la poltica de la empresa, el derecho de la empresa: Limpie todos los datos y programas (restauracin de fbrica), por ejemplo, si el dispositivo se pierde, es robada o comprometida Establecer reglas de contrasea y duracin de la cadena de caracteres para el desbloqueo de la pantalla Supervisar los intentos para desbloquear Limpie el dispositivo en excesivos intentos fallidos de desbloqueo
Ambiente de Control
COSO COBIT
Referencia cruzada
Controlar cmo y cundo se bloquea la pantalla Ajuste el tiempo de caducidad de contrasea de bloqueo de pantalla Los datos de aplicacin necesitan ser almacenados cifrados El uso de control de la cmara del dispositivo (s) Cifrar datos de usuario en el dispositivo o tarjetas SD tras la activacin Control de sincronizacin de datos como manual o automtica en itinerancia Descargar, actualizar o eliminar aplicaciones de la organizacin, sobre-el-aire (OTA) Permitir al administrador activar o desactivar Wi-Fi Permitir al administrador activar o desactivar la tarjeta de almacenamiento Permitir al administrador activar o desactivar navegador Permitir administrador para activar o desactivar los mensajes de texto Aplicaciones de lmite instalados en el dispositivo Instalar las actualizaciones anti-malware Cuarentena de un dispositivo mvil en caso de
Ambiente de Control
COSO COBIT
Referencia cruzada
malware o violacin de las polticas de uso aceptable Eliminacin de una aplicacin que se considere daino o inapropiado Auditar el dispositivo 3.1.1.6. Determinar la fecha de la ltima revisin de acuerdo de empleo de BYOD. 3.1.1.7. Seleccionar una muestra de empleados con dispositivos BYOD unidos a las redes de la empresa. Incluya en los empleados de la muestra de funciones de trabajo que varan y ttulos. 3.1.1.7.1. Obtener a su empleado BYOD acuerdos y determinar que ellos: Estn basado en el acuerdo de empleado ms corriente Son firmados y datados Es enmendado si las revisiones han sido instituidas desde el documento anterior firmado
Ambiente de Control
COSO COBIT
Referencia cruzada
3.1.2. Poltica de Empleo Mvil Aceptable (MAUP)Control: El empleado debe adherirse a MAUP de la organizacin. 3.1.2.1. Obtener y verificar que el MAUP alinea con la poltica de seguridad de red de la organizacin. 3.1.2.2. Determinar que los empleados que participan en BYOD han firmado el MAUP. 3.1.2.3. Determinar la fecha de la ltima revisin al MAUP. 3.1.2.4. Seleccionar una muestra de empleados con dispositivos BYOD unidos a la red de la organizacin. Incluya en los empleados de la muestra de funciones de trabajo que varan y ttulos. 3.1.2.5. Obtener sus acuerdos de empleado y determinar que cada acuerdo es: El acuerdo MAUP ms corriente Firmado y datado Enmendado si las revisiones han sido
PO6.3 DS5.1
Ambiente de Control
COSO COBIT
Referencia cruzada
instituidas desde el documento anterior firmado. 3.1.3. Recursos Humanos (recursos humanos) Apoyo a Control de BYOD: PO6.3 BYOD procesos son integrados en servicios de recursos humanos, poltica, y el cumplimiento. 3.1.3.1. Determinar si la funcin de recursos humanos es responsable de la inicial y el firmar anual de empleado BYOD y documentos MAUP. 3.1.3.2. Determinar si los recursos humanos incluyen el firmar de empleado BYOD y declaraciones MAUP. 3.1.3.2.1. Seleccionar una muestra de nuevos empleados que participan en el programa BYOD. Determine si los empleados hubieran firmado los documentos apropiados. 3.1.3.3. Determinar si los recursos humanos tienen una lista corriente de participantes BYOD, asegurar que los procedimientos de
Ambiente de Control
COSO COBIT
Referencia cruzada
terminacin que incluyen procedimientos de salida de BYOD. 3.1.3.3.1. Obtener la lista BYOD participante. Para una muestra escogida, determine si los nombres a la lista son empleados corrientes. 3.1.3.3.2. Obtener la lista de empleados terminados. Verifique que los empleados terminados no son a la lista BYOD participante. 3.1.3.4. Determinar cmo los recursos humanos manejan la transferencia de participantes BYOD a otras divisiones o posiciones. Prepare procedimientos apropiados de auditora de prueba para satisfacer el objetivo de auditora. 3.1.3.5. Obtener una copia del Cdigo de conducta de la empresa y determinar si esto expresamente declara que una violacin de la poltica BYOD es considerada una violacin del Cdigo de conducta con sanciones
Ambiente de Control
COSO COBIT
Referencia cruzada
aplicables. 3.1.3.6. Determinar si la poltica disciplinaria y procesos que apoyan son en efecto para violaciones a BYOD y la poltica MAUP. Estos deberan incluir: Penas Establecidas para infracciones Uso Uniforme de poltica de pena 3.1.4. Los Contratistas Controlan: Los contratistas son limitados en su acceso y DS5.3 capacidades uniendo a las redes de la empresa y DS5.4 sistemas de informacin. 3.1.4.1. Determinar la poltica en efecto para permitir a contratistas utilizar los recursos de la empresa, protegiendo el activo de la organizacin y la propiedad intelectual del acceso no autorizado por contratistas y otros terceros. 3.1.4.2. Evaluar la eficacia de mandos de BYOD sobre terceros. 3.1.4.3. Evaluar la poltica de empleado BYOD y determinar si requieren mandos
Ambiente de Control
COSO COBIT
Referencia cruzada
adicionales, poltica o procedimientos para proteger el activo de la organizacin. 3.2.Exenciones de Objetivo de Revisin de cuentas/Polticas de seguridad BYOD: Las exenciones de la poltica BYOD de manera apropiada son controladas y supervisadas en la conformidad con las Exenciones de la empresa al procedimiento De poltica. 3.2.1. Control: Las exenciones de la poltica BYOD son aplicadas, repasadas, y autorizado en la conformidad con los procedimientos de Excepciones De poltica de PO6.4 la empresa. 3.2.1.1. Si la empresa concede exenciones de la poltica BYOD, obtenga una copia de la lista de exenciones autorizadas y una copia del procedimiento de la empresa para Exenciones a la Poltica. 3.2.1.2. Determinar que cada exencin tuvo la autorizacin en el cumplimiento con las Exenciones de la empresa al procedimiento De poltica.
Ambiente de Control
COSO COBIT
Referencia cruzada
3.2.1.3. Determinar que las exenciones son concedidas slo para un perodo de tiempo limitado, el mximo un ao. 3.2.1.4. Determinar que cada exencin BYOD con regularidad es repasada para seguir la aplicabilidad. 3.2.1.5. Determinar que un nuevo uso para la exencin fue sometido y aprobado en cada caso donde el propietario BYOD necesit una extensin a tiempo para la exencin.
Ambiente de Control
COSO COBIT
Referencia cruzada
4. LEGAL 4.1.Aspectos Legales Auditora / Aseguradora Objetivo: BYOD procedimientos cumplen con los requisitos legales y reducir al mnimo la exposicin de la organizacin a las acciones legales. 4.1.1. Participacin Legal en las Polticas y Procedimientos de BYOD Control: El asesor legal ha revisado y proporcionado aprobacin documentada de las polticas y procedimientos de BYOD con respecto a las cuestiones legales. 4.1.1.1. Determinar si el consejo legal ha repasado y ha aprobado publicaciones legales que se relacionan con la poltica BYOD y procedimientos. Considere: Separacin de datos de negocio y personales e informacin. Respeto para bienes personales. Bsqueda e incautacin de leyes para la configuracin regional del empleado
ME3
Ambiente de Control
COSO COBIT
Referencia cruzada
4.1.1.2. Obtener evidencia de la revisin y aprobacin legal. 4.1.2. Retencin Legal Control: Polticas Legales y los procedimientos de PO6.4 retencin se han establecido para todos los propietarios y dispositivos BYOD. 4.1.2.1. Determinar si el acuerdo de la empresa BYOD aborda jurdicamente y mantenga en relacin con la informacin almacenada o que puedan almacenarse en dispositivos BYOD. 4.1.2.2. Determinar que el propietario BYOD acepta formalmente que cada dispositivo est sujeta a la poltica de retencin legal de la empresa
Ambiente de Control
COSO COBIT
Referencia cruzada
5. .TCNICA Y APOYO DE USUARIO 5.1.Tcnica y apoyo de usuario Auditora / Garanta Objetivo: Un servicio de ayuda o de funcin de apoyo similar se ha establecido para tratar las cuestiones tcnicas y de uso. 5.1.1. Servicio de ayuda Control: Un servicio de ayuda o de funcin de apoyo similares existe para BYOD. 5.1.1.1. Obtener y revisar las polticas y procedimientos de solicitudes de ayuda de escritorio BYOD relacionados, la progresividad, seguimiento para garantizar la integridad, la puntualidad y la supervisin. 5.1.1.2. Obtener una muestra de ayuda tcnica BYOD solicita. Determine si: Las solicitudes de BYOD se resolvieron en el acuerdo de nivel de servicio (SLA). Problemas BYOD indican los
DS8
Ambiente de Control
COSO COBIT
Referencia cruzada
problemas de seguridad de informacin que debera haber sido escalado y no estaban. 6. GOBIERNO 6.1.Gobierno Auditora / Garanta Objetivo: BYOD est sujeta a la supervisin y el control de la direccin. 6.1.1. Aprobacin de Polticas Control: la poltica BYOD ha sido aprobada por la direccin ejecutiva. 6.1.1.1. Determinacin de la estructura de informacin de proceso de aprobacin BYOD y evaluar si el proceso de aprobacin incluye las unidades de negocio afectadas. 6.1.1.2. Obtener el acta de la reunin y otra documentacin utilizada para evaluar el proceso de aprobacin.
ME4
Ambiente de Control
COSO COBIT
Referencia cruzada
6.1.2. Supervisin y Ejecucin BYOD Control: La direccin ejecutiva recibe informes de estado regulares sobre el uso de BYOD y la adhesin a las polticas. 6.1.2.1. Obtencin de informes de estado de gestin ejecutiva de la iniciativa BYOD. 6.1.2.2. Determinar la frecuencia a la cual la gerencia recibe informes de estado. 6.1.2.3. Determinar el contenido del informe de estado incluyendo: indicadores de funcionamiento Claves establecidos durante puesta en prctica de programa resumen de Escalada Perdido BYOD dispositivos con datos de organizacin sensibles las Estimaciones de ahorros por programa BYOD
ME1.5 ME4
Ambiente de Control
COSO COBIT
Referencia cruzada
7. FORMACION 7.1.Formacin Auditora / Seguridad Objetivo: los usuarios BYOD deben asistir a la formacin inicial de orientacin y capacitacin regular de seguimiento. 7.1.1. Formacin Inicial: Control: usuarios BYOD estn obligados a asistir a la capacitacin inicial sobre BYOD procedimientos poltica, MAUP y apoyo. 7.1.1.1. Obtener los recursos de entrenamiento utilizados en la formacin inicial. 7.1.1.2.Evaluar la integridad del programa de formacin. Garantizar que se aborden todas las cuestiones de poltica identificadas en la seccin de poltica de este programa de auditora. 7.1.1.3.Determinar que los usuarios BYOD han asistido a la sesin (s). 7.1.1.4.Seleccionar una muestra de usuarios BYOD en todos los niveles organizativos.
PO7.4
Ambiente de Control
COSO COBIT
Referencia cruzada
7.1.1.5.Inspeccione los registros de asistencia y otros documentos para determinar si los usuarios BYOD seleccionados han completado el entrenamiento requerido. 7.1.2. Seguridad y la formacin en temas de: Control: se requiere realizar una PO7.4 sensibilizacin y formacin continua, por lo menos anualmente. 7.1.2.1.Obtener el programa de concienciacin BYOD. 7.1.2.2.Determinar que el contenido del programa se sigan ocupando de las polticas de seguridad y BYOD. 7.1.2.3.Determinacin de los requisitos para la asistencia a programas de formacin. 7.1.2.4.Seleccionar una muestra de usuarios BYOD, determinar la frecuencia de asistencia. 7.1.2.5.Determinar el porcentaje de usuarios BYOD que han asistido al programa de formacin posterior.
Ambiente de Control
COSO COBIT
Referencia cruzada
7.1.2.6.Evaluar la efectividad del programa de entrenamiento. 8. CAPA DE SEGURIDAD PARA DISPOSITIVO MVIL 8.1. Seguridad del dispositivo Auditora / Seguridad Objetivo: los usuarios BYOD estn obligados a mantener los procedimientos bsicos de seguridad para el dispositivo. 8.1.1. Restricciones de acceso a Dispositivos Control: usuarios BYOD estn obligados a restringir el acceso a sus dispositivos. 8.1.1.1.Determinar que los usuarios BYOD son necesarios para establecer una contrasea para abrir el dispositivo. Dependiendo de las capacidades del dispositivo, este debe ser: Un PIN numrico de por lo menos 4 dgitos o Una "fuerte" contrasea alfanumrica de conformidad con la directiva de contraseas de la organizacin, si es
DS5.4
Ambiente de Control
COSO COBIT
Referencia cruzada
que esto sea posible en el dispositivo 8.1.1.2.Determinar que los usuarios con acceso a los datos altamente sensibles tienen un segundo factor de autenticacin, adems del PIN / contrasea, por ejemplo, el uso de la cmara del dispositivo para el reconocimiento facial o escner de retina. 8.1.1.3.Determinar si el PIN o la contrasea se vence en un horario regular, al menos cada 90 das. 8.1.1.4.Verifique que el dispositivo se bloquea automticamente despus de cinco minutos de inactividad. 8.1.1.5.Determinar que el dispositivo se bloquear despus de tres intentos de PIN / password fallidos. 8.1.1.6.Determinar que el dispositivo se detiene durante un tiempo antes de que el incremento siguiente intento, por ejemplo, 30 segundos de retardo despus de la primera serie de tres intentos fallidos, de 90 segundos, luego tres minutos, etc. para
Ambiente de Control
COSO COBIT
Referencia cruzada
proteccin contra los intentos de fuerza bruta contra el PIN de acceso / contrasea. 8.1.2. Acceso de Datos: Control: Acceso a los datos est en alineado con los PO2.4 requisitos de clasificacin de datos de la organizacin DS5.4 y la funcin laboral de los trabajadores. 8.1.2.1.Determinar si los datos disponibles para los usuarios BYOD suscriba a la clasificacin de los datos dentro de la organizacin. 8.1.2.1.1. Seleccionar una muestra de usuarios BYOD. Determinar los datos de acceso a su dispositivo y evaluar si el dato permitido esta dentro de los requisitos de funcin de trabajo del usuario y la definicin de clasificacin de datos.
Ambiente de Control
COSO COBIT
Referencia cruzada
8.1.3. permiso explcito para borrar datos Control: usuarios BYOD deben comprometerse por escrito a los procedimientos de seguridad para proteger o borrar datos y aplicaciones de la organizacin en el caso de que el dispositivo ya no est disponible para la organizacin. 8.1.3.1.Determinar que los usuarios BYOD acuerdan por escrito que informe la prdida de su dispositivo (s) de inmediato, es decir, basado en el marco de tiempo especificado en la poltica / procedimiento 8.1.3.2.Determinar que los usuarios BYOD acuerdan por escrito que los datos empresariales y aplicaciones en el dispositivo se pueden limpiar remotamente el dispositivo si se pierde o es robado, o en el despido. 8.1.3.3.Determinar que los usuarios BYOD acuerdo por escrito que los datos empresariales y aplicaciones en el dispositivo se pueden limpiar remotamente despus de un determinado nmero de
PO4.8 PO6.3 DS5
Ambiente de Control
COSO COBIT
Referencia cruzada
intentos de acceso fallidos. 8.1.4. Cifrado y proteccin de datos: Control: El cifrado fuerte se implementa para proteger la confidencialidad de los datos sensibles en reposo sobre, o en trnsito hacia / desde todos los dispositivos mviles BYOD.
DS5.11 DS11.6
8.1.4.1. Determinar que: Cifrado de disco completo se requiere en todos los dispositivos BYOD con acceso a los datos sensibles. Slo se permiten los algoritmos de cifrado estndar, es decir, AES o Triple-DES (3DES.) Longitud de las claves de cifrado debe ser de al menos 128 bits para AES y 168 bits (3 x 56) para 3DES. 8.1.5. Acceso Remoto: Control: Conexiones de acceso remoto a los DS5.10 dispositivos BYOD se encuentran restringidas. 8.1.5.1.Determinacin de que la configuracin de Bluetooth en los dispositivos BYOD no
Ambiente de Control
COSO COBIT
Referencia cruzada
est configurado para ser visible, para evitar intentos no autorizados para vincular con el dispositivo. 8.1.5.2.Verificar que los dispositivos mviles BYOD slo se conectan con los dispositivos previamente asociados, tales como auriculares u otros dispositivos mviles. 8.1.5.3.Verificar que los dispositivos BYOD pueden conectarse a las redes de la empresa slo a travs de redes especficas virtuales privadas (VPN) que utilizan cifrado de alta seguridad, es decir, ya sea de Secure Sockets Layer (SSL) o tneles VPN de seguridad IP (IPSec). 8.1.5.4.Verificar que los dispositivos BYOD slo pueden conectarse a travs de Wi-Fi en las redes de la empresa slo a travs de redes privadas virtuales especficos o tneles IPSec con cifrado de alta seguridad. 8.1.5.5.Verificar que los usuarios se les instruye en la conciencia de seguridad de formacin-
Ambiente de Control
COSO COBIT
Referencia cruzada
siempre utilizar una conexin Wi-Fi encriptada basada en Wi-Fi Protected Access (WPA2) o mejor, es decir, sin utilizar conexiones Wi-Fi que son o sin proteccin o que utilizar la "proteccin," inferior como Wired Equivalent Privacy (WEP). 8.1.6. Proteccin contra malware: Control: Se requiere que los dispositivos DS5.9 mviles BYOD tener defensas antimalware estndar. 8.1.6.1.Determinar que el software antivirus estndar de la industria es necesaria en cualquier dispositivo con acceso a las redes de la organizacin o los datos sensibles. 8.1.6.2.Verificar que un firewall estndar de la industria se ha instalado y est en funcionamiento en todo momento en todos los dispositivos mviles BYOD.
Ambiente de Control
COSO COBIT
Referencia cruzada
8.2. Seguridad de Conectividad: Auditora / Seguridad Objetivo: Usos BYOD Slo autenticados pueden conectarse a las redes de la empresa. 8.2.1. Acceso a la red Control: los usuarios BYOD estn sujetos a los mismos controles de acceso como todos los otros usos. 8.2.1.1.Determinar que encriptado SSL / TLS o la obligacin del tnel VPN para conectarse a cualquiera de las redes de la empresa. 8.2.1.2.Verificar que las conexiones de BYOD se validan con la tienda de la empresa de la identidad, por ejemplo, Active Directory y los usuarios autenticados solamente se permite el acceso. 8.2.1.3.Verificar que un segundo factor de autenticacin se lleva a cabo para la conexin de dispositivos BYOD a aplicaciones y datos altamente sensibles.
DS5.3 DS5.4 DS5.10
Ambiente de Control
COSO COBIT
Referencia cruzada
9. GESTIN DE DISPOSITIVOS MVILES 9.1. El uso de herramientas automatizadas Auditora / Seguridad Objetivo: La empresa utiliza un dispositivo herramienta automatizada Mobile Management (MDM) de software para administrar todos los dispositivos mviles BYOD. 9.1.1. Gestin de dispositivos mviles (MDM) se despliega Control: Una herramienta estndar de la industria de software MDM se despliega para administrar todos los dispositivos mviles, incluidos los dispositivos propiedad de los empleados (BYOD). 9.1.1.1.Determinar que una herramienta MDM estndar de la industria se ha implementado para administrar todos los dispositivos mviles BYOD con acceso a las redes y la informacin de la organizacin. 9.1.1.2.Por la revisin de documentacin de procedimiento apropiado, determine que el
DS5.5 DS9.2
Ambiente de Control
COSO COBIT
Referencia cruzada
MDM ha sido desplegado y se utiliza para administrar todos los dispositivos mviles BYOD. 9.1.1.3.Si el sistema MDM se instal desde el ltimo examen, obtener pruebas documentales de que el proceso de seleccin se realiz de acuerdo al ciclo de vida de desarrollo de sistemas de la empresa (SDLC) las normas para la adquisicin de paquetes de software estndar. 9.1.2. Gestin Central de dispositivos BYOD: Control: El MDM proporciona funciones de DS5.1 administracin centralizada a la complejidad y DS9.1 el tamao de la poblacin BYOD. DS9.2 9.1.2.1.Por discusin y revisin de la documentacin MDM y procedimientos de TI, determinar que por lo menos las siguientes caractersticas de seguridad de los dispositivos estn habilitados con la herramienta MDM (s):
Ambiente de Control
COSO COBIT
Referencia cruzada
Un portal seguro para los usuarios de BYOD para inscribirse y la prestacin de sus dispositivos Aplicacin de la poltica de seguridad centralizad remotamente bloquear y borrar datos e instalar aplicaciones Dispositivos de inventario, sistemas operativos (SO), los niveles de parches, la organizacin y las aplicaciones de terceros, y los niveles de revisin Distribucin de listas blancas y listas negras Controles de acceso basado en permisos de acceso a las redes y los datos de la organizacin Selectivo limpie y las polticas de privacidad de las aplicaciones y datos de la organizacin, es decir, sandboxing
Ambiente de Control
COSO COBIT
Referencia cruzada
Distribucin y gestin de certificados digitales (para encriptar y firmar digitalmente los correos electrnicos y documentos sensibles) Los grupos de acceso basado en roles con polticas de control de acceso de grano fino y de aplicacin Over-the-air (OTA) de distribucin de software (aplicaciones, parches, actualizaciones) y la poltica de cambios Posponer las actualizaciones automticas de los proveedores de servicios de Internet (ISP), por ejemplo, en los casos en que una actualizacin automtica OS puede causar aplicaciones crticas. Los registros de seguros y pistas de auditora de todas las actividades de BYOD sensibles
Ambiente de Control
COSO COBIT
Referencia cruzada
Capacidad para localizar y cartografiar los telfonos perdidos para la recuperacin Copia de seguridad y restaurar los datos del dispositivo BYOD Retirar o instalar perfiles basados en la localizacin geogrfica, para garantizar el cumplimiento de la legislacin extranjera pertinente, por ejemplo, la privacidad de datos y seguridad Cuando los dispositivos BYOD intentan conectarse a las redes de la organizacin, el sistema MDM comprueba automticamente: - Los niveles de parches para sistemas operativos y aplicaciones - El software de seguridad necesario est activo y actual, es decir, antivirus, firewall, encriptacin de disco completo,
Ambiente de Control
COSO COBIT
Referencia cruzada
etc - El dispositivo no est jailbroken (Apple) o con races (Android) - Presencia de dispositivos no aprobados (si los hay) - Presencia de aplicaciones de la lista negra - Si alguno de los controles de inicio de sesin por encima de falla, el MDM puede actualizar automticamente el dispositivo en cuestin (por ejemplo, niveles de parches) o no permitir el acceso. 9.1.2.2.Por discusin y observacin, determinar que el MDM permite las siguientes funciones de apoyo: Enviar mensajes de texto a una o un grupo de dispositivos seleccionados con las instrucciones de solucin de problemas Realizar el diagnstico de dispositivos
Ambiente de Control
COSO COBIT
Referencia cruzada
remotos para una amplia gama de dispositivos BYOD ver remotamente la pantalla de un dispositivo y tomar capturas de pantalla para ayudar en la solucin de problemas Toma el control remoto de un dispositivo para la solucin de problemas Activar o desactivar aplicaciones especficas 9.1.3. Distribucin de Software seguro. Control: El MDM facilita la distribucin segura de aplicaciones de negocios-sensibles con los controles DS5.9 adecuados contra la introduccin de aplicaciones de "delincuentes". 9.1.3.1. Determinar mediante la discusin y la observacin de que el MDM incluye una "tienda de aplicaciones" privada para la distribucin segura de las aplicaciones de la organizacin. 9.1.3.2.Determinar que el acceso a la tienda de aplicaciones de la empresa se limita a dispositivos BYOD propiedad de los
Ambiente de Control
COSO COBIT
Referencia cruzada
empleados. 9.1.3.3. Determinar que todas las aplicaciones en la tienda debe ser firmado digitalmente por la empresa. 9.1.3.4. Determinar mediante la discusin y la observacin que una muestra de las plataformas soportadas para BYOD compruebe la validez de las firmas digitales de las aplicaciones para ejecutar en el dispositivo. 9.1.4. Monitoreo del Uso BYOD: Control: El MDM proporciona capacidades de ME2 consulta y presentacin de informes adecuados para ME3 gestionar la poblacin BYOD proactiva. 9.1.4.1. Determinar mediante la discusin y la observacin de que el personal de soporte de TI son capaces de consultar la base de datos MDM para eventos de carcter de seguridad y el cumplimiento, por ejemplo, los dispositivos no respaldados por siete das.
Ambiente de Control
COSO COBIT
Referencia cruzada
9.1.4.2.
Determinar mediante la discusin y la observacin de que el sistema MDM proporciona a TI informes automticos de excepciones predeterminadas a las polticas de seguridad. Algunos ejemplos son: Los dispositivos fuera del cumplimiento de la poltica, por ejemplo, jailbroken o races. Los dispositivos que no han realizado en un tiempo determinado, por ejemplo, una semana. Los dispositivos no compatibles o sistemas operativos. Los dispositivos con aplicaciones y listas negras. Los dispositivos con el uso de datos excesivos que pueden predecir altos cargos o indicar una posible malversacin.
9.1.4.3. Verificar que el MDM proporcione tableros de mandos convenientes en tiempo real e informes de gestin regulares para IT para mantener el control apretado de la poblacin MDM. Considere lo siguiente:
Ambiente de Control
COSO COBIT
Referencia cruzada
Un motor de reglas existe del IT para definir la poltica y acontecimientos no conformes. El sistema automticamente alerta a los administradores de sistema de acontecimientos no conformes por el mensaje de texto o el correo electrnico. 9.1.5. Interfaces a Otro Control de Sistemas: El MDM facilita interfaces a otros sistemas financieros y de negocio. 9.1.5.1. Confirmar que la informacin conveniente es proporcionada para la exportacin al registro de activo fijo de la organizacin, p. ej., para el activo al menos parcialmente posedo por la empresa. 9.1.5.2. Determinar que la informacin conveniente es proporcionada para la exportacin a una inteligencia de negocio (BI) el sistema para generar el mtrico de direccin conveniente sobre el despliegue BYOD, la seguridad y el cumplimiento.
DS5.11 DS9.2
Ambiente de Control
COSO COBIT
Referencia cruzada
9.1.6. Control de Direccin Remoto: Verificacin de funcionalidad de direccin remota 9.1.6.1 Confirman que un componente de direccin remoto ha sido ejercido cuando un dispositivo es relatado perdido/robado (p.ej. el dispositivo limpia ocurri). 9.1.6.2 Confirme que los dispositivos relatan las violaciones de mandos hechos cumplir tcnicos de poltica. 9.2.Los Instrumentos MDM Son el Objetivo de Revisin de cuentas/Aseguramiento Protegido: La arquitectura MDM restringe el acceso al software MDM a administradores autorizados. 9.2.1. MDM Control de Seguridad De aplicacin: Los servidores MDM son sujetos a la misma DS9.2 proteccin de red que otros servidores sensibles de la empresa. 9.2.1.1. Obtener una copia de la arquitectura de red de MDM y determinar que los servidores MDM son detrs de cortafuegos de organizacin y sistemas de prevencin de
Ambiente de Control
COSO COBIT
Referencia cruzada
sistemas/intrusin de deteccin de intrusin (IDS/IPS).
VII. Evaluacin de la Madurez

La evaluacin de la madurez es una oportunidad para que el revisor evale la madurez de los procesos revisados. Basada en los resultados de auditora / seguridad de opiniones, y las observaciones de los revisores, asignar un nivel de madurez de cada una de las siguientes prcticas de control de COBIT 4.1. Al completar esta evaluacin, el enfoque de la evaluacin sobre la implementacin BYOD se refiere a cada una de las cuestiones sealadas a continuacin.
Evaluacin de la madurez Objetivo De la madurez Enlaces de Referencia
Ambiente de Control
Comentarios
COBIT Objetivo de Control

PO6.3 Polticas de Gestin TI
1. Crear un conjunto jerrquico de las polticas,

normas y procedimientos para la gestin del ambiente y control de TI. La forma y el estilo de las polticas deben estar alineados con el ambiente de control de TI. Desarrollar polticas especficas sobre los temas clave de inters, como la calidad, la seguridad, la confidencialidad, los controles internos, la tica y los derechos de propiedad intelectual. Evaluar y actualizar las polticas por lo menos
2.
3.
4.
5.
anualmente para dar cabida a los cambios del entorno de operacin o negocio. La reevaluacin debe evaluar la suficiencia y la idoneidad de las polticas ", y que debe ser modificada en caso necesario. Asegrese de que existen procedimientos para rastrear el cumplimiento con las polticas y definir las consecuencias de su incumplimiento. Asegrese de que la rendicin de cuentas se ha definido a travs de roles y responsabilidades.
PO7.4 Formacin del Personal 1. Determinar requisitos de formacin y de sensibilizacin ms importantes para lograr las metas de la organizacin, y poner en marcha un proceso para medir respecto a los niveles esperados de la finalizacin, formacin y el nivel de conciencia dentro de los diferentes grupos de usuarios. El proceso puede incluir la certificacin y recertificacin a intervalos adecuados, as como la necesidad de educacin continua para mantener la certificacin. Desarrollar y ejecutar un programa para mantener al personal con conocimientos sobre los requisitos de la organizacin para el control interno y la conducta tica. Desarrollar y ejecutar un programa de requisitos de seguridad para educar a todos los empleados de TI antes de conceder el acceso a los recursos de TI y las instalaciones. El programa debe educar a todos los nuevos empleados en: El impacto sobre la organizacin y el empleado si no se cumplen los requisitos de seguridad El uso apropiado de los recursos de TI y servicios. Cmo los incidentes de seguridad deben ser manipulados e intensificados.
2.
3.
El uso tico de los recursos de TI y servicios Las responsabilidades de los empleados de seguridad de la informacin.
4. Revisar los materiales y programas de formacin

con regularidad para verificar su adecuacin con respecto a los cambios en los requerimientos del negocio y su impacto en los conocimientos necesarios, habilidades y destrezas.
Evaluacin de la madurez
Objetivo De la madurez
Enlaces de Referencia
Comentarios
PO9.2 Establecimiento del contexto de riesgo. 1. Evaluar cualitativamente los riesgos en funcin de su impacto (catastrfica, crtico, marginal), la probabilidad (muy probable, probable, improbable) y los plazos (inminente, a corto plazo, mucho tiempo), o cuantitativamente, cuando existen datos de probabilidad correspondientes. Priorizar los riesgos mediante la separacin de la "pocos vitales" del resto y clasificarlos en base a un criterio o criterios establecidos por el equipo del proyecto. Las tcnicas para la asignacin de prioridades incluyen clasificacin de riesgos comparacin, multivotacin y recortar a la cima 'n' entre los cinco primeros. Realizar las actividades de evaluacin de riesgos teniendo en cuenta el contexto de los procesos de gestin de TI que se ven afectados.
2.
3.
PO9.4 Evaluacin del Riesgo 1. Determinar la probabilidad de los riesgos identificados cualitativamente (por ejemplo, es muy probable, probable, improbable) o cuantitativamente mediante anlisis estadstico y las determinaciones de probabilidad, basado en fuentes razonables de
2.
3.
4.
informacin que pueden ser validados apropiadamente. Determinar el impacto significativo en el negocio de los riesgos identificados cualitativamente (por ejemplo, catastrfica, crtico, marginal) o cuantitativamente (por ejemplo, el impacto en los ingresos o el valor de los accionistas). Evaluar los riesgos inherentes al caso y luego examinar los controles que se encuentran en el lugar para identificar los riesgos residuales para los que se necesitan una respuesta de riesgo. Documentar los resultados de la evaluacin de riesgos, que muestra el procedimiento seguido para llegar a las conclusiones.
Comentarios
DS5.3 Gestin de Identidad 1. Establecer y comunicar las polticas y procedimientos para identificar, autenticar y autorizar a los mecanismos y los derechos de acceso para todos los usuarios en una base necesario - a - saber / necesidad - a - tener una base, basados en los roles predeterminados y pre-aprobado. Es evidente que la rendicin de cuentas estado de cualquier usuario para cualquier accin en cualquiera de los sistemas y / o aplicaciones implicados. Asegrese de que las funciones y criterios de autorizacin a los derechos de acceso de los usuario asignar tengan en cuenta:
2.
La sensibilidad de la informacin y las aplicaciones que se trate (clasificacin de los datos) Polticas para la proteccin de la informacin y difusin (polticas internas reguladoras y requisitos legales contractuales). Roles y responsabilidades definidas dentro de la organizacin. La necesidad a tener derechos de acceso asociados a la funcin. Los requisitos para garantizar la adecuada segregacin de funciones. 3. Establecer un mtodo para autenticar y autorizar a los usuarios para establecer la responsabilidad y hacer cumplir los derechos de acceso de acuerdo con la sensibilidad de la informacin y requisitos de las aplicaciones funcionales y componentes de infraestructura, y de conformidad con las leyes, regulaciones, polticas internas y los acuerdos contractuales.
4.
5.
Definir e implementar un procedimiento para la identificacin de nuevos usuarios y el registro, autorizacin y mantenimiento de derechos de acceso. Esto tiene que ser solicitada por la administracin de usuarios, aprobado por el propietario del sistema e implementado por la persona responsable de la seguridad. Asegrese de que el flujo de informacin oportuna es en el lugar que informa de los cambios en el empleo (es decir, la gente, la gente sale, la gente cambia). Conceder, revocar y adaptar los derechos de acceso de usuario en coordinacin con los recursos humanos y los departamentos de usuario para los usuarios que son nuevos, que han dejado la organizacin, o que han cambiado los roles o puestos de trabajo.
DS5.4 Administracin usuario.
de
cuentas
de
1. Asegrese de que los procedimientos de control de acceso se incluyen, pero no estn limitados a: Uso de ID de usuario nicas para que los usuarios puedan estar vinculados a rendir cuentas de sus acciones La conciencia de que el uso de los resultados del grupo ID en la prdida de la responsabilidad individual se permita slo cuando est justificado por razones de negocios o de funcionamiento y compensado
por controles de mitigacin. ID de grupo deben ser aprobados y documentados Comprobar que el usuario tiene la autorizacin del propietario del sistema para el uso del sistema de informacin o servicio, y que el nivel de acceso otorgado es adecuado al propsito de negocios y coherentes con la poltica de seguridad de la organizacin. Un procedimiento para obligar a los usuarios a comprender y reconocer sus derechos y condiciones de acceso. Asegurar que los proveedores de servicios internos y externos no proporcionan acceso hasta que se hayan completado los procedimientos de autorizacin. Mantener un registro formal, incluyendo los niveles de acceso de todas las personas registradas para utilizar el servicio. Una revisin peridica y puntual de ID de usuarios y derechos de acceso. 2. Asegurar que las revisiones por la direccin o reasignada a los usuarios los derechos de acceso a intervalos regulares a travs de un proceso formal. Los derechos de acceso de los usuarios deben ser revisados o
reasignados despus de cualquier cambio de empleo, como la transferencia, promocin, degradacin o el despido. Autorizacin de los derechos especiales de acceso privilegiados deben ser revisados de manera independiente a intervalos ms frecuentes.
Comentarios
DS5.5 Pruebas de Seguridad, Vigilancia y Monitoreo 1. Implementar monitoreo, verificacin, revisin y otros controles para:
Prevenir / detectar errores en los resultados del procesamiento rpidamente. Identificar rpidamente las violaciones e incidentes de seguridad de intentos, exitosos y no exitosos Deteccin de eventos de seguridad y as evitar incidentes de seguridad mediante el uso de tecnologas de deteccin y prevencin. Determinar si las medidas adoptadas para resolver una violacin de seguridad son eficaces. 2. Llevar a cabo procedimientos eficaces y eficientes de pruebas de seguridad a intervalos regulares a:
Verificar que los procedimientos de gestin de identidad sean efectivas. Verificar que la administracin de cuentas de usuario sea eficaz. Validar que la configuracin de los parmetros del sistema de seguridad pertinentes se definen correctamente y estn en conformidad con la lnea de base de seguridad de informacin. Validar que los controles / configuracin de seguridad de red estn configurados correctamente y estn en conformidad con la lnea de base de seguridad de informacin Validar que los procedimientos de control de seguridad funcionan correctamente. Considere la posibilidad de, en su caso, la obtencin de
opiniones de expertos del permetro de seguridad.
Comentarios
DS5.9 Prevencin de software malintencionado, Deteccin y Correccin. 1. Establecer, documentar, comunicar y hacer cumplir una poltica de prevencin de software malicioso en la organizacin. Asegrese de que las personas en la organizacin son conscientes de la necesidad de proteccin contra software malicioso, as como sus responsabilidades en relacin con la misma. Instalar y activar herramientas maliciosas proteccin de software en todas las instalaciones de procesamiento, con los archivos de definicin de software malintencionado que se actualizan segn sea necesario (de forma automtica o semi automtica). Distribuir todo el software de proteccin de forma centralizada (versin y parche de nivel) con una configuracin centralizada y la gestin del cambio. Revisar peridicamente y evaluar la informacin sobre las nuevas amenazas potenciales. El trfico de entrada del filtro, tales como el correo electrnico y las descargas, para proteger contra la informacin no solicitada (por ejemplo, spyware, phishing e-mails).
2.
3.
4.
5.

DS5.10 Seguridad de la red 1. Establecer, mantener, comunicar y hacer cumplir una poltica de seguridad de red (por ejemplo, los servicios prestados, el trfico permitido, tipos de conexiones permitidas) que se revisa y actualiza de forma regular (al menos anualmente). Establecer y actualizar peridicamente las normas y procedimientos para la administracin de todos los componentes de red (por ejemplo, los routers de ncleo, DMZ, switches VPN inalmbricos). Dispositivos de red adecuadamente seguras con mecanismos y herramientas (por ejemplo, la autenticacin de administracin de dispositivos, seguridad de las comunicaciones y los mecanismos de autenticacin fuerte) especiales. Poner en prctica la supervisin activa y reconocimiento de patrones para proteger los dispositivos de los ataques. Configurar sistemas operativos con caractersticas mnimas habilitados (por ejemplo, caractersticas que son necesarias para la funcionalidad y se endurecen para aplicaciones de seguridad). Retire todos los servicios innecesarios, funcionalidades e interfaces (por ejemplo, la interfaz grfica de usuario [GUI]). Aplique todos los parches de seguridad y actualizacin del sistema de una manera oportuna. Planear la arquitectura de seguridad de red (por ejemplo, las arquitecturas de DMZ, redes
Comentarios
2.
3.
4.
5.
internas y externas, IDS de colocacin e inalmbrico) para hacer frente a los requisitos de seguridad y procesamiento. Asegrese de que la documentacin que contiene informacin acerca de cmo el trfico se intercambia a travs de sistemas y cmo la estructura de la red interna de la organizacin se oculta del mundo exterior. 6. Dispositivos sujetos a revisin por parte de expertos independientes de la implementacin o el mantenimiento de los dispositivos.

DS5.11 Intercambio de datos confidenciales 1. Determinar mediante el esquema de clasificacin de informacin establecido cmo se deben proteger los datos cuando se intercambian. 2. Aplicar controles de aplicacin adecuadas para proteger el intercambio de datos. 3. Aplicar controles de infraestructuras adecuadas, sobre la base de la clasificacin y la tecnologa en el uso de la informacin, para proteger el intercambio de datos.
Comentarios

DS9.1 Repositorio de configuracin y de lnea de base. 1. Implementar un repositorio de configuracin para capturar y mantener los elementos de gestin de configuracin. El repositorio debe incluir hardware, software de aplicacin, middleware, parmetros, documentacin, procedimientos y herramientas para el funcionamiento, acceso y utilizacin de los sistemas, servicios, nmeros de versin y detalles de licenciamiento. Implementar una herramienta para habilitar el registro eficaz de gestin de la informacin de configuracin de un repositorio. Proporcione un identificador nico a un elemento de configuracin as que el artculo puede ser fcilmente rastreado y relacionado con etiquetas de activos fsicos y los registros financieros. Definir y documentar las lneas de base de configuracin para los componentes a travs de entornos de desarrollo, prueba y produccin, para permitir la identificacin de la configuracin del sistema en puntos especficos
Comentarios
2.
3.
4.
en el tiempo (pasado, presente y prevista). 5. Establecer un proceso para volver a la configuracin inicial en caso de problemas, si se determina apropiado despus de la investigacin inicial. Instalar mecanismos para monitorear los cambios en el repositorio y la lnea base definida. Proporcionar informes de gestin de excepciones, la reconciliacin y la toma de decisiones.
6.

DS9.2 Identificacin y mantenimiento elementos de configuracin. 1. de los
Comentarios
2.
3.
Definir e implementar una poltica que requiere que todos los elementos de configuracin, sus atributos y las versiones que se identifiquen para el mantenimiento. los activos fsicos de acuerdo a una poltica definida. Considere el uso de un mecanismo automatizado, tales como cdigos de barras. Definir una poltica que integre los procedimientos de gestin de incidentes, cambios y problemas con el mantenimiento del
4.
5.
6.
7.
8.
depsito de configuracin. Definir un proceso para registrar, nuevos elementos de configuracin modificados y eliminados y sus atributos relativos y versiones. Identificar y mantener las relaciones entre los elementos de configuracin en el depsito de configuracin. Establecer un proceso para mantener una pista de auditora de todos los cambios en los elementos de configuracin. Definir un proceso para identificar los elementos de configuracin crticos en relacin a las funciones de negocio (anlisis de impacto de fallo de un componente). Registre todos los activos-incluyendo el nuevo hardware y software, adquirido o desarrollado internamente-en el repositorio de datos de gestin de configuracin. Definir e implementar un proceso para asegurar que las licencias son vlidas en el lugar para evitar la inclusin de software no autorizado.
VIII. Grado de marudez vs. Tiempo de evaluacion
PO6.3 IT Policies Management
DS9.2 Identification and Maintenance of Configuration Items

DS9.1 Configuration Repository and Baseline
PO7.4 Personnel Training

4 3 2 1
PO9.2 Establishment of Risk Context
DS5.11 Exchange of Sensitive Data
PO9.4 Risk Assessment
DS5.10 Network Security
DS5.3 Identity Management
DS5.9 Malicious Software Prevention, Detection and Correction DS5.5 Security Testing, Surveillance and Monitoring
DS5.4 User Account Management
Assessment Target
Este grfico de araa es un ejemplo de los resultados de la evaluacin y el objetivo madurez de una evaluacin de seguridad BYOD:

Auditoria (BYOD) Trae Tu Propio Dispositivo - Modificado

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Auditoria (BYOD) Trae Tu Propio Dispositivo - Modificado

Caricato da

Copyright:

Formati disponibili

Traiga su propio dispositivo (BYOD), Auditora de seguridad y garanta Programa

Traer su propio Dispositivo (BYOD) Auditora De Seguridad y garanta programas

Traiga su propio dispositivo (BYOD), Auditora de seguridad y garanta Programa

Traiga su propio dispositivo (BYOD), Auditora de seguridad y garanta Programa

Traiga su propio dispositivo (BYOD), Auditora de seguridad y garanta Programa

1. PLANIFICACIN Y ALCANCE DE LA AUDITORA ....................................................................... 21

Traiga su propio dispositivo (BYOD), Auditora de seguridad y garanta Programa

Traiga su propio dispositivo (BYOD), Auditora de seguridad y garanta Programa

II. Uso de este documento

Traiga su propio dispositivo (BYOD), Auditora de seguridad y garanta Programa

Traiga su propio dispositivo (BYOD), Auditora de seguridad y garanta Programa

Traiga su propio dispositivo (BYOD), Auditora de seguridad y garanta Programa

Traiga su propio dispositivo (BYOD), Auditora de seguridad y garanta Programa

Traiga su propio dispositivo (BYOD), Auditora de seguridad y garanta Programa

III. Control de Anlisis de los Vencimientos

Traiga su propio dispositivo (BYOD), Auditora de seguridad y garanta Programa

Traiga su propio dispositivo (BYOD), Auditora de seguridad y garanta Programa

Traiga su propio dispositivo (BYOD), Auditora de seguridad y garanta Programa

IV. Aseguramiento y Marco de Control

Traiga su propio dispositivo (BYOD), Auditora de seguridad y garanta Programa

Traiga su propio dispositivo (BYOD), Auditora de seguridad y garanta Programa

V. Resumen Ejecutivo de Auditoria/Garantia

Traiga su propio dispositivo (BYOD), Auditora de seguridad y garanta Programa

Traiga su propio dispositivo (BYOD), Auditora de seguridad y garanta Programa

Traiga su propio dispositivo (BYOD), Auditora de seguridad y garanta Programa

Programa de Auditora/ garantia

Auditora /Programa de los pasos de seguridad

Referen cuestin cia Referen Comentarios hiperenl cia ace cruzada

Traiga su propio dispositivo (BYOD), Auditora de seguridad y garanta Programa

Auditora /Programa de los pasos de seguridad

Referen cuestin cia Referen Comentarios hiperenl cia ace cruzada

Traiga su propio dispositivo (BYOD), Auditora de seguridad y garanta Programa

Auditora /Programa de los pasos de seguridad

Referen cuestin cia Referen Comentarios hiperenl cia ace cruzada

Traiga su propio dispositivo (BYOD), Auditora de seguridad y garanta Programa

Auditora /Programa de los pasos de seguridad

Referen cuestin cia Referen Comentarios hiperenl cia ace cruzada

Traiga su propio dispositivo (BYOD), Auditora de seguridad y garanta Programa

Auditora /Programa de los pasos de seguridad

1.5.2 Establecer el proceso para sugerir e implementar cambios

Referen cuestin cia Referen Comentarios hiperenl cia ace cruzada

Traiga su propio dispositivo (BYOD), Auditora de seguridad y garanta Programa

Auditora /Programa de los pasos de seguridad

Referen cuestin cia Referen Comentarios hiperenl cia ace cruzada

Traiga su propio dispositivo (BYOD), Auditora de seguridad y garanta Programa

Auditora /Programa de los pasos de seguridad

Referen cuestin cia Referen Comentarios hiperenl cia ace cruzada

Traiga su propio dispositivo (BYOD), Auditora de seguridad y garanta Programa

Auditora /Programa de los pasos de seguridad

Referen cuestin cia Referen Comentarios hiperenl cia ace cruzada

Traiga su propio dispositivo (BYOD), Auditora de seguridad y garanta Programa

Auditora /Programa de los pasos de seguridad

Referen cuestin cia Referen Comentarios hiperenl cia ace cruzada

Traiga su propio dispositivo (BYOD), Auditora de seguridad y garanta Programa

Auditora /Programa de los pasos de seguridad

Referen cuestin cia Referen Comentarios hiperenl cia ace cruzada

Traiga su propio dispositivo (BYOD), Auditora de seguridad y garanta Programa

Auditora /Programa de los pasos de seguridad

Referen cuestin cia Referen Comentarios hiperenl cia ace cruzada

Traiga su propio dispositivo (BYOD), Auditora de seguridad y garanta Programa

Auditora /Programa de los pasos de seguridad

Referen cuestin cia Referen Comentarios hiperenl cia ace cruzada

Traiga su propio dispositivo (BYOD), Auditora de seguridad y garanta Programa