Sei sulla pagina 1di 41

Alberto Rosell Borox

Ingeniero Informático cuenta con las certificaciones profesionales de mayor relevancia CISA /
Lead Auditor ISO 27001 / Lead Auditor ISO 22301 / Lead Auditor ISO 20000 / ITIL
Foundations v3.

Más de 9 años de experiencia como consultor y auditor de Sistemas de Gestión. Ha realizado


la implantación y/o auditoría de más de 50 proyectos ISO 31000, ISO 27001, ISO 20000, ISO
22301, ISO 27031, ISO 9001, ISO 14001 e ISO 15504 – SPICE certificados en España y
LATAM.

Ha trabajado para grandes empresas multinacionales, en los sectores de


Telecomunicaciones, Financiero, Industria, Energía y Servicios en el desarrollo, implantación y
seguimiento de proyectos de Seguridad de la Información, Continuidad de Negocio, Gestión
de Servicios, Gestión de Riesgos y Protección de Datos. Algunos de estos proyectos son
Ministerio de Relaciones Exteriores de Colombia, Digitex, Línea Directa Aseguradora,
Bancaribe Curaçao Bank, Banco de Crédito de Perú, CAF (Banco de Desarrollo de América
Latina), Grupo SIRO, Grupo CLECE, UTI, Interxion, entre muchos otros.
Agenda
CONVERGENCIA DE LAS NORMATIVAS DE RIESGO Y CUMPLIMIENTO.
GESTIÓN INTEGRADA O CÓMO NO FRACASAR EN EL INTENTO

Principales normativas de Riesgo y Cumplimiento TIC

Problemática existente en las organizaciones

Sinergias entre las normativas de Riesgo y Cumplimiento

Beneficios de implantar una Gestión Integrada


Agenda
CONVERGENCIA DE LAS NORMATIVAS DE RIESGO Y CUMPLIMIENTO.
GESTIÓN INTEGRADA O CÓMO NO FRACASAR EN EL INTENTO

Principales normativas de Riesgo y Cumplimiento TIC

Problemática existente en las organizaciones

Sinergias entre las normativas de Riesgo y Cumplimiento

Beneficios de implantar una Gestión Integrada


Principales normativas de Riesgo y Cumplimiento TIC

SOX COSO
LFPDPPP PCI-DSS

MAAGTICSI
NIST SP
800

Cumplimiento

COBIT
ITIL

ISO 31000 ISO 20000


ISO 27001 ISO 22301
Principales normativas de Riesgo y Cumplimiento TIC

SOX COSO
LFPDPPP PCI-DSS

MAAGTICSI
NIST SP
800

Cumplimiento

COBIT
ITIL

ISO 31000 ISO 20000


ISO 27001 ISO 22301
Principales normativas de Riesgo y Cumplimiento TIC

SOX – Ley Sarbanes-Oxley (Sarbanes-Oxley Act of 2002)

 Origen: Ley de Estados Unidos publicada el 30 de julio de 2002, aunque con ámbito internacional
 Finalidad: Evitar fraudes contables y riesgo de bancarrota, para proteger a los inversores
 Aplicabilidad: Las empresas que cotizan en NYSE (Bolsa de Nueva York), así como a sus filiales
 Regula las funciones financieras contables y de auditoría, penalizando el crimen corporativo
 Provoca el incremento de los controles internos de las organizaciones
 Principales aportaciones de SOX:
 Reportes de Auditoría informativos, exactos e independientes
 Estructura y Procedimientos de Control
 Controles Internos Contables
 Responsabilidades de los Ejecutivos
 Auditorías del Control Interno
 Comité de Auditoría y Control Interno
Principales normativas de Riesgo y Cumplimiento TIC
COSO – Committee of Sponsoring of the Treadway Commission

 Origen: Marco desarrollado por una Comisión voluntaria del sector privado de Estados Unidos
 Finalidad: Desarrollo de marcos generales sobre la Gestión del Riesgo, Control Interno y
Disuasión del Fraude, para mejorar el desempeño organizacional y reducir el fraude
 Aplicabilidad: Es un marco de uso generalizado por las áreas de Control Interno de las entidades
 COSO-ERM (COSO II) hace referencia al marco para la implementación de un Sistema de Gestión de
Riesgos Empresariales
 El Marco de COSO 2013 (COSO III) define
5 componentes para el control interno:
 Ambiente de Control
 Evaluación de Riesgos
 Actividades de Control
 Información y Comunicación
 Actividades de Monitoreo
Principales normativas de Riesgo y Cumplimiento TIC
PCI-DSS – Payment Card Industry Data Security Standard

 Origen: Estándar desarrollado por el comité PCI SSC, formado por las compañías de tarjetas (crédito
y débito) más importantes
 Finalidad: Fomentar y mejorar la seguridad de los datos del titular de la tarjeta y facilitar la
adopción de medidas de seguridad uniformes a nivel mundial
 Aplicabilidad: Todas las entidades que procesan, almacenan y/o transmiten datos del titular de la
tarjeta (CHD) y/o datos confidenciales de autenticación (SAD)
 El cumplimiento de los requisitos se consigue a través de la implementación de controles
 Compuesto por 12 requisitos de diferente índole, entre los que se encuentra:
 Desarrollar y mantener redes y sistemas seguros
 Proteger los datos del titular de la tarjeta
 Mantener un programa de administración de vulnerabilidad (incluye análisis del riesgo de las vulnerabilidades)
 Implementar medidas sólidas de control de acceso
 Supervisar y evaluar las redes con regularidad
 Mantener una política de seguridad de la información
Principales normativas de Riesgo y Cumplimiento TIC
NIST SP 800 (National Institute of Standards and Technology)

 Origen: Serie de publicaciones del NIST (Instituto Nacional de Estándares y Tecnología)


 Finalidad: Proveer un conjunto de buenas prácticas en seguridad de la información
 Aplicabilidad: Puede ser utilizado por cualquier entidad, sea cual sea su tamaño o sector de actividad
 Incluye la metodología NIST SP 800-30 para el análisis y gestión de riesgos de seguridad:
Pasos para el Análisis de Riesgos: Pasos para la Gestión de Riesgos:
- Caracterización de sistemas - Priorización de acciones
- Identificación de amenazas - Evaluación de opciones de controles recomendados
- Identificación de vulnerabilidades - Análisis coste-beneficio
- Análisis de controles - Selección de controles
- Determinación de probabilidades - Asignación de responsabilidades
- Análisis de impacto - Desarrollo de plan de implantación de salvaguardas
- Determinación del riesgo - Implantación de controles seleccionados
- Recomendación de controles
- Documentación de resultados
Principales normativas de Riesgo y Cumplimiento TIC
ISO 31000 – Gestión del Riesgo

 Origen: Norma internacional publicada en 2009 por ISO (Organización Internacional de Normalización)
 Finalidad: Proporcionar los principios y directrices genéricas sobre la gestión del riesgo
 Aplicabilidad: Puede ser utilizada por cualquier empresa pública o privada, asociación, grupo o
individuo
 No es certificable, pero sus directrices son seguidas por otras normas: 27001, 22301, 9001,…
 Se puede aplicar a cualquier tipo de riesgo, cualquiera que sea su naturaleza
 Las fases que establece para el proceso de gestión del riesgo son las siguientes:
 Establecimiento del contexto
 Apreciación del riesgo
• Identificación del riesgo
• Análisis del riesgo
• Evaluación del riesgo
 Tratamiento del riesgo
 Seguimiento y revisión
Principales normativas de Riesgo y Cumplimiento TIC
ISO 27001 – Sistema de Gestión de Seguridad de la Información

 Origen: Norma internacional publicada en 2013 por ISO (Organización Internacional de Normalización)
 Finalidad: Especificar los requisitos para el establecimiento, implementación, mantenimiento y mejora
continua de un sistema de gestión de seguridad de la información
 Aplicabilidad: Puede ser utilizada, y certificada, por cualquier entidad, sea cual sea su tamaño o
sector de actividad
 Incluye requisitos para la apreciación y el tratamiento de los riesgos de seguridad de la información
 Define un conjunto de 114 de controles de seguridad, clasificados en los siguientes dominios:
- Políticas de seguridad de la información - Seguridad de las operaciones
- Organización de la seguridad de la información - Seguridad de las comunicaciones
- Seguridad relativa a los recursos humanos - Adquisición, desarrollo y mantenimiento de los SI
- Gestión de activos - Relación con proveedores
- Control de acceso - Gestión de incidentes de seguridad de la información
- Criptografía - Aspectos de SI para la gestión de la continuidad del negocio
- Seguridad física y del entorno - Cumplimiento
Principales normativas de Riesgo y Cumplimiento TIC
ISO 22301 – Sistema de Gestión de Continuidad de Negocio

 Origen: Norma internacional publicada en 2012 por ISO (Organismo Internacional de Normalización)
 Finalidad: Especificar los requisitos para planificar, establecer, implementar, operar, monitorizar,
revisar, mantener y mejorar un sistema de gestión de continuidad de negocio
 Aplicabilidad: Puede ser utilizada, y certificada, por cualquier entidad, sea cual sea su tamaño o
sector de actividad
 Establece la necesidad de un proceso de análisis de riesgos que afecten a la continuidad de negocio
 Otros requisitos importantes que establece el estándar son:
 Análisis de Impacto en el Negocio (BIA)
 Estrategias de continuidad
 Escenarios de desastre
 Planes de Continuidad (BCP)
 Planes de Gestión de Crisis
 Planes de Recuperación (DRP)
 Pruebas de los Planes
Principales normativas de Riesgo y Cumplimiento TIC
ISO 20000 – Sistema de Gestión del Servicio

 Origen: Norma internacional publicada en 2011 por ISO (Organismo Internacional de Normalización)
 Finalidad: Especificar al proveedor del servicio los requisitos para planificar, establecer, implementar,
operar, monitorizar, revisar, mantener y mejorar un Sistema de Gestión del Servicio
 Aplicabilidad: Puede ser utilizada, y certificada, por todos los proveedores del servicio, sea cual
sea su tamaño o naturaleza de los servicios entregados
Incluye riesgos y controles de
seguridad de la información
Principales normativas de Riesgo y Cumplimiento TIC

ITIL – Information Technology Infrastructure Library

 Origen: Conjunto de buenas prácticas usadas para la gestión de servicios de TI


 Finalidad: Proveer un conjunto de procesos para mejorar la administración de los servicios de TI
 Aplicabilidad: No se certifican organizaciones, sino que se certifican particulares en diferentes
niveles
 La gestión de riesgos se encuentra incluida en algunos de los procesos del ciclo de vida
 La última versión es ITIL V3, dónde los procesos se encuentran clasificados en los siguientes libros:
 Estrategia de servicios
 Diseño de servicios
 Transición de servicios
 Operación de servicios
 Mejora continua de servicios
Principales normativas de Riesgo y Cumplimiento TIC
COBIT – Control Objectives for Information and related Technology

 Origen: Guía de mejores prácticas desarrollada por ISACA


 Finalidad: Proveer un marco de trabajo integral para ayudar a las empresas a alcanzar sus
objetivos para el gobierno y la gestión de las TI corporativas
 Aplicabilidad: Actualmente en la versión 5, publicada en 2012, aplica a empresas de todos los
tamaños y sectores
 COBIT 5 tiene un proceso especifico para
la gestión del riesgo (APO12)
 Los principios de COBIT 5 son:
 Satisfacer las necesidades de las partes interesadas
 Cubrir la empresa extremo a extremo
 Aplicar un marco de referencia único integrado
 Hacer posible un enfoque holístico
 Separar el gobierno de la gestión
Principales normativas de Riesgo y Cumplimiento TIC

MAAGTICSI – Manual Administrativo de Aplicación General en materia de


Tecnologías de la Información y Comunicaciones, y de Seguridad de la Información
 Origen: Acuerdo publicado el 8 de mayo de 2014, en el Diario Oficial de la Federación (DOF)
 Finalidad: Aplicación de metodologías y mejores prácticas para propiciar la agilización de la
gestión de TIC, apoyar la documentación ágil e impulsar la generación de evidencias para auditorías
 Aplicabilidad: Se trata del principal Manual en materia TIC de Administración Pública Federal
(APF) en México
 Los procesos de MAAGTICSI son los siguientes:
- Planeación Estratégica (PE) - Administración de Proyectos (ADP)
- Administración del Proceso y las Contrataciones (APCT) - Administración de Proveedores (APRO)
- Administración de Servicios (ADS) - Administración de la Operación (AOP)
- Administración de la Configuración (ACNF) - Operación de Controles de Seguridad de la
- Administración de la Seguridad de la Información (ASI) información y del ERISC (OPEC)
Principales normativas de Riesgo y Cumplimiento TIC

LFPDPPP – Ley Federal de Protección de Datos Personales en Posesión de Particulares

 Origen: Ley publicada el 5 de julio de 2010, en el Diario Oficial de la Federación (DOF)


 Finalidad: Proteger la privacidad de las personas respecto al tratamiento que puedan dar otros
particulares respecto a su información personal
 Aplicabilidad: Sus disposiciones son aplicables a todas las personas físicas o morales, del sector
público y privado, que lleven a cabo el tratamiento de datos personales en el ejercicio de sus
actividades
 Existe un Reglamento, publicado a finales de 2011, que desarrolla los procedimientos para el uso
legítimo, controlado e informado de los datos de carácter personal
 Entre sus obligaciones se encuentra la gestión de los riesgos de los datos personales manejados
 Otra de las obligaciones novedosas es la posibilidad de que las personas puedan ejercer sus derechos
a acceder, rectificar, cancelar y oponerse (ARCO) al tratamiento de sus datos
Principales normativas de Riesgo y Cumplimiento TIC

La pregunta del millón de dólares:


¿Cómo gestiono tanta variedad de normativas?
Agenda
CONVERGENCIA DE LAS NORMATIVAS DE RIESGO Y CUMPLIMIENTO.
GESTIÓN INTEGRADA O CÓMO NO FRACASAR EN EL INTENTO

Principales normativas de Riesgo y Cumplimiento TIC

Problemática existente en las organizaciones

Sinergias entre las normativas de Riesgo y Cumplimiento

Beneficios de implantar una Gestión Integrada


Problemática existente en las organizaciones

 Multitud de normas, leyes y regulaciones que son de aplicación a diferentes


áreas de las organizaciones

 Cada área hace “la guerra por su cuenta”, gestionando las normativas que le
aplican de una forma autónoma

 Incluso, en un mismo área, cada normativa es gestionada de forma independiente

 Esta forma de operar provoca la generación de:


 Información duplicada

 Información desactualizada

 Información incompleta
Problemática existente en las organizaciones

 El proceso llevado a cabo para gestionar una o varias normativas suele ser manual

 Los procesos manuales para la gestión de las normativas provocan:


 Una mayor inversión de tiempo

 Un mayor esfuerzo por parte de los empleados

 Una recopilación de información más lenta

 Una obtención de resultados incompletos


Problemática existente en las organizaciones

GESTIÓN INDEPENDIENTE

GESTIÓN MANUAL

INCREMENTO SUSTANCIAL DE LOS RECURSOS NECESARIOS


Agenda
CONVERGENCIA DE LAS NORMATIVAS DE RIESGO Y CUMPLIMIENTO.
GESTIÓN INTEGRADA O CÓMO NO FRACASAR EN EL INTENTO

Principales normativas de Riesgo y Cumplimiento TIC

Problemática existente en las organizaciones

Sinergias entre las normativas de Riesgo y Cumplimiento

Beneficios de implantar una Gestión Integrada


Sinergias entre las normativas de Riesgo y Cumplimiento

 Principalmente, dos puntos de unión: Riesgos y Controles

 Todas las normativas de cumplimiento TIC manejan Riesgos de diferente índole:


 Operativos
 Legales
 Seguridad
 Continuidad
 …

 Para evidenciar el cumplimiento de los requerimientos es necesario la implementación


de Controles
Sinergias entre las normativas de Riesgo y Cumplimiento

Normativas Riesgos Controles


SOX SI SI
COSO SI SI
PCI-DSS SI SI
NIST SP 800 SI SI
ISO 31000 SI SI
ISO 27001 SI SI
ISO 22301 SI SI
ISO 20000 SI SI
ITIL SI SI
COBIT SI SI
MAAGTICSI SI SI
LFPDPPP SI SI
Sinergias entre las normativas de Riesgo y Cumplimiento

 Los controles implementados permiten el cumplimiento de más de una normativa

 Los controles de cumplimiento sirven también para mitigar los riesgos existentes

 Problema: No siempre los controles de cumplimiento se reutilizan para más de una


normativa y/o los diferentes riesgos que se evalúan en la organización

 Solución: Centralización de los controles para evidenciar el cumplimiento de más


de una normativa así como su utilización por cualquier tipo de riesgo analizado
Sinergias entre las normativas de Riesgo y Cumplimiento

¿Cómo consigo centralizar los controles?

A través de la implementación de un ERM


(Enterprise Risk Management)
Sinergias entre las normativas de Riesgo y Cumplimiento

 ERM proporciona un framework para la gestión de riesgos empresariales de forma


integral

 El marco de trabajo propuesto incorpora las siguientes fases:


 Identificación de los riesgos relevantes para la consecución de los objetivos corporativos
 Evaluación de los riesgos en términos de probabilidad e impacto
 Selección de una estrategia de respuesta
 Seguimiento del progreso de las medidas propuestas

 Permite integrar conceptos como control interno o regulaciones tipo SOX


ERM CORPORATIVA

ERM AREA1 ERM AREA2 ERM AREA3


Sinergias entre las normativas de Riesgo y Cumplimiento
Sinergias entre las normativas de Riesgo y Cumplimiento

SOX COSO
LFPDPPP PCI-DSS

MAAGTICSI
NIST SP
800

ERM

COBIT
ITIL

ISO 31000 ISO 20000


ISO 27001 ISO 22301
Agenda
CONVERGENCIA DE LAS NORMATIVAS DE RIESGO Y CUMPLIMIENTO.
GESTIÓN INTEGRADA O CÓMO NO FRACASAR EN EL INTENTO

Principales normativas de Riesgo y Cumplimiento TIC

Problemática existente en las organizaciones

Sinergias entre las normativas de Riesgo y Cumplimiento

Beneficios de implantar una Gestión Integrada


Beneficios de implantar una Gestión Integrada

BENEFICIO #1
Misma metodología de gestión en toda la organización
 Implantar una operativa común en todas las áreas para la gestión del
cumplimiento de las normativas permite que:
 Las decisiones se tomen en la misma dirección siguiendo una estrategia común

 No se duplique el trabajo

 No se malgasten esfuerzos

 Se eviten errores e incoherencias con la información manejada por cada área


Beneficios de implantar una Gestión Integrada

BENEFICIO #2
Optimización del tiempo y el esfuerzo invertido
 Mantener una gestión integrada supone menos esfuerzo que mantener varios
procesos a la vez

 Requiere menos recursos al compartirse las tareas por más de un área

 El tiempo dedicado es menor al aprovechar el trabajo de otras áreas


Beneficios de implantar una Gestión Integrada

BENEFICIO #3
Aumenta la eficacia de la organización
 Las actividades para lograr el cumplimiento de las normativas son más efectivas al
considerar el conocimiento de todas las áreas

 Algunos ejemplos de actividades que se realizan con mayor eficacia son:


 Evaluación del cumplimiento, al existir una mejor comunicación
 Diseño de nuevos controles, al considerarse las necesidades de las diferentes áreas
 Análisis de riesgos, al utilizar diferentes puntos de vista
 Elaboración de informes, al utilizar información más completa y actualizada
Beneficios de implantar una Gestión Integrada

BENEFICIO #4
Aumenta la eficiencia de la organización
 Las actividades para lograr el cumplimiento de las normativas son más eficientes al
resolver las necesidades de más de un área con un mismo esfuerzo

 Algunos ejemplos de actividades que se realizan con una mayor eficiencia son:
 Evaluación del cumplimiento, al realizarse en un menor tiempo
 Implementación de controles, al ser aprovechados para más de una normativa
 Análisis de riesgos, al evaluar cada riesgo una única vez
 Elaboración de informes, al disponer de toda la información centralizada
Beneficios de implantar una Gestión Integrada

¿Y si, además, automatizo la gestión integrada?


Beneficios de implantar una Gestión Integrada

Aumentan, aún más, los beneficios que aporta un proceso de


gestión integrada

TIEMPO Y ESFUERZO

EFICACIA

EFICIENCIA
Beneficios de implantar una Gestión Integrada

Se establece un orden para la ejecución del proceso


Beneficios de implantar una Gestión Integrada

Obtención más rápida de informes consolidados

Potrebbero piacerti anche