www.isaca.org.uy

Nueva normativa asociada a la gobernabilidad y seguridad de la

información

AP Graciela Ricci, CISA, CGEIT, CRISC

www.isaca.org.uy

Agenda

1. Contexto: ¿qué está pasando? 2. ¿Confianza en la información o en los procesos

que la administran? 3. Evolución de la normativa

www.isaca.org.uy

• Los marcos regulatorios cada vez son más robustos en todos los territorios y todas las industrias.

• La complejidad y el valor de los modelos de reporte es un problema que va en aumento, paralelamente a lo anterior.

• La auditoría desde el punto de vista profesional es más relevante.

1. Contexto:¿qué está pasando?

• Muchos territorios creen que es un buen momento para mejorar su modelo de reporte

• Los riesgos a los que están expuestas las organizaciones en relación a la gobernabilidad y aseguramiento de su información son cada vez mayores

• Las prácticas de IT Outsourcing continúan en aumento.

www.isaca.org.uy

1. Contexto:¿qué está pasando?

Sin embargo:

• El aseguramiento y gobernabilidad de la seguridad de la información recién está comenzando a preocupar a las organizaciones.

• La integración de los modelos de reporte no es un punto clave en la agenda de ningún CIO

www.isaca.org.uy

2. ¿Confianza en la información o en los procesos que la administran?

www.isaca.org.uy

Confianza en el procesamiento

6

Tranquilidad Beneficio comercial Valor

Confianza en la información Construyendo una ventaja competitiva

•Contar con controles, procesos y una estructura de gobierno que brinde información oportuna para medir el progreso del negocio y el logro de sus metas y objetivos

•Contar con información actualizada promoviendo su uso para garantizar el cumplimiento e identificar aspectos de gobernabilidad a mejorar el posicionamiento en el mercado

• Negocio “rescilente” a partir del uso de la información para gestionar sus riesgos

•Toma de decisión efectiva basada en información confiable

•Alcanzar buena reputación y relacionamiento con los “stakeholders” , ganando su confianza siendo proactivos en la implementación de controles en la generación y procesamiento de la información

•Contar con mecanismos que promuevan la mejora continua desde el punto de vista de la seguridad

•Aplicar mejores prácticas

•Mejorar la competitividad

Muy buen negocio

•Lograr la apertura y transparencia de la información y los mecanismos de reporte de forma que sea fácilmente accesible, garantizando los aspectos de confidencialidad que correspondan.

•Tranquilidad de que la información ha sido fuertemente controlada en forma total y robusta.

Buen negocio

www.isaca.org.uy

• El reconocimiento de las organizaciones respecto a la necesidad de que su información sea confiable, es lo que le da el espacio, tanto a auditores internos como externos, para desarrollar sus actividades.

• Pero en el contexto antes mencionado, debería ser también muy importante para las organizaciones poder lograr un nivel de confianza razonable respecto a los procesos que aplican los terceros involucrados en la generación/gestión de su información.

2. ¿Confianza en la información o en los procesos que la administran?

www.isaca.org.uy

Teniendo en cuenta el contexto antes presentado y la necesidad de las organizaciones de mejorar la gobernabilidad y seguridad de la información, ¿cómo construir confianza en el relacionamiento de las entidades? :

•Cuando una organización terceriza total o parcialmente alguna función o tarea (más aún si ésta es crítica para el negocio), muchos de los riesgos a los que esté expuesto el prestador del servicio en relación a su capacidad de proveerlo, pasan a ser riesgos de la organización (entidad) contratante. (IT Outsourcing, Cloud Services, etc.)

•Estructuras de Control Interno debilitadas

3. Evolución de la normativa

www.isaca.org.uy

• Fraudes

• Cambios tecnológicos relevantes

• Cambios regulatorios y de modelos de reporte

• Foco de los organismos reguladores en el control interno (SOX, Basilea II, etc.)

• Violaciones a la privacía y robo de identidades

• Fusiones y adquisiciones

3. Evolución de la normativa

www.isaca.org.uy

Algunas herramientas:

• SOC (Service Organization Control)

• ISO/IEC 27000

• ISO/IEC 22301

3. Evolución de la normativa

www.isaca.org.uy

Reportes SOC

•El AICPA (American Institute of Certified Public Accountants) ha desarrollado un marco que asiste a los CPAs en la revisión de los controles de los prestadores de servicio, proveyéndole una confianza razonable a la gerencia de la entidades (contratantes):

– SOC 1

– SOC 2

– SOC 3

3. Evolución de la normativa

www.isaca.org.uy

Reportes SOC - Su historia

3. Evolución de la normativa

1992

www.isaca.org.uy

Reportes SOC - Su historia

3. Evolución de la normativa

2010

2011

www.isaca.org.uy

Reporte SOC1

Fue desarrollado bajo el estándar SSAE 16 Reporting on Control at a Service Organization )

En este tipo de trabajo el auditor opinará sobre los controles del proveedor del servicio que son relevantes desde el punto de vista de los controles de la entidad en relación a sus reportes financieros. Existen 2 tipos de reporte:

–Tipo 1: opinión en base a la descripción de la gerencia sobre el sistema mediante el cual presta el servicio y la adecuación del diseño de los controles tendientes a lograr los objetivos de control incluidos en esta descripción a una fecha específica

–Tipo 2: opinión en base a la descripción de la gerencia sobre el sistema mediante el cual presta el servicio y el diseño y efectividad en la operación de los controles tendientes a lograr los objetivos de control incluidos en esta descripción durante un período determinado.

3. Evolución de la normativa

www.isaca.org.uy

Reporte SOC2

Este reporte permite al auditor opinar respecto a:

– Seguridad

– Disponibilidad

– Integridad de procesamiento

– Confidencialidad

– Privacidad

Siendo de interés cuando un tercero opera, recolecta, procesa, trasmite, almacena, organiza, mantiene o dispone de la información de la entidad

3. Evolución de la normativa

www.isaca.org.uy

Reporte SOC2

Existen 2 tipos de reportes:

– Tipo 1: Similar al de SOC1, y también se trabaja sobre la descripción del sistema realizada por la gerencia

– Tipo 2: También es similar a su correspondiente de SOC 1 pero en este se incluye la descripción de las pruebas realizadas para probar los controles tendientes a garantizar los 5 atributos clave del sistema antes mencionados y los resultados obtenidos.

3. Evolución de la normativa

www.isaca.org.uy

Reporte SOC3

La diferencia principal entre este reporte y SOC 2 es que SOC 3 no es restringido, ya que no se incluye la descripción de las pruebas utilizadas para la evaluación de los controles tendientes a garantizar los atributos clave de la organización

Este reporte permite colocar el sello correspondiente en el website de la organización

3. Evolución de la normativa

www.isaca.org.uy

www.isaca.org.uy

Draft statement ofapplicability

(SOA)

Final statement

of applicability Audit framework

(Security improvement workstreams)

Scoping & Planning

An embedded ISO27001 ISMS Security Control

Framework

Gap Analysis Combined

Report

External Auditor

Gap Analysis

Exposure Assessment

Business Asset, BIA

Communication, Awareness, Training & Knowledge

Sharing Workshops

Risk Assessment, Treatment and Management

(People)(Process

) (Physical) (Technology)

Risk Register

Draft SecurityImprovementProgramme (SIP)

Governance (roles, Committe

e)

Principles, policies,

procedures

ISMS (monit

or, Audit)

Technology

Peop

le

Process

DO

CHECK

PLAN

AC

T

ASSESS

DESIGN

OPERATE

3. Evolución de la normativa – ISO /IEC 27000

www.isaca.org.uy

3. Evolución de la normativa – ISO /IEC 22301

www.isaca.org.uy

3. Evolución de la normativa – ISO /IEC 223014. Contexto de la organización

4.1 Expectativas de la organización respecto a la continuidad del negocio considerando tanto factores internos como externos a la misma.

4.2 Conocer las necesidades y expectativas de los interesados

4.3 Determinar el alcance del Sistema de Gestión de la continuidad del negocio

4.4 Definir e implementar el BCMS

5. Liderazgo

5.1 Participación y compromiso de Alta Gerencia

5.2 Comité de Gestión (respecto del BCMS)

5.3 Política de Continuidad Operativa

5.4 Estructura de roles, responsabilidad y autoridad

www.isaca.org.uy

3. Evolución de la normativa – ISO /IEC 223016. Planificación

6.1 Actividades para la localización de riesgos y oportunidades en relación a la continuidad del negocio

6.2 Definición de los objetivos de continuidad y planes para lograrlos

www.isaca.org.uy

3. Evolución de la normativa – ISO /IEC 223017. Soporte

7.1 Recursos

7.2 Personas competentes

7.3 Nivel de concientización

7.4 Comunicación

7.5 Documentos (del BCMS)

www.isaca.org.uy

3. Evolución de la normativa – ISO /IEC 22301

8. Operación

8.1 Planificación y control operativo (se incluye definir los criterios parea establecer que se va a prevenir y cuándo se va a responder)

8.2 Business Impact Analysis (BIA) y Análisis de Riesgos

8.3 Definición de las estrategias de recuperación del negocio y de prevención

8.4 Establecer e implementar los procedimientos de recuperación del negocio (Planes – incluyendo: detección, activación, recuperación, operación en régimen de contingencia y vuelta a la normalidad)

8.5 Entrenamiento y prueba

www.isaca.org.uy

3. Evolución de la normativa – ISO /IEC 22301Desarrollo los Planes Preventivos y la Solución de Continuidad del

Negocio de acuerdo a lo planificado

www.isaca.org.uy

3. Evolución de la normativa – ISO /IEC 22301

9. Evaluación del desempeño

9.1 Monitoreo, medición, análisis y evaluación

9.2 Auditoría interna

9.3 Revisión por parte de la Gerencia

10. Mejora

10.1 Acciones correctivas y no conformidades

10.2 Mejora continua

www.isaca.org.uy

¿Preguntas?Muchas Gracias

Graciela Ricci

Graciela.ricci@uy.pwc.com