AUDITORÍA IT Y LA ISO/IEC20000-1: ¿Cuál es el enfoque y que ventajas me da conocer los requisitos para la prestación de servicios de IT en la auditoría tecnológica? Si querés enterarte acompañanos en este webinar gratuito, en el que compartiremos esta visión sobre el tema.
https://youtu.be/VpCkIqtTg0k
4. GOBIERNO DE TECNOLOGÍA E
INFORMACIÓN
Auditoría a la gestión de
servicios de TI y su relación
con ISO/IEC 20000-1:2018
Fabián Descalzo – Director (fdescalzo@bdoargentina.com)
Fabián posee 30 años de experiencia en el área de gestión e implementación de Gobierno de Seguridad de la Información, Gobierno de TI,
Compliance y Auditoría de TI en Argentina y Latinoamérica, y asesoramiento para el cumplimiento de Leyes y Normativas Nacionales e
Internacionales en compañías de diferentes áreas de negocio. Docente del módulo de Seguridad de la Información en la “Diplomatura en Gobierno y
Gestión de Servicios de IT” del ITBA; en “Sistemas de Gestión IT” y “Seguridad de la Información” en TÜV Rheinland Argentina; del módulo Auditoría y
Control en Seguridad de la Información en la Universidad Nacional de Rio Negro. Miembro del Comité Científico del IEEE (Institute of Electrical and
Electronics Engineers), del Comité Directivo de ADACSI/ISACA. Disertante nacional e internacional y columnista especializado en áreas de Gobierno de
la Tecnología y Seguridad de la Información, Ciberseguridad y Auditoría, Informática en Salud y Compliance en las revistas CISALUD, PERCEPCIONES
(ISACA Montevideo Chapter), El Derecho Informático, CXO-Community, EXIN Newsletter de España y MAGAZCITUM de México.
ESPECIALIDADES Y ÁREAS DE CONOCIMIENTO
Riesgo, Gobierno y Auditoría de TI
Continuidad de Negocio y Recuperación de Procesos de Servicios de TI
Análisis de riesgos de Ti y Seguridad de la Información
Cumplimiento de Marco Regulatorio (SOX, HIPAA, PCI-DSS, Data Privacy, Internal Frame)
Gobierno de Seguridad de la Información
Procesos de Servicios TI
Cibercrimen
CERTIFICACIONES - PRACTICAS NOTABLES
COBIT5 Foundation, Lead Auditor ISO/IEC 20000:2011, IRCA ISMS Auditor: Lead Auditor ISO/IEC 27001, Lead Auditor ISO/IEC
22301:2019, ITIL® version 3:2011 Information Management, ITIL® version 3:2011, Accredited Trainer (EXIN Accreditation)
11. Negocio e Innovación, un nuevo entorno para la información
Grado de innovación en
lo requerido para el
crecimiento del negocio
Grado de innovación en el
desarrollo tecnológico
(tecnologías y procesos de
producción)
Grado de innovación necesaria en
la gestión para el desarrollo del
negocio
12. Negocio e Innovación, un nuevo entorno para la información
Uno o más procesos
específicos dentro de la
organización
A través de toda la
organización cubriendo
todos sus procesos
Para varias
organizaciones que
comparten procesos
14. Servicios de TI: principales conceptos en la gestión
• La norma ISO/IEC 20000-1 contiene un Sistema de Gestión del Servicio de TI (SGS) especificando los
requisitos para planificar, establecer, implementar, operar, monitorizar, revisar, mantener y mejorar
un SGS.
• Incluyen los requisitos para el diseño, transición, provisión, y la mejora de los servicios.
• Contiene procesos, y relaciones entre ellos, para facilitar su implementación
El marco de COBIT 2019 plasma una distinción muy clara entre el Gobierno y la Administración.
Dichas disciplinas:
• Comprenden diferentes tipos de actividades
• Requieren diferentes estructuras organizacionales
• Cumplen diferentes propósitos
El Gobierno asegura que se evalúan las necesidades, condiciones y opciones de las partes interesadas para
determinar que se alcanzan las metas corporativas equilibradas y acordadas; estableciendo la dirección a
través de la priorización y la toma de decisiones; y midiendo el rendimiento y el cumplimiento respecto a
la dirección y metas acordadas.
La gestión planifica, construye, ejecuta y controla actividades alineadas con la dirección establecida por el
cuerpo de gobierno para alcanzar las metas empresariales.
15. Servicios de TI: principales conceptos en la gestión
Visión del negocio
Lograr un mayor nivel de confidencialidad de los datos personales que el
cliente proporciona a la empresa, incluyendo datos de sus medios de pago,
hábitos de consumo, etc.
Generar un valor comercial de las inversiones habilitadas por la Tecnología
de la Información (TI), o sea: lograr metas estratégicas y mejoras al negocio
mediante el uso eficaz e innovador de la TI.
Lograr una excelencia operativa mediante la aplicación eficiente y fiable de
la tecnología.
Asegurar el cumplimiento de leyes, regulaciones y normativas para minimizar
el impacto de exposición de imagen y costos adicionales por multas
regulatorias o punitorios contractuales.
16. Servicios de TI: principales conceptos en la gestión
Visón del servicio tecnológico
Mantener información de calidad para apoyar las decisiones del negocio
Optimizar el costo de la tecnología y los servicios de TI.
Lograr índices de disponibilidad superiores que permitan mejorar los
indicadores de servicio al cliente.
Garantizar una mayor disponibilidad de los servicios que necesita el
negocio para su normal desempeño.
Disminuir el nivel de exposición a riesgos de los servicios de seguridad de
la información y TI, minimizando la probabilidad de ocurrencia de
incidentes y el impacto de los mismos en el negocio.
18. Servicios de TI: principales conceptos en la gestión
Hay condiciones que generan profundos cambios en la operación funcional y
tecnológica de las empresas que hacen peligrar el gobierno de sus procesos
internos:
La adopción de nuevas tecnologías
La adopción de nuevos estándares o regulaciones de negocios
La adquisición o fusión de empresas.
Compromisos de la dirección, política de gestión del servicio; autoridades y
responsabilidades; roles; comunicación; gobierno de terceros, de la documentación
y de los recursos; mejoras y monitoreo del SGS
21. Servicios de TI: principales conceptos en la gestión
Los procesos tienen partes interesadas
internas y externas, cada una con sus
propios roles; las partes interesadas y sus
niveles de responsabilidad están
documentadas en las matrices RACI.
Entre las partes interesadas externas se
incluyen:
• Clientes
• Socios comerciales
• Accionistas
• Entidades Reguladoras
Entre las internas se incluyen:
• Consejo de Dirección
• Plana directiva
• Empleados
Cada empresa necesita diseñar su propio plan de
implantación, atendiendo a los factores específicos
del entorno interno y externo de la empresa, como
por ejemplo:
• Ética y cultura
• Leyes aplicables, regulaciones y políticas
• Misión, visión y valores
• Políticas y prácticas de gobierno
• Plan de negocio y perspectivas estratégicas
• Modelo operativo y nivel de madurez
• Estilo de gestión
• Umbral de riesgo
• Capacidades y recursos disponibles
• Prácticas de la industria
• Desarrollar facilitadores de gobierno empresarial
existentes para su mejora
26. Conocer ISO/IEC20000-1 como base para la auditoría de TI
Hay condiciones que generan profundos cambios en la operación funcional
y tecnológica de las empresas que hacen peligrar el gobierno de sus
procesos internos:
• La adopción de nuevas tecnologías
• La adopción de nuevos estándares o regulaciones de negocios
• La adquisición o fusión de empresas.
Compromisos de la dirección, política de gestión del servicio; autoridades y
responsabilidades; roles; comunicación; gobierno de terceros, de la documentación
y de los recursos; mejoras y monitoreo del SGS
32. Conocer ISO/IEC20000-1 como base para la auditoría de TI
PLANIFICACIÓN
PLANIFICACIÓN Y CONTROL
OPERACIONAL
MONITOREO, MEDICIÓN,
ANÁLISIS Y EVALUACIÓN
ORGANIZACIÓN Y SU
CONTEXTO
NECESIDADES Y EXPECTATIVAS
DE LAS PARTES INTERESADAS
4 6 8 y 9
ENTENDIMIENTO ESTRATEGIA OPERACIÓN
Riesgos
6.1
Cambios
6.3
Objetivos
6.2
34. Conocer ISO/IEC20000-1 como base para la auditoría de TI
7.1 Recursos
7.2 Competencias
7.3 Conocimiento
7.4 Comunicación
(Interna y externa)
7.5 Información
documentada
47. Conocer ISO/IEC20000-1 como base para la auditoría de TI
Modelo de
Negocio
Usuariosdel
Servicio
Patronesdeuso
Visiónyalcance
Diseño del Servicio
Diseño y Arquitectura
Capacidady
disponibilidad
Continuidad
Seguridad
Análisisydiseño
aplicativo
NiveldeServicio
Construcción del
Servicio
Montaje de
infraestructura
HDWySFWde
base
Comunicaciones
Construcción de
software
Desarrollo
Pruebas
56. Conocer ISO/IEC20000-1 como base para la auditoría de TI
8.7.3.1 Política de
Seguridad de la
Información
8.7.3.2 Controles de
Seguridad de las
Información
8.7.3.3 Incidentes de
Seguridad de la
Información.
60. Riesgos de las nuevas metodologías
relacionadas con tecnología
61. Riesgos de las nuevas metodologías relacionadas con tecnología
62. Riesgos de las nuevas metodologías relacionadas con tecnología
Sustituir la documentación por la
comunicación
Discutir un diseño en una pizarra,
que escribirlo en papel
Si dudo sobre como implementar un
requisito nada mejor que hablar con
el Product Owner
Integramos nuestro software con el
de otra empresa, y no sabemos
donde acaba un producto y empieza
el otro”
Valorar más el software que funciona
que la documentación exhaustiva
63. Riesgos de las nuevas metodologías relacionadas con tecnología
Pensábamos que no
necesitábamos
documentar nada,
porque utilizábamos
metodologías ágiles
Se fue un
desarrollador y no
sabemos como hizo
parte del sistema
64. Riesgos de las nuevas metodologías relacionadas con tecnología
SALUD SERVICIOS
LEGALES
BANCOS COMPAÑÍAS
DE SEGURO
GOBIERNO
65. Riesgos de las nuevas metodologías relacionadas con tecnología
Operativo y Cumplimiento
Administración ineficiente o fallas en la
prestación de servicios internos y externos
Débil seguridad de los datos y mayores riesgos
de privacidad
Riesgos en los procesos de servicio de TI y
seguridad de la información
Incapacidad de explotar y proteger activos
(piratería y derechos de propiedad intelectual)
Sistemas y procesos inadecuados para sustentar
el negocio
Estratégico
Fallas del gobierno corporativo y control
interno
Rechazo interno al marco regulatorio
Acciones legales o punitivas por falta de
cumplimiento al marco regulatorio
Incapacidad para atraer y retener
conocimientos y competencias durante la
transición
66. Riesgos de las nuevas metodologías relacionadas con tecnología
69. API
Aseguramiento de Procesos Informáticos
RAS | Risk Advisory Services | IT Assurance, Audit and Compliance
Pablo Silberfich
Socio
psilberfich@bdoargentina.com
Fabián Descalzo
Director
fdescalzo@bdoargentina.com
Experiencia que se
transmite.