SlideShare a Scribd company logo

Auditoría de SI: Seguridad y Protección de Datos

Carlos Chalico
Carlos Chalico

Este documento presenta una conferencia sobre auditoría de sistemas de información, seguridad y protección de datos personales. La conferencia cubre temas como conceptos generales de privacidad y riesgo, marcos de referencia como COBIT y ISO 27000, y retos relacionados con el cumplimiento, revisión y mejora continua de la seguridad y privacidad de la información. El orador también discute la importancia de satisfacer las necesidades de las partes interesadas y cubrir a la organización de forma integral cuando se trata de gobierno y administración

Technology
1 of 72
Download to read offline
Conferencia Auditoría de Sistemas de Información: Seguridad y Protección de Datos Personales Enero de 2014
@CarlosChalico #InfoDFprivacidad Carlos Chalico CISA, CISSP, CISM, CGEIT, CRISC, ISO27000 LA, PbD Ambassador Ouest Business Solutions Inc. Director Eastern Region 2 @CarlosChalico #InfoDFprivacidad ¿Quién está ahí?
@CarlosChalico #InfoDFprivacidad Agenda 3 • Antecedentes • Conceptos Generales • Marcos Referenciales • Preguntas y respuestas
ANTECEDENTES Enero de 2014
@CarlosChalico #InfoDFprivacidad ¿Qué es Privacidad? 5 •En términos generales privacidad es la habilidad de controlar cómo un individuo es identificado, contactado y localizado. •Por décadas, los principios sobre privacidad han evolucionado presentando algunos temas en común a pesar de relacionarse con estructuras legales y sociales diferentes alrededor del mundo. •“La Privacidad agrupa los derechos y obligaciones de los individuos y las organizaciones con respecto a la colección, uso, revelación y retención de información para identificar personas (personally identifiable information / PII)” •Fuente: AICPA
@CarlosChalico #InfoDFprivacidad Avance en el mundo 6 LEYENDAS Ley Nacional de privacidad o protección de datos vigente Otras leyes significativas vigentes Leyes de Privacidad o Protección de Datos emergentes LEYENDAS Ley Nacional de privacidad o protección de datos vigente Otras leyes significativas vigentes Leyes de Privacidad o Protección de Datos emergentes
@CarlosChalico #InfoDFprivacidad Avance en México • 2003. IFAI • 2006. InfoDF • 2007.Artículo 6 constitucional • 2008. Ley de Protección de Datos Personales para el DF • 2009.Artículos 16 Constitucional y 73 fracción XXIX-O • 2010. Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) • 2012. Reglamento LFPDPPP 7
@CarlosChalico #InfoDFprivacidad Retos • ¿Qué sigue? • Cumplimiento • Revisión • Seguimiento • Mejora • ¿Cómo? 8
@CarlosChalico #InfoDFprivacidad Retos 9
@CarlosChalico #InfoDFprivacidad Retos 10 GastoTotal Alto Bajo 1990’s 2000’sTiempo Brecha de Seguridad Sistemas de Información Seguridad de la Información Fuente: EY
CONCEPTOS GENERALES Enero de 2014
@CarlosChalico #InfoDFprivacidad Riesgo 12 La posibilidad de que una amenaza aproveche una o varias vulnerabilidades en uno o varios activos, causándoles daños que pueden variar en su magnitud
@CarlosChalico #InfoDFprivacidad Control 13 ¿Qué es?
@CarlosChalico #InfoDFprivacidad Riesgo y Control 14 El control cubre exactamente el riesgo Riesgo Control Situación Ideal
@CarlosChalico #InfoDFprivacidad Riesgo y Control 15 El control excede el riesgoRiesgo Control Sobrecontrol
@CarlosChalico #InfoDFprivacidad Riesgo y Control 16 El control no cubre el riesgoRiesgo Control Riesgo Remanente Mitigar Eliminar Transferir Asumir
@CarlosChalico #InfoDFprivacidad Clasificación de Controles 17 Controles de Aplicación Controles Manuales Dependientes de IT Controles Generales de IT Manual Preventivo (Puramente) Controles Manuales Manual Detectivo Controles Automatizados Controles Manuales
@CarlosChalico #InfoDFprivacidad Controles 18 Controles de Aplicación y Manuales de TI Controles Generales de TI Entorno TI
@CarlosChalico #InfoDFprivacidad El Entorno deTI 19 Physical Networks Plataformas Datos/DBMS ProcesosProcesos Entorno Físico Redes Plataformas Datos / Sistema de Administración de Bases de Datos Aplicaciones Procesos Tipos de Controles de Aplicación – Ediciones de Entrada – Validaciones de Datos – Información de Excepciones – Segregación de Funciones (seguridad) – Validaciones de Reglas de Negocios – Restricciones de Acceso – Controles de Interfase – Controles de Configuración ControlesGeneralesdeTI Controles generales de TI – Garantía de Continuidad del Servicio – Administración de Rendimiento y Capacidad – Administración de la Seguridad del Sistema – Administración de Problemas e Incidentes – Administración de Datos – Administración del Espacio Físico de TI – Administración de Operaciones – Administración de Cambios ControlesdeAplicacióny ControlesManuales Los Controles Generales brindan la base para los controles de aplicación
@CarlosChalico #InfoDFprivacidad ¿Cómo Enfrentarlo? 20 MARCOS REFERENCIALES
Enero de 2014 MARCOS REFERENCIALES
@CarlosChalico #InfoDFprivacidad Marcos Referenciales 22 COBIT COSO ISO27000 BS10012 ITIL ISO38500 ISO31000 PMBoK PbD TOGAF CMMIPRINCE2.
@CarlosChalico #InfoDFprivacidad Marcos Referenciales 23
@CarlosChalico #InfoDFprivacidad Gobierno Corporativo de TI COBIT 5 COBIT en el tiempo 24 Gobierno de TI COBIT4.0/4.1 Administración COBIT3 Control COBIT2 www.isaca.org/cobit Auditoría COBIT1 2005/720001998 Evolucióndelenfoque 1996 2012 Val IT 2.0 (2008) Risk IT (2009) © 2012 ISACA® All rights reserved.
@CarlosChalico #InfoDFprivacidad Información, beneficio, valor • La información es un bien valioso • Los datos personales son una pieza clave • La TI constituye un soporte indiscutible • Entre los beneficios que hoy se buscan están: • Calidad en la información • Generación de valor en los procesos de tratamiento • Manejo adecuado de riesgos relacionados • Optimización de costos asociados. 25
@CarlosChalico #InfoDFprivacidad Valor para las partes interesadas • Buen gobierno y buena administración • La información y la TI deben ser reconocidas como elementos de valor • Cada día hay mayores exigencias de cumplimiento • COBIT 5 proporciona un marco integral para lograr la generación de valor a través de un la aplicación de un efectivo modelo de gobierno y administración de TI. 26
@CarlosChalico #InfoDFprivacidad Gobierno y Administración deTI • Gobierno de TI: Asegura que la organización alcance sus objetivos a través de la evaluación de las necesidades, condiciones y opciones de las partes interesadas; estableciendo dirección a través de la priorización de acciones y la toma de decisiones; y monitoreando el cumplimiento, desempeño y progreso de las acciones ejecutadas para alcanzar los objetivos y seguir la dirección establecida. 27
@CarlosChalico #InfoDFprivacidad Gobierno y Administración deTI • Administración de TI: Planea, construye, ejecuta y monitorea que las actividades ejecutadas estén en línea con la dirección establecida por el cuerpo de gobierno de la organización para alcanzar los objetivos institucionales. 28
@CarlosChalico #InfoDFprivacidad Gobierno y Administración deTI 29 Administración de TI Gobierno de TI Planea Diseña Decide Monitorea Construye Ejecuta { {
@CarlosChalico #InfoDFprivacidad Principios y habilitadores • COBIT ayuda a las organizaciones a • Generar y reconocer valor de TI • Equilibrar disminución de riesgos y uso de recursos • Tener un enfoque holístico • COBIT cuenta con • 5 Principios • 7 habilitadores 30
@CarlosChalico #InfoDFprivacidad Los principios de COBIT 31 Principios de COBIT 5 1. Satisfacer las necesidades de las partes interesadas 2. Cubrir la Organización de forma integral 3. Aplicar un solo marco integrado 4. Habilitar un enfoque holistico 5. Separar el Gobierno de la Administración Fuente: COBIT® 5, Figura 2. © 2012 ISACA® Todos los derechos reservados.
@CarlosChalico #InfoDFprivacidad Los habilitadores de COBIT 32 Fuente: COBIT® 5, Figura 12. © 2012 ISACA® Todos los Derechos Reservados 1. Principios, Políticas y Marcos 2. Procesos 3. Estructuras Organizacionales 4. Cultura, Ética y Comportamiento 5. Información 6. Servicios, Infraestructura y Aplicaciones 7. Personas, Habilidades y Competencias RECURSOS
@CarlosChalico #InfoDFprivacidad Ahondemos en los principios 33 Principios de COBIT 5 1. Satisfacer las necesidades de las partes interesadas 2. Cubrir la Organización de forma integral 3. Aplicar un solo marco integrado 4. Habilitar un enfoque holistico 5. Separar el Gobierno de la Administración
@CarlosChalico #InfoDFprivacidad Satisfacer las necesidades de las partes interesadas • Las organizaciones requieren crear valor para las partes interesadas. 34 Necesidades de las partes interesadas Impulsan Objetivo del Gobierno: Creación de Valor Realización de Beneficios Optimización de Recursos Optimización de Manejo de Riesgos Fuente: COBIT® 5, Figura 3. © 2012 ISACA® Todos los derechos reservados.
@CarlosChalico #InfoDFprivacidad 35 Satisfacer las necesidades de las partes interesadas ! ●Las Organizaciones tienen muchas partes interesadas y “crear valor” tiene diferentes significados – a veces conflictivos – para cada una de ellas. ●En el Gobierno se trata de negociar y decidir entre los diversos intereses de beneficio de las diferentes partes interesadas. ●El sistema de Gobierno deberá considerar a todas las partes interesadas al tomar decisiones con respecto a la evaluación de riesgos, los beneficios y el manejo de recursos. ●Para cada decisión se pueden, y se deben, hacer las siguientes preguntas: ¿Quién recibe los beneficios? ¿Quién asume el riesgo? ¿Qué recursos se necesitan?
@CarlosChalico #InfoDFprivacidad ● Las necesidades de las Partes Interesadas deben ser transformadas en una estrategia accionable para la Organización. ● Las metas en cascada de COBIT 5 traducen las necesidades de las Partes Interesadas en metas específicas, accionables y personalizadas dentro del contexto de la Organización, de las metas relacionadas con la TI y de las metas habilitadoras. 36 Satisfacer las necesidades de las partes interesadas Pasan a Influencia Pasan a Impulsadores de las Partes Interesadas Metas de la Organización Metas Relacionadas con TI Metas Habilitadoras Realización de Beneficios Optimización de Riesgos Optimización de Recursos Necesidades de las Partes Interesadas Fuente:  COBIT® 5, Figura 4. © 2012 ISACA® Todos los derechos reservados
@CarlosChalico #InfoDFprivacidad Los beneficios de las Metas en Cascada de COBIT 5: ●Permiten definir las prioridades para implementar, mejorar y asegurar el gobierno corporativo de la TI, en base de los objetivos (estratégicos) de la Organización y los riesgos relacionados: ●En la práctica, las metas en cascada: ●Definen los objetivos y las metas tangibles y relevantes, en diferentes niveles de responsabilidad. ●Filtran la base de conocimiento de COBIT 5, en base a las metas corporativas para extraer una orientación relevante para la inclusión en los proyectos específicos de implementación, mejora o aseguramiento. ●Claramente identifican y comunican qué importancia tienen los habilitadores (algunas veces muy operacionales) para lograr las metas corporativas. 37 Satisfacer las necesidades de las partes interesadas
@CarlosChalico #InfoDFprivacidad Cubrir a la organización de Forma Integral ●COBIT 5 se concentra en el gobierno y la administración de la tecnología de la información y relacionadas desde una perspectiva integral a nivel de toda la Organización. ●Esto significa que COBIT 5: ●Integra el gobierno de la TI corporativa en el gobierno corporativo, o sea, el sistema de gobierno para la TI corporativa propuesto por COBIT 5 se integra, de una manera fluida, en cualquier sistema de gobierno, toda vez que COBIT 5 está alineado a los últimos desarrollos en gobierno corporativo. ●Cubre todas las funciones y los procesos dentro de la Organización; COBIT 5 no solamente se concentra en la “Función de la TI”, sino trata la tecnología de la información y relacionadas como activos que necesitan ser manejados como cualquier otro activo, por todos en la Organización. 38
@CarlosChalico #InfoDFprivacidad 39 Los Componentes Clave de un Sistema de Gobierno Fuente  COBIT® 5, Figura 9. © 2012 ISACA® Todos los derechos reservados. Fuente  COBIT® 5, Figura 8. © 2012 ISACA® Todos los derechos reservados. Objetivo del Gobierno: Creación de Valor Realización de Beneficios Optimización de Riesgos Optimización de Recursos Habilitadores de Gobierno Alcance del Gobierno Roles, Actividades y Relaciones Dueños y Partes Interesadas Ente Regulador Administración Operaciones y Ejecución Roles, Actividades y Relaciones Delegan Fijar Directivas MonitorearRendición de Cuentas Informar Instruir y Alinear Cubrir a la organización de Forma Integral
@CarlosChalico #InfoDFprivacidad Aplicar un solo marco integrado 40
@CarlosChalico #InfoDFprivacidad Aplicar un solo marco integrado ●COBIT 5 está alineado con los últimos marcos y normas relevantes usados por las organizaciones: ●Corporativo: COSO, COSO ERM, ISO/IEC 9000, ISO/IEC 31000 ●Relacionado con TI: ISO/IEC 38500, ITIL, la serie ISO/IEC 27000,TOGAF, PMBOK/PRINCE2, CMMI ●Etc. ●Así se permite a la Organización utilizar COBIT 5 como integrador macro en el marco de gobierno y administración. ●ISACA está desarrollando el modelo de capacidad de los procesos para facilitar al usuario de COBIT el mapeo de las prácticas y actividades contra los marcos y normas de terceros. 41
@CarlosChalico #InfoDFprivacidad Habilitar un enfoque holístico Los Habilitadores de COBIT 5 son: ●Factores que, individual y colectivamente, influyen sobre si algo funcionará – en el caso de COBIT, Gobierno y Administración sobre la TI corporativa. ●Impulsados por las metas en cascada, o sea: las metas de alto nivel relacionadas con la TI definen qué deberían lograr los diferentes habilitadores. ●Descritos por el marco de COBIT 5 en siete categorías. 42
@CarlosChalico #InfoDFprivacidad Habilitar un enfoque holístico 43 Fuente: COBIT® 5, Figura 12. © 2012 ISACA® Todos los Derechos Reservados 1. Principios, Políticas y Marcos 2. Procesos 3. Estructuras Organizacionales 4. Cultura, Ética y Comportamiento 5. Información 6. Servicios, Infraestructura y Aplicaciones 7. Personas, Habilidades y Competencias RECURSOS
@CarlosChalico #InfoDFprivacidad Habilitar un enfoque holístico ! 1. Procesos – Describen una serie organizada de prácticas y actividades para lograr determinados objetivos y producir una serie de resultados como apoyo al logro de las metas globales relacionadas con la TI. 2. Estructuras Organizacionales – Constituyen las entidades claves para la toma de decisiones en una organización. 3. Cultura, Ética y Comportamiento – De los individuos así como de la organización; se subestima frecuentemente como factor de éxito en las actividades de gobierno y administración. 4. Principios, Políticas y Marcos – Son los vehículos para traducir el comportamiento deseado en una orientación práctica para la administración diaria. 5. Información – Se encuentra presente en todo el ambiente de cualquier organización; o sea se trata de toda la información producida y usada por la Organización. La información es requerida para mantener la organización andando y bien gobernada, pero a nivel operativo, la información frecuentemente es el producto clave de la organización en si. 6. Servicios, Infraestructura y Aplicaciones – Incluyen la infraestructura, la tecnología y las aplicaciones que proporcionan servicios y procesamiento de tecnología de la información a la organización. 7. Personas, Habilidades y Competencias – Están vinculadas con las personas y son requeridas para completar exitosamente todas las actividades y para tomar las decisiones correctas, así como para llevar a cabo las acciones correctivas. 44
@CarlosChalico #InfoDFprivacidad Habilitar un enfoque holístico ! ●Administración y Gobierno sistémico mediante habilitadores interconectados – Para lograr los objetivos principales de la Organización, siempre debe considerarse una serie interconectada de habilitadores, o sea, cada habilitador: ●Necesita una entrada de otros habilitadores para ser completamente efectivo, o sea, los procesos necesitan información, las estructuras organizacionales necesitan habilidades y comportamiento. ●Entrega un producto de salida a beneficio de otros habilitadores, o sea, los procesos entregan información, las habilidades y el comportamiento hacen que los procesos sean eficientes. ●Esto constituye un principio CLAVE que surge del trabajo de desarrollo de ISACA en el Modelo de Negocios para la Seguridad de la Información. 45
@CarlosChalico #InfoDFprivacidad Habilitar un enfoque holístico Las Dimensiones de los habilitadores de COBIT 5: ●Todos los habilitadores tienen una serie de dimensiones comunes. Dicha serie de dimensiones comunes: ● Proporciona una manera común, sencilla y estructurada para tratar los habilitadores ● Permite a una entidad manejar sus interacciones complejas ● Facilita resultados exitosos de los habilitadores 46 Fuente:  COBIT® 5, Figura 13. © 2012 ISACA® Todos derechos reservados. Métricas para el Logro de las Metas (Indicadores de Resultados) Métricas para la Aplicación de Prácticas (Indicadores de Desempeño) ¿Se aplican Buenas Prácticas? ¿Se administra el Ciclo de Vida? ¿Se Logran las Metas de los ¿Se atienden las Necesidades de las Partes Interesadas? Dimensiónde Habilitadores Administracióndel Desempeñodelos Habilitadores Partes Interesadas Metas Ciclo de Vida Buenas Prácticas • Internas • Externas • Calidad Intrínseca • Calidad Contextual
 (Relevancia,
 Efectividad) • Accesabilidad y
 Seguridad
 • Planificar • Diseñar •Construir/Adquirir/
 Crear/Implementar • Usar/Operar • Evaluar/Monitorear • Actualizar/Disponer • Prácticas • Productos de Trabajo 

@CarlosChalico #InfoDFprivacidad Separar el gobierno de la administración ●El marco de COBIT 5 plasma una distinción muy clara entre el Gobierno y la Administración. ●Estas dos disciplinas: ●Comprenden diferentes tipos de actividades ●Requieren diferentes estructuras organizacionales ●Cumplen diferentes propósitos ●Gobierno— En la mayoría de las organizaciones el Gobierno es responsabilidad de la Junta Directiva bajo el liderazgo de su Presidente. ●Administración— En la mayoría de las organizaciones, la Administración es responsabilidad de la Gerencia Ejecutiva, bajo el liderazgo del Gerente General (CEO). 47
@CarlosChalico #InfoDFprivacidad Separar el gobierno de la administración 48 COBIT 5 propone que las organizaciones implementen los procesos de gobierno y administración de tal manera que las áreas claves queden cubiertas, tal como se muestra a continuación: Administración Gobierno Necesidades de la Organización Retroalimentación MonitorearDirigir Evaluar Planificar (APO) Construir (BAI) Operar (DSS) Monitorear (MEA) Fuente:  COBIT® 5, Figura 15. © 2012 ISACA® Todos derechos reservados.
@CarlosChalico #InfoDFprivacidad Separar el gobierno de la administración 49 ●El marco de COBIT 5 describe siete categorías de habilitadores (Principio 4). Los procesos constituyen una categoría. ●Una organización puede definir sus procesos como estime conveniente, siempre y cuando queden cubiertos todos los objetivos necesarios de gobierno y administración. Las organizaciones más pequeñas podrán tener menos procesos, las organizaciones más grandes y más complejas podrán tener muchos procesos, todos para cubrir los mismos objetivos. ●COBIT 5 incluye un Modelo de Referencia de Procesos, que define y describe en detalle un número de procesos de administración y de gobierno.
@CarlosChalico #InfoDFprivacidad Procesos de COBIT 50 Fuente:  COBIT® 5, Figura 16. © 2012 ISACA® Todos derechos reservados.
@CarlosChalico #InfoDFprivacidad Modelo de capacidad 51 Fuente:  COBIT® 5, Figura 19. © 2012 ISACA® Todos derechos reservados.
@CarlosChalico #InfoDFprivacidad Modelo de implementación 52 Fuente:  COBIT® 5, Figura 5 © 2012 ISACA® Todos derechos reservados.
@CarlosChalico #InfoDFprivacidad Modelo de implementación 53 Fuente:  COBIT® 5, Figura 6 © 2012 ISACA® Todos derechos reservados.
@CarlosChalico #InfoDFprivacidad Modelo de implementación 54 Fuente:  COBIT® 5, Figura 1 © 2012 ISACA® Todos derechos reservados.
@CarlosChalico #InfoDFprivacidad ¿Por qué es importante? 55
@CarlosChalico #InfoDFprivacidad ¿Cómo proceder? • Análisis de Riesgos basado en el modelo de privacidad • Identificación de sistemas personales • Priorización por criticidad • Identificación de riesgos • ¿Qué puede fallar a la luz de nuestros intereses, aseveraciones u objetivos de control? • ¿Que relación existe entre los principios de la ley y los objetivos de control? • ¿Qué amenaza primordial debemos combatir? 56
@CarlosChalico #InfoDFprivacidad ¿Cómo proceder? • Identificación de controles • ¿Mitigan realmente el riesgo? • ¿Consideramos el riesgo remanente? • ¿Cómo se trata? • ¿Qué tipo de controles identificamos? • ¿Cómo los probamos? • ¿Y los controles generales? 57
@CarlosChalico #InfoDFprivacidad ¿Cómo proceder? • Medición de riesgo • ¿Tenemos algún modelo? • ¿COBIT? ¿La Ley? • Definición de recomendaciones • ¿Qué decirle al ente auditado? • ¿Cómo mitigo el riesgo y genero valor? • ¿Cómo presento los resultados? • ¿Cómo doy seguimiento? 58
@CarlosChalico #InfoDFprivacidad ¿Qué es lo que típicamente preocupa? • Control de Accesos. • Control de Cambios. • Operaciones: Control de trabajos programados, generación de respaldos, respuesta a incidentes 59
@CarlosChalico #InfoDFprivacidad ¿Qué debiera ocuparnos? • Licitud • Consentimiento • Calidad de los datos • Confidencialidad • Seguridad • Disponibilidad • Temporalidad 60
@CarlosChalico #InfoDFprivacidad Usemos COBIT 61 Fuente:  COBIT® 5, Figura 16. © 2012 ISACA® Todos derechos reservados.
@CarlosChalico #InfoDFprivacidad Usemos COBIT 62 Fuente:  COBIT® 5. © 2012 ISACA® Todos derechos reservados. • AP013. Pág. 113 • DSS06. Pág. 197 • BAI04. Pág. 141
@CarlosChalico #InfoDFprivacidad ¿Y además de COBIT? 63 Physical Networks Plataformas Datos/DBMS ProcesosProcesos Entorno Físico Redes Plataformas Datos / Sistema de Administración de Bases de Datos Aplicaciones Procesos Tipos de Controles de Aplicación – Ediciones de Entrada – Validaciones de Datos – Información de Excepciones – Segregación de Funciones (seguridad) – Validaciones de Reglas de Negocios – Restricciones de Acceso – Controles de Interfase – Controles de Configuración ControlesGeneralesdeTI Controles generales de TI – Garantía de Continuidad del Servicio – Administración de Rendimiento y Capacidad – Administración de la Seguridad del Sistema – Administración de Problemas e Incidentes – Administración de Datos – Administración del Espacio Físico de TI – Administración de Operaciones – Administración de Cambios ControlesdeAplicacióny ControlesManuales Los Controles Generales brindan la base para los controles de aplicación
@CarlosChalico #InfoDFprivacidad ¿Y además de COBIT? 64 Fuente:  BSI 10012:2009 BSI Todos derechos reservados.
@CarlosChalico #InfoDFprivacidad ¿Y además de COBIT? 65
@CarlosChalico #InfoDFprivacidad Algunos casos • ¿Qué preocupaciones deberíamos tener? • ¿Qué elementos tecnológicos hay que considerar? • ¿Qué acciones debemos ejecutar? • ¿Qué marcos referenciales utilizar? 66
@CarlosChalico #InfoDFprivacidad Algunos casos 1. Una organización ha decidido poner en marcha un nuevo proceso de manejo de archivos que contempla el uso de una aplicación que mantendrá registro de todos los expedientes existentes, además del historial de los movimientos de expedientes al ser removidos del archivo. El proceso será muy diferente respecto de como operan hoy y la aplicación de soporte está siendo desarrollada por personal interno con equipos disponibles fuera de uso y utilizando programas de código abierto. 67
@CarlosChalico #InfoDFprivacidad Algunos casos ! 2. Una organización ha decidido contratar a un proveedor para que opere su centro de atención telefónica. El proveedor es una compañía internacional de origen canadiense, sus servidores son mantenidos por otro proveedor que ha puesto a disposición una aplicación a través del concepto de “Software as a Service (SaaS), lo que quiere decir que todo se opera en la nube y que los datos se almacenarán en un lugar impreciso. Los operadores desarrollarán actividades en México. 68
@CarlosChalico #InfoDFprivacidad Algunos casos! ! 3. Una organización ha habilitado un sistema para habilitar el ejercicio de derechos ARCO, con él, los interesados o titulares, pueden llamar a un centro de atención telefónica para ejercer sus derechos ARCO o ejecutar el proceso a través de un sitio web. El desarrollo del sistema ha corrido a cargo de un despacho externo, se ha usado tecnología de punta, incluso los interesados pueden acceder al sitio vía dispositivos móviles. La operación del sitio queda a cargo de personal de la organización, aunque las labores de mantenimiento al sistema son ejecutadas por el proveedor. 69
@CarlosChalico #InfoDFprivacidad Conclusiones • Hay una gran dependencia de TI en los sistemas de datos personales • Deben reconocerse, identificarse y analizarse los riesgos relacionados con TI en la operación de sistemas de datos personales • El reconocimiento de estos riesgos debe realizarse en conjunto con el de otros que dependan también de TI y/o que afecten a la información • La cooperación entre áreas es indispensable para lograr el éxito 70
@CarlosChalico #InfoDFprivacidad Conclusiones • Existen marcos referenciales como COBIT, BS10012 o PbD que pueden ser de utilidad • Los marcos referenciales no suplen el sentido común • Los elementos tecnológicos en sí mismos deben ser considerados • La elaboración de acciones recomendadas debe perseguir no solamente la disminución del riesgo, sino la generación de valor 71
@CarlosChalico #InfoDFprivacidad ¡Muchas gracias! 72 Carlos Chalico CISA, CISSP, CISM, CGEIT, CRISC, ISO27000 LA, PbD Ambassador Ouest Business Solutions Inc. carlos.chalico@ouestsolutions.com (647)6388062 twitter: @CarlosChalico LinkedIn: ca.linkedin.com/in/carloschalico/

Recommended

Tecnologiasdelainformacion1(Clase01)
Tecnologiasdelainformacion1(Clase01)Tecnologiasdelainformacion1(Clase01)
Tecnologiasdelainformacion1(Clase01)guestb9219fe
 
Val it 2.0 introducción v 2.1
Val it 2.0 introducción v 2.1Val it 2.0 introducción v 2.1
Val it 2.0 introducción v 2.1Slime Argentina
 
Integrando mejores-practicas-gestion-ti cs-cobit v5 2011-10-12
Integrando mejores-practicas-gestion-ti cs-cobit v5 2011-10-12Integrando mejores-practicas-gestion-ti cs-cobit v5 2011-10-12
Integrando mejores-practicas-gestion-ti cs-cobit v5 2011-10-12Mario Javier Monsalve Hazbón
 
Tema 3.3y3.4
Tema 3.3y3.4Tema 3.3y3.4
Tema 3.3y3.4Joshua Rreal
 
ESTRATEGIA DE GESTION DE SERVICIOS TI
ESTRATEGIA DE GESTION DE SERVICIOS TI ESTRATEGIA DE GESTION DE SERVICIOS TI
ESTRATEGIA DE GESTION DE SERVICIOS TINacho_pluz
 
La auditoría en ISO 27001
La auditoría en ISO 27001La auditoría en ISO 27001
La auditoría en ISO 27001ISOTools Chile
 
Temario estrategias de gestion de servicios ti
Temario estrategias de gestion de servicios tiTemario estrategias de gestion de servicios ti
Temario estrategias de gestion de servicios tiDonovan de Mtz
 
Norma iso 27001 gestion de la seguridad cap 11
Norma iso 27001 gestion de la seguridad cap 11Norma iso 27001 gestion de la seguridad cap 11
Norma iso 27001 gestion de la seguridad cap 11abraham moreno
 

Recommended

Tecnologiasdelainformacion1(Clase01)
Tecnologiasdelainformacion1(Clase01)Tecnologiasdelainformacion1(Clase01)
Tecnologiasdelainformacion1(Clase01)guestb9219fe
 
Val it 2.0 introducción v 2.1
Val it 2.0 introducción v 2.1Val it 2.0 introducción v 2.1
Val it 2.0 introducción v 2.1Slime Argentina
 
Integrando mejores-practicas-gestion-ti cs-cobit v5 2011-10-12
Integrando mejores-practicas-gestion-ti cs-cobit v5 2011-10-12Integrando mejores-practicas-gestion-ti cs-cobit v5 2011-10-12
Integrando mejores-practicas-gestion-ti cs-cobit v5 2011-10-12Mario Javier Monsalve Hazbón
 
Tema 3.3y3.4
Tema 3.3y3.4Tema 3.3y3.4
Tema 3.3y3.4Joshua Rreal
 
ESTRATEGIA DE GESTION DE SERVICIOS TI
ESTRATEGIA DE GESTION DE SERVICIOS TI ESTRATEGIA DE GESTION DE SERVICIOS TI
ESTRATEGIA DE GESTION DE SERVICIOS TINacho_pluz
 
La auditoría en ISO 27001
La auditoría en ISO 27001La auditoría en ISO 27001
La auditoría en ISO 27001ISOTools Chile
 
Temario estrategias de gestion de servicios ti
Temario estrategias de gestion de servicios tiTemario estrategias de gestion de servicios ti
Temario estrategias de gestion de servicios tiDonovan de Mtz
 
Norma iso 27001 gestion de la seguridad cap 11
Norma iso 27001 gestion de la seguridad cap 11Norma iso 27001 gestion de la seguridad cap 11
Norma iso 27001 gestion de la seguridad cap 11abraham moreno
 
Manual de Tecnicas Para Auditoria Informatica
Manual de Tecnicas Para Auditoria InformaticaManual de Tecnicas Para Auditoria Informatica
Manual de Tecnicas Para Auditoria InformaticaDiego Pacheco
 
MODELO RACI, METAS Y OBJETIVOS DE LA ESTRATEGIA SERVICIO DE TI.
MODELO RACI, METAS Y OBJETIVOS DE LA ESTRATEGIA SERVICIO DE TI.MODELO RACI, METAS Y OBJETIVOS DE LA ESTRATEGIA SERVICIO DE TI.
MODELO RACI, METAS Y OBJETIVOS DE LA ESTRATEGIA SERVICIO DE TI.Paul Aburto Salazar
 
Outsourcing
OutsourcingOutsourcing
OutsourcingAlberth ibañez Fauched
 
Seguridad logica fisica
Seguridad logica fisicaSeguridad logica fisica
Seguridad logica fisicaIESTP.CAP.FAP. JOSE ABELARDO QUIÑONES
 
Mejores Practicas para el manejo de Tecnología de Información en la organizac...
Mejores Practicas para el manejo de Tecnología de Información en la organizac...Mejores Practicas para el manejo de Tecnología de Información en la organizac...
Mejores Practicas para el manejo de Tecnología de Información en la organizac...Rosmelys Ponce
 
AVPD - El nuevo RGPD, para ingenieros
AVPD - El nuevo RGPD, para ingenierosAVPD - El nuevo RGPD, para ingenieros
AVPD - El nuevo RGPD, para ingenierosAVPD - DBEB
 
Enzimas: Clase Nº1
Enzimas: Clase Nº1Enzimas: Clase Nº1
Enzimas: Clase Nº1miquerales
 
Socializacion Pec Pitayó
Socializacion Pec PitayóSocializacion Pec Pitayó
Socializacion Pec Pitayóredceressuroccidente
 
Mescréations
MescréationsMescréations
MescréationsBaptiste Farail
 
Plaza Viña del Mar
Plaza Viña del MarPlaza Viña del Mar
Plaza Viña del MarNicolas Lopez
 
FORMATO DE INSCRIPCIÓN Y HOJA DE VIDA 2010
FORMATO DE INSCRIPCIÓN Y HOJA DE VIDA 2010FORMATO DE INSCRIPCIÓN Y HOJA DE VIDA 2010
FORMATO DE INSCRIPCIÓN Y HOJA DE VIDA 2010practicasmicrobiologia
 
Coins de paradis
Coins de paradisCoins de paradis
Coins de paradisRenée Gasser
 
Yo tambien Perdi
Yo tambien PerdiYo tambien Perdi
Yo tambien PerdiPositivismo
 
Livre Blanc : Relation Client, ce qu’attendent les e-acheteurs – iAdvize
Livre Blanc : Relation Client, ce qu’attendent les e-acheteurs – iAdvizeLivre Blanc : Relation Client, ce qu’attendent les e-acheteurs – iAdvize
Livre Blanc : Relation Client, ce qu’attendent les e-acheteurs – iAdvizeFrançois-Yves Prigent
 
Centro de Tecnología Educativa de Tacuarembó.Cartilla Alimentación Cuarto Año
Centro de Tecnología Educativa de Tacuarembó.Cartilla Alimentación Cuarto AñoCentro de Tecnología Educativa de Tacuarembó.Cartilla Alimentación Cuarto Año
Centro de Tecnología Educativa de Tacuarembó.Cartilla Alimentación Cuarto Añoguestbdd7fa35
 
Mundial De Hockey 2010
Mundial De Hockey 2010Mundial De Hockey 2010
Mundial De Hockey 2010lu
 
Formato de Evaluación y Seguimiento
Formato de Evaluación y SeguimientoFormato de Evaluación y Seguimiento
Formato de Evaluación y Seguimientopracticasmicrobiologia
 
Reforma educativa y equidad en escuelas multigrado
Reforma educativa y equidad en escuelas multigradoReforma educativa y equidad en escuelas multigrado
Reforma educativa y equidad en escuelas multigradocenobio popoca
 
Revue de presse avril mai 2011
Revue de presse avril mai 2011Revue de presse avril mai 2011
Revue de presse avril mai 2011Le Public Système
 
Idées descartes
Idées descartesIdées descartes
Idées descartesJean-Louis Husson
 
Datasec - Experiencias - Cybersecurity 2013
Datasec - Experiencias - Cybersecurity 2013Datasec - Experiencias - Cybersecurity 2013
Datasec - Experiencias - Cybersecurity 2013Reynaldo C. de la Fuente Abdala
 
Cobit
CobitCobit
CobitKarencientis
 

More Related Content

Viewers also liked

Manual de Tecnicas Para Auditoria Informatica
Manual de Tecnicas Para Auditoria InformaticaManual de Tecnicas Para Auditoria Informatica
Manual de Tecnicas Para Auditoria InformaticaDiego Pacheco
 
MODELO RACI, METAS Y OBJETIVOS DE LA ESTRATEGIA SERVICIO DE TI.
MODELO RACI, METAS Y OBJETIVOS DE LA ESTRATEGIA SERVICIO DE TI.MODELO RACI, METAS Y OBJETIVOS DE LA ESTRATEGIA SERVICIO DE TI.
MODELO RACI, METAS Y OBJETIVOS DE LA ESTRATEGIA SERVICIO DE TI.Paul Aburto Salazar
 
Mejores Practicas para el manejo de Tecnología de Información en la organizac...
Mejores Practicas para el manejo de Tecnología de Información en la organizac...Mejores Practicas para el manejo de Tecnología de Información en la organizac...
Mejores Practicas para el manejo de Tecnología de Información en la organizac...Rosmelys Ponce
 
AVPD - El nuevo RGPD, para ingenieros
AVPD - El nuevo RGPD, para ingenierosAVPD - El nuevo RGPD, para ingenieros
AVPD - El nuevo RGPD, para ingenierosAVPD - DBEB
 
Enzimas: Clase Nº1
Enzimas: Clase Nº1Enzimas: Clase Nº1
Enzimas: Clase Nº1miquerales
 
FORMATO DE INSCRIPCIÓN Y HOJA DE VIDA 2010
FORMATO DE INSCRIPCIÓN Y HOJA DE VIDA 2010FORMATO DE INSCRIPCIÓN Y HOJA DE VIDA 2010
FORMATO DE INSCRIPCIÓN Y HOJA DE VIDA 2010practicasmicrobiologia
 
Yo tambien Perdi
Yo tambien PerdiYo tambien Perdi
Yo tambien PerdiPositivismo
 
Livre Blanc : Relation Client, ce qu’attendent les e-acheteurs – iAdvize
Livre Blanc : Relation Client, ce qu’attendent les e-acheteurs – iAdvizeLivre Blanc : Relation Client, ce qu’attendent les e-acheteurs – iAdvize
Livre Blanc : Relation Client, ce qu’attendent les e-acheteurs – iAdvizeFrançois-Yves Prigent
 
Centro de Tecnología Educativa de Tacuarembó.Cartilla Alimentación Cuarto Año
Centro de Tecnología Educativa de Tacuarembó.Cartilla Alimentación Cuarto AñoCentro de Tecnología Educativa de Tacuarembó.Cartilla Alimentación Cuarto Año
Centro de Tecnología Educativa de Tacuarembó.Cartilla Alimentación Cuarto Añoguestbdd7fa35
 
Mundial De Hockey 2010
Mundial De Hockey 2010Mundial De Hockey 2010
Mundial De Hockey 2010lu
 
Reforma educativa y equidad en escuelas multigrado
Reforma educativa y equidad en escuelas multigradoReforma educativa y equidad en escuelas multigrado
Reforma educativa y equidad en escuelas multigradocenobio popoca
 
Revue de presse avril mai 2011
Revue de presse avril mai 2011Revue de presse avril mai 2011
Revue de presse avril mai 2011Le Public Système
 

Viewers also liked (20)

Manual de Tecnicas Para Auditoria Informatica
Manual de Tecnicas Para Auditoria InformaticaManual de Tecnicas Para Auditoria Informatica
Manual de Tecnicas Para Auditoria Informatica
 
MODELO RACI, METAS Y OBJETIVOS DE LA ESTRATEGIA SERVICIO DE TI.
MODELO RACI, METAS Y OBJETIVOS DE LA ESTRATEGIA SERVICIO DE TI.MODELO RACI, METAS Y OBJETIVOS DE LA ESTRATEGIA SERVICIO DE TI.
MODELO RACI, METAS Y OBJETIVOS DE LA ESTRATEGIA SERVICIO DE TI.
 
Outsourcing
OutsourcingOutsourcing
Outsourcing
 
Seguridad logica fisica
Seguridad logica fisicaSeguridad logica fisica
Seguridad logica fisica
 
Mejores Practicas para el manejo de Tecnología de Información en la organizac...
Mejores Practicas para el manejo de Tecnología de Información en la organizac...Mejores Practicas para el manejo de Tecnología de Información en la organizac...
Mejores Practicas para el manejo de Tecnología de Información en la organizac...
 
AVPD - El nuevo RGPD, para ingenieros
AVPD - El nuevo RGPD, para ingenierosAVPD - El nuevo RGPD, para ingenieros
AVPD - El nuevo RGPD, para ingenieros
 
Enzimas: Clase Nº1
Enzimas: Clase Nº1Enzimas: Clase Nº1
Enzimas: Clase Nº1
 
Socializacion Pec Pitayó
Socializacion Pec PitayóSocializacion Pec Pitayó
Socializacion Pec Pitayó
 
Mescréations
MescréationsMescréations
Mescréations
 
Plaza Viña del Mar
Plaza Viña del MarPlaza Viña del Mar
Plaza Viña del Mar
 
FORMATO DE INSCRIPCIÓN Y HOJA DE VIDA 2010
FORMATO DE INSCRIPCIÓN Y HOJA DE VIDA 2010FORMATO DE INSCRIPCIÓN Y HOJA DE VIDA 2010
FORMATO DE INSCRIPCIÓN Y HOJA DE VIDA 2010
 
Coins de paradis
Coins de paradisCoins de paradis
Coins de paradis
 
Yo tambien Perdi
Yo tambien PerdiYo tambien Perdi
Yo tambien Perdi
 
Livre Blanc : Relation Client, ce qu’attendent les e-acheteurs – iAdvize
Livre Blanc : Relation Client, ce qu’attendent les e-acheteurs – iAdvizeLivre Blanc : Relation Client, ce qu’attendent les e-acheteurs – iAdvize
Livre Blanc : Relation Client, ce qu’attendent les e-acheteurs – iAdvize
 
Centro de Tecnología Educativa de Tacuarembó.Cartilla Alimentación Cuarto Año
Centro de Tecnología Educativa de Tacuarembó.Cartilla Alimentación Cuarto AñoCentro de Tecnología Educativa de Tacuarembó.Cartilla Alimentación Cuarto Año
Centro de Tecnología Educativa de Tacuarembó.Cartilla Alimentación Cuarto Año
 
Mundial De Hockey 2010
Mundial De Hockey 2010Mundial De Hockey 2010
Mundial De Hockey 2010
 
Formato de Evaluación y Seguimiento
Formato de Evaluación y SeguimientoFormato de Evaluación y Seguimiento
Formato de Evaluación y Seguimiento
 
Reforma educativa y equidad en escuelas multigrado
Reforma educativa y equidad en escuelas multigradoReforma educativa y equidad en escuelas multigrado
Reforma educativa y equidad en escuelas multigrado
 
Revue de presse avril mai 2011
Revue de presse avril mai 2011Revue de presse avril mai 2011
Revue de presse avril mai 2011
 
Idées descartes
Idées descartesIdées descartes
Idées descartes
 

Similar to Auditoría de SI: Seguridad y Protección de Datos

Normas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informáticaNormas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informáticaElvin Hernandez
 
ACTIVIDADES DE AUTOEVALUACION
ACTIVIDADES DE AUTOEVALUACIONACTIVIDADES DE AUTOEVALUACION
ACTIVIDADES DE AUTOEVALUACIONjojhanson
 
Informe cobit 5.0
Informe cobit 5.0Informe cobit 5.0
Informe cobit 5.0Eli Blas
 
SISTEMAS DE INFORMACIÓN DE LAS ORGANIZACIONES Y ESTRATEGIAS
SISTEMAS DE INFORMACIÓN DE LAS ORGANIZACIONES Y ESTRATEGIAS SISTEMAS DE INFORMACIÓN DE LAS ORGANIZACIONES Y ESTRATEGIAS
SISTEMAS DE INFORMACIÓN DE LAS ORGANIZACIONES Y ESTRATEGIAS ClaudiaFajardo17
 
133 Chalico Privacidad
133 Chalico Privacidad133 Chalico Privacidad
133 Chalico PrivacidadCarlos Chalico
 
Política pública de IA responsable: la experiencia chilena en regulación de l...
Política pública de IA responsable: la experiencia chilena en regulación de l...Política pública de IA responsable: la experiencia chilena en regulación de l...
Política pública de IA responsable: la experiencia chilena en regulación de l...Comisión de Regulación de Comunicaciones
 
Emprendimiento tecnológico y ciberseguridad
Emprendimiento tecnológico y ciberseguridad Emprendimiento tecnológico y ciberseguridad
Emprendimiento tecnológico y ciberseguridad Raúl Díaz
 
Asobancaria definiendo la estrategia de privacidad
Asobancaria definiendo la estrategia de privacidadAsobancaria definiendo la estrategia de privacidad
Asobancaria definiendo la estrategia de privacidadCarlos Chalico
 

Similar to Auditoría de SI: Seguridad y Protección de Datos (20)

Datasec - Experiencias - Cybersecurity 2013
Datasec - Experiencias - Cybersecurity 2013Datasec - Experiencias - Cybersecurity 2013
Datasec - Experiencias - Cybersecurity 2013
 
Cobit
CobitCobit
Cobit
 
Semana 3 IC.pptx
Semana 3 IC.pptxSemana 3 IC.pptx
Semana 3 IC.pptx
 
Entregable final
Entregable finalEntregable final
Entregable final
 
Tareas de gestion
Tareas de gestionTareas de gestion
Tareas de gestion
 
Tareas de gestion
Tareas de gestionTareas de gestion
Tareas de gestion
 
Tareas de gestion
Tareas de gestionTareas de gestion
Tareas de gestion
 
Principios de COBIT.pdf
Principios de COBIT.pdfPrincipios de COBIT.pdf
Principios de COBIT.pdf
 
Unidad 2
Unidad 2Unidad 2
Unidad 2
 
Normas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informáticaNormas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informática
 
Tarea SIA 17.05.2012
Tarea SIA 17.05.2012Tarea SIA 17.05.2012
Tarea SIA 17.05.2012
 
Cobit1
Cobit1Cobit1
Cobit1
 
ACTIVIDADES DE AUTOEVALUACION
ACTIVIDADES DE AUTOEVALUACIONACTIVIDADES DE AUTOEVALUACION
ACTIVIDADES DE AUTOEVALUACION
 
Unidades
UnidadesUnidades
Unidades
 
Informe cobit 5.0
Informe cobit 5.0Informe cobit 5.0
Informe cobit 5.0
 
SISTEMAS DE INFORMACIÓN DE LAS ORGANIZACIONES Y ESTRATEGIAS
SISTEMAS DE INFORMACIÓN DE LAS ORGANIZACIONES Y ESTRATEGIAS SISTEMAS DE INFORMACIÓN DE LAS ORGANIZACIONES Y ESTRATEGIAS
SISTEMAS DE INFORMACIÓN DE LAS ORGANIZACIONES Y ESTRATEGIAS
 
133 Chalico Privacidad
133 Chalico Privacidad133 Chalico Privacidad
133 Chalico Privacidad
 
Política pública de IA responsable: la experiencia chilena en regulación de l...
Política pública de IA responsable: la experiencia chilena en regulación de l...Política pública de IA responsable: la experiencia chilena en regulación de l...
Política pública de IA responsable: la experiencia chilena en regulación de l...
 
Emprendimiento tecnológico y ciberseguridad
Emprendimiento tecnológico y ciberseguridad Emprendimiento tecnológico y ciberseguridad
Emprendimiento tecnológico y ciberseguridad
 
Asobancaria definiendo la estrategia de privacidad
Asobancaria definiendo la estrategia de privacidadAsobancaria definiendo la estrategia de privacidad
Asobancaria definiendo la estrategia de privacidad
 

More from Carlos Chalico

Isaca monterrey dic 2019
Isaca monterrey dic 2019Isaca monterrey dic 2019
Isaca monterrey dic 2019Carlos Chalico
 
ISACA Monterrey - Confianza Digital Diciembre 2018
ISACA Monterrey - Confianza Digital Diciembre 2018ISACA Monterrey - Confianza Digital Diciembre 2018
ISACA Monterrey - Confianza Digital Diciembre 2018Carlos Chalico
 
ISACA Privacidad LATAM
ISACA Privacidad LATAMISACA Privacidad LATAM
ISACA Privacidad LATAMCarlos Chalico
 
EuroCACS 2016 There are giants in the sky
EuroCACS 2016 There are giants in the skyEuroCACS 2016 There are giants in the sky
EuroCACS 2016 There are giants in the skyCarlos Chalico
 
121 Chalico Internet de las Cosas
121 Chalico Internet de las Cosas121 Chalico Internet de las Cosas
121 Chalico Internet de las CosasCarlos Chalico
 
Día Internacional de Protección de Datos Personales IFAI 2015
Día Internacional de Protección de Datos Personales IFAI 2015Día Internacional de Protección de Datos Personales IFAI 2015
Día Internacional de Protección de Datos Personales IFAI 2015Carlos Chalico
 
Latin CACS 2009 Carlos Chalico
Latin CACS 2009 Carlos ChalicoLatin CACS 2009 Carlos Chalico
Latin CACS 2009 Carlos ChalicoCarlos Chalico
 
Día Internacional de la Protección de Datos Personales 2015
Día Internacional de la Protección de Datos Personales 2015Día Internacional de la Protección de Datos Personales 2015
Día Internacional de la Protección de Datos Personales 2015Carlos Chalico
 
Data Lifecycle Risks Considerations and Controls
Data Lifecycle Risks Considerations and ControlsData Lifecycle Risks Considerations and Controls
Data Lifecycle Risks Considerations and ControlsCarlos Chalico
 
InfoDF Protección de Datos Personales en Redes Sociales
InfoDF Protección de Datos Personales en Redes SocialesInfoDF Protección de Datos Personales en Redes Sociales
InfoDF Protección de Datos Personales en Redes SocialesCarlos Chalico
 

More from Carlos Chalico (17)

Isaca monterrey dic 2019
Isaca monterrey dic 2019Isaca monterrey dic 2019
Isaca monterrey dic 2019
 
ISACA Monterrey - Confianza Digital Diciembre 2018
ISACA Monterrey - Confianza Digital Diciembre 2018ISACA Monterrey - Confianza Digital Diciembre 2018
ISACA Monterrey - Confianza Digital Diciembre 2018
 
ISACA Privacidad LATAM
ISACA Privacidad LATAMISACA Privacidad LATAM
ISACA Privacidad LATAM
 
ISACA DevOps LATAM
ISACA DevOps LATAMISACA DevOps LATAM
ISACA DevOps LATAM
 
Kijiji 160616
Kijiji 160616Kijiji 160616
Kijiji 160616
 
EuroCACS 2016 There are giants in the sky
EuroCACS 2016 There are giants in the skyEuroCACS 2016 There are giants in the sky
EuroCACS 2016 There are giants in the sky
 
121 Chalico Internet de las Cosas
121 Chalico Internet de las Cosas121 Chalico Internet de las Cosas
121 Chalico Internet de las Cosas
 
Día Internacional de Protección de Datos Personales IFAI 2015
Día Internacional de Protección de Datos Personales IFAI 2015Día Internacional de Protección de Datos Personales IFAI 2015
Día Internacional de Protección de Datos Personales IFAI 2015
 
Latin CACS 2009 224
Latin CACS 2009 224Latin CACS 2009 224
Latin CACS 2009 224
 
Latin CACS 2009 Carlos Chalico
Latin CACS 2009 Carlos ChalicoLatin CACS 2009 Carlos Chalico
Latin CACS 2009 Carlos Chalico
 
Latin CACS 2007 CC CZ
Latin CACS 2007 CC CZLatin CACS 2007 CC CZ
Latin CACS 2007 CC CZ
 
Latin cacs 2004 CC CZ
Latin cacs 2004 CC CZLatin cacs 2004 CC CZ
Latin cacs 2004 CC CZ
 
Día Internacional de la Protección de Datos Personales 2015
Día Internacional de la Protección de Datos Personales 2015Día Internacional de la Protección de Datos Personales 2015
Día Internacional de la Protección de Datos Personales 2015
 
IT Governance
IT GovernanceIT Governance
IT Governance
 
Data Lifecycle Risks Considerations and Controls
Data Lifecycle Risks Considerations and ControlsData Lifecycle Risks Considerations and Controls
Data Lifecycle Risks Considerations and Controls
 
InfoDF Protección de Datos Personales en Redes Sociales
InfoDF Protección de Datos Personales en Redes SocialesInfoDF Protección de Datos Personales en Redes Sociales
InfoDF Protección de Datos Personales en Redes Sociales
 
Giss 2009 Final
Giss 2009 FinalGiss 2009 Final
Giss 2009 Final
 

Recently uploaded

ORIENTACIONES DE INFORMÁTICA-2024.pdf-guia
ORIENTACIONES DE INFORMÁTICA-2024.pdf-guiaORIENTACIONES DE INFORMÁTICA-2024.pdf-guia
ORIENTACIONES DE INFORMÁTICA-2024.pdf-guiaYeimys Ch
 
Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1ivanapaterninar
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfedepmariaperez
 
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptxHugoGutierrez99
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúCEFERINO DELGADO FLORES
 
Slideshare y Scribd - Noli Cubillan Gerencia
Slideshare y Scribd - Noli Cubillan GerenciaSlideshare y Scribd - Noli Cubillan Gerencia
Slideshare y Scribd - Noli Cubillan Gerenciacubillannoly
 
Clasificación de Conjuntos de Datos Desequilibrados.pptx
Clasificación de Conjuntos de Datos Desequilibrados.pptxClasificación de Conjuntos de Datos Desequilibrados.pptx
Clasificación de Conjuntos de Datos Desequilibrados.pptxCarolina Bujaico
 
_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf
_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf
_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdfBetianaJuarez1
 
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxModelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxtjcesar1
 
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docxTALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docxobandopaula444
 
Documentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos JuridicosDocumentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos JuridicosAlbanyMartinez7
 
PROYECCIÓN DE VISTAS planos de vistas y mas
PROYECCIÓN DE VISTAS planos de vistas y masPROYECCIÓN DE VISTAS planos de vistas y mas
PROYECCIÓN DE VISTAS planos de vistas y maslida630411
 
Trabajando con Formasy Smart art en power Point
Trabajando con Formasy Smart art en power PointTrabajando con Formasy Smart art en power Point
Trabajando con Formasy Smart art en power PointValerioIvanDePazLoja
 
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024u20211198540
 
Viguetas Pretensadas en concreto armado
Viguetas Pretensadas en concreto armadoViguetas Pretensadas en concreto armado
Viguetas Pretensadas en concreto armadob7fwtwtfxf
 
Herramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdfHerramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdfKarinaCambero3
 
La electricidad y la electronica.10-7.pdf
La electricidad y la electronica.10-7.pdfLa electricidad y la electronica.10-7.pdf
La electricidad y la electronica.10-7.pdfcristianrb0324
 
certificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdfcertificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdfFernandoOblitasVivan
 
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docx
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docxPLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docx
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docxhasbleidit
 

Recently uploaded (20)

ORIENTACIONES DE INFORMÁTICA-2024.pdf-guia
ORIENTACIONES DE INFORMÁTICA-2024.pdf-guiaORIENTACIONES DE INFORMÁTICA-2024.pdf-guia
ORIENTACIONES DE INFORMÁTICA-2024.pdf-guia
 
Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdf
 
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
 
Slideshare y Scribd - Noli Cubillan Gerencia
Slideshare y Scribd - Noli Cubillan GerenciaSlideshare y Scribd - Noli Cubillan Gerencia
Slideshare y Scribd - Noli Cubillan Gerencia
 
Clasificación de Conjuntos de Datos Desequilibrados.pptx
Clasificación de Conjuntos de Datos Desequilibrados.pptxClasificación de Conjuntos de Datos Desequilibrados.pptx
Clasificación de Conjuntos de Datos Desequilibrados.pptx
 
_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf
_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf
_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf
 
El camino a convertirse en Microsoft MVP
El camino a convertirse en Microsoft MVPEl camino a convertirse en Microsoft MVP
El camino a convertirse en Microsoft MVP
 
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxModelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
 
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docxTALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
 
Documentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos JuridicosDocumentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos Juridicos
 
PROYECCIÓN DE VISTAS planos de vistas y mas
PROYECCIÓN DE VISTAS planos de vistas y masPROYECCIÓN DE VISTAS planos de vistas y mas
PROYECCIÓN DE VISTAS planos de vistas y mas
 
Trabajando con Formasy Smart art en power Point
Trabajando con Formasy Smart art en power PointTrabajando con Formasy Smart art en power Point
Trabajando con Formasy Smart art en power Point
 
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
 
Viguetas Pretensadas en concreto armado
Viguetas Pretensadas en concreto armadoViguetas Pretensadas en concreto armado
Viguetas Pretensadas en concreto armado
 
Herramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdfHerramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdf
 
La electricidad y la electronica.10-7.pdf
La electricidad y la electronica.10-7.pdfLa electricidad y la electronica.10-7.pdf
La electricidad y la electronica.10-7.pdf
 
certificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdfcertificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdf
 
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docx
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docxPLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docx
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docx
 

Auditoría de SI: Seguridad y Protección de Datos

  • 1. Conferencia Auditoría de Sistemas de Información: Seguridad y Protección de Datos Personales Enero de 2014
  • 2. @CarlosChalico #InfoDFprivacidad Carlos Chalico CISA, CISSP, CISM, CGEIT, CRISC, ISO27000 LA, PbD Ambassador Ouest Business Solutions Inc. Director Eastern Region 2 @CarlosChalico #InfoDFprivacidad ¿Quién está ahí?
  • 3. @CarlosChalico #InfoDFprivacidad Agenda 3 • Antecedentes • Conceptos Generales • Marcos Referenciales • Preguntas y respuestas
  • 5. @CarlosChalico #InfoDFprivacidad ¿Qué es Privacidad? 5 •En términos generales privacidad es la habilidad de controlar cómo un individuo es identificado, contactado y localizado. •Por décadas, los principios sobre privacidad han evolucionado presentando algunos temas en común a pesar de relacionarse con estructuras legales y sociales diferentes alrededor del mundo. •“La Privacidad agrupa los derechos y obligaciones de los individuos y las organizaciones con respecto a la colección, uso, revelación y retención de información para identificar personas (personally identifiable information / PII)” •Fuente: AICPA
  • 6. @CarlosChalico #InfoDFprivacidad Avance en el mundo 6 LEYENDAS Ley Nacional de privacidad o protección de datos vigente Otras leyes significativas vigentes Leyes de Privacidad o Protección de Datos emergentes LEYENDAS Ley Nacional de privacidad o protección de datos vigente Otras leyes significativas vigentes Leyes de Privacidad o Protección de Datos emergentes
  • 7. @CarlosChalico #InfoDFprivacidad Avance en México • 2003. IFAI • 2006. InfoDF • 2007.Artículo 6 constitucional • 2008. Ley de Protección de Datos Personales para el DF • 2009.Artículos 16 Constitucional y 73 fracción XXIX-O • 2010. Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) • 2012. Reglamento LFPDPPP 7
  • 8. @CarlosChalico #InfoDFprivacidad Retos • ¿Qué sigue? • Cumplimiento • Revisión • Seguimiento • Mejora • ¿Cómo? 8
  • 10. @CarlosChalico #InfoDFprivacidad Retos 10 GastoTotal Alto Bajo 1990’s 2000’sTiempo Brecha de Seguridad Sistemas de Información Seguridad de la Información Fuente: EY
  • 12. @CarlosChalico #InfoDFprivacidad Riesgo 12 La posibilidad de que una amenaza aproveche una o varias vulnerabilidades en uno o varios activos, causándoles daños que pueden variar en su magnitud
  • 14. @CarlosChalico #InfoDFprivacidad Riesgo y Control 14 El control cubre exactamente el riesgo Riesgo Control Situación Ideal
  • 15. @CarlosChalico #InfoDFprivacidad Riesgo y Control 15 El control excede el riesgoRiesgo Control Sobrecontrol
  • 16. @CarlosChalico #InfoDFprivacidad Riesgo y Control 16 El control no cubre el riesgoRiesgo Control Riesgo Remanente Mitigar Eliminar Transferir Asumir
  • 17. @CarlosChalico #InfoDFprivacidad Clasificación de Controles 17 Controles de Aplicación Controles Manuales Dependientes de IT Controles Generales de IT Manual Preventivo (Puramente) Controles Manuales Manual Detectivo Controles Automatizados Controles Manuales
  • 18. @CarlosChalico #InfoDFprivacidad Controles 18 Controles de Aplicación y Manuales de TI Controles Generales de TI Entorno TI
  • 19. @CarlosChalico #InfoDFprivacidad El Entorno deTI 19 Physical Networks Plataformas Datos/DBMS ProcesosProcesos Entorno Físico Redes Plataformas Datos / Sistema de Administración de Bases de Datos Aplicaciones Procesos Tipos de Controles de Aplicación – Ediciones de Entrada – Validaciones de Datos – Información de Excepciones – Segregación de Funciones (seguridad) – Validaciones de Reglas de Negocios – Restricciones de Acceso – Controles de Interfase – Controles de Configuración ControlesGeneralesdeTI Controles generales de TI – Garantía de Continuidad del Servicio – Administración de Rendimiento y Capacidad – Administración de la Seguridad del Sistema – Administración de Problemas e Incidentes – Administración de Datos – Administración del Espacio Físico de TI – Administración de Operaciones – Administración de Cambios ControlesdeAplicacióny ControlesManuales Los Controles Generales brindan la base para los controles de aplicación
  • 24. @CarlosChalico #InfoDFprivacidad Gobierno Corporativo de TI COBIT 5 COBIT en el tiempo 24 Gobierno de TI COBIT4.0/4.1 Administración COBIT3 Control COBIT2 www.isaca.org/cobit Auditoría COBIT1 2005/720001998 Evolucióndelenfoque 1996 2012 Val IT 2.0 (2008) Risk IT (2009) © 2012 ISACA® All rights reserved.
  • 25. @CarlosChalico #InfoDFprivacidad Información, beneficio, valor • La información es un bien valioso • Los datos personales son una pieza clave • La TI constituye un soporte indiscutible • Entre los beneficios que hoy se buscan están: • Calidad en la información • Generación de valor en los procesos de tratamiento • Manejo adecuado de riesgos relacionados • Optimización de costos asociados. 25
  • 26. @CarlosChalico #InfoDFprivacidad Valor para las partes interesadas • Buen gobierno y buena administración • La información y la TI deben ser reconocidas como elementos de valor • Cada día hay mayores exigencias de cumplimiento • COBIT 5 proporciona un marco integral para lograr la generación de valor a través de un la aplicación de un efectivo modelo de gobierno y administración de TI. 26
  • 27. @CarlosChalico #InfoDFprivacidad Gobierno y Administración deTI • Gobierno de TI: Asegura que la organización alcance sus objetivos a través de la evaluación de las necesidades, condiciones y opciones de las partes interesadas; estableciendo dirección a través de la priorización de acciones y la toma de decisiones; y monitoreando el cumplimiento, desempeño y progreso de las acciones ejecutadas para alcanzar los objetivos y seguir la dirección establecida. 27
  • 28. @CarlosChalico #InfoDFprivacidad Gobierno y Administración deTI • Administración de TI: Planea, construye, ejecuta y monitorea que las actividades ejecutadas estén en línea con la dirección establecida por el cuerpo de gobierno de la organización para alcanzar los objetivos institucionales. 28
  • 29. @CarlosChalico #InfoDFprivacidad Gobierno y Administración deTI 29 Administración de TI Gobierno de TI Planea Diseña Decide Monitorea Construye Ejecuta { {
  • 30. @CarlosChalico #InfoDFprivacidad Principios y habilitadores • COBIT ayuda a las organizaciones a • Generar y reconocer valor de TI • Equilibrar disminución de riesgos y uso de recursos • Tener un enfoque holístico • COBIT cuenta con • 5 Principios • 7 habilitadores 30
  • 31. @CarlosChalico #InfoDFprivacidad Los principios de COBIT 31 Principios de COBIT 5 1. Satisfacer las necesidades de las partes interesadas 2. Cubrir la Organización de forma integral 3. Aplicar un solo marco integrado 4. Habilitar un enfoque holistico 5. Separar el Gobierno de la Administración Fuente: COBIT® 5, Figura 2. © 2012 ISACA® Todos los derechos reservados.
  • 32. @CarlosChalico #InfoDFprivacidad Los habilitadores de COBIT 32 Fuente: COBIT® 5, Figura 12. © 2012 ISACA® Todos los Derechos Reservados 1. Principios, Políticas y Marcos 2. Procesos 3. Estructuras Organizacionales 4. Cultura, Ética y Comportamiento 5. Información 6. Servicios, Infraestructura y Aplicaciones 7. Personas, Habilidades y Competencias RECURSOS
  • 33. @CarlosChalico #InfoDFprivacidad Ahondemos en los principios 33 Principios de COBIT 5 1. Satisfacer las necesidades de las partes interesadas 2. Cubrir la Organización de forma integral 3. Aplicar un solo marco integrado 4. Habilitar un enfoque holistico 5. Separar el Gobierno de la Administración
  • 34. @CarlosChalico #InfoDFprivacidad Satisfacer las necesidades de las partes interesadas • Las organizaciones requieren crear valor para las partes interesadas. 34 Necesidades de las partes interesadas Impulsan Objetivo del Gobierno: Creación de Valor Realización de Beneficios Optimización de Recursos Optimización de Manejo de Riesgos Fuente: COBIT® 5, Figura 3. © 2012 ISACA® Todos los derechos reservados.
  • 35. @CarlosChalico #InfoDFprivacidad 35 Satisfacer las necesidades de las partes interesadas ! ●Las Organizaciones tienen muchas partes interesadas y “crear valor” tiene diferentes significados – a veces conflictivos – para cada una de ellas. ●En el Gobierno se trata de negociar y decidir entre los diversos intereses de beneficio de las diferentes partes interesadas. ●El sistema de Gobierno deberá considerar a todas las partes interesadas al tomar decisiones con respecto a la evaluación de riesgos, los beneficios y el manejo de recursos. ●Para cada decisión se pueden, y se deben, hacer las siguientes preguntas: ¿Quién recibe los beneficios? ¿Quién asume el riesgo? ¿Qué recursos se necesitan?
  • 36. @CarlosChalico #InfoDFprivacidad ● Las necesidades de las Partes Interesadas deben ser transformadas en una estrategia accionable para la Organización. ● Las metas en cascada de COBIT 5 traducen las necesidades de las Partes Interesadas en metas específicas, accionables y personalizadas dentro del contexto de la Organización, de las metas relacionadas con la TI y de las metas habilitadoras. 36 Satisfacer las necesidades de las partes interesadas Pasan a Influencia Pasan a Impulsadores de las Partes Interesadas Metas de la Organización Metas Relacionadas con TI Metas Habilitadoras Realización de Beneficios Optimización de Riesgos Optimización de Recursos Necesidades de las Partes Interesadas Fuente:  COBIT® 5, Figura 4. © 2012 ISACA® Todos los derechos reservados
  • 37. @CarlosChalico #InfoDFprivacidad Los beneficios de las Metas en Cascada de COBIT 5: ●Permiten definir las prioridades para implementar, mejorar y asegurar el gobierno corporativo de la TI, en base de los objetivos (estratégicos) de la Organización y los riesgos relacionados: ●En la práctica, las metas en cascada: ●Definen los objetivos y las metas tangibles y relevantes, en diferentes niveles de responsabilidad. ●Filtran la base de conocimiento de COBIT 5, en base a las metas corporativas para extraer una orientación relevante para la inclusión en los proyectos específicos de implementación, mejora o aseguramiento. ●Claramente identifican y comunican qué importancia tienen los habilitadores (algunas veces muy operacionales) para lograr las metas corporativas. 37 Satisfacer las necesidades de las partes interesadas
  • 38. @CarlosChalico #InfoDFprivacidad Cubrir a la organización de Forma Integral ●COBIT 5 se concentra en el gobierno y la administración de la tecnología de la información y relacionadas desde una perspectiva integral a nivel de toda la Organización. ●Esto significa que COBIT 5: ●Integra el gobierno de la TI corporativa en el gobierno corporativo, o sea, el sistema de gobierno para la TI corporativa propuesto por COBIT 5 se integra, de una manera fluida, en cualquier sistema de gobierno, toda vez que COBIT 5 está alineado a los últimos desarrollos en gobierno corporativo. ●Cubre todas las funciones y los procesos dentro de la Organización; COBIT 5 no solamente se concentra en la “Función de la TI”, sino trata la tecnología de la información y relacionadas como activos que necesitan ser manejados como cualquier otro activo, por todos en la Organización. 38
  • 39. @CarlosChalico #InfoDFprivacidad 39 Los Componentes Clave de un Sistema de Gobierno Fuente  COBIT® 5, Figura 9. © 2012 ISACA® Todos los derechos reservados. Fuente  COBIT® 5, Figura 8. © 2012 ISACA® Todos los derechos reservados. Objetivo del Gobierno: Creación de Valor Realización de Beneficios Optimización de Riesgos Optimización de Recursos Habilitadores de Gobierno Alcance del Gobierno Roles, Actividades y Relaciones Dueños y Partes Interesadas Ente Regulador Administración Operaciones y Ejecución Roles, Actividades y Relaciones Delegan Fijar Directivas MonitorearRendición de Cuentas Informar Instruir y Alinear Cubrir a la organización de Forma Integral
  • 41. @CarlosChalico #InfoDFprivacidad Aplicar un solo marco integrado ●COBIT 5 está alineado con los últimos marcos y normas relevantes usados por las organizaciones: ●Corporativo: COSO, COSO ERM, ISO/IEC 9000, ISO/IEC 31000 ●Relacionado con TI: ISO/IEC 38500, ITIL, la serie ISO/IEC 27000,TOGAF, PMBOK/PRINCE2, CMMI ●Etc. ●Así se permite a la Organización utilizar COBIT 5 como integrador macro en el marco de gobierno y administración. ●ISACA está desarrollando el modelo de capacidad de los procesos para facilitar al usuario de COBIT el mapeo de las prácticas y actividades contra los marcos y normas de terceros. 41
  • 42. @CarlosChalico #InfoDFprivacidad Habilitar un enfoque holístico Los Habilitadores de COBIT 5 son: ●Factores que, individual y colectivamente, influyen sobre si algo funcionará – en el caso de COBIT, Gobierno y Administración sobre la TI corporativa. ●Impulsados por las metas en cascada, o sea: las metas de alto nivel relacionadas con la TI definen qué deberían lograr los diferentes habilitadores. ●Descritos por el marco de COBIT 5 en siete categorías. 42
  • 43. @CarlosChalico #InfoDFprivacidad Habilitar un enfoque holístico 43 Fuente: COBIT® 5, Figura 12. © 2012 ISACA® Todos los Derechos Reservados 1. Principios, Políticas y Marcos 2. Procesos 3. Estructuras Organizacionales 4. Cultura, Ética y Comportamiento 5. Información 6. Servicios, Infraestructura y Aplicaciones 7. Personas, Habilidades y Competencias RECURSOS
  • 44. @CarlosChalico #InfoDFprivacidad Habilitar un enfoque holístico ! 1. Procesos – Describen una serie organizada de prácticas y actividades para lograr determinados objetivos y producir una serie de resultados como apoyo al logro de las metas globales relacionadas con la TI. 2. Estructuras Organizacionales – Constituyen las entidades claves para la toma de decisiones en una organización. 3. Cultura, Ética y Comportamiento – De los individuos así como de la organización; se subestima frecuentemente como factor de éxito en las actividades de gobierno y administración. 4. Principios, Políticas y Marcos – Son los vehículos para traducir el comportamiento deseado en una orientación práctica para la administración diaria. 5. Información – Se encuentra presente en todo el ambiente de cualquier organización; o sea se trata de toda la información producida y usada por la Organización. La información es requerida para mantener la organización andando y bien gobernada, pero a nivel operativo, la información frecuentemente es el producto clave de la organización en si. 6. Servicios, Infraestructura y Aplicaciones – Incluyen la infraestructura, la tecnología y las aplicaciones que proporcionan servicios y procesamiento de tecnología de la información a la organización. 7. Personas, Habilidades y Competencias – Están vinculadas con las personas y son requeridas para completar exitosamente todas las actividades y para tomar las decisiones correctas, así como para llevar a cabo las acciones correctivas. 44
  • 45. @CarlosChalico #InfoDFprivacidad Habilitar un enfoque holístico ! ●Administración y Gobierno sistémico mediante habilitadores interconectados – Para lograr los objetivos principales de la Organización, siempre debe considerarse una serie interconectada de habilitadores, o sea, cada habilitador: ●Necesita una entrada de otros habilitadores para ser completamente efectivo, o sea, los procesos necesitan información, las estructuras organizacionales necesitan habilidades y comportamiento. ●Entrega un producto de salida a beneficio de otros habilitadores, o sea, los procesos entregan información, las habilidades y el comportamiento hacen que los procesos sean eficientes. ●Esto constituye un principio CLAVE que surge del trabajo de desarrollo de ISACA en el Modelo de Negocios para la Seguridad de la Información. 45
  • 46. @CarlosChalico #InfoDFprivacidad Habilitar un enfoque holístico Las Dimensiones de los habilitadores de COBIT 5: ●Todos los habilitadores tienen una serie de dimensiones comunes. Dicha serie de dimensiones comunes: ● Proporciona una manera común, sencilla y estructurada para tratar los habilitadores ● Permite a una entidad manejar sus interacciones complejas ● Facilita resultados exitosos de los habilitadores 46 Fuente:  COBIT® 5, Figura 13. © 2012 ISACA® Todos derechos reservados. Métricas para el Logro de las Metas (Indicadores de Resultados) Métricas para la Aplicación de Prácticas (Indicadores de Desempeño) ¿Se aplican Buenas Prácticas? ¿Se administra el Ciclo de Vida? ¿Se Logran las Metas de los ¿Se atienden las Necesidades de las Partes Interesadas? Dimensiónde Habilitadores Administracióndel Desempeñodelos Habilitadores Partes Interesadas Metas Ciclo de Vida Buenas Prácticas • Internas • Externas • Calidad Intrínseca • Calidad Contextual
 (Relevancia,
 Efectividad) • Accesabilidad y
 Seguridad
 • Planificar • Diseñar •Construir/Adquirir/
 Crear/Implementar • Usar/Operar • Evaluar/Monitorear • Actualizar/Disponer • Prácticas • Productos de Trabajo 

  • 47. @CarlosChalico #InfoDFprivacidad Separar el gobierno de la administración ●El marco de COBIT 5 plasma una distinción muy clara entre el Gobierno y la Administración. ●Estas dos disciplinas: ●Comprenden diferentes tipos de actividades ●Requieren diferentes estructuras organizacionales ●Cumplen diferentes propósitos ●Gobierno— En la mayoría de las organizaciones el Gobierno es responsabilidad de la Junta Directiva bajo el liderazgo de su Presidente. ●Administración— En la mayoría de las organizaciones, la Administración es responsabilidad de la Gerencia Ejecutiva, bajo el liderazgo del Gerente General (CEO). 47
  • 48. @CarlosChalico #InfoDFprivacidad Separar el gobierno de la administración 48 COBIT 5 propone que las organizaciones implementen los procesos de gobierno y administración de tal manera que las áreas claves queden cubiertas, tal como se muestra a continuación: Administración Gobierno Necesidades de la Organización Retroalimentación MonitorearDirigir Evaluar Planificar (APO) Construir (BAI) Operar (DSS) Monitorear (MEA) Fuente:  COBIT® 5, Figura 15. © 2012 ISACA® Todos derechos reservados.
  • 49. @CarlosChalico #InfoDFprivacidad Separar el gobierno de la administración 49 ●El marco de COBIT 5 describe siete categorías de habilitadores (Principio 4). Los procesos constituyen una categoría. ●Una organización puede definir sus procesos como estime conveniente, siempre y cuando queden cubiertos todos los objetivos necesarios de gobierno y administración. Las organizaciones más pequeñas podrán tener menos procesos, las organizaciones más grandes y más complejas podrán tener muchos procesos, todos para cubrir los mismos objetivos. ●COBIT 5 incluye un Modelo de Referencia de Procesos, que define y describe en detalle un número de procesos de administración y de gobierno.
  • 50. @CarlosChalico #InfoDFprivacidad Procesos de COBIT 50 Fuente:  COBIT® 5, Figura 16. © 2012 ISACA® Todos derechos reservados.
  • 51. @CarlosChalico #InfoDFprivacidad Modelo de capacidad 51 Fuente:  COBIT® 5, Figura 19. © 2012 ISACA® Todos derechos reservados.
  • 52. @CarlosChalico #InfoDFprivacidad Modelo de implementación 52 Fuente:  COBIT® 5, Figura 5 © 2012 ISACA® Todos derechos reservados.
  • 53. @CarlosChalico #InfoDFprivacidad Modelo de implementación 53 Fuente:  COBIT® 5, Figura 6 © 2012 ISACA® Todos derechos reservados.
  • 54. @CarlosChalico #InfoDFprivacidad Modelo de implementación 54 Fuente:  COBIT® 5, Figura 1 © 2012 ISACA® Todos derechos reservados.
  • 56. @CarlosChalico #InfoDFprivacidad ¿Cómo proceder? • Análisis de Riesgos basado en el modelo de privacidad • Identificación de sistemas personales • Priorización por criticidad • Identificación de riesgos • ¿Qué puede fallar a la luz de nuestros intereses, aseveraciones u objetivos de control? • ¿Que relación existe entre los principios de la ley y los objetivos de control? • ¿Qué amenaza primordial debemos combatir? 56
  • 57. @CarlosChalico #InfoDFprivacidad ¿Cómo proceder? • Identificación de controles • ¿Mitigan realmente el riesgo? • ¿Consideramos el riesgo remanente? • ¿Cómo se trata? • ¿Qué tipo de controles identificamos? • ¿Cómo los probamos? • ¿Y los controles generales? 57
  • 58. @CarlosChalico #InfoDFprivacidad ¿Cómo proceder? • Medición de riesgo • ¿Tenemos algún modelo? • ¿COBIT? ¿La Ley? • Definición de recomendaciones • ¿Qué decirle al ente auditado? • ¿Cómo mitigo el riesgo y genero valor? • ¿Cómo presento los resultados? • ¿Cómo doy seguimiento? 58
  • 59. @CarlosChalico #InfoDFprivacidad ¿Qué es lo que típicamente preocupa? • Control de Accesos. • Control de Cambios. • Operaciones: Control de trabajos programados, generación de respaldos, respuesta a incidentes 59
  • 60. @CarlosChalico #InfoDFprivacidad ¿Qué debiera ocuparnos? • Licitud • Consentimiento • Calidad de los datos • Confidencialidad • Seguridad • Disponibilidad • Temporalidad 60
  • 61. @CarlosChalico #InfoDFprivacidad Usemos COBIT 61 Fuente:  COBIT® 5, Figura 16. © 2012 ISACA® Todos derechos reservados.
  • 62. @CarlosChalico #InfoDFprivacidad Usemos COBIT 62 Fuente:  COBIT® 5. © 2012 ISACA® Todos derechos reservados. • AP013. Pág. 113 • DSS06. Pág. 197 • BAI04. Pág. 141
  • 63. @CarlosChalico #InfoDFprivacidad ¿Y además de COBIT? 63 Physical Networks Plataformas Datos/DBMS ProcesosProcesos Entorno Físico Redes Plataformas Datos / Sistema de Administración de Bases de Datos Aplicaciones Procesos Tipos de Controles de Aplicación – Ediciones de Entrada – Validaciones de Datos – Información de Excepciones – Segregación de Funciones (seguridad) – Validaciones de Reglas de Negocios – Restricciones de Acceso – Controles de Interfase – Controles de Configuración ControlesGeneralesdeTI Controles generales de TI – Garantía de Continuidad del Servicio – Administración de Rendimiento y Capacidad – Administración de la Seguridad del Sistema – Administración de Problemas e Incidentes – Administración de Datos – Administración del Espacio Físico de TI – Administración de Operaciones – Administración de Cambios ControlesdeAplicacióny ControlesManuales Los Controles Generales brindan la base para los controles de aplicación
  • 64. @CarlosChalico #InfoDFprivacidad ¿Y además de COBIT? 64 Fuente:  BSI 10012:2009 BSI Todos derechos reservados.
  • 66. @CarlosChalico #InfoDFprivacidad Algunos casos • ¿Qué preocupaciones deberíamos tener? • ¿Qué elementos tecnológicos hay que considerar? • ¿Qué acciones debemos ejecutar? • ¿Qué marcos referenciales utilizar? 66
  • 67. @CarlosChalico #InfoDFprivacidad Algunos casos 1. Una organización ha decidido poner en marcha un nuevo proceso de manejo de archivos que contempla el uso de una aplicación que mantendrá registro de todos los expedientes existentes, además del historial de los movimientos de expedientes al ser removidos del archivo. El proceso será muy diferente respecto de como operan hoy y la aplicación de soporte está siendo desarrollada por personal interno con equipos disponibles fuera de uso y utilizando programas de código abierto. 67
  • 68. @CarlosChalico #InfoDFprivacidad Algunos casos ! 2. Una organización ha decidido contratar a un proveedor para que opere su centro de atención telefónica. El proveedor es una compañía internacional de origen canadiense, sus servidores son mantenidos por otro proveedor que ha puesto a disposición una aplicación a través del concepto de “Software as a Service (SaaS), lo que quiere decir que todo se opera en la nube y que los datos se almacenarán en un lugar impreciso. Los operadores desarrollarán actividades en México. 68
  • 69. @CarlosChalico #InfoDFprivacidad Algunos casos! ! 3. Una organización ha habilitado un sistema para habilitar el ejercicio de derechos ARCO, con él, los interesados o titulares, pueden llamar a un centro de atención telefónica para ejercer sus derechos ARCO o ejecutar el proceso a través de un sitio web. El desarrollo del sistema ha corrido a cargo de un despacho externo, se ha usado tecnología de punta, incluso los interesados pueden acceder al sitio vía dispositivos móviles. La operación del sitio queda a cargo de personal de la organización, aunque las labores de mantenimiento al sistema son ejecutadas por el proveedor. 69
  • 70. @CarlosChalico #InfoDFprivacidad Conclusiones • Hay una gran dependencia de TI en los sistemas de datos personales • Deben reconocerse, identificarse y analizarse los riesgos relacionados con TI en la operación de sistemas de datos personales • El reconocimiento de estos riesgos debe realizarse en conjunto con el de otros que dependan también de TI y/o que afecten a la información • La cooperación entre áreas es indispensable para lograr el éxito 70
  • 71. @CarlosChalico #InfoDFprivacidad Conclusiones • Existen marcos referenciales como COBIT, BS10012 o PbD que pueden ser de utilidad • Los marcos referenciales no suplen el sentido común • Los elementos tecnológicos en sí mismos deben ser considerados • La elaboración de acciones recomendadas debe perseguir no solamente la disminución del riesgo, sino la generación de valor 71
  • 72. @CarlosChalico #InfoDFprivacidad ¡Muchas gracias! 72 Carlos Chalico CISA, CISSP, CISM, CGEIT, CRISC, ISO27000 LA, PbD Ambassador Ouest Business Solutions Inc. carlos.chalico@ouestsolutions.com (647)6388062 twitter: @CarlosChalico LinkedIn: ca.linkedin.com/in/carloschalico/