PONTIFICIA UNIVERSIDAD CATÓLICA DEL PERÚ FACULTAD DE CIENCIAS E INGENIERÍA DISEÑO DE PROCEDIMIENTOS DE AUDITORÍA DE CUMPLIMIENTO DE LA NORMA NTP-ISO/IEC 17799:2007 COMO PARTE DEL PROCESO DE IMPLANTACIÓN DE LA NORMA TÉCNICA NTP-ISO/IEC 27001:2008 EN INSTITUCIONES DEL ESTADO PERUANO Tesis para optar el Título de Ingeniero Informático, que presenta el bachiller: Fernando Miguel Huamán Monzón ASESOR: Dr. Manuel Francisco Tupia Anticona Lima, julio de 2014 2 RESUMEN DEL PROYECTO DE TESIS El presente proyecto de fin de carrera responde a la necesidad creada a causa de las normativas publicadas por la Oficina Nacional de Gobierno Electrónico e Informática (ONGEI) que declaran de uso obligatorio las Normas Técnicas Peruanas NTP-ISO/IEC 27001:2008 y NTP-ISO/IEC 17799:2007 (con fechas de publicación mayo 2012 y julio 2011 respectivamente) a una lista de empresas del estado peruano que pertenezcan y/o estén involucradas en la Administración Pública con la finalidad de establecer un modelo integral para el desarrollo de los planes de seguridad de la información de la misma. Esta necesidad, a causa del carácter obligatorio de las normas mencionadas, es reconocida como la atención a la falta de procedimientos que permitan realizar auditorías que verifiquen el cumplimiento de la NTP-ISO/IEC 17799 como parte del proceso de cumplimiento integral de la NTP-ISO/IEC 27001 en las empresas del estado peruano. La elaboración de estos procedimientos estarán basados en COBIT 5.0, publicado en mayo de 2012, nuevo estándar de facto para Tecnologías de Información reconocido internacionalmente. Estos procedimientos estarán acompañados de la declaración de aplicabilidad para la norma NTP-ISO/IEC 17799 para poder definir los controles que serán establecidos e implementados por la institución, un Inventario de activos de información comúnmente relacionados con los controles presentes en la NTP- ISO/IEC 17799 y un Mapeo del marco COBIT 5.0 frente a la norma NTP 17799 identificando la correspondencia de los dominios de COBIT hacia los controles de la NTP. 3 INDICE INDICE .................................................................................................................................... 2  RESUMEN DEL PROYECTO DE TESIS ........................... ¡Error! Marcador no definido.  CAPÍTULO 1 .......................................................................................................................... 5  1.  INTRODUCCIÓN ...................................................................................................... 5  2.  DEFINICIÓN DE LA PROBLEMÁTICA ................................................................. 5  3.  OBJETIVO GENERAL .............................................................................................. 6  4.  OBJETIVOS ESPECÍFICOS ................................................................................... 6  5.  RESULTADOS ESPERADOS ................................................................................. 7  6.  ALCANCE Y LIMITACIONES .................................................................................. 7  7.  HERRAMIENTAS Y MÉTODOS ............................................................................. 8  7.1.  Métodos y metodologías .................................................................................. 8  7.2.  Herramientas .................................................................................................... 10  8.  JUSTIFICACIÓN Y VIABILIDAD ........................................................................... 11  CAPÍTULO 2 ........................................................................................................................ 13  1. INTRODUCCIÓN ........................................................................................................ 13  2. MARCO CONCEPTUAL ............................................................................................ 13  2.1. Conceptos de auditoría ...................................................................................... 13  2.2. Conceptos de Seguridad .................................................................................... 19  2.3. Conceptos de Riesgos ........................................................................................ 21  3. REVISIÓN DEL ESTADO DEL ARTE ..................................................................... 26  3.1. COBIT.................................................................................................................... 26  3.3. ISO 27001 y 27002 ............................................................................................. 31  3.2. NTP 27001 ............................................................................................................ 33  3.4. NTP 17799 ............................................................................................................ 35  4. DISCUSIÓN SOBRE LOS RESULTADOS DE LA REVISIÓN DEL ESTADO DEL ARTE ........................................................................................................................ 38  CAPÍTULO 3: ....................................................................................................................... 39  PROCEDIMIENTOS GENERALES DE AUDITORÍA .................................................... 39  1.  INTRODUCCIÓN .................................................................................................... 39  2.  PROCEDIMIENTOS PARA DETERMINAR EL ALCANCE DE LA AUDITORÍA ...................................................................................................................... 40  3.  PROCEDIMIENTOS PARA DETERMINAR EL OBJETIVO DE LA AUDITORÍA ...................................................................................................................... 41  4.  PROCEDIMIENTOS PARA ESTABLECER LOS CRITERIOS DE LA AUDITORÍA ...................................................................................................................... 41  5.  PROCEDIMIENTOS PARA EL LEVANTAMIENTO DE EVIDENCIAS ........... 42  6.  PROCEDIMIENTOS DE DOCUMENTACIÓN DE HALLAZGOS .................... 44  7.  PROCEDIMIENTOS PARA LA DOCUMENTACIÓN DE LAS CONCLUSIONES Y RECOMENDACIONES.............................................................. 45  CAPÍTULO 4: ....................................................................................................................... 46  PRUEBAS DE LOS PROCEDIMIENTOS ....................................................................... 46  1.  INTRODUCCIÓN .................................................................................................... 46  2.  ALCANCE DE LAS PRUEBAS ............................................................................. 46  3.  OBJETIVO DE LAS PRUEBAS ............................................................................ 47  4.  EJECUCIÓN DE LAS PRUEBAS ......................................................................... 47  5.  CONCLUSIONES Y RECOMENDACIONES DE LAS PRUEBAS. ................. 49  CAPÍTULO 5: ....................................................................................................................... 51  CONCLUSIONES Y RECOMENDACIONES ................................................................. 51  REFERENCIAS ................................................................................................................... 52  4 ÍNDICE DE FIGURAS Y TABLAS FIGURAS Figura 1: Metodología PDCA o Ciclo de Deming ................................................................... 9  Figura 2: Beneficios más destacados de un Gobierno de TI ................................................ 14  Figura 3: Estructura de relaciones en el Gobierno de TI ...................................................... 15  Figura 4: Buenas prácticas en Gobierno de Tecnologías de Información ............................ 16  Figura 5: Criterios de Auditoria ............................................................................................ 18  Figura 6: Concepto de Hallazgos de Auditoria ..................................................................... 19  Figura 7: Tipos de amenazas .............................................................................................. 20  Figura 8: Tipos de Riesgos (ISACA 2011) ........................................................................... 21  Figura 9: Características generales de los controles. .......................................................... 22  Figura 10: Matriz de riesgo basado en un análisis cualitativo .............................................. 23  Figura 11: Análisis de impacto ............................................................................................. 24  Figura 12: La gestión de riesgo como una herramienta de balance ..................................... 24  Figura 13: Esquema Amenaza-Vulnerabilidad-Riesgo-Impacto (Tupia 2010) ...................... 25  Figura 14: Fases de la Gestión de Riesgos ......................................................................... 25  Figura 15: Principios de Cobit 5.0 (ISACA 2012) ................................................................. 26  Figura 16: Facilitadores de COBIT 5.0 (ISACA 2012) .......................................................... 27  Figura 17: Modelo de Referencia de Procesos de COBIT 5.0 (ISACA 2012) ...................... 29  Figura 18: Ciclo de vida de implementación de COBIT 5.0 (ISACA 2012) ........................... 31  Figura 19: Plan-Do-Check-Act para ISO 27001 ................................................................... 34  TABLAS Tabla 1 - Ítems para establecer Alcance de la Auditoría ...................................................... 40  5 CAPÍTULO 1 1. INTRODUCCIÓN En este capítulo se presentará lo concerniente al proyecto de fin de carrera. Se describe el entorno en el cual se encuentra el problema identificado con la finalidad de dar un primer paso en el proyecto. Se procederá luego a definir el objetivo general, acompañado por los objetivos específicos mapeados cada uno con sus resultados esperados. Para la consecución de lo mencionado se identificará las metodologías a utilizar. También se justificará el proyecto presentando además su viabilidad. Se desplegará finalmente la lista de actividades a realizar para la obtención del producto final del presente proyecto. 2. DEFINICIÓN DE LA PROBLEMÁTICA La Presidencia del Consejo de Ministros (PCM) del Perú autorizó en el año 2010 la ejecución de la “Encuesta de Seguridad de la Información en la Administración Pública” (ONGEI 2010a) a las instituciones de la Administración Pública que pertenecen al Sistema Nacional de Informática con la finalidad de actualizar la información técnica de dichas entidades en relación con la seguridad de la información. De las 271 entidades encuestadas solo se pudo recepcionar la respuesta de 150 (56% del total) indicando que un 30% no habían si quiera realizado una Política de Seguridad de la Información (ONGEI 2010b). Este escenario se produjo estando publicada la Norma Técnica Peruana NTP-ISO/IEC 17799:2007 desde agosto de 2007. 6 Los sistemas de información de las organizaciones se enfrentan día a día con riesgos e inseguridades que se enfocan en explotar vulnerabilidades de sus activos de información poniendo en riesgo su continuidad de negocio. Los procesos que manejan datos, los sistemas y las redes son activos importantes de la organización por lo que es importante definir, realizar, mantener y mejorar la seguridad de la información, para que puedan alcanzar sus objetivos de negocio. Así como se ha convertido en una actividad importante dentro de las organizaciones, la seguridad de la información también ha suscitado muchos dolores de cabeza a los responsables en poner en acción una eficiente gestión de esta actividad. La reciente publicación en mayo de 2012 aprobando el uso obligatorio de la NTP- ISO/IEC 27001:2008 en las entidades del estado demuestra la intención del gobierno peruano en establecer un modelo integral para el desarrollo de los planes de seguridad de la información en la Administración Pública donde la NTP-ISO/IEC 17799:2007 se suma también a este accionar. Es necesario brindar procedimientos concretos o guías para poder realizar procesos de auditoría que tengan como objetivo corroborar la implantación de la NTP 27001 en las empresas del estado peruano (entidades listadas en la misma publicación de la norma) teniendo como base lo propuesto por la NTP 17799. Teniendo como motivo lo mencionado anteriormente y con el objetivo en brindar apoyo en la actividad de gestionar un aspecto tan importante como es la Seguridad de Información, es que se desarrollará en este proyecto los procedimientos de auditoría para evaluar la implementación de la NTP-ISO/IEC 17799:2007, en respuesta a la motivación de poner en práctica los conocimientos obtenidos en ésta área de la informática, en beneficio de la sociedad peruana. 3. OBJETIVO GENERAL Establecer un procedimiento de auditoría de cumplimiento para la Norma Técnica Peruana NTP-ISO/IEC 17799:2007 en las instituciones del Estado Peruano basado en el marco COBIT 5.0, como parte del proceso de implantación de la Norma Técnica Peruana NTP-ISO/IEC 27001:2008 con la finalidad de mejorar la gestión de la seguridad de la información. 4. OBJETIVOS ESPECÍFICOS Los objetivos específicos del presente proyecto son los siguientes:  Determinar el procedimiento de elaboración de la declaración de aplicabilidad de la norma NTP 17799 con la finalidad de justificar la elección o exclusión de los controles sugeridos por ésta. 7  Identificar los activos de información involucrados en cada control de la norma NTP 17799.  Elaborar el mapeo del marco COBIT 5.0 frente a la NTP 17799  Elaborar la guía metodológica para la ejecución de la auditoría de cada control contemplado en la norma NTP 17799. 5. RESULTADOS ESPERADOS Presentamos ahora los resultados esperados asociados con cada objetivo específico presentados en el punto anterior:  [Relacionado con Objetivo Específico 1] - Procedimiento y estructura (plantilla) de la declaración de aplicabilidad para la norma NTP ISO/IEC 17799 para poder definir los controles que serán establecidos e implementados por la institución.  [Relacionado con Objetivo Específico 2] - Inventario de activos de información comúnmente relacionados con los controles presentes en la NTP ISO/IEC 17799.  [Relacionado con Objetivo Específico 3] - Mapeo del marco COBIT 5.0 frente a la norma NTP 17799 identificando la correspondencia de los dominios de COBIT hacia los controles de la NTP.  [Relacionado con Objetivo Específico 4] - Guía de procedimientos de auditoría de la norma NTP 17799. 6. ALCANCE Y LIMITACIONES El proyecto de fin de carrera pertenece al área de Tecnologías de Información de Ingeniería Informática (áreas según ACM), especificada en el tópico de Auditoría. Planteará unos procedimientos para realizar auditoría a las empresas del estado peruano en relación a la Gestión de Seguridad de la información. Se logrará un mecanismo para verificar el cumplimiento de la Norma Técnica Peruana NTP-ISO/IEC 17799:2007 puesto que no existe registro alguno en instituciones oficiales del estado peruano como el Instituto Nacional de Defensa de la Competencia y de la Protección de la Propiedad Intelectual (INDECOPI), Oficina Nacional de Gobierno Electrónico e Informática (ONGEI), Contraloría General de la República (CGR). Asimismo para verificar el cumplimiento de la recientemente NTP-ISO/IEC 27001:2008 aprobada el 25 de mayo de 2012 por la Presidencia de Consejos de Ministros a través de la ONGEI. 8 Se ejecutará la aplicación del marco COBIT 5.0 como nuevo estándar de facto para Tecnologías de Información, debido a su gran integración con Val IT y Risk IT, ITIL y BIMS, marcos de la Information Systems Audit and Control Association (ISACA), todos reconocidos a nivel internacional. Este proyecto no tiene como fin implementar alguna otra norma o marco en relación a la Gestión de Seguridad de Información ni para las empresas públicas del estado peruano ni mucho menos para empresas privadas. La implementación de control y/o un Sistema de Gestión de Seguridad de la Información según lo estipulado en la NTP-ISO/IEC 27001:2008 no son puntos que se pretenden alcanzar con el presente proyecto de fin de carrera. 7. HERRAMIENTAS Y MÉTODOS A continuación se detallará las herramientas y métodos a utilizarse tanto para el proyecto como para el producto, especificando además los procedimientos para cada uno respectivamente. RESULTADO ESPERADO HERRAMIENTA Procedimiento y estructura (plantilla) de la declaración de aplicabilidad para la norma NTP- ISO/IEC 17799:2007 para poder definir los controles que serán establecidos e implementados por la institución  NTP-ISO/IEC 17799:2007   PDCA   MS Word  Inventario de activos de información comúnmente relacionados con los controles presentes en la NTP-ISO/IEC 17799:2007.  NTP-ISO/IEC 17799:2007  PDCA   MS Word  Mapeo del marco COBIT 5.0 frente a la norma NTP-ISO/IEC 17799:2007 identificando la correspondencia de los dominios de COBIT hacia los controles de la NTP.  COBIT 5   NTP-ISO/IEC 17799:2007   MS Excel  Guía de procedimientos de auditoría de la norma NTP-ISO/IEC 17799:2007.  COBIT 5   MS Word  7.1. Métodos y metodologías 7.1.1. PDCA La metodología Plan-Do-Check-Act o también conocida como Ciclo de Deming. Se ha optado por esta metodología puesto que desde hace más de 50 años es la más utilizada en lo concerniente a auditorías y también en proyectos que optan por realizar mejoras continuas y de calidad. 9 El ciclo de Deming realiza cuatro pasos, que, al llegar al último de estos vuelve a iniciarse para poder de esta manera dar lugar a escenarios de mejoras. Los cuatro pasos son los siguientes: Figura 1: Metodología PDCA o Ciclo de Deming A. Plan (Planificar): Implica la identificación del problema, la recopilación de datos y el análisis del mismo que nos permitirá elaborar un plan de trabajo que busque su solución. Para el proyecto presentado se planificarán las actividades para: a. Determinar el acta de aplicabilidad SOA de la ISO 27002 en una empresa del estado regulada por las NTP 17799 y NTP 27001 b. Realizar los inventarios de activos y controles sugeridos según la ISO 27002. c. Verificar cada uno de los controles que el auditor deberá revisar en una auditoría de controles. B. Do (Hacer): Se realiza el desarrollo del plan generado en la etapa anterior. En función del presente proyecto se realizará: a. Reconocimiento, compilación y documentación de los activos relacionados con los controles de la norma NTP-ISO/IEC 17799 b. Diseñar la relación entre COBIT 5.0 y el código de buenas prácticas ISO 27002. i. Documentación del mapeo realizado. c. Bosquejo de la elaboración de procedimientos de auditoría para todas los controles de la NTP-ISO/IEC 17799:2007. Plan  (Planificar) Do (Hacer) Check  (Verificar) Act  (Actuar) 10 d. Detalle de resoluciones en ONGEI acerca de Seguridad de Información. C. Check (Verificar): Se revisan y analizan los resultados de manera que se pueda obtener una medida de la efectividad de la solución y una retroalimentación de lo que se podría mejorar. Se revisarán los documentos generados con el asesor del proyecto, además de revisar nuevas leyes nombradas por la ONGEI para el estado peruano. Se documentará estas revisiones para su posterior uso en la siguiente etapa. D. Act (Actuar): Efectuar las correcciones que se adquirieron en la etapa anterior. Se realizarán las correcciones necesarias en los documentos generados en las etapas anteriores. De ser necesario, a causa de una nueva normativa en relación a Seguridad de Información, se procederá a la respectiva adecuación de los documentos. 7.2. Herramientas 7.2.1. COBIT COBIT es un marco de gobierno de las tecnologías de información que proporciona una serie de herramientas para que se pueda conectar los requerimientos de control con los aspectos técnicos y los riesgos del negocio. También permite el desarrollo de las políticas y buenas prácticas para el control de las tecnologías en toda la organización. Además brinda ayuda a las organizaciones a incrementar su valor a través de las tecnologías, y permite su alineamiento con los objetivos del negocio. En su reciente versión (publicada el 10 de abril por ISACA) COBIT 5.0 integra varios marcos de ISACA (Val IT y Risk IT, ITIL y BIMS). Se utilizará COBIT 5.0 pues ayuda a crear un valor óptimo de TI por mantener un equilibrio entre la obtención de beneficios y la optimización de los niveles de riesgo y el uso de los recursos. Permite también que la información y la tecnología relacionada sean gobernadas y gestionadas de manera integral para toda la empresa, abrazando de principio a fin el negocio y áreas funcionales, teniendo en cuenta los intereses de las partes interesadas internas y externas. COBIT 5.0 presenta 5 principios: A. Marco Integrador: Capacidades para facilitar el direccionamiento de los usuarios con prácticas y referencias de terceras partes. B. Conductores de valor para los interesados: Las necesidades de los interesados deben traducirse a una estrategia de acción de la empresa. 11 C. Enfoque al Negocio y su contexto para toda la organización: Se refiere al Gobierno y Gestión de TI empresarial y las tecnologías relacionadas cubriendo todas las funciones y procesos dentro de la empresa. D. Estructurado de manera separada para el Gobierno y la Gestión: Los procesos de Dirigir, Evaluar y Supervisar están a cargo del Gobierno. La Gestión se encargará de Planear, Construir, Ejecutar y Supervisar E. Fundamentado en facilitadores: Provee una forma común, simple y estructurada para el tratamiento de los facilitadores y dar comodidad para gestionar sus completas interacciones. Al llevar a cabo estas actividades, nos garantizamos la generación de procedimientos eficientes para la auditoria en relación a Gestión de Seguridad de la Información. Más detalle de este marco de negocio para Tecnologías de Información se puede ver en el punto 3.1. COBIT del CAPITULO 2 del presente documento. 8. JUSTIFICACIÓN Y VIABILIDAD Al publicarse el 25 de mayo de 2012 la normativa por parte de la Presidencia del Consejo de Ministros (mediante la ONGEI) que establece el uso obligatorio de la Norma Técnica Peruana NTP-ISO/IEC 27001:2008 y teniendo como antecedente que el año anterior (julio de 2011) se promulgó como fecha límite el 31 de diciembre de 2012 para que las empresas del gobierno peruano implementen el plan de seguridad de la información basado en lo dispuesto por la NTP-ISO/IEC 17799:2007; se encontró conveniente atender el vacío que estas dos normativas han generado en pos del establecimiento de un modelo integral para el desarrollo de los planes de seguridad de la información en la Administración Pública. Este vacío mencionado se identificó como la falta de procedimientos que permitan realizar auditorías que verifiquen el cumplimiento de la NTP-ISO/IEC 17799 como parte del proceso de cumplimiento integral de la NTP-ISO/IEC 27001. El auditor para sustentar su labor profesional en relación a la evaluación de un Sistema de Gestión de Seguridad de la Información, requiere examinar las evidencias, a través de distintos métodos y/o técnicas de aplicación de forma paralela. La propuesta de este proyecto de fin de carrera no solo es el desarrollo de guías de auditoría en base a las Normas Técnicas Peruanas antes mencionadas, sino también basarse e incluir normas y marcos de control internacionalmente reconocidos como estándares de facto para auditoría de sistemas y tecnologías de información tales como ISO 27001, ISO 27002 y COBIT 5.0 garantizando la calidad y eficacia de la ejecución de las actividades del proceso evaluativo. Adicionalmente 12 se pretende establecer una base común en la emisión de opinión sobre la correctitud de los Sistemas de Gestión de Seguridad de la Información. La viabilidad de los procedimientos contenidos en las guías que serán desarrolladas en el presente proyecto de tesis abarcar a las empresas del estado peruano que estén en la lista de instituciones obligadas a cumplir las normas regulatorias emitidas por la ONGEI: NTP-ISO/IEC 17799:2007 y NTP-ISO/IEC 27001:2008. Considerando otros aspectos sobre viabilidad del proyecto tenemos:  Técnica: Estos procedimientos podrán ser viables en una actividad de auditoría de control de seguridad de la información siempre y cuando el profesional que la ejecute tenga los conocimientos del marco de control COBIT 5.0 así como su terminología relacionada.  Temporal: Se debe tener en cuenta que este proyecto podrá ser utilizado mientras estén en vigencia de las normas técnicas NTP-ISO/IEC 27001:2008 y NTP-ISO/IEC 17799:2007 y la declaración de su obligatoriedad.  Económica: Dependerá mucho de los controles que apliquen las instituciones del estado peruano para saber cuánto le costaría implementarlos. Además se considerará un gasto adicional si la empresa estatal peruana decide certificarse en la norma ISO 27001 (este punto es opcional dado que la NTP-ISO/IEC no indica que sea obligatorio dicha certificación). Se debe tener en cuenta, además, que las empresas a las que se realizará la auditoría de control deberán tener documentados sus procesos para poder, consecuentemente aplicando la norma, reconocer los activos que tienen que someterse a protección. 13 CAPÍTULO 2 1. INTRODUCCIÓN El presente capítulo tiene por objetivo destacar tres ítems importantes para el desarrollo del proyecto de fin de carrera como son: el marco conceptual en el cual se desenvuelve, la revisión del estado del arte y la discusión de la misma. Para finalizar, se exhibe la bibliografía consultada en la elaboración de este capítulo. 2. MARCO CONCEPTUAL Se presentará a continuación, tres grupos de conceptos relacionados al proyecto de fin de carrera que se considera necesario para su correcto entendimiento y que marca la postura conceptual que se ha tomado para su desarrollo. Estos tres grupos son: De Auditoría, De Seguridad y De Riesgos. 2.1. Conceptos de auditoría En esta sección del documento se darán los conceptos de auditoría que se manejaran para el desarrollo del proyecto de fin de carrera. 14 2.1.1. Tecnologías de Información La Tecnología de Información es un dispositivo para transmitir, manipular, analizar o explotar información, en el cual una computadora digital procesa información integral a comunicaciones de usuarios y tareas de decisión (Huber 1990). La IT Governance Institute define un servicio de tecnología de información es una provisión diaria de aplicaciones de tecnología de información y soporte para su uso, incluyendo help desk, provisión y movimiento de equipos, y autorizaciones de seguridad. Además define una aplicación de tecnología de información como una funcionalidad electrónica que congrega partes de procesos de negocio con soporte de tecnología de información (ITGI 2008). Morton definió TI como un ente que comprende 5 componentes básicos: computadoras, tecnología de comunicaciones, estaciones de trabajo, robótica y circuitos de computadoras (Morton 1988). Al realizar un compilado en los conceptos mencionados, podemos definir a una tecnología de información como un servicio relacionado que se usa en la organización para el logro de sus objetivos de negocio, tanto dentro de de ella como en sus actividades de interrelaciones con otras organizaciones. También podemos decir que son los sistemas de información (sistemas que soportan procesos relacionados al manejo de la información en las organizaciones), el hardware de computadoras, redes y comunicaciones, así como el software de base (sistemas operativos, servidores proxy, manejadores de bases de datos, servidores web, etc.) 2.1.2. Gobierno de Tecnologías de Información Responsabilidad del comité de dirección y de los ejecutivos. Es una parte integral del gobierno de la organización y consiste en el liderazgo y las estructuras y procesos organizativos que aseguran que las Tecnologías de Información de la organización sostienen y extienden la estrategia y los objetivos de la organización (ITGI 2003). Figura 2: Beneficios más destacados de un Gobierno de TI (ISACA 2010) Confianza de la  Alta Dirección Sensibilidad a las  necesidades del  negocio Aseguramiento de  los retornos de las  inversiones en TI Prestación de  servicios mas  confiables Mayor  transparencia en el  manejor de la  gerencia de TI 15 La gestión de las Tecnologías de la Información está más orientada al abastecimiento interno de TI y con una ubicación temporal en el presente, el Gobierno de las Tecnologías de Información es más amplio ya que además pretende atender las demandas externas (de los clientes) y en un espacio temporal futuro. Así, la gestión se concentraría en administrar e implementar las estrategias en el día a día, mientras que el gobierno se encargaría de establecer dichas estrategias junto con la política y la cultura de la organización. Cabe resaltar, añadiendo a lo expuesto anteriormente, que Allen define Gobierno de Tecnologías de Información como la acción de “fijar expectativas claras para la conducta (comportamiento y acciones) de la entidad que está siendo gobernada, y dirigir, controlar e influenciar fuertemente dicha entidad para cumplir estas expectativas” (Allen 2005). El Gobierno de Tecnologías de Información tiene como objetivo principal llevar a cabo proyectos de implementación y uso de Tecnologías de Información y/o Comunicaciones como soporte a las actividades críticas y que de algún modo le brinde a la Alta Dirección la garantía de que la infraestructura tecnológica que tiene la organización va a permitir lograr los objetivos de negocio. Es una estructura de relaciones y procesos que brinda dirección a la empresa para lograr los objetivos de negocios con una adecuada implementación de los procesos de TI en su interior, haciendo que las inversiones en TI retornen valor, logrando gestionar adecuadamente los riesgos de TI, entre otras metas. Figura 3: Estructura de relaciones en el Gobierno de TI Definiendo cada uno de estos aspectos de esta manera (Tupia 2011):  Alineación estratégica: alinear la tecnología a los objetivos organizacionales, para que respondan como reales soportes. Entrega de  valor de TI Gerencia de  riesgos Medición del  desempeño Alineamiento  estratégico 16  Gestión de riesgos: el uso de TICs trae consigo una serie de riesgos a los procesos en donde están brindando soporte. La gestión de riesgos permitirá identificarlos, manejarlos y reducir el impacto que presentarían sobre los procesos mismos y los activos de información involucrados.  Entrega de valor: optimizar las inversiones de TI.  Medición del desempeño: monitorear los proyectos, procesos y la función misma de TI, evaluando su idoneidad – en relación con los objetivos de negocio – con métricas pertinentes Con lo desarrollado anteriormente, podemos concluir que el Gobierno de Tecnologías de Información institucionaliza las buenas prácticas para asegurar que la TI respalda los objetivos del negocio. Con los mismos fines existen muchas buenas prácticas internacionales que ayudarán a la organización a dirigir aspectos específicos sobre estrategia, entrega de valor, prestación de servicios, gestión de riesgos y seguridad de información. Estos son:  COBIT 5.0: estándar de facto para alinear el Gobierno de TI al gobierno corporativo. También es herramienta clave para la auditoría de TI.  ISO/IEC 27001: orienta a las empresas en la aplicación y mantenimiento de programas de seguridad de información, viéndose éstos reflejados en el establecimiento de los sistemas de gestión de seguridad de información.  ITIL: principios básicos de la estrategia, diseño, gestión y mejora continua del proceso de prestación de servicios de tecnología.  ValIT: orienta las inversiones de TI de tal manera que se capitalicen en mayor grado.  RiskIT: marco para la identificación, análisis y tratamiento de riesgos de Sistemas de Información y de Tecnologías de Información.  ISO/IEC 38500: facilita las bases para la evaluación objetiva del Gobierno de Tecnologías de Información. Figura 4: Buenas prácticas en Gobierno de Tecnologías de Información Gobierno  de TI COBIT  5.0 ISO/IEC  27001 ITIL ValIT RiskIT ISO/IEC  38500 17 2.1.3. Auditoria La auditoría es la actividad que consiste en emitir una opinión profesional objetiva por parte de un especialista, sobre si el sujeto sometido a análisis (sea éste un sistema, proceso, producto, estructura organizacional, entre otros) cumple las condiciones que le han sido prescritas y presenta la realidad que pretende reflejar (Piattini y del Peso 2001: 4). Paulk y otros indicaron que Auditoría es una evaluación independiente de un resultado o conjunto de resultados, con la finalidad de determinar la conformidad con las especificaciones, estándares, acuerdos contractuales (1993). Así mismo, la ISO 19011:2002 indica que es un proceso sistemático, independiente y documentado para obtener evidencias de la auditoría y evaluarlas de manera objetiva con el fin de determinar la extensión en que se cumplen los criterios de auditoría (ISO 2002). Cabe resaltar que la Auditoría es una actividad que se desenvuelve, dentro de la empresa o para el sujeto que va a sufrir la auditoría, de manera independiente; que implica una opinión, profesional y especializada, sobre el estado del sujeto de auditoría; y que procura la introducción de mejoras dentro de la organización. En el Perú, el Instituto Nacional de Defensa de la Competencia y de la Protección de la Propiedad Intelectual define la Auditoría, en la NTP-ISO/IEC 12207:2006 (INDECOPI 2006), como el proceso para determinar el cumplimiento con los requerimientos, planes y contrato, según aplique. Además se indica que este proceso puede ser empleado por cualquiera de las dos partes, donde una de ellas (la auditora) audita los productos software o actividades de la otra parte (la auditada). 2.1.4. Criterio Son procedimientos, buenas prácticas o políticas que son utilizadas por el profesional a cargo de la actividad de auditoría para comparar la información recopilada en la misma. Son requerimiento contra los que se hace esta comparación y que pueden ser estándares internacionales, normas, requerimientos organizacionales específicos, y requerimientos legales o regulatorios. 2.1.5. Evid En auditor cualquier son verific La eviden Es cualqu datos que puede su brindará m 2.1.6. Hal Un hallaz auditoría r Los hallaz auditoría y encia ía, se refie otra inform ables. cia de la au ier informa están sie stentar las ás adelant lazgo go de aud ecopilada f gos puede reportar o Figu re a los reg ación que s ditoría pue ción usada ndo audita conclusio e. itoría es el rente a los n indicar la portunidade Req Leg Regu 18 ra 5: Criterio istros, dec on pertine de ser cual por el au dos, cump nes a las resultado criterios de conformid s de mejor CRITE Polí obje me están uisitos  ales y  latorios s de Auditor laraciones ntes para l itativa o cua ditor para len con lo que llega de la eval auditoría. ad o no co a para la o RIO ticas,  tivos,  tas,  dares Normas,  marcos de  control,  códigos de  buenas  prácticas ia de hechos, os criterios ntitativa. establecer s criterios y las reco uación de nformidad rganización código, pr de auditor si el obje establecido mendacion la evidenc con los crit . uebas o ía y que to o los s y así es que ia de la erios de 19 Figura 6: Concepto de Hallazgos de Auditoria 2.2. Conceptos de Seguridad A continuación se presentará los conceptos relacionados a Seguridad como son: activo, seguridad de la información, amenaza y vulnerabilidad. 2.2.1. Activo Elemento impreso o digital que contenga información, así como todo sistema - conformado por software, hardware y su documentación pertinente - que cree, maneje y procese información para una organización; también se puede incluir a la infraestructura tecnológica donde se desenvuelven dichos sistemas. Se considera activo esté o no registrado contablemente (Tupia 2010: 21) 2.2.2. Seguridad de la Información La ISO/IEC 27000:2009 define la Seguridad de Información como la preservación de la confidencialidad, integridad y disponibilidad de la información; además, otras propiedades como autenticidad, responsabilidad, no repudio y fiabilidad pueden ser también consideradas. (ISO 2009). También amplia el concepto añadiendo que es la protección de la información de un rango amplio de amenazas para poder asegurar la continuidad del negocio, minimizar el riesgo comercial y maximizar el retorno de las inversiones y las oportunidades comerciales. Es necesario entender también a la Seguridad de Información como el conjunto de procesos y actividades que permiten mantener libre de peligros y daños por accidente o ataque a los activos de información que forman parte de una organización (BOSWORTH, KABAY y WHYNE 2002) Muy importante es diferenciar seguridad de tecnologías de información y la seguridad de información: la seguridad de TI se encarga en particular, de la protección tecnológica y es administrada desde un nivel operativo por las áreas de sistemas de la mayoría de empresas. La seguridad de información va más allá ocupándose de riesgos, beneficios, buen uso, procesos y actividades involucradas con la información y los activos relacionados a ella, impulsados por la Alta Dirección empresarial (Tupia 2010: 21) Criterios Evidencias Hallazgos 2.2.3. Am Una causa un sistema Son todas de un acti proceso, (Tupia 201 2.2.4. Vul La debilid más amen Es una c susceptibi sometidos medir su g Existen h detallada conocida p Se puede las princip 2010). Natu ambie Accid Téc Produc el ho enaza potencial u organiz las activid vo de inform perjudicand 0). nerabilidad ad de un a azas. (ISO aracterístic lidad a ve a pruebas ravedad. erramientas los activos or ser hec imputar a l ales causa rales o  ntales entales nicas idos por  mbre de un incid ación (ISO ades, even ación dañ o directam Fig ctivo o gru 2004) a inherent rse afecta para com (software para así ha por perit a ausencia s de vulne •Ocasion •Es difíci •Sin prem •Fallas fí •Fallas in •Persona •Ingnora de activ 20 ente no-de 2004). tos o circun ándolo y no ente la co ura 7: Tipos po de acti e al activ do por u probar la p ) que perm detectar os en mate de controle rabilidades ados por fen l protegerse  editación al sicas premed tangibles pre l descontent ntes acciden os de inform seado, el c stancias qu permitien nsecución de amenazas vos que pu o de infor na amena resencia d iten diagn las vulnera ria de segu s o a su de sobre los ómenos de l de ellos por s guna. itadas meditadas. o (interno y/ tales: por de ación se conv ual puede e pueden do que brin de los ob ede ser ex mación, si za. Los a e vulnerab osticar y o bilidades. ridad. ficiente est activos de a naturaleza u periodicida o externo). sconocimient ierten en am resultar en afectar el b de soporte jetivos de plotada po endo el g ctivos deb ilidades en bservar d Esta activ ablecimien información d y duración o del manejo enazas. daño a uen uso a algún negocio r una o rado de en ser ellos y e forma idad es to como (Tupia .   2.3. Conc Se requie describire 2.3.1. Rie Potencial uno o var depender administra Un estánd o problem ver tambié impacto y (SA 2004) Es la p vulnerabili de identifi determina por la pre organizac 2.3.2. Con El control concuerda eptos de R re conoce mos los sig sgo de que un ios activos de asp tivos (ISO ar australia a que pued n como la probabilida robabilidad dad sobre cación y ev r que tan e sencia de ión. trol es un pro con lo qu iesgos r ciertos c uientes con a amenaza ocasionan ectos ope 2008). Figura 8: no señala a impedirl posibilidad d de ocurr de que un activo, p aluación de xpuestos s vulnerabil ceso por e supuest Riesg dete Riesgo de  negocio 21 onceptos s ceptos par (externa do daño a rativos, Tipos de Rie que es cua e a la emp de sufrir un encia. Pue una ame rovocando riesgos – e encuentr idades pro el cual la amente de Riesg Riesg inhere o de  cción obre el á a el proyec o interna) e la organi financieros sgos (ISACA lquier impe resa que a daño o pé de tener un naza se un impacto y el de cla an los acti pias o inh administrac be ocurrir. os o  nte Otros riesgo genera rea de Rie to de fin de xplote una zación. Su , regulato 2011) dimento, o lcance un rdida. Se m impacto p materialice negativo s sificación d vos de info erentes a ión verifica Permite q Riesgo de  control   s  les sgos, por carrera. vulnerabi naturaleza rios (lega bstáculo, a objetivo. S ide en térm ositivo o n explotan obre él. El e activos – rmación a la activida si lo que ue se real lo que lidad de puede les) y menaza e puede inos de egativo. do una proceso permite ataques d de la ocurre icen los ajustes o naturaleza Es una e cuente co dirección existe un objetivos. Son las p reducir rie los objetiv 2.3.3. Imp Medida de de uno o v Su cálculo permite id Conocer organizac ejecutar e Ayuda de distribuir l medida de desde tod Lo dicho e una cuan tanto a co imagen de correccione del proces tapa primo n magnífic eficiente, n mecanismo (ISO 2005) Fi olíticas, p sgos y que os de nego acto las pérdid arios activo es import entificar, cu exactamen ión pues se l proyecto d sobreman os recursos las pérdid as las área n el párraf tificación fi rto como a la empres s necesar o. rdial en la os planes o se podrá que verifiq . gura 9: Carac rocedimient además pr cio. as que se s en nuest ante en la antificar, t te el impa rá el motiv e segurida era en la a que tenem as que se s de la orga o anterior nanciera e largo plaz a en el me De determ sus obj de ma clara y p 22 ias en caso administra , una estr verificar la ue e inform terísticas ge os, práctic oveen ciert podrían ex ra organiza Gestión d ratar y mon cto favore o por el cu d que se es tención de os en la o podrían ex nización. es el causa s obligator o e incluir rcado, pér Definidos Alta Ger be  inarse  etivos  nera  recisa. se detect ción, pues uctura org situación e si los he nerales de lo as y estru o grado de perimentar ción. e Riesgos itorear el r ce las ini al se pued té elabora los riesgo rganizació perimentar nte de hac io. Se deb además as dida de din  por la  encia Deben fo parte de cultur organizac del cont en eventos , por más anizacional real de la chos van d s controles. cturas org certeza de al explotar (conjunto d iesgo en la ciativas de a incitar a ndo. s, dándono n ya que te y por end ernos com e realizar pectos tale ero, dismin rmar   una  a  ional  rol. que escap que una e adecuada organizació e acuerdo anizacional que se alc una vulner e actividad s organiza seguridad la Alta Ge s pautas d nemos un e estar pre prender qu esta cuant s como pé ución del an a la mpresa y una n si no con los es para anzarán abilidad es que ciones). en la rencia a e cómo a buena parados e hacer ificación rdida de valor de 23 las acciones de la empresa, responsabilidad penal o civil, sanciones por violaciones a las regulaciones y más. Debemos también establecer rangos, para la cuantificación del impacto, para tener una mayor visión del mismo. Esta cuantificación puede basarse en el costo o valoración del activo de información así como la pérdida sufrida de integridad, disponibilidad y confidencialidad de la información manejada/creada/custodiada por dicho activo. Algunas escalas comunes de impacto son cualitativas: catastrófico, muy grave, medio, moderado o bajo a las que muchas veces se les agrega un valor numérico. La mayoría de autores coinciden en que las escalas más adecuadas se encuadran dentro de matrices 5x5 (o mapa de calor de riesgos) como se puede apreciar en la siguiente figura (Tupia 2010): Catastrófico 5 Material 4 Mayor 3 Menor 2 Insignificante 1 1 2 3 4 5 Raro Poco probable Moderado Probable Frecuente Figura 10: Matriz de riesgo basado en un análisis cualitativo A partir de experiencias pasadas, de prácticas internacionalmente aceptadas, de investigaciones de mercado, de modelos financieros y mas se realizan tanto el cálculo del impacto como el cálculo de la probabilidad, que cabe resaltar, son predominantemente matemáticos. Es necesario indicar que en el marco de desarrollo de estos cálculos se introducirá una dosis de subjetividad que va a depender del tipo de organización y de los activos de información que se tengan para clasificar los riesgos y calcular los impactos. 2.3.4. Ges Proceso q frente a vulnerabili recursos m Es una he amenazas de la orga de los re directame estrategia Conjunto riesgo en (por medio Para logra estructura •C s a Im •C e •S Im •C d Im tión de Ri ue busca e lo que dades y p ás críticos rramienta a la integr nización; y quisitos reg nte a su de segurid de activida las organiz de un con Figura 12 r el éxito de la orga uando el sis usceptibles  ctos malicio pacto por p uando el sis ncuentran d e mide en u pacto por p uando la inf ivulgada de pacto por p Figu esgos stablecer u “está disp érdidas qu . En este c base de la idad, dispo también n ulatorios a continuidad ad de infor des que p aciones fun trol) y lo qu : La gestión de la GR, nización, l tema de inf de modificac sos o accide érdida de In tema de inf isponibles p nidades de t érdida de d ormación d  manera no  érdida de co 24 ra 11: Anális n equilibrio uesta a e pueda te aso específ Seguridad nibilidad y os permite los que (que es mación). ermite iden giendo de e se estarí de riesgo co es vital te a misión y ormación y l iones no au ntales. tegridad ormación y l ara su uso y iempo y din isponibilidad e la organiza autorizada nfidencialid Riesgo is de impact entre lo q sufrir”: ga ner por ef ico, los rec de Informa confidencia la gestión está some gran med tificar, cua balanza en a perdiendo mo una herr ner en cue los objetiv os datos ma torizadas ni  os datos ma  explotación ero. ción de cará ad Control o ue la empr nancias e ecto de las ursos de in ción ya qu lidad de la y monitore tió el nego ida, el obj ntificar, tra tre lo que s : amienta de b nta tanto os de neg nejados son controladas nejados no s . cter sensibl esa “quiere nfrentadas amenaza formación. e nos mue informació o del cump cio y que etivo de c tar y monit e está prot alance la cultura ocio que s    a partir de  e  e es  ganar” a las s a sus stra las n crítica limiento afectan ualquier orear el egiendo como la e hayan 25 trazado, la definición de los procesos organizacionales y el conocimiento de marcos de buenas prácticas generalmente aceptados. En el escenario que una amenaza se materialice, la Gestión de Riesgos garantizará que el impacto que se tendrá internamente (en la organización) será manejable, es decir, que estará enmarcado dentro de los límites de costos aceptables sin perturbar la continuidad del negocio. Sabemos que en toda actividad empresarial hay riesgo (cuando hacemos algo o cuando dejamos de hacer algo), la Gestión de Riesgos debe brindar garantía de seguridad en cualquier actividad que emprenda la institución apoyándose en la estrategia de seguridad que ésta esté llevando a cabo. Figura 13: Esquema Amenaza-Vulnerabilidad-Riesgo-Impacto (Tupia 2010) La Gestión de Riesgos es también tener un autoconocimiento considerable, esto es, la necesidad de conocer las amenazas y vulnerabilidades propias. En consecuencia la Gestión implicará conocer la naturaleza de los riesgos para cuantificar el impacto en el negocio. De esta manera se podrá administrar los riesgos de manera eficiente. Este es un paso crucial y previo para la determinación de la estrategia y de los planes de seguridad. Debemos tener muy presente que la Gestión de Riesgos debe llevar, de manera adjunta a sí misma, un mensaje que transmita el equilibrio entre el costo que llevaría la implementación de los controles y contramedidas, y las exposiciones al riesgo que tiene la organización. Figura 14: Fases de la Gestión de Riesgos Determinar  contexto de  aplicación Identificar los  riesgos Analizar y  clasificar los  riesgos Tratar los riesgos  (implementar  controles) Aceptar riesgos  residuales Monitorear y  revisar los  riesgos Comunicar a los  actores  involucrados. AMENAZAS ACTIVO DE INFORMACIÓN RIESGO IMPACT O EN EL NEGOCI O 26 La importancia de la GR radica en convertir a la seguridad de información en un facilitador del negocio, en un ente que aporta valor al mismo. Permite dirigir las acciones que prevengan, de manera razonable, las amenazas a la seguridad a las que se ve expuesta la empresa; o sea, en cierta medida dirige los planes de seguridad. 3. REVISIÓN DEL ESTADO DEL ARTE 3.1. COBIT Es un marco integral de Gobierno de las Tecnologías de la Información que permite, a la Alta Dirección de una organización, alcanzar sus objetivos para el gobierno y la gestión de las TI de las empresas. Ayuda a las organizaciones a obtener un retorno de valor de sus TI y les permite conectar los requerimientos de negocio y de control con los aspectos técnicos, controlando los riesgos y optimizando los recursos. COBIT 5.0 usa varios estándares y normas internacionales convenientemente para poder convertirse en un marco integrador. Entre ellas se encuentran: ValIT, RiskIT, ITIL, Familia ISO 27000, Normas NIST, COSO, CMMI, PMBOK. Se basa en los siguientes principios: Figura 15: Principios de Cobit 5.0 (ISACA 2012) 1. Identificar las necesidades de los Stakeholders (Interesados) Crear valor manteniendo el equilibrio entre realización de beneficios y la optimización del uso de recursos y gestión del riesgo. 27 2. Cubrir y conocer el negocio de la organización Conocimiento profundo del negocio de la organización para conseguir una integración entre el Gobierno de la empresa y el Gobierno de las TI. 3. Aplicar un único marco de trabajo integrado COBIT cubre todas las necesidades y se integra con otros marcos y buenas prácticas, de forma que puede ser utilizado como marco general. 4. Aplicar un enfoque holístico Para obtener con eficacia y eficiencia una Gestión y Gobierno de TI. 5. Separar Gestión de Gobierno. Es necesario hacer la diferencia entre ambas disciplinas, resaltando su importancia y complementariedad. También se presenta el concepto de facilitadores que son factores que individual o colectivamente influyen para que algo funcione. En COBIT 5.0 son descritas 7 categorías: Figura 16: Facilitadores de COBIT 5.0 (ISACA 2012) 1. Principios, Políticas y Marcos de Trabajo Son el medio para ocasionar el comportamiento deseado para la gestión diaria mediante guías prácticas. 2. Procesos Especifican un grupo organizado de actividades y prácticas para cumplir con objetivos determinados y producir un conjunto de salidas para alcanzar los objetivos generales relacionados con TI que están alineados con los objetivos del negocio. 3. Estructura Organizacional 28 Entidades importantes y claves en la toma de decisiones de la empresa u organización. 4. Cultura, Ética y Comportamiento De la empresa y de los individuos que tienen que ser considerados un factor significativo para el éxito en las actividades de gobierno y gestión de TI. 5. Información Requerida para mantener la empresa en ejecución y bien gobernada. En el nivel operacional, la información es un producto clave de la empresa. 6. Servicios, Infraestructura y Aplicaciones Incluye la infraestructura, la tecnología y las aplicaciones para proveer a la empresa los servicios y procesamiento de TI. 7. Personas, Habilidades y Competencias Requeridas para completar con éxito las actividades y para tomar las decisiones correctas y acciones correctivas (mediante el monitoreo). COBIT 5.0 es complementado por sus procesos facilitadores que son prácticas relacionadas de TI las cuales son subdivididas en dos áreas principales: A. Gobierno: donde se definen siguientes actividades: (EDM, por sus siglas en Inglés) a. Evaluar b. Dirigir c. Monitorear B. Gestión: donde se entregan a 4 dominios que son: (PBRM, por sus siglas en Inglés) a. Planear b. Construir c. Ejecutar d. Monitorear. 29 Figura 17: Modelo de Referencia de Procesos de COBIT 5.0 (ISACA 2012) A. EMD - Evaluar, Dirigir, Supervisar a. EDM01 Definir y Mantener el Marco de Gobierno b. EDM02 Asegurar Entrega de Beneficios c. EDM03 Asegurar Optimización de Riesgo d. EDM04 Asegurar Optimización de Recursos e. EDM05 Asegurar Transparencia para los Interesados B. APO - Alinear, Planear, Organizar a. APO01 Gestionar el Marco de Gestión de TI b. APO08 Gestionar Relaciones c. APO02 Gestionar la Estrategia d. APO09 Gestionar Acuerdos de Servicio e. APO03 Gestionar la Arquitectura Empresarial f. APO10 Gestionar Proveedores g. APO04 Gestionar Innovación h. APO11 Gestionar Calidad i. APO05 Gestionar Cartera j. APO12 Gestionar Riesgo k. APO06 Gestionar Presupuesto y Costos 30 l. APO13 Gestionar Seguridad m. APO07 Gestionar Recursos Humanos C. BAI - Construir, Adquirir, Implantar a. BAI01 Gestionar Programas y Proyectos b. BAI08 Gestionar Conocimiento c. BAI02 Gestionar Definición de Requerimientos d. BAI09 Gestionar Activos e. BAI03 Gestionar Identificación de Soluciones y Construir f. BAI10 Gestionar Configuración g. BAI04 Gestionar Disponibilidad y Capacidad h. BAI05 Gestionar Facilitación del Cambio Organizacional i. BAI06 Gestionar Cambios j. BAI07 Gestionar Aceptación del Cambio y Transición D. DSS - Entrega, Servicio, Soporte a. DSS01 Gestionar Operaciones b. DSS02 Gestionar Requerimientos de Servicio e Incidentes c. DSS03 Gestionar Problemas d. DSS04 Gestionar Continuidad e. DSS05 Gestionar Servicios de Seguridad f. DSS06 Gestionar Control de Procesos de Negocio E. MEA - Supervisar, Evaluar, Valorar a. MEA01 Desempeño y Conformidad b. MEA02 Sistema de Control Interno c. MEA03 Cumplimiento Requerimientos Externos ISACA propone la ejecución del diagrama presentado en la Figura 18, donde se resalta la composición de 3 círculos concéntricos, los cuales pueden ser indicados de la siguiente manera: Planificación, Cambios, Mejora Continua. 31 Figura 18: Ciclo de vida de implementación de COBIT 5.0 (ISACA 2012) La implementación cubre:  Posicionamiento del Gobierno de TI empresarial dentro de la organización  Tomar los primeros pasos hacia la mejora del Gobierno de TI  Desafíos de la implementación y factores de éxito.  Facilitar los cambios organizacionales y el comportamiento de los mismos.  Implantado la Mejora Continua que incluye posibilitación del cambio y gestión del programa.  La utilización del marco integral COBIT ® y sus componentes. 3.3. ISO 27001 y 27002 Se refiere a las normas internacionales del International Organization for Standardization (ISO). Pertenecen a la familia de normas ISO 27001. Recientemente han sido actualizadas a una nueva versión: ISO/IEC 27001:2013 e ISO/IEC 27002:2013. El objetivo de la ISO 27001 es que la empresa sea capaz de priorizar y seleccionar controles en base a sus posibilidades y a sus necesidades/riesgos de seguridad. Es que los riesgos se analicen y se gestionen, que la seguridad se planifique, se implemente y, sobre todo, se revise y se corrija y mejore. La ISO 27001 se ha modificado para adaptarse a la nueva estructura de alto nivel utilizado en todas las normas de Sistemas de Gestión, lo que simplifica su integración con otros sistemas de gestión. 32 La ISO 27002 es una guía para, en distintos ámbitos, conocer qué se puede hacer para mejorar la seguridad de la información. Expone, en distintos campos, una serie de apartados a tratar en relación a la seguridad, los objetivos de seguridad a perseguir, una serie de consideraciones (controles) a tener en cuenta para cada objetivo y un conjunto de "sugerencias" para cada uno de esos controles. Sin embargo, la propia norma ya indica que no existe ningún tipo de priorización entre controles, y que las "sugerencias" que realiza no tienen por qué ser ni siquiera convenientes, en función del caso en cuestión. La ISO 27002 es en esencia una guía que describe los objetivos de control y los controles recomendables en cuanto a seguridad de la información en las organizaciones. 3.2. NTP 2 Norma Té para el es mantenim Informació Adopta la con la id adoptando procesos requiere: Políticas d de la Inf Control d Segurid comuni 7001 cnica Peru tablecimien iento y me n de una o aplicación entificación el modelo del Sistem e Seguridad ormación e Accesos ad de las caciones ana NTP- to, implanta joramiento rganización de un siste y la inter “Plan-Do-C a de Gest Organiz Segurid Inform Cripto Adquisic sistemas, d manten Aspec segurid informac gestión de del ne 33 ISO/IEC 27 ción, la pu de un Si . ma de pro acción de heck-Act” ión de Seg ación de ad de la ación grafía ión de los esarrollo y imiento tos de ad de la ión de la continuidad gocio 001:2008 esta en fun stema de cesos dent estos proc , que se ap uridad de Segurida Recursos Segurida medioam Relacione provee Cumpli que espec cionamient Gestión de ro de una esos, así lica para e la Informac d de los Humanos d física y biental s con los dores miento ifica los re o, control, Segurida organizació como su structurar to ión. Este Gestión de Seguridad operac Gestión incident segurida informa quisitos revisión, d de la n, junto gestión, dos los proceso Activos de las iones de los es de d de la ción  Estab releva entreg de la  Imple proce  Monit desem exper revisió  Mante estab geren SGSI La norma A. Pre B. Alc C. Re D. Té E. El F. Re lecer el SG ntes para m ar resultad organizació mentar y o dimientos S orear y re peño de iencias prá n. ner y m lecidas en cial u otra . se encuent facio e intr ance del m ferencias n rminos y de sistema de sponsabilid •Mante Mejora SGSI •Estable SGSI Figura 19: P SI: Crear anejar el os en corr n. perar el SG GSI. visar el S l proceso cticas SG ejorar SG los result información ra estructu oducción. odelo. ormativas. finiciones. gestión de ad de la ge ner y  r el  cer el  P 34 lan-Do-Chec política, obj riesgo y me espondenc SI: Implem GSI: Evalu en comp SI y repo SI: Tomar ados de la relevante, rada en los la segurida rencia. lan Act k-Act para N etivos, pro jorar la seg ia con las p entar y m ar y, dond aración c rtar los re acciones auditoría para logra siguientes d de inform Do Check TP 27001 cesos y pro uridad de olíticas y o anejar la p e sea ap on la po sultados a correctiva interna S r el mejoram ítems: ación en s •Monito y revisa SGSI •Implem y opera SGSI cedimiento la informac bjetivos ge olítica, con licable, cal lítica, obje la gerenc s y prev GSI y la iento cont í. rizar  r el  entar  r el  s SGSI ión para nerales troles y cular el tivos y ia para entivas, revisión inuo del 35 G. Auditorías internas al Sistema de Gestión de Seguridad de la Información. H. Revisión gerencial del Sistema de Gestión de Seguridad de la Información. I. Mejoramiento continuo del Sistema de Gestión de Seguridad de la Información. J. Anexo A: Objetivos y controles. K. Anexo B: Guía de los principios OECD para administración de riesgos y su correspondencia con el ciclo de Deming PDCA. L. Anexo C: Correspondencia de esta norma como los estándares ISO 9001:2000 e ISO 14001:2004 3.4. NTP 17799 Norma Técnica Peruana elaborada por el comité Técnico de Normalización de codificación e Intercambio Electrónico de Datos (EDI) en el año 2006, siendo oficializada al año siguiente. Es una adopción de la Norma ISO/IEC 17799:2007. La NTP 17799:2007 tiene como finalidad proporcionar una base común en el desarrollo de normas de seguridad en las organizaciones y ser una buena práctica de la gestión de la seguridad. Comprende de 11 ítems de control de seguridad que envuelven un total de 39 categorías principales, que (con sus respectivos objetivos) son: A. Política de seguridad a. Política de seguridad de la información: para la gestión de Seguridad de la Información según los requerimientos del negocio, las leyes y regulaciones. B. Aspectos organizativos para la seguridad a. Organización interna: gestionar internamente la seguridad de la información. b. Seguridad en los accesos de terceras partes: para mantener la seguridad de los activos de información y los recursos que manejen información por parte de terceros. C. Clasificación y control de activos a. Responsabilidad sobre los activos: para la protección adecuada de los activos de la organización. 36 b. Clasificación de la información: para establecer un nivel de protección a los activos de información. D. Seguridad en Recursos Humanos a. Seguridad antes del empleo: asegurando que los empleados, contratistas y terceros sean los adecuados y que conozcan sus responsabilidades, reduciendo así el riesgo de fraude, hurto o mal uso de las instalaciones. b. Durante el empleo: que los empleados, contratistas y terceros sean consientes de las políticas de seguridad de información de la organización. c. Finalización o cambio del empleo: que los empleados, contratistas y terceros terminen su relación laboral con la organización de manera ordenada. E. Seguridad física y del entorno a. Áreas seguras: Prescindir los accesos no autorizados, daños e interferencias contra los locales y la información de la organización. b. Seguridad de los equipos: para los activos de información y la interrupción de las actividades de la organización. F. Gestión de comunicaciones y operaciones a. Procedimientos y responsabilidades de operación: manejo correcto y seguro de los recursos que utilicen información de la organización. b. Gestión de servicios externos: para mantener un nivel de seguridad apropiado y de entrega de servicio en línea con los acuerdos con terceros. c. Planificación y aceptación del sistema: atenuar los riesgos de fallos del sistema. d. Protección contra software malicioso: dar protección a la integridad del software y de la información e. Gestión de respaldo y recuperación: que los servicios que manejan la información y comunicación se mantengan en fluidez continua. f. Gestión de seguridad en redes: asegurar la información en las redes así como de su infraestructura. g. Utilización de los medios de información: que las actividades de información no se interrumpan y que los activos no sufran modificaciones, daños y accesos no autorizados. h. Intercambio de información: evitar la pérdida, modificación o mal uso de información que se intercambia entre organizaciones. i. Servicios de correo electrónico: dar seguridad al uso y servicios de comercio electrónico. j. Monitoreo: para detectar las actividades no autorizadas que quieran manejar la información de la organización. G. Control de accesos 37 a. Requisitos de negocio para el control de accesos: controlar los accesos a la información. b. Gestión de acceso de usuarios: asegurar el acceso de usuario autorizados y minimizar los no autorizados. c. Responsabilidades de los usuarios: evitar los accesos no autorizados y el compromiso o robo de la información. d. Control de acceso a la red: impedir el acceso no autorizado a los servicios de red. e. Control de acceso al sistema operativo: evitar los accesos no autorizados a las computadoras. f. Control de acceso a las aplicaciones y la información: para dificultar el acceso no autorizado a la información que está en los sistemas. g. Informática móvil y teletrabajo: acreditar la seguridad de la información mediante dispositivos móviles y de teletrabajo. H. Adquisición, desarrollo y mantenimiento de sistemas a. Requisitos de seguridad de los sistemas: que los sistemas de información sean seguros desde su concepción. b. Seguridad de las aplicaciones del sistema: que los datos de usuarios no experimenten mal uso, pérdida o modificaciones en las aplicaciones. c. Controles criptográficos: para proteger la información referente a su confidencialidad, integridad y autenticidad. d. Seguridad de los archivos del sistema: preservar la seguridad de los archivos del sistema. e. Seguridad en los procesos de desarrollo y soporte: f. Gestión de la vulnerabilidad técnica I. Gestión de incidentes en la Seguridad de Información a. Reportando eventos y debilidades de la seguridad de información b. Gestión de las mejoras e incidentes en la seguridad de información J. Gestión de continuidad del negocio a. Aspectos de la gestión de continuidad del negocio K. Cumplimiento a. Cumplimiento con los requisitos legales b. Revisiones de la política de seguridad y de la conformidad técnica c. Consideraciones sobre la auditoria de sistemas La Presidencia del Consejo de Ministros, decretó que de uso obligatorio esta norma con la finalidad de poder generar un plan de seguridad de la información en la Administración Pública. Esta medida muestra que el estado peruano tiene como 38 consigna el introducir cada vez más la cultura de seguridad en sus empresas estatales para brindar mejor servicio a los ciudadanos peruanos. 4. DISCUSIÓN SOBRE LOS RESULTADOS DE LA REVISIÓN DEL ESTADO DEL ARTE Al realizarse la revisión del estado del arte para nuestro proyecto de fin de carrera y después de consultarse en instituciones oficiales del estado peruano como el Instituto Nacional de Defensa de la Competencia y de la Protección de la Propiedad Intelectual (INDECOPI), Oficina Nacional de Gobierno Electrónico e Informática (ONGEI), Contraloría General de la República (CGR) se pudo constatar que no existen registro alguno de guías o procedimientos para poder realizar auditorías de cumplimiento de la NTP-ISO/IEC 17799. El marco internacional COBIT se ha actualizado y en su nueva versión 5.0 presenta una mejora que es valorada por los profesionales, ya que al ser el estándar de facto en Tecnologías de Información brinda una combinación de otros estándares de ISACA. Cabe resaltar que la reciente normativa NTP-ISO/IEC 27001:2008 obliga a una lista de empresas del estado peruano a implantarla, pero no estipula que necesiten ser certificadas en ISO 27001:2005. Cualquiera sea el caso, se debe tener en cuenta los gastos que implicaría bien la implantación de la norma técnica peruana o la consecución de la certificación en su relacionada norma internacional. La NTP-ISO/IEC 17799, que es el descenso de la norma ISO 27002:2005 en el escenario peruano, es ideal para tomarse como base para el desarrollo de los procedimientos que se proponen en este proyecto de fin de carrera que serán utilizados como parte de los controles del proceso de implantación de la NTP- ISO/IEC 27001. Es importante indicar que las normas ISO 27001 e ISO 27002 han sido actualizadas recientemente a las versiones ISO 27001:2013 e ISO 27002:2013. Estas normas son internacionales y en el marco peruano aún están siendo introducidas por los profesionales de seguridad de la información en las distintas empresas. Las NTP (normativa vigente) aún mantienen su versión anterior (ISO 27001:2005 e ISO 27002:2005) con sus respectivas equivalencias. Mientras no se actualice al equivalente a las nuevas versiones ISO, las empresas del estado peruano pueden seguir trabajando bajo la versión anterior. 39 CAPÍTULO 3: PROCEDIMIENTOS GENERALES DE AUDITORÍA 1. INTRODUCCIÓN Para poder dar inicio a una Auditoría de Control de Seguridad de la Información basada en la NTP-ISO/IEC 17799:2007 para empresas públicas del Estado Peruano, es fundamental identificar las entidades que tienen las facultades de ejecutar ésta actividad. En el contexto peruano, se reconocen las siguientes entidades de las cuales puede preceder esta motivación:  Control Interno, de la empresa pública (si es que existiese dicha área)  Gerencia General, como ente superior de la empresa pública.  Contraloría General de la República, como Entidad Fiscalizadora Superior (EFS) en el Perú Se necesita recabar la información necesaria mediante la solicitud de los documentos oficiales, registrados y difundidos de la empresa, así como también, mediante entrevistas personales con la(s) personas(s) a cargo en las áreas relacionadas al objeto de auditoría. 40 2. PROCEDIMIENTOS PARA DETERMINAR EL ALCANCE DE LA AUDITORÍA Como primer punto a atender es determinar el alcance que tendrá la Auditoría. Para ello se revisará la documentación de la empresa que se hayan compuesto al implementar los controles sugeridos por la NTP- ISO/IEC 17799:2007. Al ser, la auditoría de control de Seguridad de la Información basada en la NTP-ISO/IEC 17799:2007, parte del proceso de implementación de la Norma Técnica Peruana NTP-ISO/IEC 27001:2008, se hace obligatoria también la revisión de la documentación generada al establecer el Sistema de Gestión de Seguridad de la Información. Además se realizarán entrevistas personales al grupo de personas profesionales de la entidad de la cual viene el pedido de ejecutar el proceso de Auditoría. A continuación se lista los ítems que ayudarán a poder establecer de manera detallada el Alcance de la Auditoría: Ítem Descripción Documento de Política de Seguridad y objetivos Políticas, principios, normas y requisitos de conformidad para la empresa en Seguridad de la Información. Documento de Alcance del Sistema de Gestión de Seguridad de la Información Determinar el alcance de la seguridad de la información, su importancia en la empresa. Establecimiento de los objetivos de la Gerencia como soporte de los objetivos de la Seguridad de la Información. Documento de Establecimiento de Roles y Responsabilidades para la Seguridad de la Información Descripción específica de las responsabilidades en relación a gestión de la Seguridad de la Información en la empresa. Incluye también la comunicación de las incidencias. Documento de Evaluación de Riesgos Identifica, cuantifica y prioriza los riesgos contra el criterio para la aceptación del riesgo y los objetivos relevantes para la organización. Documento de Declaración de Aplicabilidad Describe los controles a implementarse y sus objetivos descendidos a la realidad de la empresa. Informes de Auditorías previas y/o de terceros. Presentaciones de recomendaciones y constataciones resultantes de auditorías pasadas y/o actos de incumplimiento regulatorio. Entrevistas Personales Determinar de manera exacta y detallada el alcance que se pretende tener para la Auditoría. Tabla 1 - Ítems para establecer Alcance de la Auditoría 41 Como aporte, el Auditor, en base a su juicio profesional, puede ampliar y/o disminuir el alcance de la Auditoría. Esto puede darse siempre y cuando se informe por escrito a los interesados. Al terminar de detallar el Alcance que tendrá la Auditoría, se debe comunicar y recibir la aceptación del mismo por la empresa auditada. 3. PROCEDIMIENTOS PARA DETERMINAR EL OBJETIVO DE LA AUDITORÍA Las auditorías a las que va dirigido el presente proyecto de fin de carrera, son eminentemente de cumplimiento regulatorio. Esto debido fundamentalmente a que el universo de empresas del Estado (que podrían hacer uso de los procedimientos planteados en este proyecto) están obligadas a cumplir las normas técnicas NTP ISO/IEC 27001:2008 y NTP ISO/IEC 17799:2007. En la medida que se hayan hecho avances progresivos de la implementación de ambas normas y que a su vez, se hayan hecho auditorias de cumplimiento parcial de las mismas, los objetivos pueden variar (reducirse paulatinamente, hasta que se verifique el cumplimiento total de cualquiera de las normas en cuestión) Los criterios de la auditoría —como se verán más adelante— serán los aspectos específicos de cualquiera de las normas (en especial la NTP- ISO/IEC 17799:2007) que formarían parte del alcance y se deberán detallar en sendas declaraciones de aplicabilidad. Adicionalmente, la definición del objetivo general dependerá de varios factores. Entre los más importantes y más recurridos se encuentran:  El mandato y el cometido de una de las tres entidades mencionadas anteriormente (Control Interno, Gerencia General o Contraloría General de la República) que sea específico para la auditoría a realizar y que pueda escapar del cumplimiento de cualquiera de las normas anteriormente mencionadas.  Leyes y regulación interna pertinentes a la empresa auditada y que guardan relación con las normas auditadas (los denominados cuestionarios de control interno) Estos factores podrían modificar (ampliar) el objetivo de la auditoría de cumplimiento. 4. PROCEDIMIENTOS PARA ESTABLECER LOS CRITERIOS DE LA AUDITORÍA De de an 5. PR En se rev Se y a seg 17 est Te cla Pa Es po pendiendo l estado, se exos el univ OCEDIMI esta etapa podrá rea isan los sig inicia por l yudará a e uridad de 799:2007, e ado en cue  la iden  la defin  la iden  las nec  otros r niendo el sificación d ra esta clas necesario r el SOA ind del docum establece erso de cri ENTOS P de la audi lizar el leva uientes as a revisión d ntender lo la informa l SOA esta stión. Para tificación d ición de lo tificación d esidades p elacionado acceso a e los cont ificación se poder desa icando el t No existe •Son nec análisis Existente •Están e se deter los riesg Existente •Están e manera Existente •Están e pero se optimiza rendimie 42 ento de De rán los crite terios que a ARA EL L toría es ne ntamiento pectos: e la Declar que implan ción. De t blece los c tal efecto, e riesgos, s controles e requisitos ropias de l s. esta info roles de ac define la s rrollar una ipo según l ntes esarios ap no fueron i Adecuado n ejecución mina que s os relacion Inadecua n ejecución completa s Mejorable n ejecución identifica la r a una esc nto. claración d rios para l barca la N EVANTAM cesario rec de eviden ación de A tó la empre odos los c ontroles qu se solicita l , legales, re a empresa rmación uerdo a la iguiente tip tabla con o especifica licarlos pero dentificados y al realiza on óptimos ados. do , pero no c u función in , cumplen s capacidad ala mayor e aplicabili a auditoria. TP-ISO/IEC IENTO D onocer las cias. Para plicabilidad sa en relac ontroles d e aplican p os docume gulatorios, . se podrá declaració ificación de todos los c do líneas a al realizar . rles prueba , controland ubren de icial. u función de poder a la actual dad de la e Se detalla 17799:20 E EVIDEN vías por la este propó , la cual da ión a la ge e la NTP- ara la emp ntos referid de contrato realizar lu n de aplic controles: ontroles in rriba. el s o su mpresa n en los 07. CIAS s cuales sito, se rá luces stión de ISO/IEC resa del os a: s, etc., ego la abilidad. dicados Ca con sub con Es pu em info info fluj Lo la sig De Fin info No em Ad rel be resalta juntos: No divide en las salida ta gestión es al ser u presa, es e rmación c rmática an o normal d s controles gestión de uiente ilust cada contr almente, lo rmación q s permitirá presa. emás exist acionados Ade Plan de implementa Info téc pre r que los existente otros tres, s de un sist se adapta n manejo l activo má ertera y d tes los inci e actividade existentes incidente ración: ol existente s reportes ue tuviera n identifica en una gra a los con cuado G ción rmes nicos vios Térm refe ( 43 controles s y Existen con la fina ema de ge rá como h de los eve s cercano irecta de dentes o pr s a la que serán eva s y proble , se analiz de auditorí la empres r los punto n gama de troles exis estión de inos de rencias TDR) se podría tes. En e lidad de p stión de inc erramienta ntos que s y constante cómo reac oblemas q está expue luados med mas, teni arán los sig as pasadas a, serán ta s más críti diversos d tentes y Controles Inadecuado Incidentes Controle Existente Plan de Proyecto n agrupar l caso de oder mane identes y p fundamen e dan en en la emp ciona toda ue pudieran sta la empr iante su co endo com uientes ítem en relació mbién vita cos en los ocumentos no existen y Problema s s Docu confo en dos los Existen jarlos y an roblemas. tal en esta el día a d resa que n la infraes ocasionar esa. mportamie o idea ge s: n a segurid les en esta cuales ado que pued tes que s Mejo s mentos de rmidad Prov grandes tes, se alizarlos etapa, ía de la os dará tructura se en el nto con neral la ad de la etapa. lecía la an estar e hará rable eedores ... ne eva la i 6. PR La eva crit El la ISO de def Como res escenario  No ma res lev No • C • C • N Se cesario po luación de nformación OCEDIMI presentac luación de erios de au tipo de aud verificación /IEC 1779 ben ser e inidos, par ultado de l s, entre los se tiene nera de r pectiva ev antamiento se tiene e umple el c umple par o cumple tiene evid der analiz cómo se e ENTOS D ión de ha la recopila ditoria. itoria al cua del cump 9:2007. Es valuadas a obtener lo a evaluació cuales des evidencia: elacionar u idencia a y/o anál Criter de Audito Eviden de Audito videncias riterio cialmente el criterio encias 44 ar y deter ncuentra la E DOCUM llazgos co ción de la l aplica el limiento re to obliga a siguiendo s hallazgo n de las e tacan: Escenario n criterio pesar de isis. Cabe ios ria cias ria el criterio minar con empresa c ENTACIÓ ntempla m s evidencia presente pr al de la n buscar ev los criterio s. videncias, donde el de la Nor haberse a resaltar Ha A ello de m on respect N DE HA ostrar los s de la au oyecto de f orma técn idencias o s de aud se podría auditor no ma Técnic plicado lo que no se llazgos de uditoria anera ínt o a la segu LLAZGOS resultados ditoría fren in de carre ica peruan bjetivas, las itoría prev encontrar pudo obte a Peruana s mecanis pueden egra la ridad de de la te a los ra exige a NTP- cuales iamente diversos ner una con la mos de realizar as pre  Si jus Los criter SOA) que agruparse una audito  No crit  Sí tot co  Se de po 7. PR CO El informe recomend Partiendo conclusion Luego se tendrá com uso del D que se ha Hallazg Conclusio recomen unciones s sentar com tiene evid tificables p ios de la N hayan pod de la sigu ria de cum se cump erio evalua se cumple alidad, es rroborados cumple e terminar qu rcentaje qu OCEDIMI NCLUSIO final de aciones de de la bas es una a u pasará a o punto de ocumento d detectado o 1 nes y  daciones Hal Con reco i no se tie o hallazgo encia: Si e ara relacion TP (que e ido ser enf iente mane plimiento): le el criter do no se e el criterio atendido p por las evid l criterio p e el criterio e será disp ENTOS NES Y R auditoría c acuerdo a e del Do na. Esta se generar las inicio el o e aplicabi a causa de lazgo 2 clusiones y  mendaciones 45 ne forma . l auditor c arlo con un stán listad rentados co ra, siguién io: Donde stá insertad : De la eva or controle encias res arcialmen está siend uesto a crit PARA L ECOMEND onsiste en los hallazg cumento d rá presenta conclusio bjetivo gen lidad SOA la auditoria ... de poder uenta con criterio. os en la D n al menos dose de ma las eviden o en su tot luación se s y/o proc pectivas. te: Cuando o asistido erio profes A DOCU ACIONE la presen os encontra e aplicabil da de man nes genera eral de la a para cuant . Hallazg Conclus recome corroborar la evidenci eclaración una evide nera estric cias obteni alidad en la obtiene qu esos los c las eviden no en su to ional del au MENTAC S tación de dos. idad - SO era detalla les de tod uditoría. Nu ificar el niv o N iones y  ndaciones lo que se a(s) necesa de Aplicab ncia, prose ta (por tra das revelen empresa. e el criteri uales pue cias nos p talidad, sin ditor.  IÓN DE las conclus A se inse da. a la audito evamente el de cump Se obje la au Con Recom quiera ria(s) y ilidad – guirán a tarse de que el o, en su den ser ermiten o en un LAS iones y rtan las ria que se hace limiento gún el  tivo de  ditoria clusiones endaciones 46 CAPÍTULO 4: PRUEBAS DE LOS PROCEDIMIENTOS 1. INTRODUCCIÓN A continuación se hará presente la documentación que sustenta las pruebas realizadas a los procedimientos de auditoría antes detallados en el presente proyecto de fin de carrera. Esto es con la finalidad de verificar la utilidad de dichos procedimientos en procesos de auditoría a empresas del estado. 2. ALCANCE DE LAS PRUEBAS Las pruebas realizadas se ejecutaron en el marco de una empresa del estado peruano que está normada en cumplir con lo estipulado en las NTP-ISO/IEC 17799:2007 y NTP-ISO/IEC 27001:2008. En este caso específico se referirá al Dominio 5 y al Dominio 7 de la NTP-ISO/IEC 17799:2007 concerniente a las Políticas de Seguridad que maneja una empresa del estado peruano. 47 3. OBJETIVO DE LAS PRUEBAS El objetivo de las pruebas realizadas es el cumplimiento por parte de una empresa del estado peruano en la implementación de las Normas técnicas peruanas NTP- ISO/IEC 17799:2007 y NTP-ISO/IEC 27001:2008. 4. EJECUCIÓN DE LAS PRUEBAS Los criterios que se van a utilizar son todos los relacionados al Dominio 5 de la NTP-ISO/IEC 17799:2007 (refiérase 5.1.1 y 5.1.2) y al Dominio 7 (refiérase 7.1.1, 7.1.2, 7.1.3, 7.2.1 y 7.2.2). Como evidencias se ha manejado el documento de Política Corporativa de Seguridad de Información de una empresa pública del estado peruano el cual reemplaza a los documentos antes manejados por la empresa estatal: Documento de Política General de Seguridad de Información y el Documento de Seguridad de Información. El documento cuenta con un índice que se divide en 4 secciones: 1. Consideraciones Generales 2. Lineamientos 2.1. Declaración de Seguridad de la Junta de Directores. 2.2. Cumplimiento. 2.3. Definiciones y responsabilidades. 3. Organización de Seguridad 3.1. Generalidades. 3.2. Objetivo. 3.3. Responsabilidad. 3.4. Comité de Seguridad de Información. 3.5. Jefe de Seguridad de Información. 4. Control de Versiones Además para las pruebas se tuvo acceso a los Inventarios de Activos y el Documento de Políticas del Inventario de Activos. El Inventario de Activos es un conjunto de hojas de cálculo bajo la herramienta MS Excel de Windows, que tiene como estructura lo siguiente: 1. Número  2. Activo  3. Proceso Relacionado  4. Tipo de Activo  5. Activo de TI  6. Dueño del Activo  7. Responsable del activo  8. Confidencialidad  9. Integridad  10. Disponibilidad  11. Evaluación del activo  12. Criticidad del activo.  48 La Política del Inventario de Activos cuenta con un índice que se divide en ## secciones: 1. Consideraciones Generales 2. Lineamientos 2.1. Clasificación del Activo de Información. 2.2. Evaluación del Activo de Información. 2.3. Criticidad del Activo de Información. 3. Definiciones. 3.1. Campos del Inventario de Activos de Información. 4. Control de Versiones  A continuación se hace el resumen de hallazgos (siguiendo los procedimientos descritos en el capítulo anterior) y después de una exhaustiva lectura del documento antes mencionado: Dominio 5. POLÍTICA DE SEGURIDAD CUMPLIMIENTOCategoría 5.1. Política de seguridad de la información Control 5.1.1. Documento de política de seguridad de la información. Objetivo Aprobar, publicar y comunicar, por parte de gerencia a todos los empleados, en la forma adecuada, un documento de política de seguridad de la información ✔ (83,33%) Proced. Específicos P1 Definición, objetivos globales, alcance e importancia ✓ P2 Apoyo de gerencia ✓ P3 Objetivos de control y mandos. ✓ P4 Políticas, principios, normas y requisitos ✓ P5 Responsabilidades y comunicación de incidencias X P6 Referencias de documentación ✓ Tabla 2 - Hallazgos 1 de las Pruebas de los Procedimientos Dominio 5. POLÍTICA DE SEGURIDAD CUMPLIMIENTOCategoría 5.1. Política de seguridad de la información Control 5.1.2. Revisión y evaluación Objetivo Revisar la política de seguridad en intervalos planificados o si cambios significantes ocurren con el fin de asegurar su uso continuo. ✔ (100%) Proced. Específicos P1 Propietario de la política ✓ P2 Revisión de la política ✓ Tabla 3 - Hallazgos 2 de las Pruebas de los Procedimientos Dominio 7. CLASIFICACIÓN Y CONTROL DE ACTIVOS CUMPLIMIENTOCategoría 7.1. Responsabilidad sobre los activos Control 7.1.1. Inventario de activos Objetivo Identificar todos los activos elaborando y manteniendo un inventario de todos los activos importantes. ✔ (100%) Proced. Específicos P1 Identificación de activos ✓ P2 Clasificación de activos ✓ Tabla 4 - Hallazgos 3 de las Pruebas de los Procedimientos Dominio 7. CLASIFICACIÓN Y CONTROL DE ACTIVOS CUMPLIMIENTOCategoría 7.1. Responsabilidad sobre los activos 49 Control 7.1.2. Propiedad de los activos Objetivo Toda la información y los activos asociados con el proceso de información deben ser poseídos por una parte designada de la organización. ✔ (100%) Proced. Específicos P1 Responsabilidad de propietarios de activos ✓ P2 Asignación de propiedad ✓ Tabla 5 - Hallazgos 4 de las Pruebas de los Procedimientos Dominio 7. CLASIFICACIÓN Y CONTROL DE ACTIVOS CUMPLIMIENTOCategoría 7.1. Responsabilidad sobre los activos Control 7.1.3. Uso adecuado de los activos Objetivo Identificar, documentar e implementar las reglas para un uso aceptable de la información y de los activos asociados con las instalaciones del procesamiento de la información. ✔ (100%) Proced. Específicos P1 Reglas para empleados, contratistas y terceras partes ✓ P2 Provisión de reglas específicas ✓ Tabla 6 - Hallazgos 5 de las Pruebas de los Procedimientos Dominio 7. CLASIFICACIÓN Y CONTROL DE ACTIVOS CUMPLIMIENTOCategoría 7.2. Clasificación de la información Control 7.2.1. Guías de clasificación Objetivo Clasificar la información en función de su valor, requisitos legales, sensibilidad y criticidad para la organización ✔ (66,66%) Proced. Específicos P1 Impacto de compartir o restringir información ✓ P2 Reclasificación a través del tiempo X P3 Responsabilidad del propietario del activo ✓ Tabla 7 - Hallazgos 6 de las Pruebas de los Procedimientos Dominio 7. CLASIFICACIÓN Y CONTROL DE ACTIVOS CUMPLIMIENTOCategoría 7.2. Clasificación de la información Control 7.2.2. Marcado y tratamiento de la información Objetivo Definir un conjunto adecuado de procedimientos para marcar y tratar la información de acuerdo con el esquema de clasificación adoptado por la organización ✔ (50%) Proced. Específicos P1 Alcance de los procedimientos de marcado de la información ✓ P2 Marcado en la salida de sistemas de información X P3 Definición de procedimientos ✓ P4 Acuerdos con otras organizaciones X Tabla 8 - Hallazgos 7 de las Pruebas de los Procedimientos 5. CONCLUSIONES Y RECOMENDACIONES DE LAS PRUEBAS. Luego del levantamiento de evidencias y la presentación de los hallazgos se concluye el cumplimiento por parte de la empresa del estado peruano en un 91,66% del Dominio 5 y un 83.33% del Dominio 7 de la NTP-ISO/IEC 17799:2007 como parte del proceso de implementación de la NTP-ISO/IEC 27001:2008 (Sistema de Gestión de Seguridad de Información). Se pudo evidencias que la empresa del estado en revisión, tiene un nivel intermedio de seguridad de la información que se ve reflejada en los diversos documentos e 50 implementación que ha realizado y que se ha podido constatar en la revisión. Es importante poder cubrir dichos falencias detectadas para que se pueda resguardar la confidencialidad, disponibilidad e integridad de la información que se administra. Se recomienda la implementación de establecimiento de las Responsabilidades y la Comunicación de incidencias. Para ello se podrían tomar como referencias marcos internacionales como COBIT 5.0 (desarrollado en este proyecto de fin de carrera, refiérase a los Sub-dominios DSS02-Gestiónar requerimientos de Servicio e Incidentes y DSS03-Gestionar Problemas) así como también ITIL v3 (refiérase al libro de Operación de Servicio, sección de Gestión de Incidencias). Además se sugiere poder desarrollar y aprobar por parte de la Alta Gerencias los siguientes documentos:  Política de Uso de Información obtenida de los sistemas: donde se indique cómo debería de utilizarse y las medidas de seguridad a considerar en la administración de la información que se ha obtenido desde los sistemas de información de la empresa estatal.   Acuerdos de información compartida: Acuerdos de confidencialidad en el que el colaborador de la empresa estatal se comprometa a tener un celo riguroso en la divulgación y administración de la información que requiere y utiliza en la ejecución de sus funciones.  51 CAPÍTULO 5: CONCLUSIONES Y RECOMENDACIONES Por la efectividad de las pruebas realizadas el presente proyecto de fin de carrera se presenta como una herramienta muy útil en el proceso de evaluación en el cumplimiento de las Normas Técnicas Peruanas NTP-ISO/IEC 17799 y NTP- ISO/IEC 27001 que se quiera realizar a las empresas del estado que estén regidas por la regulación pertinente que las obliga a tenerlas implementadas. La presentación de estos procedimientos de auditoría de cumplimiento son resultado de la motivación generada por las capacidades obtenidas al llevar los cursos del área de Tecnologías de Información del plan de estudios de la especialidad Ingeniería Informática de la Pontificia Universidad Católica del Perú. Esto es una llamada a poder tener más atención en esta área ya que se necesitan cubrir estos vacíos que se presentan en el escenario informático nacional, pues se declara la obligatoriedad de las NTP tener los mecanismos de poder verificar su cumplimiento. [ONGEI 2010b] Es vital reconocer que estos procedimientos están enfocados únicamente para escenarios de empresas del estado, por lo que se recomienda poder trasladarlo a empresas del sector privado, para ocasionar una mejor calidad en Seguridad de Información en ambos grupos (público y privado) dónde el mayor beneficiario serán los ciudadanos y por consiguiente las empresas y/u organizaciones. La actualización de las normas ISO 27001 e ISO 27002 en su versión del año 2013 no afectan a la aplicabilidad de los procedimientos presentados en este proyecto ya que éstos se basan en las NTP que son equivalentes a las normas ISO 27001 e ISO 27002 en su versión del año 2005. 52 REFERENCIAS 53 BIBLIOGRAFÍA ALLEN, Julia 2005 Governing for Enterprise Security. Technical Note. CMU/SEI-2005- TN-023. Estados Unidos: Software Engineering Institute BOSWORTH, Seymour, M.E. KABAY y Eric WHYNE 2002 Computer security handbook. 5ª edición. Estados Unidos: John Wiley & Sons. HUBER, George 1990 A theory of effects of advanced information technologies on organizational design, intelligence and decision making. INDECOPI - Instituto Nacional de Defensa de la Competencia y de la Protección de la Propiedad Intelectual 2006 TECNOLOGÍA DE LA INFORMACIÓN Procesos del Ciclo de Vida del Software (2nd ed.). Lima: Comité de Reglamentos Técnicos y Comerciales de INDECOPI. ISACA - Information Systems Audit and Control Association 2011 Manual de preparación para el examen de certificación CISA (Certification Information System Auditor) USA: ISACA Publishing 2012 COBIT 5.0 ® for Information Security USA: ISACA Publishing ISO - International Organization for Standardization 2002 ISO 19011:2002 Directrices para la auditoría de los sistemas de gestión de calidad y/o ambiental. Suiza: ISO. 2004 ISO/IEC 13335-1:2004 Information technology - Security techniques - Management of information and communications technology security - Part 1: Concepts and models for information and communications technology security management. Suiza: ISO. 2005 ISO/IEC 27002:2008 Information technology - Security techniques – Information security risk management. Suiza: ISO. 2008 ISO/IEC 27005:2008 Information technology - Security techniques – Information security risk management. Suiza: ISO. 2009 Information technology - Security techniques - Information security management systems - Overview and vocabulary. Suiza: ISO. ITGI – Informatic Technology Governance Institute 2003 IT Governance Executive Summary. ITGI - IT Governance Institute 2008 The Val IT Framework 2.0 Extract. USA: IT Governance Institute. MORTON, Michael 1988 Information Technology and Corporate Strategy. 54 ONGEI – Oficina Nacional de Gobierno Electrónico e Informática 2010a Encuesta de Seguridad 2010. Consulta: 27 de mayo 2012. 2010b Resumen de los Resultados de la Encuesta de Seguridad 2010, pp. 44-57. Consulta: 27 de mayo de 2012. PAULK, Mark y otros 1993 Key Practices of the Capability Maturity Model Version 1.1Software Engineering Institute. Paper 171. Consulta: 13 de abril de 2012 PIATTINI, Mario y Emilio DEL PESO 2001 Auditoría Informática: un enfoque práctico. 2ª edición. España: Alfaomega. TUPIA, Manuel 2010 Administración de la seguridad de información. Tupia Consultores y Auditores S.A.C. Perú: Graficar 2011 Gobierno de las tecnologías de información bajo la óptica de COBIT 4.1. Tupia Consultores y Auditores S.A.C. Perú. SA - Standards Australia 2004 AS/NZS 4360:2004 Administración de riesgos. Australia: SA.