Controles y Nivel de Auditoría

AUDITORIA DE NIVEL BÁSICO (1)

USUARIOS
  • Niveles de Acceso
  • Perfiles
  • Formación
  • Funciones y Obligaciones del personal
  • Etc.
SOFTWARE
  • Niveles de Acceso
  • Licencias
  • Actualizaciones
  • Encriptación
  • Certificación
  • Protección de Código Malicioso
  • Dimensionamiento del Sistema
  • Etc.
HARDWARE
  • Niveles de Acceso
  • Arquitectura correcta del montaje
  • Controles de dispositivos externos
  • Dimensionamiento de la Arquitectura
  • Controles de Protección y Prevención de Intrusos
  • Etc.
CANALES DE COMUNICACIÓN
  • E-mail
  • Telefonía IP
  • Fax
  • Etc.

 

Se debe verificar la existencia de documentos que acrediten medidas, ejemplo: contratos de terceros, contratos del personal, etc.

AUDITORIA DE NIVEL BÁSICO (2)

Todo lo visto en la auditoría de NIVEL BÁSICO (1), más las MEDIDAS LEGALES, dichas medidas deben estar adecuadas a las zonas que llega el sistema de información.

Ej:

Nuestra empresa se encuentra en España que está dentro de la Unión Europea pero comercializa con Oriente Próximo, Asia y Oceanía.

El aspecto legal a tener en cuenta es el Español, el de la Unión Europea, el de Oriente Próximo, Asia y el de Oceanía, con sus respectivos países a los cuales llega la comercialización de nuestra organización.

Requisitos Legales en España

LOPD: La ley orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal, es la norma que, desde el 14 de enero del año 2000, regula en España el régimen jurídico aplicable al tratamiento de los denominados “datos de carácter personal” (aquellos datos que hacen referencia a una persona física identificada o identificable tales como su nombre y apellidos, DNI, dirección, huella, imagen, voz, etc.), estableciendo las condiciones en que se deben recoger, tratar y ceder este tipo de datos para no perjudicar con ello los derechos fundamentales y libertades públicas de los ciudadanos, especialmente su derecho al honor e intimidad personal y familiar.

LSSI-CE: Ley 34/2002 de 11 de julio de servicios de la Sociedad de la Información y de Comercio Electrónico; se establecen las obligaciones, responsabilidades, infracciones y sanciones de aquellas empresas y particulares en general que tienen una página Web o que operan por Internet. También regula expresamente el envío de correos electrónicos con fines comerciales.

  • Tiene derecho obtener información sobre los prestadores de servicios y sus precios.
  • Respecto a la publicidad, derecho a conocer la identidad del anunciante y a no recibir mensajes promocionales no solicitados.
  • Derecho en la contratación a conocer los pasos necesarios para contratar por internet y a acceder a las condiciones generales.

ENS: La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, establece principios y derechos relativos a la seguridad en relación con el derecho de los ciudadanos a comunicarse con las AA.PP. (administraciones públicas en España) a través de medios electrónicos; y su artículo 42 crea el Esquema Nacional de Seguridad; determina la política de seguridad que se ha de aplicar en la utilización de los medios electrónicos. El ENS está constituido por los principios básicos y requisitos mínimos para una protección adecuada de la información. Será aplicado por las AA.PP. para asegurar el acceso, integridad, disponibilidad, autenticidad, confidencialidad, trazabilidad y conservación de los datos, informaciones y servicios utilizados en medios electrónicos que gestiones en el ejercicio de sus competencias.

ENI: establece la contribución de la interoperabilidad a la realización del derecho de los ciudadanos a comunicarse con las AA.PP. a través de medios electrónicos; y su artículo 42 crea el Esquema Nacional de Interoperabilidad; establece el conjunto de criterios y recomendaciones que deberán ser tenidos en cuenta por las AA.PP. para la toma de decisiones tecnológicas que garanticen la interoperabilidad. Las normas técnicas de interoperabilidad previstas en su disposición adicional primera desarrollan ciertos aspectos concretos.

LPI: Ley de Propiedad Intelectual. (Decreto 165/94) Precisase un marco legal de protección para las diferentes expresiones de las obras de software y base de datos, así como sus diversos medios de reproducción.

SLA’s: (Services Level Agreement) Acuerdos de Nivel de Servicios.

MARCOS LEGALES en GENERAL: todo el marco legal que necesite nuestra organización.

Ej. EEUU

Cada organización opera a su necesidad y el estado los controla.

Ley SOX:

La Ley Sarbanes Oxley, cuyo título oficial en inglés es Sarbanes-Oxley Act of 2002, Pub. L. No. 107-204, 116 Stat. 745 (30 de julio de 2002), es una ley de Estados Unidos también conocida como el Acta de Reforma de la Contabilidad Pública de Empresas y de Protección al Inversionista. También es llamada SOx, SarbOx o SOA.

La Ley Sarbanes Oxley nace en Estados Unidos con el fin de monitorear a las empresas que cotizan en bolsa de valores, evitando que las acciones de las mismas sean alteradas de manera dudosa, mientras que su valor es menor. Su finalidad es evitar fraudes y riesgo de bancarrota, protegiendo al inversor.

Esta ley, más allá del ámbito nacional, involucra a todas las empresas que cotizan en NYSE (Bolsa de Valores de Nueva York), así como a sus filiales.

Su objetivo general era garantizar una revelación financiera “completa, justa y precisa” de las corporaciones.

Acuerdo de Mejores Prácticas (MMPP)

Recomendación: tener información al día de lo que ocurre en cada sitio que alcance nuestro sistema de información.

INTECO tiene un manual con el cumplimiento legal.

  • Normativa relacionada con los servicios de la Socidad de la Información: LSSI-CE
  • Normativa relacionada con el tratamiento de los datos de carácter personal: LOPD
  • Normativa relacionada con la propiedad intelectual: LPI
  • Normativa relacionada a la Administración Electrónica: ENS – ENI
  • Normativa relacionada con la Firma Electrónica

Otras Normativas:

  • Economía Sostenible
  • General de Telecomunicaciones
  • Plan Nacional de nombres de dominios de internet bajo el código del país correspondiente “España; .es”.
  • Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias
  • Ley para regular la contratación telefónica o electrónica.
  • Ley para regular determinados aspectos de las ventas a distancia y la inscripción en el registro de empresas de ventas a distancia.

Si realizamos una selección de la información que hay en el Catálogo y que está relacionada con el cumplimiento legal, encontramos lo siguiente:

  • Desde el punto de vista de los productos, existe una categoría que hace precisamente referencia al cumplimiento legal, denominada Cumplimiento legal y normativo.
  • Desde el punto de vista de los servicios, las categorías de servicios que tienen una relación directa con el cumplimiento legal son: el cumplimiento con la legislación y la formación.

AUDITORÍA DE NIVEL ALTO (3)

Se agrega lo visto en el nivel básico (1) y el nivel medio (2), más los controles de la ISO 27002 (buenas prácticas de la ISO 27001, “PDCA”) más una metodología de auditoría como puede ser la COBIT o la ITIL.

En este nivel el sistema aprende y se adapta a sí mismo continuamente.

Repaso:

COBIT: significa Control Objectives for Information and related Technology.

  • Este fue lanzado en el año 1996.
  • COBIT consolida y armoniza estándares de fuentes globales prominentes en un recurso crítico para la gerencia, los profesionales de control y los auditores.
  • Se aplica a los sistemas de información de toda la empresa, incluyendo computadoras personales, mini computadoras y ambientes distribuidos.
  • Su misión es investigar, desarrollar, publicar y promover un conjunto internacional y actualizado de objetivos de control para tecnología de información que sea de uso cotidiano para gerentes y auditores.

ITIL: Biblioteca de Infraestructura de Tecnologías de la Información.

Biblioteca donde se publican las Mejores Prácticas de la Gestión de los Servicios de TI.

Principios:

  • Procesos
  • Calidad
  • Cliente (El Negocio)
  • Independencia

itil

AUDITORÍA DE NIVEL AVANZADO (4)

En este nivel se realiza la auditoría externa por parte de la entidad que certifique a la organización en la ISO 27001.

Además las personas se pueden certificar con ITIL, Administrador de Redes, CISM (Certified Information Security Manager); esto acredita un nivel de conocimiento y mejora el nivel profesional de la persona.

Certificación Profesional en Seguridad y Hacking Ético

CGEIT, ITIL, CISM, CISA, ETC.

Lista

 

Etiquetado con:

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*