presentación tfm - auditoría para el diseño de un marco de control sobre operaciones de...

Presentación TFM

«Auditoría para el diseño de un marco de control sobre operaciones

de administración de los servicios de ficheros e impresión en

plataforma Microsoft para una empresa de servicios de TI

orientada a ITIL»

Presentación del Trabajo Fin de Máster

AutoraSara P.A.

TutoraLorena B.R.

VI Edición Máster de Auditoría Informática ALI

Universidad Politécnica de Madrid

9 mayo 2008

Presentación TFM

9 Mayo 2008 Sara P.A. Transparencia 2

ContenidosA. Introducción

• BM y BMITSE

• Situación de partida

B. Objetivos y alcance

• Objetivos del proyecto

• Alcance trabajos auditoría SI

• Limitaciones encontradas

C. Metodología de trabajo

D. Resultados obtenidos

E. Conclusiones

A. Introducción

E. Conclusiones

D. Resultados

C. Método

B. Alcance

Presentación TFM


Building Materials

• Multinacional. Nombre ficticio

• Sede en Austria

• Fabrica, distribuye y comercializa materiales

de construcción

• En expansión:– Nuevas adquisiciones en Asia-Pacífico

– Segundo grupo en su sector a nivel mundial

– Incremento sostenido beneficios últimos años

A. Introducción

Presentación TFM


BMITSE (I)• Building Materials IT Services EMEA

• Creada en 2002. Sede en Madrid

• Responsabilidades:

1. Despliegue/mantenimiento

aplicaciones e infraestructura

tecnológica

2. Soporte técnico TI

(Service Center)

** Con ayuda de Local IT (LIT) **

• Basada en ITIL

A. Introducción

Presentación TFM


BMITSE (y II)

• Procesos NO implementados (o en proceso de

cambio):– Problem Management

– Configuration Management

– Service Level Management

• Objetivos 2008-2010:– Certificación ISO 27001 (CPD Madrid)

– Certificación ISO 20000

A. Introducción

Presentación TFM


Situación de partida (I)

• Administración informática centralizada: LIT con pocos

privilegios

• Service Desk iba a sufrir una transformación:

A. Introducción

Presentación TFM


Situación de partida (y II)

• Necesidad de delegar ciertos privilegios

administrativos a los LIT

• Se inicia proyecto para diseñar e implementar

procedimiento de delegación

Tras piloto surgen DUDAS...

¿Es seguro?

¿Alineado con normativa y

objetivos estratégicos (ISO’s)?

A. Introducción

Presentación TFM


Objetivos del proyecto (I)

• Proponer marco de control adecuado, que permita:

– Mantener (como mínimo) nivel conformidad con normativa corporativa y obligaciones contractuales

– Contribuir a alineación suficiente con especificaciones ISO 20000 relativas a fases PLAN-DO-CHECK del ciclo de Deming

– Cumplir suficientemente los requisitos de documentación de ISO 20000

– Posibilitar que BMITSE gestione adecuadamente los riesgos que podría introducir el nuevo esquema de administración

B. Alcance

Presentación TFM


Objetivos del proyecto (II)

«Adecuación» y «Suficiencia» de controles a

proponer ← Interlocutor para el Proyecto

(BMITSE)

Nivel de conformidad anterior a delegación ←

Evaluación de Control

B. Alcance

Presentación TFM


Alcance de los trabajos deauditoría de SI (I)

B. Alcance

Conseguir OBJETIVOS realizando actividades del Plan de Proyecto:

– Revisar:• Normativa y procedimientos de aplicación• Documentación proyecto de delegación

– Evaluar nivel cumplimiento: normativa aplicable, ISO 20000

– Analizar nuevos riesgos

– Elaborar Informe Preliminar

– Consensuar Plan de Acción

– Elaborar Informe Final

Presentación TFM


Alcance de los trabajos deauditoría de SI (y II)

B. Alcance

FUERA DEL ALCANCE

• Actividades que salgan del ámbito contemplado (oficina principal de Madrid de BMITSE, operaciones objeto de delegación)

• Diseñar, implementar o supervisar implantación marco de control

• Elaborar documentación aparte de Informes Preliminar y Final

• Supervisar implantación procedimiento de delegación

• ...

Cualquier actividad no contemplada en Plan de Proyecto

Presentación TFM


Limitaciones

1. Disponibilidad personal

Imposibilidad realizar entrevistas con ciertos Managers

2. Al alcance

Imposibilidad de recabar evidencia fiable → ALCANCE

RESTRINGIDO A:

Change Management

Service Level Management

Security Management

Cumplimiento especificaciones ISO 20000 aplicables

B. Alcance

Presentación TFM


Metodología de trabajo (I)C. Método

1. Revisión de documentación

2. Entrevistas

3. Recolección y análisis de evidencias (EVALUACIÓN CONTROL)

4. Análisis de Riesgos

5. Elaboración conclusiones y recomendaciones

Validar Informe Preliminar, consensuar Plan de Acción

6. Informe Final

Presentación TFM


Metodología de trabajo (y II)C. Método

Análisis Riesgos– Modelado Riesgos, Microsoft Operations Framework (MOF):

– Conceptos ISACA: riesgos inherente, de control, residual

– Pesos → importancia relativa de cada aspecto considerado: Change Management, Service Level Management, Security Management, cumplimiento ISO 20000

Presentación TFM


Evaluación de Control

Evaluación del nivel de conformidad con

Nivel de conformidad

evaluado

Puntuación obtenida

Puntuación máxima

Change Management ALTO 28 40 Service Level Management MEDIO 37 70 Security Management BAJO 77 310 ISO 20000 BAJO 38 160

D. ResultadosD. Resultados

Presentación TFM


Análisis de Riesgos

1. 30 riesgos identificados y evaluados

2. Priorización: FACTOR DE EXPOSICIÓN (impacto, probabilidad)

3. Impactos definidos por BMITSE, con criterio:

Security Mgmt > Change Mgmt > SL Mgmt > ISO 20k

Mapa de Riesgos

1.1.2

U.2.11.1.17.1.1

3.2.1

8.3.1

8.2.13.1.1 1.1.3

8.1.1 1.3.12.3.1

7.2.1U.1.1

6.1.1

2.1.14.3.1 5.2.14.1.1

2.2.32.2.15.3.1

U.3.1

4.2.19.1.1

1.2.14.5.1

5.1.1

2.2.2

4.4.1

Probabilidad

Imp

ac

to


Presentación TFM


Recomendaciones y sugerenciasD. ResultadosD. Resultados

• Elaborar, controlar y mantener formalmente documentación

para servicios a delegar:– Configuración estándar servicios

– Diagrama RACI

– Procedimientos Operativos

– Guías de resolución de problemas

– Manuales de Usuario (herramientas no estándar)

• Gestionar riesgos evaluados (proceso cíclico)

• Controlar ejecución procedimiento delegación

• Realizar revisiones independientes gestión servicios• ...

Presentación TFM


Plan de Acción

• >80% Recomendaciones, >30% Sugerencias

• Prioriza GESTIÓN DE RIESGOS:

– 15 riesgos tratados:

• 11 MITIGADOS

• 2 TRANSFERIDOS

• 2 EVITADOS

– Riesgos del 4º cuadrante ACEPTADOS

Poco probable Moderada Probable Muy probableMuy alto 3er Cuadrante 3er Cuadrante 1er Cuadrante 1er Cuadrante

Alto 3er Cuadrante 3er Cuadrante 1er Cuadrante 1er CuadranteMedio 4º Cuadrante 4º Cuadrante 2º Cuadrante 2º CuadranteBajo 4º Cuadrante 4º Cuadrante 2º Cuadrante 2º Cuadrante

Leyenda:Riesgo a TRATAR - prioridad ALTARiesgo a TRATAR - prioridad MEDIARiesgo a TRATAR - prioridad BAJANo existen riesgos en este CuadranteRiesgo que NO va a ser tratado (ACEPTACIÓN)

MATRIZ DE RESPUESTAProbabilidad

Imp

acto

Matriz de Respuesta Detallada

23

282727

26

22

2827 27

22 2221

2019

15

1111 1110

988

13

1110

76

4

2

7

Probabilidad

Imp

ac

to


Presentación TFM


ConclusionesE. ConclusionesE. Conclusiones

Beneficios para BMITSE

– Mejorar coordinación y comunicación entre departamentos

– Conseguir mayor satisfacción cliente (BM) y empleados

– Avanzar en establecimiento cultura empresarial “orientada

al riesgo”

Lecciones aprendidas

– Importancia de conseguir respaldo del nivel más alto de

management posible

Presentación TFM


Preguntas y Comentarios

presentación tfm - auditoría para el diseño de un marco de control sobre operaciones de...

Documents