presentación tfm - auditoría para el diseño de un marco de control sobre operaciones de...
DESCRIPTION
Presentación empleada en la defensa del Trabajo Fin de Máster correspondiente a la VI Edición de los Máster de Auditoría y Seguridad Informáticas (especialidad A.I.) de la ALI y la UPM. Madrid, Mayo de 2008.TRANSCRIPT
![Page 1: Presentación TFM - Auditoría para el diseño de un marco de control sobre operaciones de administración de los servicios de ficheros e impresión en plataforma Microsoft para una](https://reader036.vdocuments.mx/reader036/viewer/2022062513/55720b61497959fc0b8c220d/html5/thumbnails/1.jpg)
Presentación TFM
«Auditoría para el diseño de un marco de control sobre operaciones
de administración de los servicios de ficheros e impresión en
plataforma Microsoft para una empresa de servicios de TI
orientada a ITIL»
Presentación del Trabajo Fin de Máster
AutoraSara P.A.
TutoraLorena B.R.
VI Edición Máster de Auditoría Informática ALI
Universidad Politécnica de Madrid
9 mayo 2008
![Page 2: Presentación TFM - Auditoría para el diseño de un marco de control sobre operaciones de administración de los servicios de ficheros e impresión en plataforma Microsoft para una](https://reader036.vdocuments.mx/reader036/viewer/2022062513/55720b61497959fc0b8c220d/html5/thumbnails/2.jpg)
Presentación TFM
9 Mayo 2008 Sara P.A. Transparencia 2
ContenidosA. Introducción
• BM y BMITSE
• Situación de partida
B. Objetivos y alcance
• Objetivos del proyecto
• Alcance trabajos auditoría SI
• Limitaciones encontradas
C. Metodología de trabajo
D. Resultados obtenidos
E. Conclusiones
A. Introducción
E. Conclusiones
D. Resultados
C. Método
B. Alcance
![Page 3: Presentación TFM - Auditoría para el diseño de un marco de control sobre operaciones de administración de los servicios de ficheros e impresión en plataforma Microsoft para una](https://reader036.vdocuments.mx/reader036/viewer/2022062513/55720b61497959fc0b8c220d/html5/thumbnails/3.jpg)
Presentación TFM
9 Mayo 2008 Sara P.A. Transparencia 3
Building Materials
• Multinacional. Nombre ficticio
• Sede en Austria
• Fabrica, distribuye y comercializa materiales
de construcción
• En expansión:– Nuevas adquisiciones en Asia-Pacífico
– Segundo grupo en su sector a nivel mundial
– Incremento sostenido beneficios últimos años
A. Introducción
![Page 4: Presentación TFM - Auditoría para el diseño de un marco de control sobre operaciones de administración de los servicios de ficheros e impresión en plataforma Microsoft para una](https://reader036.vdocuments.mx/reader036/viewer/2022062513/55720b61497959fc0b8c220d/html5/thumbnails/4.jpg)
Presentación TFM
9 Mayo 2008 Sara P.A. Transparencia 4
BMITSE (I)• Building Materials IT Services EMEA
• Creada en 2002. Sede en Madrid
• Responsabilidades:
1. Despliegue/mantenimiento
aplicaciones e infraestructura
tecnológica
2. Soporte técnico TI
(Service Center)
** Con ayuda de Local IT (LIT) **
• Basada en ITIL
A. Introducción
![Page 5: Presentación TFM - Auditoría para el diseño de un marco de control sobre operaciones de administración de los servicios de ficheros e impresión en plataforma Microsoft para una](https://reader036.vdocuments.mx/reader036/viewer/2022062513/55720b61497959fc0b8c220d/html5/thumbnails/5.jpg)
Presentación TFM
9 Mayo 2008 Sara P.A. Transparencia 5
BMITSE (y II)
• Procesos NO implementados (o en proceso de
cambio):– Problem Management
– Configuration Management
– Service Level Management
• Objetivos 2008-2010:– Certificación ISO 27001 (CPD Madrid)
– Certificación ISO 20000
A. Introducción
![Page 6: Presentación TFM - Auditoría para el diseño de un marco de control sobre operaciones de administración de los servicios de ficheros e impresión en plataforma Microsoft para una](https://reader036.vdocuments.mx/reader036/viewer/2022062513/55720b61497959fc0b8c220d/html5/thumbnails/6.jpg)
Presentación TFM
9 Mayo 2008 Sara P.A. Transparencia 6
Situación de partida (I)
• Administración informática centralizada: LIT con pocos
privilegios
• Service Desk iba a sufrir una transformación:
A. Introducción
![Page 7: Presentación TFM - Auditoría para el diseño de un marco de control sobre operaciones de administración de los servicios de ficheros e impresión en plataforma Microsoft para una](https://reader036.vdocuments.mx/reader036/viewer/2022062513/55720b61497959fc0b8c220d/html5/thumbnails/7.jpg)
Presentación TFM
9 Mayo 2008 Sara P.A. Transparencia 7
Situación de partida (y II)
• Necesidad de delegar ciertos privilegios
administrativos a los LIT
• Se inicia proyecto para diseñar e implementar
procedimiento de delegación
Tras piloto surgen DUDAS...
¿Es seguro?
¿Alineado con normativa y
objetivos estratégicos (ISO’s)?
A. Introducción
![Page 8: Presentación TFM - Auditoría para el diseño de un marco de control sobre operaciones de administración de los servicios de ficheros e impresión en plataforma Microsoft para una](https://reader036.vdocuments.mx/reader036/viewer/2022062513/55720b61497959fc0b8c220d/html5/thumbnails/8.jpg)
Presentación TFM
9 Mayo 2008 Sara P.A. Transparencia 8
Objetivos del proyecto (I)
• Proponer marco de control adecuado, que permita:
– Mantener (como mínimo) nivel conformidad con normativa corporativa y obligaciones contractuales
– Contribuir a alineación suficiente con especificaciones ISO 20000 relativas a fases PLAN-DO-CHECK del ciclo de Deming
– Cumplir suficientemente los requisitos de documentación de ISO 20000
– Posibilitar que BMITSE gestione adecuadamente los riesgos que podría introducir el nuevo esquema de administración
B. Alcance
![Page 9: Presentación TFM - Auditoría para el diseño de un marco de control sobre operaciones de administración de los servicios de ficheros e impresión en plataforma Microsoft para una](https://reader036.vdocuments.mx/reader036/viewer/2022062513/55720b61497959fc0b8c220d/html5/thumbnails/9.jpg)
Presentación TFM
9 Mayo 2008 Sara P.A. Transparencia 9
Objetivos del proyecto (II)
«Adecuación» y «Suficiencia» de controles a
proponer ← Interlocutor para el Proyecto
(BMITSE)
Nivel de conformidad anterior a delegación ←
Evaluación de Control
B. Alcance
![Page 10: Presentación TFM - Auditoría para el diseño de un marco de control sobre operaciones de administración de los servicios de ficheros e impresión en plataforma Microsoft para una](https://reader036.vdocuments.mx/reader036/viewer/2022062513/55720b61497959fc0b8c220d/html5/thumbnails/10.jpg)
Presentación TFM
9 Mayo 2008 Sara P.A. Transparencia 10
Alcance de los trabajos deauditoría de SI (I)
B. Alcance
Conseguir OBJETIVOS realizando actividades del Plan de Proyecto:
– Revisar:• Normativa y procedimientos de aplicación• Documentación proyecto de delegación
– Evaluar nivel cumplimiento: normativa aplicable, ISO 20000
– Analizar nuevos riesgos
– Elaborar Informe Preliminar
– Consensuar Plan de Acción
– Elaborar Informe Final
![Page 11: Presentación TFM - Auditoría para el diseño de un marco de control sobre operaciones de administración de los servicios de ficheros e impresión en plataforma Microsoft para una](https://reader036.vdocuments.mx/reader036/viewer/2022062513/55720b61497959fc0b8c220d/html5/thumbnails/11.jpg)
Presentación TFM
9 Mayo 2008 Sara P.A. Transparencia 11
Alcance de los trabajos deauditoría de SI (y II)
B. Alcance
FUERA DEL ALCANCE
• Actividades que salgan del ámbito contemplado (oficina principal de Madrid de BMITSE, operaciones objeto de delegación)
• Diseñar, implementar o supervisar implantación marco de control
• Elaborar documentación aparte de Informes Preliminar y Final
• Supervisar implantación procedimiento de delegación
• ...
Cualquier actividad no contemplada en Plan de Proyecto
![Page 12: Presentación TFM - Auditoría para el diseño de un marco de control sobre operaciones de administración de los servicios de ficheros e impresión en plataforma Microsoft para una](https://reader036.vdocuments.mx/reader036/viewer/2022062513/55720b61497959fc0b8c220d/html5/thumbnails/12.jpg)
Presentación TFM
9 Mayo 2008 Sara P.A. Transparencia 12
Limitaciones
1. Disponibilidad personal
Imposibilidad realizar entrevistas con ciertos Managers
2. Al alcance
Imposibilidad de recabar evidencia fiable → ALCANCE
RESTRINGIDO A:
Change Management
Service Level Management
Security Management
Cumplimiento especificaciones ISO 20000 aplicables
B. Alcance
![Page 13: Presentación TFM - Auditoría para el diseño de un marco de control sobre operaciones de administración de los servicios de ficheros e impresión en plataforma Microsoft para una](https://reader036.vdocuments.mx/reader036/viewer/2022062513/55720b61497959fc0b8c220d/html5/thumbnails/13.jpg)
Presentación TFM
9 Mayo 2008 Sara P.A. Transparencia 13
Metodología de trabajo (I)C. Método
1. Revisión de documentación
2. Entrevistas
3. Recolección y análisis de evidencias (EVALUACIÓN CONTROL)
4. Análisis de Riesgos
5. Elaboración conclusiones y recomendaciones
Validar Informe Preliminar, consensuar Plan de Acción
6. Informe Final
![Page 14: Presentación TFM - Auditoría para el diseño de un marco de control sobre operaciones de administración de los servicios de ficheros e impresión en plataforma Microsoft para una](https://reader036.vdocuments.mx/reader036/viewer/2022062513/55720b61497959fc0b8c220d/html5/thumbnails/14.jpg)
Presentación TFM
9 Mayo 2008 Sara P.A. Transparencia 14
Metodología de trabajo (y II)C. Método
Análisis Riesgos– Modelado Riesgos, Microsoft Operations Framework (MOF):
– Conceptos ISACA: riesgos inherente, de control, residual
– Pesos → importancia relativa de cada aspecto considerado: Change Management, Service Level Management, Security Management, cumplimiento ISO 20000
![Page 15: Presentación TFM - Auditoría para el diseño de un marco de control sobre operaciones de administración de los servicios de ficheros e impresión en plataforma Microsoft para una](https://reader036.vdocuments.mx/reader036/viewer/2022062513/55720b61497959fc0b8c220d/html5/thumbnails/15.jpg)
Presentación TFM
9 Mayo 2008 Sara P.A. Transparencia 15
Evaluación de Control
Evaluación del nivel de conformidad con
Nivel de conformidad
evaluado
Puntuación obtenida
Puntuación máxima
Change Management ALTO 28 40 Service Level Management MEDIO 37 70 Security Management BAJO 77 310 ISO 20000 BAJO 38 160
D. ResultadosD. Resultados
![Page 16: Presentación TFM - Auditoría para el diseño de un marco de control sobre operaciones de administración de los servicios de ficheros e impresión en plataforma Microsoft para una](https://reader036.vdocuments.mx/reader036/viewer/2022062513/55720b61497959fc0b8c220d/html5/thumbnails/16.jpg)
Presentación TFM
9 Mayo 2008 Sara P.A. Transparencia 16
Análisis de Riesgos
1. 30 riesgos identificados y evaluados
2. Priorización: FACTOR DE EXPOSICIÓN (impacto, probabilidad)
3. Impactos definidos por BMITSE, con criterio:
Security Mgmt > Change Mgmt > SL Mgmt > ISO 20k
Mapa de Riesgos
1.1.2
U.2.11.1.17.1.1
3.2.1
8.3.1
8.2.13.1.1 1.1.3
8.1.1 1.3.12.3.1
7.2.1U.1.1
6.1.1
2.1.14.3.1 5.2.14.1.1
2.2.32.2.15.3.1
U.3.1
4.2.19.1.1
1.2.14.5.1
5.1.1
2.2.2
4.4.1
Probabilidad
Imp
ac
to
D. ResultadosD. Resultados
![Page 17: Presentación TFM - Auditoría para el diseño de un marco de control sobre operaciones de administración de los servicios de ficheros e impresión en plataforma Microsoft para una](https://reader036.vdocuments.mx/reader036/viewer/2022062513/55720b61497959fc0b8c220d/html5/thumbnails/17.jpg)
Presentación TFM
9 Mayo 2008 Sara P.A. Transparencia 17
Recomendaciones y sugerenciasD. ResultadosD. Resultados
• Elaborar, controlar y mantener formalmente documentación
para servicios a delegar:– Configuración estándar servicios
– Diagrama RACI
– Procedimientos Operativos
– Guías de resolución de problemas
– Manuales de Usuario (herramientas no estándar)
• Gestionar riesgos evaluados (proceso cíclico)
• Controlar ejecución procedimiento delegación
• Realizar revisiones independientes gestión servicios• ...
![Page 18: Presentación TFM - Auditoría para el diseño de un marco de control sobre operaciones de administración de los servicios de ficheros e impresión en plataforma Microsoft para una](https://reader036.vdocuments.mx/reader036/viewer/2022062513/55720b61497959fc0b8c220d/html5/thumbnails/18.jpg)
Presentación TFM
9 Mayo 2008 Sara P.A. Transparencia 18
Plan de Acción
• >80% Recomendaciones, >30% Sugerencias
• Prioriza GESTIÓN DE RIESGOS:
– 15 riesgos tratados:
• 11 MITIGADOS
• 2 TRANSFERIDOS
• 2 EVITADOS
– Riesgos del 4º cuadrante ACEPTADOS
Poco probable Moderada Probable Muy probableMuy alto 3er Cuadrante 3er Cuadrante 1er Cuadrante 1er Cuadrante
Alto 3er Cuadrante 3er Cuadrante 1er Cuadrante 1er CuadranteMedio 4º Cuadrante 4º Cuadrante 2º Cuadrante 2º CuadranteBajo 4º Cuadrante 4º Cuadrante 2º Cuadrante 2º Cuadrante
Leyenda:Riesgo a TRATAR - prioridad ALTARiesgo a TRATAR - prioridad MEDIARiesgo a TRATAR - prioridad BAJANo existen riesgos en este CuadranteRiesgo que NO va a ser tratado (ACEPTACIÓN)
MATRIZ DE RESPUESTAProbabilidad
Imp
acto
Matriz de Respuesta Detallada
23
282727
26
22
2827 27
22 2221
2019
15
1111 1110
988
13
1110
76
4
2
7
Probabilidad
Imp
ac
to
D. ResultadosD. Resultados
![Page 19: Presentación TFM - Auditoría para el diseño de un marco de control sobre operaciones de administración de los servicios de ficheros e impresión en plataforma Microsoft para una](https://reader036.vdocuments.mx/reader036/viewer/2022062513/55720b61497959fc0b8c220d/html5/thumbnails/19.jpg)
Presentación TFM
9 Mayo 2008 Sara P.A. Transparencia 19
ConclusionesE. ConclusionesE. Conclusiones
Beneficios para BMITSE
– Mejorar coordinación y comunicación entre departamentos
– Conseguir mayor satisfacción cliente (BM) y empleados
– Avanzar en establecimiento cultura empresarial “orientada
al riesgo”
Lecciones aprendidas
– Importancia de conseguir respaldo del nivel más alto de
management posible
![Page 20: Presentación TFM - Auditoría para el diseño de un marco de control sobre operaciones de administración de los servicios de ficheros e impresión en plataforma Microsoft para una](https://reader036.vdocuments.mx/reader036/viewer/2022062513/55720b61497959fc0b8c220d/html5/thumbnails/20.jpg)
Presentación TFM
9 Mayo 2008 Sara P.A. Transparencia 20
Preguntas y Comentarios