auditoria (byod) trae tu propio dispositivo.modificado

Traiga su propio dispositivo (BYOD), Auditoría de seguridad y garantía Programa

Traer su propio Dispositivo (BYOD) Auditoría

De Seguridad y garantía programas


ISACA Board of DirectorsGregory T. Grocholski, CISA, The Dow Chemical Co., USA, International President.Allan Boardman, CISA, CISM, CGEIT, CRISC, ACA, CA (SA), CISSP, Morgan Stanley, UK, Vice President.Juan Luis Carselle, CISA, CGEIT, CRISC, Wal-Mart, Mexico, Vice PresidentChristos K. Dimitriadis, Ph.D., CISA, CISM, CRISC, INTRALOT S.A., Greece, Vice PresidentRamses Gallego, CISM, CGEIT, CCSK, CISSP, SCPM, Six Sigma Black Belt, Dell,, Spain, Vice PresidentTony Hayes, CGEIT, AFCHSE, CHE, FACS, FCPA, FIIA, Queensland Government, Australia, Vice PresidentJeff Spivey, CRISC, CPP, PSP, Security Risk Management Inc., USA, Vice PresidentMarc Vael, Ph.D., CISA, CISM, CGEIT, CISSP, Valuendo, Belgium, Vice PresidentKenneth L. Vander Wal, CISA, CPA, Ernst & Young LLP (retired), USA, Past International PresidentEmil D’Angelo, CISA, CISM, Bank of Tokyo-Mitsubishi UFJ Ltd., (retired), USA, Past International PresidentJohn Ho Chi, CISA, CISM, CRISC, CBCP, CFE, Ernst & Young LLP, Singapore, DirectorKrysten McCabe, CISA, The Home Depot, USA, DirectorJo Stewart-Rattray, CISA, CISM, CGEIT, CRISC, CSEPS, BRM Holdich, Australia, Director

Knowledge BoardMarc Vael, Ph.D., CISA, CISM, CGEIT, CRISC, CISSP, Valuendo, Belgium, ChairmanRosemary M. Amato, CISA, CMA, CPA, Deloitte Touche Tohmatsu Ltd., The NetherlandsSteven Andrew Babb, CGEIT, CRISC, UKThomas E. Borton, CISA, CISM, CRISC, CISSP, Cost Plus, USAPhil J. Lageschulte, CGEIT, CPA, KPMG LLP, USAJamie Pasfield, CGEIT, ITIL V3, MSP, PRINCE2, Pfizer, UKSalomon Rico, CISA, CISM, CGEIT, Deloitte, Mexico

Guidance and Practices Committee Phil J. Lageschulte, CGEIT, CPA, KPMG LLP, USA, ChairmanDan Haley, CISA, CGEIT, CRISC, MCP, Johnson & Johnson, USAYves Marcel Le Roux, CISM, CISSP, CA Technologies, FranceAureo Monteiro Tavares Da Silva, CISM, CGEIT, Vista Point,, BrazilJotham Nyamari, CISA, Deloitte, USAConnie Lynn Spinelli, CISA, CRISC, CFE, CGMA, CIA, CISSP, CMA, CPA, BKD LLP, USASiang Jun Julia Yeo, CISA, CPA (Australia), Visa Worldwide Pte. Limited., SingaporeNikolaos Zacharopoulos, CISA, DeutschePost–DHL, Germany


ISACA and IT Governance Institute® (ITGI®) Affiliates and SponsorsInformation Security ForumInstitute of Management Accountants Inc.ISACA chaptersITGI FranceITGI JapanNorwich UniversitySocitum Performance Management GroupSolvay Brussels School of Economics and ManagementTraiga su propio dispositivo (BYOD), Auditoría de seguridad y garantía ProgramaStrategic Technology Management Institute (STMI) of the National University of SingaporeUniversity of Antwerp Management SchoolASIS InternationalHewlett-PackardIBMSymantec Corp.


Tabla de ContenidoI. Introducción.........................................................................................................................................6

II. Uso de este documento........................................................................................................................8

III. Control de Análisis de los Vencimientos...........................................................................................13

IV. Aseguramiento y Marco de Control...................................................................................................17

V. Resumen Ejecutivo de Auditoria/Garantia........................................................................................18

• Protección contra malware...............................................................................................19

VI. Programa de Auditoría/ garantia........................................................................................................21

1. PLANIFICACIÓN Y ALCANCE DE LA AUDITORÍA.......................................................................21

1.5.2 Establecer el proceso para sugerir e implementar cambios en el programa de auditoría / aseguramiento y las autorizaciones necesarias...................................................................25

1.6.2. Comunicar atributos de éxito para el propietario del proceso o de los interesados, y obtener un acuerdo............................................................................................................25

1.8.1. Determinar entregables intermedios, incluyendo conclusiones iniciales, informe de estado, informes preliminares, vencimientos el párrafo respuestas e informe definitivo.

26

1.9.1. Conducir una conferencia de apertura para hablar de los objetivos de revisión con el ejecutivo responsable de sistemas operativos e infraestructura.................................26

2. GESTIÓN DE RIESGOS..................................................................................................................26

2.1.1. BYOD evaluación de riesgos inicial....................................................................27

Control: Gestión realizó una evaluación de riesgos antes de la ejecución del programa BYOD...................................................................................................................................27

2.1.2. BYOD Control de Evaluación de Riesgo En curso:.............................................28

Una evaluación de riesgo es realizada y aprobada por la dirección donde cambios principales son iniciados al programa BYOD o reafirmar la evaluación de riesgo anterior...............................................................................................................................................28

3. Politicas..............................................................................................................................................29

3.1.1. Empleado BYOD Control de Acuerdo:................................................................29

Requieren el acuerdo de empleado (o cualquier otra política que incluye declaraciones de Empleo BYOD Aceptables y ser firmado por todos los empleados/contratistas BYOD) claramente define las responsabilidades mutuas de la empresa y el signatario, uniendo el dispositivo (s) BYOD del empleado a las redes de la empresa y sistemas de información.29

3.1.2. Política de Empleo Móvil Aceptable (MAUP)Control:.......................................34

El empleado debe adherirse a MAUP de la organización....................................................34

3.1.3. Recursos Humanos (recursos humanos) Apoyo a Control de BYOD:................35

BYOD procesos son integrados en servicios de recursos humanos, política, y el cumplimiento........................................................................................................................35

3.1.4. Los Contratistas Controlan:..................................................................................37

Los contratistas son limitados en su acceso y capacidades uniendo a las redes de la empresa y sistemas de información....................................................................................................37


3.2.1. Control: Las exenciones de la política BYOD son aplicadas, repasadas, y autorizado en la conformidad con los procedimientos de Excepciones De política de la empresa. 38

4. Legal..................................................................................................................................................40

4.1.1. Participación Legal en las Políticas y Procedimientos de BYOD........................40

Control: El asesor legal ha revisado y proporcionado aprobación documentada de las políticas y procedimientos de BYOD con respecto a las cuestiones legales........................40

4.1.2. Retención Legal....................................................................................................41

Control: Políticas Legales y los procedimientos de retención se han establecido para todos los propietarios y dispositivos BYOD..................................................................................41

5. .TÉCNICa Y APOYO DE USUARIO...............................................................................................42

5.1.1. Servicio de ayuda.................................................................................................42

Control: Un servicio de ayuda o de función de apoyo similares existe para BYOD...........42

6. GOBIERNO.......................................................................................................................................43

6.1.1. Aprobación de Políticas........................................................................................43

Control: la política BYOD ha sido aprobada por la dirección ejecutiva..............................43

6.1.2. Supervisión y Ejecución BYOD...........................................................................44

Control: La dirección ejecutiva recibe informes de estado regulares sobre el uso de BYOD y la adhesión a las políticas..................................................................................................44

7. FORMACION....................................................................................................................................45

7.1.1. Formación Inicial:................................................................................................45

Control: usuarios BYOD están obligados a asistir a la capacitación inicial sobre BYOD procedimientos política, MAUP y apoyo.............................................................................45

7.1.2. Seguridad y la formación en temas de:................................................................46

Control: se requiere realizar una sensibilización y formación continua, por lo menos anualmente............................................................................................................................46

8. CAPA De SEGURIDAD PARA DISPOSITIVO MÓVIL................................................................47

8.1.1. Restricciones de acceso a Dispositivos................................................................47

Control: usuarios BYOD están obligados a restringir el acceso a sus dispositivos.............47

8.1.2. Acceso de Datos:..................................................................................................49

Control: Acceso a los datos está en alineado con los requisitos de clasificación de datos de la organización y la función laboral de los trabajadores......................................................49

8.1.3. permiso explícito para borrar datos......................................................................50

Control: usuarios BYOD deben comprometerse por escrito a los procedimientos de seguridad para proteger o borrar datos y aplicaciones de la organización en el caso de que el dispositivo ya no está disponible para la organización....................................................50

8.1.4. Cifrado y protección de datos:..............................................................................51

Control: El cifrado fuerte se implementa para proteger la confidencialidad de los datos sensibles en reposo sobre, o en tránsito hacia / desde todos los dispositivos móviles BYOD...............................................................................................................................................51

8.1.5. Acceso Remoto:...................................................................................................51


Control: Conexiones de acceso remoto a los dispositivos BYOD se encuentran restringidas...............................................................................................................................................51

8.1.6. Protección contra malware:..................................................................................53

Control: Se requiere que los dispositivos móviles BYOD tener defensas antimalware estándar.................................................................................................................................53

8.2.1. Acceso a la red.....................................................................................................54

Control: los usuarios BYOD están sujetos a los mismos controles de acceso como todos los otros usos..............................................................................................................................54

9. Gestión de dispositivos móviles........................................................................................................55

9.1.1. Gestión de dispositivos móviles (MDM) se despliega.........................................55

Control: Una herramienta estándar de la industria de software MDM se despliega para administrar todos los dispositivos móviles, incluidos los dispositivos propiedad de los empleados (BYOD)..............................................................................................................55

9.1.2. Gestión Central de dispositivos BYOD:..............................................................56

Control: El MDM proporciona funciones de administración centralizada a la complejidad y el tamaño de la población BYOD.........................................................................................56

9.1.3. Control de Distribución de Software Seguro: El MDM facilita la distribución segura de apps sensible a negocio con mandos apropiados contra la introducción "de granuja" apps........................................................................................................................61

9.1.4. Supervisión de Control de Uso BYOD:...............................................................62

EL MDM proporciona el interrogatorio adecuado y capacidades de reportaje de manejar la población BYOD proactivamente........................................................................................62

9.1.5. Interfaces a Otro Control de Sistemas:.................................................................64

El MDM facilita interfaces a otros sistemas financieros y de negocio................................64

9.1.6. Control de Dirección Remoto:.............................................................................64

Verificación de funcionalidad de dirección remota.............................................................64

9.2.1. MDM Control de Seguridad De aplicación:.........................................................65

Los servidores MDM son sujetos a la misma protección de red que otros servidores sensibles de la empresa.........................................................................................................65

VII. Evaluación de la Madurez.................................................................................................66

VIII. Grado de marudez vs. Tiempo de evaluacion....................................................................................85


I. Introducción Visión de Conjunto

ISACA ha desarrollado la TI Seguridad MarcoTM (ITAFTM) como un modelo de práctica completo y bueno. ITAF proporciona normas que están diseñadas de manera obligatoria, y son los principios que guían y rigen el funcionamiento de la auditoría de TI y profesionales de la seguridad. Las guías proporcionan información y orientación para la práctica de auditoría y seguridad. Las herramientas y técnicas proporcionan metodologías, herramientas y plantillas para proporcionar orientación en la aplicación de los procesos de auditoría y seguridad de TI.

Propósito

El programa de auditoría / seguridad es una herramienta y modelo para ser utilizado como una guía para la realización de un proceso de garantía específica. El Comité de Garantía de ISACA ha encargado a los programas de auditoría / seguridad a ser desarrollado para su uso por los profesionales de seguridad y auditoría de TI. Este programa de auditoría / seguridad está destinado a ser utilizado por la auditoría y seguridad de profesionales en TI con el conocimiento necesario de la materia objeto de examen, como se describe en ITAF, sección 2200-Normas generales. Los programas de auditoría / seguridad son parte de ITAF, sección Herramientas y técnicas de seguridad de 4000-TI.

Marco de Control

Los programas de auditoría /seguridad se han desarrollado en alineación con COBIT ®-específicamente COBIT 4,1-utilizando generalmente aplicables y aceptadas buenas prácticas. Reflejan ITAF, secciones Procesos de Gestión 3400-3600-TI, seguridad y auditoría de procesos, y 3800-TI Auditoría y Seguridad de gestión.

Muchas empresas han adoptado varios marcos a nivel empresarial, incluido el Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO) Marco de Control Interno. La importancia de las medidas de control se ha mejorado debido a los requisitos reglamentarios por la Comisión de Valores de EE.UU. (SEC), según las indicaciones de la Ley Sarbanes-Oxley de 2002 de EE.UU. y leyes similares en otros países. Tratan de integrar los elementos del marco de control utilizados por el equipo de auditoría / seguridad en general, la auditoría informática y marco de seguridad. Desde COSO es ampliamente utilizado, ha sido seleccionada para su inclusión en el programa de auditoría / seguridad. El revisor puede borrar o cambiar el nombre de estas columnas para alinear con el marco de control de la empresa.

Gobierno de TI, riesgos y Control

Gobierno de TI, el riesgo y el control son fundamentales en la realización de cualquier proceso de gestión de la seguridad. Gobierno del proceso bajo revisión se evaluará como parte de las políticas y controles de supervisión de gestión. Riesgo juega un papel importante en la evaluación de lo que debe auditar y cómo la administración se acerca y gestiona el riesgo. Ambos temas serán evaluados como pasos en el programa de auditoría / seguridad. Los controles son el punto de evaluación primaria en el proceso. El programa de


auditoría / seguridad identificará los objetivos de control y los pasos para determinar la efectividad del diseño y control.

Responsabilidades de los profesionales de Seguridad y Auditoría en TI

Los de Auditoría y seguridad profesional se espera que personalicen este documento para el medio ambiente en el que se está realizando un proceso de verificación. Este documento es para ser utilizado como una herramienta de revisión y punto de partida. Puede ser modificado por la seguridad y auditoria de TI profesional; no pretende ser una lista de verificación o cuestionario. Se supone que la auditoría de TI y profesionales de seguridad tiene el Auditor Certificado de Sistemas de Información (CISA) la designación, o tiene la experiencia en la materia necesaria requerida para llevar a cabo la obra y es supervisado por un profesional con la designación CISA y necesaria experiencia en el tema de forma adecuada para revisar el trabajo realizado.

II. Uso de este documentoEste programa de auditoría / seguridad fue desarrollado para ayudar a la auditoría y profesional en el diseño y ejecución de una revisión de seguridad. Detalles relativos al formato y el uso del documento:

Programa de Trabajo(pasos)

La primera columna del programa se describen los pasos a realizar. El esquema de numeración utilizado proporciona una función de trabajo de papel de numeración para facilitar la referencia cruzada al documento de trabajo específico para esa sección. El documento físico fue diseñado en Microsoft ® Word. Se fomenta la auditoría y seguridad de TI profesional para realizar modificaciones a este documento para reflejar el entorno específico que se examina.

El paso 1 es parte de la recopilación de los hechos y la preparación previa al trabajo de campo. Debido a que el pre-trabajo de campo es esencial para una revisión exitosa y profesional, las medidas han sido detalladas en este plan. Las medidas de primer nivel, por ejemplo, 1,1, están en negrita y proporcionan al revisor de alcance o de alto nivel de explicación de la finalidad para las medidas auxiliares.

Comenzando en el paso 2, se detallan los pasos asociados con el programa de trabajo. Para simplificar el uso del programa, el programa de auditoría / seguridad describe el objetivo-la auditoría / seguridad razonable para la realización de los pasos en el área temática. Cada paso de revisión se enumeran a continuación el control. Estas medidas pueden incluir la evaluación del diseño de control, caminando a través de un proceso de entrevistas, observación o de otra manera verificar el proceso y los controles que abordan ese proceso. En muchos casos, una vez que el diseño de control ha sido verificado, las pruebas específicas necesitan ser realizados para proporcionar la seguridad de que el proceso asociado con el control está siendo seguido.

La evaluación de la madurez, que se describe en más detalle más adelante en este documento, constituye la última sección del programa.


El plan de auditoría / seguridad de recapitulación-los procesos asociados a la realización y revisión de papeles de trabajo, preparación de temas y recomendaciones, redacción de informes y el informe de intercambio de información ha sido excluida de este documento, ya que es el estándar para la función de auditoría / seguridad deben ser identificadas en las normas de la empresa en otros lugares.

COBIT 4.1 Referencia Cruzada

El COBIT referencia cruzada proporciona la auditoría profesional de seguridad y con la capacidad para referirse al objetivo específico de control de COBIT que soporta el paso de auditoría / seguridad. El objetivo de control de COBIT se debe identificar para cada paso de auditoría / seguridad de la sección. Múltiples referencias cruzadas no son infrecuentes. Procesos en los niveles más bajos en el programa de trabajo son demasiado para ser una referencia cruzada a COBIT. El programa de auditoría / seguridad está organizado de manera de facilitar una evaluación a través de una estructura paralela al proceso de desarrollo. COBIT provee objetivos de control en profundidad y las prácticas de control sugeridas en cada nivel. Como los comentarios profesionales de cada control, él / ella debe hacer referencia a COBIT 4.1 o la Guía de seguridad de TI: Uso de COBIT para la buena práctica de la orientación de control.

Componentes COSO

Como se señaló en la introducción, COSO y similares marcos se han convertido cada vez más popular entre los profesionales de auditoría y seguridad. Esto vincula el trabajo de control de marco de control de la empresa. Mientras que la auditoría de TI / función de seguridad utiliza COBIT como marco, la auditoría operativa y la garantía de los profesionales utilizan el marco establecido por la empresa. Desde COSO es el marco de control interno más frecuente, se ha incluido en este documento y es un puente para alinear TI auditoría /seguridad con el resto de la función de auditoría / seguridad. Muchas organizaciones de auditoría / seguridad incluyen los componentes de control de COSO dentro de su informe y resumen de las actividades de seguridad al comité de auditoría del consejo de administración.

Para cada control, la auditoría y seguridad profesional debe indicar el componente COSO (s) abordado. Es posible, pero por lo general no es necesario, para extender este análisis a paso el nivel específico de auditoría.

El marco de control interno COSO original contenía cinco componentes. En 2004, COSO publicó una gestión de riesgos (ERM) Marco Integrado Empresa, que incluye ocho componentes. El marco ERM tiene un negocio de decisión hacen en comparación con el Marco de Control Interno Integrado 2004. Las grandes empresas están en el proceso de adopción de ERM. Los dos marcos se comparan en la Figura 1.


Figure 1—Comparativa de Control Interno COSO y marcos integrados de gestión del riesgo institucional

Marco de Control Interno Integrado ERM Marco Integrado

Control de Medio Ambiente: El ambiente de control marca la pauta de una organización, que influye en la conciencia de control de su gente. Es el fundamento de todos los demás componentes del control interno, proporcionando disciplina y estructura. Los factores del ambiente de control incluyen la integridad, los valores éticos, el estilo de gestión operativa, la delegación de los sistemas de autoridad, así como los procesos para la gestión y desarrollo de personas en la organización.

Medio Ambiente Interno: El ambiente interno abarca la pauta de una organización, y establece la base de cómo se ve y se dirigió a la gente de la entidad, incluyendo la filosofía de gestión de riesgos y la propensión al riesgo, la integridad y los valores éticos y el entorno en el que operan los riesgos.

Establecimiento de Objetivos: Los objetivos deben existir antes de que la dirección pueda identificar eventos potenciales que afectan a su rendimiento. Gestión de riesgos corporativos asegura que la dirección ha puesto en marcha un proceso para fijar objetivos y que los objetivos elegidos apoyen y estén alineados con la misión de la entidad y que sean compatibles con su propensión al riesgo.

Identificación de eventos: Los eventos internos y externos que afectan el logro de los objetivos de la entidad deben ser identificados, distinguiendo entre riesgos y oportunidades. Las oportunidades se canalizan de vuelta a la estrategia de gestión o procesos de fijación de objetivos.




Evaluación de Riesgo: Cada entidad afronta una variedad de riesgos de las fuentes externas e internas que deben ser evaluadas.Una condición previa para arriesgar la evaluación es el establecimiento de objetivos, y, así, la evaluación de riesgo es la identificación y el análisis de riesgos relevantes al logro de objetivos asignados. La evaluación de riesgo es un requisito previo para determinar cómo los riesgos deberían ser manejados.

Evaluación de Riesgo: Los riesgos son analizados, considerando la probabilidad y el impacto, como una base para determinar como ellos podrían ser manejados. El riesgo áreas es evaluado en una base inherente y residual.

Respuesta de Riesgo: Gestión selecciona riesgo respuestas evitar, aceptar, reducir o compartir los riesgos-el desarrollo de un conjunto de acciones para adaptar los riesgos a la tolerancia al riesgo de la entidad y apetito de riesgo.

Actividades de Control: Las actividades de control son las políticas y procedimientos que ayudan a asegurar que las directivas de gestión se llevan a cabo. Ellos ayudan a garantizar que se tomen las medidas necesarias para hacer frente a los riesgos para el logro de los objetivos de la entidad. Las actividades de control se producen en toda la organización, a todos los niveles y en todas las funciones. Incluyen una gama de actividades tan diversas como aprobaciones, autorizaciones, verificaciones, conciliaciones, revisiones de desempeño operativo, seguridad de activos y segregación de funciones.

Actividades de Control: Las políticas y procedimientos se establecen e implementan para ayudar a asegurar la respuesta; los riesgos se llevan a cabo de una manera eficaz.




Información y Comunicación: Los sistemas de información juegan un papel clave en los sistemas de control interno, ya que producen los informes, incluidos los operativos, financieros y de información relacionada con el cumplimiento que permiten ejecutar y controlar el negocio. En un sentido más amplio, la comunicación efectiva debe garantizar el flujo de información, a través y por la organización. La comunicación efectiva también debe garantizarse con partes externas, tales como clientes, proveedores, reguladores y accionistas.

Información y Comunicación: La información relevante se identifica, captura y comunica en un marco de tiempo y forma que las personas puedan llevar a cabo sus responsabilidades. La comunicación efectiva se produce también en un sentido más amplio, que fluye hacia abajo, a través y por la entidad.

Supervisión: Sistemas de control interno deben ser monitoreados, un proceso que evalúa la calidad del desempeño del sistema en el tiempo. Esto se logra a través de actividades permanentes de monitoreo o evaluaciones independientes. Deficiencias de control interno detectadas a través de estas actividades de monitoreo deben ser reportados se deben tomar acciones anteriores y correctoras para garantizar la mejora continua del sistema.

Supervisión: La totalidad de la gestión del riesgo se controla y se hagan modificaciones según sea necesario. El monitoreo se lleva a cabo a través de las actividades de gestión en curso, evaluaciones independientes o ambas cosas.

El Marco de Control Interno Integrado de 1992 se ocupa de las necesidades de la auditoría y aseguramiento profesional: entorno de control, evaluación de riesgos, actividades de control, información y comunicación, y monitoreo. Como tal, ISACA ha optado por utilizar el modelo de los cinco componentes de estos programas de auditoría / seguridad. Al completar las columnas de componentes COSO, tenga en cuenta las definiciones de los componentes tal como se describe en la Figura 1.


Referencia de hipervinculo

Las buenas prácticas exigen la auditoría y seguridad profesional para crear un documento de trabajo para cada elemento de línea, que describe el trabajo realizado, los problemas identificados y conclusiones. La referencia / hipervínculo ha de ser utilizado para cotejar entre el paso de auditoría / seguridad al documento de trabajo que lo sustenta. El sistema de numeración de este documento presenta un esquema de numeración de lista para los papeles de trabajo. Si se desea, un vínculo al documento de trabajo se puede pegar en esta columna.

Número de referencias cruzadas

Esta columna se puede utilizar para marcar un hallazgo / tema que la auditoría y la seguridad profesional de TI quiere investigar más a fondo o establecer como hallazgo potencial. Los resultados posibles deben documentarse en un documento de trabajo que indica la disposición de los hallazgos (formalmente notificado, reportado como una nota o hallazgo verbal o exento).

Comentarios

La columna de comentarios se puede utilizar para indicar a la renuncia de un paso o de otras notaciones. No debe ser utilizado en lugar de un documento de trabajo que describe el trabajo realizado.

III. Control de Análisis de los Vencimientos

Una de las peticiones constantes de los interesados que hayan sido sometidos a auditoría de TI / aseguramiento de comentarios es un deseo de entender cómo se compara su rendimiento con las buenas prácticas. Profesionales de auditoría y aseguramiento deben proporcionar una base objetiva para las conclusiones de la revisión. Modelo de madurez para la gestión y el control de los procesos de TI el cual se basa en un método de evaluación de la organización, por lo que puede ser calificado de un nivel de madurez de inexistente (0) a optimizado (5). Este enfoque se deriva del modelo de madurez que el Software del Instituto de Ingeniería (SEI) de la Universidad Carnegie Mellon ha definido para la madurez de desarrollo de software.

La Guía de Seguridad TI Usando COBIT, Apéndice VII-Modelo de Madurez de Control Interno, en la figura 2, proporciona un modelo de madurez genérico que muestra el estado del entorno de control interno y el establecimiento de controles internos de una empresa. Se muestra cómo la gestión de control interno, y la conciencia de la necesidad de establecer mejores controles internos, por lo general se desarrollan a partir de un nivel óptimo. El modelo proporciona una guía de alto nivel para ayudar a los usuarios de COBIT aprecian lo que se requiere para los controles internos eficaces en TI y ayudar a posicionar su empresa en la escala de madurez.


Figure 2—Modelo de madurez del Control Interno

Nivel de Madurez

Estado de Medio Ambiente de Control Interno

Establecimiento de Controles Internos

0-No existente

No hay ningún reconocimiento de la necesidad de control interno. El control no es parte de la cultura o de la misión de la organización. Hay un alto riesgo de deficiencias de control e incidentes.

No hay intención de evaluar la necesidad de control interno. Los incidentes se tratan a medida que surgen.

1 Inicial Hay un cierto reconocimiento de la necesidad de control interno. El acercamiento a las necesidades de riesgo y el control desorganizado, sin comunicación o monitoreo. Las deficiencias no se identifican. Los empleados no son conscientes de sus responsabilidades.

No hay conciencia de la necesidad de una evaluación de lo que se necesita en términos de controles de TI. Cuando se lleva a cabo, es sólo sobre una base, a un alto nivel y la en caso de incidentes significativos. La evaluación aborda sólo el incidente real.

2 Repetible pero intuitiva

Los controles están en su lugar, pero no están documentados. Su funcionamiento depende de los conocimientos y la motivación de las personas. La efectividad no se evalúa adecuadamente. Existen muchas deficiencias en el control y no se tratan adecuadamente, las consecuencias pueden ser graves. Las acciones de gestión para resolver los problemas de control no son prioritarias o consistentes. Los empleados no pueden ser conscientes de sus responsabilidades.

Evaluación de las necesidades de control se produce sólo cuando sea necesario para el seleccionado los procesos de TI para determinar el nivel actual de control de la madurez, el nivel objetivo que debe ser alcanzado y los vacíos que existen. Un enfoque del taller informal, involucrando a los administradores y el equipo involucrado en el proceso, se utiliza para definir un enfoque adecuado a los controles para el proceso y para motivar a un plan de acción acordado.

3 Definido Los controles están en su lugar y debidamente documentadas. Eficacia de funcionamiento se evalúa de forma periódica y hay un número medio de problemas. Sin embargo, el proceso de evaluación no está documentado. Mientras que la administración es capaz de hacer frente previsiblemente con la mayoría de los problemas de control, algunas deficiencias de control y los efectos persisten aún podrían ser graves. Los empleados son conscientes de sus

Los procesos críticos de TI se identifican con base en indicadores de valor y riesgo. Un análisis detallado se realizó para identificar los requisitos de control y la causa raíz de las deficiencias y desarrollar oportunidades de mejora. Además de los talleres facilitados, se utilizan las herramientas y las entrevistas se llevan a cabo para apoyar el análisis y asegurarse de que un propietario de procesos de TI posee y dirige el proceso de evaluación y


Figure 2—Modelo de madurez del Control Interno

Nivel de Madurez

Estado de Medio Ambiente de Control Interno

Establecimiento de Controles Internos

responsabilidades de control. mejora.

4 Administrado y medible

Hay un control interno efectivo y entorno de gestión de riesgos. A, la evaluación formal y documentada de los controles se produce con frecuencia. Muchos controles son automáticos y regularmente revisados. La administración es probable detectar la mayoría de los problemas de control, pero no todos los problemas se identifican de forma rutinaria. Hay un seguimiento constante para hacer frente a las debilidades de control identificadas. Un uso limitado, táctica de la tecnología se aplica para automatizar los controles.

TI proceso critico se define regularmente con todo el apoyo y el acuerdo de los titulares correspondientes procesos de negocio. Evaluación de los requisitos de control se basa en la política y la madurez actual de estos procesos, tras un minucioso análisis y medida involucrar a los actores clave. La responsabilidad de estas evaluaciones es clara y forzada. Estrategias de mejora se apoyan en los casos de negocios. El rendimiento en el logro de los resultados deseados se supervisa constantemente. Revisiones de control externos se organizan de vez en cuando.

5 Optimizado Un riesgo para toda la empresa y el programa de control proporciona un control continuo y eficaz y resolución de cuestiones de riesgo. El control interno y gestión de riesgos se integran con las prácticas empresariales, apoyados con control automático en tiempo real con plena responsabilidad para el monitoreo de control, gestión de riesgos y cumplimiento. Evaluación de control es continua, basado en la autoevaluación y la brecha y el análisis de causa raíz. Los empleados están activamente involucrados en las mejoras de control.

Cambios en el negocio consideran los procesos críticos de TI y cubren cualquier necesidad de volver a evaluar la capacidad de control del proceso. Procesos de TI propietarios realizan periódicamente autoevaluaciones para confirmar que los controles están en el nivel adecuado de madurez para satisfacer las necesidades del negocio y consideran atributos de madurez para encontrar maneras de hacer los controles más eficientes y eficaces. Los puntos de referencia de organización a las mejores prácticas externas y busca asesoramiento externo sobre la efectividad del control interno. Para los procesos críticos, revisiones independientes se llevan a cabo para dar garantías de que los controles se encuentran en el nivel deseado de madurez y funciona según lo previsto.


La evaluación modelo de madurez es uno de los pasos finales en el proceso de evaluación. La auditoría de TI y seguridad profesional puede hacer frente a los controles clave en el ámbito del programa de trabajo y formular una evaluación objetiva del nivel de madurez de las prácticas de control. La evaluación de la madurez puede ser una parte del informe de auditoría / seguridad y puede ser utilizado como una métrica de año en año para documentar la progresión en la mejora de los controles. Sin embargo, debe tenerse en cuenta que la percepción del nivel de madurez puede variar entre el proceso / propietario de los activos de TI y el auditor. Por lo tanto, el auditor debe obtener el consentimiento de las partes interesadas en cuestión antes de presentar el informe final a la gestión.

Al concluir la revisión, una vez que todas las conclusiones y recomendaciones, se han completado, el profesional evalúa el estado actual de la estructura de control COBIT y le asigna un nivel de madurez mediante la escala de seis niveles. Algunos médicos utilizan decimales (x.25, x.5, x.75) para indicar gradaciones en el modelo de madurez. Como referencia adicional, COBIT proporciona una definición de las denominaciones de vencimiento por el objetivo de control. Si bien este enfoque no es obligatorio, el proceso se proporciona como una sección separada al final del programa de auditoría / seguridad para aquellas empresas que deseen implementarlo. Se sugiere que se haga una evaluación de la madurez en el nivel de control de COBIT. Para dar más valor al cliente / cliente, el profesional también puede obtener las metas de madurez del cliente / cliente. Con los niveles de madurez de destino evaluados y la, el profesional puede crear una presentación gráfica eficaz que describe el logro o brechas entre lo real y los objetivos de madurez de destino. Un gráfico se ofrece como la última página del documento (sección VIII), con base en las evaluaciones de la muestra.

IV. Aseguramiento y Marco de Control ISACA Marco y Normas de Garantía de TI

Las secciones siguientes en ITAF son relevantes a la Seguridad BYOD:

3427- Gestión De la Información de TI

3450- Procesos TI

3470- Gestión de riesgos

3490- Soporte de Cumplimiento Normativo TI

3630.4- Operaciones de Sistemas de Informaciones

3630.5- Recursos Humanos TI

3630.7- Gestión de seguridad de la información

3630.11- Gestión y control de Redes.

3630.12- Sistema de soporte de Software (Gestión de dispositivos

móviles)

3630.14- Gestión y control del Sistema Operativo.

3630.17- Identificación y la Autorización


ISACA Control Framework

BYOD de seguridad se centra en la gestión de riesgos, la gestión de la configuración del dispositivo y de la seguridad, los recursos humanos y la formación de los usuarios. Debido a que ningún grupo de áreas de COBIT domina los procesos primarios y los procesos de nivel inferior que están muy extendidas, con fines de evaluación y modelos de madurez, se utilizará el área de COBIT de alto nivel. ¿Dónde se pueden identificar procesos de COBIT más específicas, que se incluirán en el programa de auditoría / seguridad de COBIT Referencia cruzada. Procesos de COBIT que sólo se hace referencia una vez que no pueden ser incluidos. COBIT entre sus áreas incluyen:

PO2 Definir la arquitectura de la información.

PO6 Comunicar Objetivos de Gestión y Dirección.

- PO6.1 Políticas de TI y Control de Medio Ambiente.

- PO6.3 Políticas de gestión de TI

PO7 Administrar Recursos Humanos.

- PO7.4 Formación del Personal.

PO9 Evalúan y gestionar los riesgos de TI

DS5 Garantizar la seguridad del Sistema.

- DS5.1 Gestión de seguridad de TI

- DS5.3 Gestión de Identidad

- DS5.4 Administración de cuentas de usuario.

- DS5.5 Pruebas de Seguridad, Vigilancia y Monitoreo.

- DS5.9 Prevención de Software Malintencionado, Detección y la Corrección.

- DS5.10 Seguridad de la Red.

- DS5.11 Intercambio de datos confidenciales.

DS9 Administrar la Configuración

- DS9.1 Repositorio de configuración y de la línea de base

- DS9.2 Identificación y mantenimiento de los elementos de configuración.

- DS11 Maneja DataDS11.6

Referente a las Prácticas de Control IT de COBIT del Instituto de Gobernanza: La dirección para Alcanzar Objetivos de Control para Acertar la Gobernanza, la 2da Edición, 2007, para la práctica de control relacionada valora y arriesga a conductores.


V. Resumen Ejecutivo de Auditoria/Garantia BYOD

Traiga su propio dispositivo (BYOD) es un fenómeno reciente de la explosión de los dispositivos de comunicación personal que se utilizan para llevar a cabo tareas relacionadas con el trabajo. Antes de BYOD, una organización que proporciona smartphones (a menudo los dispositivos Blackberry), computadoras portátiles, y, más recientemente, Tablet PC para los empleados. Estos dispositivos móviles eran propiedad de la organización y por lo general accede a las redes de la organización a través de una interfaz de gestión muy controlado, como el Blackberry Enterprise Server (BES).

Ahora con BYOD,-propiedad privada dispositivos-smartphones y tablets-se les permite acceder a las redes y los datos de la organización celular. Los empleados ven esto como una ventaja, ya que pueden combinar sus dispositivos privados con los dispositivos necesarios para el trabajo. La ventaja obvia de la empresa es la contención de costes, es decir, el ahorro que supone no tener que comprar estos dispositivos propiedad de los empleados. En cambio, las organizaciones suelen ofrecer a cada empleado-propietario con un estipendio para cubrir los costos de los planes de datos, etc

BYOD es a la vez una solución y un nuevo riesgo. La organización se enfrenta a mantener la seguridad y privacidad de los datos a través de dispositivos que ni posee ni controla totalmente. Los problemas de control de la seguridad primaria y son las siguientes:

• La protección de los datos confidenciales y propiedad intelectual

• Protección de las redes a las que se conectan los dispositivos BYOD

• Responsabilidad y rendición de cuentas para el dispositivo y la información contenida en él

• Eliminación de datos de la organización de los dispositivos propiedad de los empleados a la terminación del empleo o pérdida del dispositivo

• Protección contra malware

• Impacto en el Negocio y Riesgo

El impacto en el negocio de BYOD es similar a la de la informática móvil. El riesgo de negocio incluye:

• La infección por malware, que puede dar lugar a fugas, la corrupción o la falta de disponibilidad de datos

• Fuga o compromiso de los datos sensibles, debido a los dispositivos móviles BYOD perdidos o mal asegurada

• La publicidad negativa, la pérdida de la reputación, el incumplimiento de las leyes o los requisitos de la industria, multas y demandas.

BYOD riesgo específico se centra en:

Controles de acceso y control de la seguridad del dispositivo


Capacidad para eliminar los datos empresariales sensibles al terminar su empleo o pérdida del dispositivo

Cuestiones de gestión relacionadas con el apoyo muchos tipos diferentes de dispositivos, sistemas operativos y aplicaciones

Asegurar que los dispositivos BYOD propiedad de los empleados están debidamente respaldados en todo momento.

Objetivos y alcance

Objetivos-El examen de auditoría / aseguramiento de BYOD hará lo siguiente:

• Ofrecer una gestión con una evaluación de las políticas y procedimientos de BYOD y su efectividad operativa

• Identificar el control interno y deficiencias normativas que puedan afectar a la organización

• Identificar los problemas de control de la información de seguridad que podrían afectar a la fiabilidad, la precisión y la seguridad de los datos de la empresa, debido a deficiencias en los controles informáticos móviles

Alcance-El examen se centrará en:

• Los dispositivos BYOD que se conectan a las redes de la organización o que contienen datos de la organización

• Los dispositivos BYOD en ámbito incluyen todas las variedades de teléfonos inteligentes, Tablet PC y sus diferentes sistemas operativos

Eficacia de activos, adecuación de los dispositivos específicos para los procesos implementados y prácticas de compra relacionados con los dispositivos móviles están fuera del alcance de esta revisión.

Habilidades de auditoría mínimos

La auditoría de TI y seguridad profesional debe tener una comprensión de la buena práctica de mantenimiento de los dispositivos móviles, la seguridad y los controles. Debido a que este es un campo dinámico, los profesionales que realizan esta auditoría deben asegurarse de que se han realizado las investigaciones necesarias para comprender las tecnologías básicas empleadas por los proveedores de servicios de dispositivos móviles y fabricantes de dispositivos.

Evaluacion


Visite www.isaca.org / BYOD-AP y el uso de la función de retroalimentación para proporcionar sus comentarios y sugerencias sobre este documento. Tus comentarios son un elemento muy importante en el desarrollo de la orientación ISACA para sus constituyentes y es muy apreciada.


VI. Programa de Auditoría/ garantia

Auditoría /Programa de los pasos de seguridad

COBIT

Referencia cruzada

COSOReferencia

hiperenlace

cuestión

Referencia cruzada

Comentarios

Am

bien

te d

e

Eva

luac

ión

del

ries

go

Act

ivid

ades

de

Con

trol

Info

rmac

ión

y C

omun

icac

ión

Mon

itor

eo

1. PLANIFICACIÓN Y ALCANCE DE LA AUDITORÍA

1.1 Definir objetivos de la auditoría / seguridad.

Los objetivos de la auditoría / seguridad son de alto nivel y se describen los objetivos generales de la auditoría.

1.1.1. Revisión de los objetivos de la auditoría / seguridad de la introducción de este programa de auditoría / seguridad.

1.1.2 Modificación de los objetivos de la auditoría / seguridad para alinearse con el universo de auditoría / seguridad, plan anual y de alquiler.



COBIT

Referencia cruzada

COSOReferencia

hiperenlace

cuestión

Referencia cruzada

Comentarios

Am

bien

te d

e

Eva

luac

ión

del

ries

go

Act

ivid

ades

de

Con

trol

Info

rmac

ión

y C

omun

icac

ión

Mon

itor

eo

1.2 Definir los límites de la revisión.

La revisión debe tener un alcance definido. El revisor debe entender el entorno operativo y preparar una propuesta de alcance, sujeto a una evaluación de riesgos más tarde.

1.2.1 Realizar un recorrido de alto nivel de las iniciativas BYOD, metas y procesos, incluida la estrategia BYOD y política BYOD.

1.2.2 Establecer los límites iniciales de la revisión de auditoría / seguridad.

1.2.2.1 Identificar las limitaciones y / o restricciones que afectan a la auditoría.



COBIT

Referencia cruzada

COSOReferencia

hiperenlace

cuestión

Referencia cruzada

Comentarios

Am

bien

te d

e

Eva

luac

ión

del

ries

go

Act

ivid

ades

de

Con

trol

Info

rmac

ión

y C

omun

icac

ión

Mon

itor

eo

1.3 Definición de la seguridad

El examen requiere dos fuentes de las normas. Las normas empresariales definidas en la documentación de políticas y procedimientos establecen expectativas de la empresa. Como mínimo, deben aplicarse las normas de la empresa. La segunda fuente, una referencia de buena práctica, establece estándares de la industria. Las mejoras deben ser propuestas para hacer frente a las diferencias entre los dos.

1.3.1 Determinar si un marco de gestión de la seguridad apropiada, tal como la norma ISO 27002 o la serie de NIST 800, se puede utilizar como una referencia de buenas prácticas.

1.4 Documento de identificación y riesgos.

La evaluación de riesgos es necesaria para saber en qué deben centrarse los recursos de auditoría. El enfoque basado en el riesgo garantiza la utilización de los recursos de auditoría de la manera más eficaz.



COBIT

Referencia cruzada

COSOReferencia

hiperenlace

cuestión

Referencia cruzada

Comentarios

Am

bien

te d

e

Eva

luac

ión

del

ries

go

Act

ivid

ades

de

Con

trol

Info

rmac

ión

y C

omun

icac

ión

Mon

itor

eo

1.4.1 Identificar el riesgo del negocio asociado a la implementación de BYOD.

1.4.2 En base a la evaluación de riesgos, identificar los cambios en el alcance.

1.4.3 Discuta los riesgos de TI, las empresas y la gestión de auditoría operativa y ajustar la evaluación de riesgos, si es necesario

1.5 Definición del proceso de cambio

El enfoque de la auditoría inicial se basa en la comprensión del usuario del sistema operativo y el riesgo asociado. A medida que se realizan nuevas investigaciones y análisis, los cambios en el alcance y el enfoque se traducirá.

1.5.1 Identificar los recursos de auditoría / aseguramiento de TI de alto nivel responsable de la revisión.



COBIT

Referencia cruzada

COSOReferencia

hiperenlace

cuestión

Referencia cruzada

Comentarios

Am

bien

te d

e

Eva

luac

ión

del

ries

go

Act

ivid

ades

de

Con

trol

Info

rmac

ión

y C

omun

icac

ión

Mon

itor

eo

1.5.2 Establecer el proceso para sugerir e implementar cambios en el programa de auditoría / aseguramiento y las autorizaciones necesarias.

1.6 Defina el proceso de cambio.

Los factores de éxito necesitan ser identificados. La comunicación regular es esencial entre el equipo de auditoría / seguridad de TI, y otros equipos de control de la empresa.

1.6.1. Identificar los criterios para una evaluación positiva (esto debe existir en las normas y procedimientos de la función de auditoría / aseguramiento).

1.6.2. Comunicar atributos de éxito para el propietario del proceso o de los interesados, y obtener un acuerdo.

1.7. Definir los recursos de auditoría / garantía exigida.

Los recursos necesarios se definen en la introducción de este programa de auditoría / seguridad

1.7.1. Determinar las habilidades necesarias para el examen de auditoría / seguridad.



COBIT

Referencia cruzada

COSOReferencia

hiperenlace

cuestión

Referencia cruzada

Comentarios

Am

bien

te d

e

Eva

luac

ión

del

ries

go

Act

ivid

ades

de

Con

trol

Info

rmac

ión

y C

omun

icac

ión

Mon

itor

eo

1.7.2. Determinar los recursos totales estimados (horas) y el calendario (fechas de inicio y final) que se requieren para la revisión.

1.8. Definición de entregables.

Entregables no se limitan al informe final. La comunicación entre los equipos de auditoría / aseguramiento y el dueño del proceso (s) en relación con las expectativas de prestaciones es esencial para el éxito de asignación.

1.8.1. Determinar entregables intermedios, incluyendo conclusiones iniciales, informe de estado, informes preliminares, vencimientos el párrafo respuestas e informe definitivo.

1.9. Comunicarse.

El proceso de revisión de cuentas/aseguramiento claramente es comunicado al cliente/cliente.

1.9.1. Conducir una conferencia de apertura para hablar de los objetivos de revisión con el ejecutivo responsable de sistemas operativos e infraestructura.

2. GESTIÓN DE RIESGOS



COBIT

Referencia cruzada

COSOReferencia

hiperenlace

cuestión

Referencia cruzada

Comentarios

Am

bien

te d

e

Eva

luac

ión

del

ries

go

Act

ivid

ades

de

Con

trol

Info

rmac

ión

y C

omun

icac

ión

Mon

itor

eo

2.1. Evaluación del riesgo

Auditoría / Aseguradora Objetivo: BYOD está sujeta a los procesos de evaluación de riesgos de rutina.

2.1.1. BYOD evaluación de riesgos inicial

Control: Gestión realizó una evaluación de riesgos antes de la ejecución del programa BYOD.

PO9.2 X X

2.1.1.1. Determinar si una evaluación de riesgo de BYOD hubiera sido realizada antes de la aceptación del programa.

X X

2.1.1.2. Obtener y repasar la documentación de evaluación de riesgo, de ser disponible, determinar si el nivel de control es adecuado de apoyar el programa BYOD.

2.1.1.3. Obtener minutos de consejo u otra documentación para apoyar la aprobación de la evaluación de riesgo.



COBIT

Referencia cruzada

COSOReferencia

hiperenlace

cuestión

Referencia cruzada

Comentarios

Am

bien

te d

e

Eva

luac

ión

del

ries

go

Act

ivid

ades

de

Con

trol

Info

rmac

ión

y C

omun

icac

ión

Mon

itor

eo

2.1.2. BYOD Control de Evaluación de Riesgo En curso:

Una evaluación de riesgo es realizada y aprobada por la dirección donde cambios principales son iniciados al programa BYOD o reafirmar la evaluación de riesgo anterior.

PO9.4 X X

2.1.2.1. Determinar si evaluaciones de riesgo subsecuentes han sido realizadas después de la evaluación de riesgo inicial.

X X

2.1.2.2. Obtener y repasar la documentación de evaluación de riesgo, de ser disponible, determinar si el alcance de evaluación de riesgo es adecuado de apoyar los cambios del programa BYOD y protege la empresa como apropiado.

X



COBIT

Referencia cruzada

COSOReferencia

hiperenlace

cuestión

Referencia cruzada

Comentarios

Am

bien

te d

e

Eva

luac

ión

del

ries

go

Act

ivid

ades

de

Con

trol

Info

rmac

ión

y C

omun

icac

ión

Mon

itor

eo

3. POLITICAS

3.1. Objetivo de Revisión de cuentas/ Política de seguridad:

La política que apoya BYOD iniciativas ha sido definida, documentada, aprobada, puesta en práctica y mantenida.

3.1.1. Empleado BYOD Control de Acuerdo:

Requieren el acuerdo de empleado (o cualquier otra política que incluye declaraciones de Empleo BYOD Aceptables y ser firmado por todos los empleados/contratistas BYOD) claramente define las responsabilidades mutuas de la empresa y el signatario, uniendo el dispositivo (s) BYOD del empleado a las redes de la empresa y sistemas de información.

PO6.3PO7.4

X X

3.1.1.1. Verificar que el empleado debe firmar el acuerdo BYOD antes de que su dispositivo sea activado sobre la red de la empresa.

3.1.1.2. Verificar que como una técnica de conciencia, los empleados deben repasar y firmar el acuerdo BYOD cada año.



COBIT

Referencia cruzada

COSOReferencia

hiperenlace

cuestión

Referencia cruzada

Comentarios

Am

bien

te d

e

Eva

luac

ión

del

ries

go

Act

ivid

ades

de

Con

trol

Info

rmac

ión

y C

omun

icac

ión

Mon

itor

eo

3.1.1.3. Verificar que requieren que empleados dimitan el acuerdo BYOD siempre que un nuevo dispositivo BYOD sea desplegado.

3.1.1.4. Repasar al empleado BYOD el acuerdo para las prácticas siguientes:

La Empresa no es responsable del plan de servicio de empleado o el dispositivo.

El Empleado puntualmente debe relatar un dispositivo perdido o robado móvil, dentro de un período definido.

Si la empresa provee un subsidio o el estipendio para el empleo de negocio de dispositivo, los términos del empleo de empleado y responsabilidades financieras claramente son descritos, y el acuerdo de documentos de empleado vía una firma.

El Empleado ejercerá el cuidado razonable previsto del dispositivo.

El empleado no revelará a terceros no autorizados los datos de la empresa almacenados en, o accesible a través de, el dispositivo BYOD.



COBIT

Referencia cruzada

COSOReferencia

hiperenlace

cuestión

Referencia cruzada

Comentarios

Am

bien

te d

e

Eva

luac

ión

del

ries

go

Act

ivid

ades

de

Con

trol

Info

rmac

ión

y C

omun

icac

ión

Mon

itor

eo

El Empleado se suscribirá a la política de empleo de la empresa.

El Empleado se suscribirá a la política de seguridad de los datos de la empresa.

El Empleado cumplirá con el acuerdo puesto al día BYOD cuando es revisado y distribuido.

El Empleado guardará el dispositivo BYOD en la orden trabajador, completando la reparación necesaria en un plazo de tiempo razonable.

3.1.1.5. Repasar el acuerdo BYOD para averiguar que el empleado acepta, sujeto a la política de la empresa, el derecho de la empresa:

Limpie todos los datos y programas (restauración de fábrica), por ejemplo, si el dispositivo se pierde, es robada o comprometida

Establecer reglas de contraseña y duración de la cadena de caracteres para el desbloqueo de la pantalla

Supervisar los intentos para desbloquear Limpie el dispositivo en excesivos intentos fallidos

de desbloqueo Controlar cómo y cuándo se bloquea la pantalla



COBIT

Referencia cruzada

COSOReferencia

hiperenlace

cuestión

Referencia cruzada

Comentarios

Am

bien

te d

e

Eva

luac

ión

del

ries

go

Act

ivid

ades

de

Con

trol

Info

rmac

ión

y C

omun

icac

ión

Mon

itor

eo

Ajuste el tiempo de caducidad de contraseña de bloqueo de pantalla

Los datos de aplicación necesitan ser almacenados cifrados

El uso de control de la cámara del dispositivo (s) Cifrar datos de usuario en el dispositivo o tarjetas

SD tras la activación Control de sincronización de datos como manual o

automática en itinerancia Descargar, actualizar o eliminar aplicaciones de la

organización, sobre-el-aire (OTA) Permitir al administrador activar o desactivar Wi-Fi Permitir al administrador activar o desactivar la

tarjeta de almacenamiento Permitir al administrador activar o desactivar

navegador Permitir administrador para activar o desactivar los

mensajes de texto Aplicaciones de límite instalados en el dispositivo Instalar las actualizaciones anti-malware Cuarentena de un dispositivo móvil en caso de

malware o violación de las políticas de uso aceptable



COBIT

Referencia cruzada

COSOReferencia

hiperenlace

cuestión

Referencia cruzada

Comentarios

Am

bien

te d

e

Eva

luac

ión

del

ries

go

Act

ivid

ades

de

Con

trol

Info

rmac

ión

y C

omun

icac

ión

Mon

itor

eo

Eliminación de una aplicación que se considere dañino o inapropiado

Auditar el dispositivo

3.1.1.6. Determinar la fecha de la última revisión de acuerdo de empleo de BYOD.

3.1.1.7. Seleccionar una muestra de empleados con dispositivos BYOD unidos a las redes de la empresa. Incluya en los empleados de la muestra de funciones de trabajo que varían y títulos.

3.1.1.7.1. Obtener a su empleado BYOD acuerdos y determinar que ellos:

Están basado en el acuerdo de empleado más corriente

Son firmados y datados Es enmendado si las revisiones han sido

instituidas desde el documento anterior firmado



COBIT

Referencia cruzada

COSOReferencia

hiperenlace

cuestión

Referencia cruzada

Comentarios

Am

bien

te d

e

Eva

luac

ión

del

ries

go

Act

ivid

ades

de

Con

trol

Info

rmac

ión

y C

omun

icac

ión

Mon

itor

eo

3.1.2. Política de Empleo Móvil Aceptable (MAUP)Control:

El empleado debe adherirse a MAUP de la organización.

PO6.3DS5.1

X X

3.1.2.1. Obtener y verificar que el MAUP alinea con la política de seguridad de red de la organización.

3.1.2.2. Determinar que los empleados que participan en BYOD han firmado el MAUP.

3.1.2.3. Determinar la fecha de la última revisión al MAUP.

3.1.2.4. Seleccionar una muestra de empleados con dispositivos BYOD unidos a la red de la organización. Incluya en los empleados de la muestra de funciones de trabajo que varían y títulos.

3.1.2.5. Obtener sus acuerdos de empleado y determinar que cada acuerdo es:

El acuerdo MAUP más corriente

Firmado y datado

Enmendado si las revisiones han sido



COBIT

Referencia cruzada

COSOReferencia

hiperenlace

cuestión

Referencia cruzada

Comentarios

Am

bien

te d

e

Eva

luac

ión

del

ries

go

Act

ivid

ades

de

Con

trol

Info

rmac

ión

y C

omun

icac

ión

Mon

itor

eo

instituidas desde el documento anterior firmado.

3.1.3. Recursos Humanos (recursos humanos) Apoyo a Control de BYOD:

BYOD procesos son integrados en servicios de recursos humanos, política, y el cumplimiento.

PO6.3 X

3.1.3.1. Determinar si la función de recursos humanos es responsable de la inicial y el firmar anual de empleado BYOD y documentos MAUP.

3.1.3.2. Determinar si los recursos humanos incluyen el firmar de empleado BYOD y declaraciones MAUP.

3.1.3.2.1. Seleccionar una muestra de nuevos empleados que participan en el programa BYOD. Determine si los empleados hubieran firmado los documentos apropiados.

3.1.3.3. Determinar si los recursos humanos tienen una lista corriente de participantes BYOD, asegurar que los procedimientos de



COBIT

Referencia cruzada

COSOReferencia

hiperenlace

cuestión

Referencia cruzada

Comentarios

Am

bien

te d

e

Eva

luac

ión

del

ries

go

Act

ivid

ades

de

Con

trol

Info

rmac

ión

y C

omun

icac

ión

Mon

itor

eo

terminación que incluyen procedimientos de salida de BYOD.

3.1.3.3.1. Obtener la lista BYOD participante. Para una muestra escogida, determine si los nombres a la lista son empleados corrientes.

3.1.3.3.2. Obtener la lista de empleados terminados. Verifique que los empleados terminados no son a la lista BYOD participante.

3.1.3.4. Determinar cómo los recursos humanos manejan la transferencia de participantes BYOD a otras divisiones o posiciones. Prepare procedimientos apropiados de auditoría de prueba para satisfacer el objetivo de auditoría.

3.1.3.5. Obtener una copia del Código de conducta de la empresa y determinar si esto expresamente declara que una violación de la política BYOD es considerada una violación del Código de conducta con sanciones



COBIT

Referencia cruzada

COSOReferencia

hiperenlace

cuestión

Referencia cruzada

Comentarios

Am

bien

te d

e

Eva

luac

ión

del

ries

go

Act

ivid

ades

de

Con

trol

Info

rmac

ión

y C

omun

icac

ión

Mon

itor

eo

aplicables.

3.1.3.6. Determinar si la política disciplinaria y procesos que apoyan son en efecto para violaciones a BYOD y la política MAUP. Estos deberían incluir:

Penas Establecidas para infracciones

Uso Uniforme de política de pena3.1.4. Los Contratistas Controlan:

Los contratistas son limitados en su acceso y capacidades uniendo a las redes de la empresa y sistemas de información.

DS5.3DS5.4

X X

3.1.4.1. Determinar la política en efecto para permitir a contratistas utilizar los recursos de la empresa, protegiendo el activo de la organización y la propiedad intelectual del acceso no autorizado por contratistas y otros terceros.

3.1.4.2. Evaluar la eficacia de mandos de BYOD sobre terceros.

3.1.4.3. Evaluar la política de empleado BYOD y determinar si requieren mandos



COBIT

Referencia cruzada

COSOReferencia

hiperenlace

cuestión

Referencia cruzada

Comentarios

Am

bien

te d

e

Eva

luac

ión

del

ries

go

Act

ivid

ades

de

Con

trol

Info

rmac

ión

y C

omun

icac

ión

Mon

itor

eo

adicionales, política o procedimientos para proteger el activo de la organización.

3.2. Exenciones de Objetivo de Revisión de cuentas/Políticas de seguridad BYOD:

Las exenciones de la política BYOD de manera apropiada son controladas y supervisadas en la conformidad con las Exenciones de la empresa al procedimiento De política.

3.2.1. Control: Las exenciones de la política BYOD son aplicadas, repasadas, y autorizado en la conformidad con los procedimientos de Excepciones De política de la empresa.

PO6.4 X

3.2.1.1. Si la empresa concede exenciones de la política BYOD, obtenga una copia de la lista de exenciones autorizadas y una copia del procedimiento de la empresa para Exenciones a la Política.

3.2.1.2. Determinar que cada exención tuvo la autorización en el cumplimiento con las Exenciones de la empresa al procedimiento De política.



COBIT

Referencia cruzada

COSOReferencia

hiperenlace

cuestión

Referencia cruzada

Comentarios

Am

bien

te d

e

Eva

luac

ión

del

ries

go

Act

ivid

ades

de

Con

trol

Info

rmac

ión

y C

omun

icac

ión

Mon

itor

eo

3.2.1.3. Determinar que las exenciones son concedidas sólo para un período de tiempo limitado, el máximo un año.

3.2.1.4. Determinar que cada exención BYOD con regularidad es repasada para seguir la aplicabilidad.

3.2.1.5. Determinar que un nuevo uso para la exención fue sometido y aprobado en cada caso donde el propietario BYOD necesitó una extensión a tiempo para la exención.



COBIT

Referencia cruzada

COSOReferencia

hiperenlace

cuestión

Referencia cruzada

Comentarios

Am

bien

te d

e

Eva

luac

ión

del

ries

go

Act

ivid

ades

de

Con

trol

Info

rmac

ión

y C

omun

icac

ión

Mon

itor

eo

4. LEGAL

4.1. Aspectos Legales

Auditoría / Aseguradora Objetivo: BYOD procedimientos cumplen con los requisitos legales y reducir al mínimo la exposición de la organización a las acciones legales.

4.1.1. Participación Legal en las Políticas y Procedimientos de BYOD

Control: El asesor legal ha revisado y proporcionado aprobación documentada de las políticas y procedimientos de BYOD con respecto a las cuestiones legales.

ME3 X

4.1.1.1. Determinar si el consejo legal ha repasado y ha aprobado publicaciones legales que se relacionan con la política BYOD y procedimientos. Considere:

Separación de datos de negocio y personales e información.

Respeto para bienes personales.

Búsqueda e incautación de leyes para la configuración regional del empleado



COBIT

Referencia cruzada

COSOReferencia

hiperenlace

cuestión

Referencia cruzada

Comentarios

Am

bien

te d

e

Eva

luac

ión

del

ries

go

Act

ivid

ades

de

Con

trol

Info

rmac

ión

y C

omun

icac

ión

Mon

itor

eo

4.1.1.2. Obtener evidencia de la revisión y aprobación legal.

4.1.2. Retención Legal

Control: Políticas Legales y los procedimientos de retención se han establecido para todos los propietarios y dispositivos BYOD.

PO6.4 X

4.1.2.1. Determinar si el acuerdo de la empresa BYOD aborda jurídicamente y mantenga en relación con la información almacenada o que puedan almacenarse en dispositivos BYOD.

4.1.2.2. Determinar que el propietario BYOD acepta formalmente que cada dispositivo está sujeta a la política de retención legal de la empresa



COBIT

Referencia cruzada

COSOReferencia

hiperenlace

cuestión

Referencia cruzada

Comentarios

Am

bien

te d

e

Eva

luac

ión

del

ries

go

Act

ivid

ades

de

Con

trol

Info

rmac

ión

y C

omun

icac

ión

Mon

itor

eo

5. .TÉCNICA Y APOYO DE USUARIO

5.1. Técnica y apoyo de usuario

Auditoría / Garantía Objetivo: Un servicio de ayuda o de función de apoyo similar se ha establecido para tratar las cuestiones técnicas y de uso.

5.1.1. Servicio de ayuda

Control: Un servicio de ayuda o de función de apoyo similares existe para BYOD.

DS8 X

5.1.1.1. Obtener y revisar las políticas y procedimientos de solicitudes de ayuda de escritorio BYOD relacionados, la progresividad, seguimiento para garantizar la integridad, la puntualidad y la supervisión.

5.1.1.2. Obtener una muestra de ayuda técnica BYOD solicita.

Determine si:

Las solicitudes de BYOD se resolvieron en el acuerdo de nivel de servicio (SLA).

Problemas BYOD indican los



COBIT

Referencia cruzada

COSOReferencia

hiperenlace

cuestión

Referencia cruzada

Comentarios

Am

bien

te d

e

Eva

luac

ión

del

ries

go

Act

ivid

ades

de

Con

trol

Info

rmac

ión

y C

omun

icac

ión

Mon

itor

eo

problemas de seguridad de información que debería haber sido escalado y no estaban.

6. GOBIERNO

6.1. Gobierno

Auditoría / Garantía Objetivo: BYOD está sujeta a la supervisión y el control de la dirección.

6.1.1. Aprobación de Políticas

Control: la política BYOD ha sido aprobada por la dirección ejecutiva.

ME4 X X X X

6.1.1.1. Determinación de la estructura de información de proceso de aprobación BYOD y evaluar si el proceso de aprobación incluye las unidades de negocio afectadas.

6.1.1.2. Obtener el acta de la reunión y otra documentación utilizada para evaluar el proceso de aprobación.



COBIT

Referencia cruzada

COSOReferencia

hiperenlace

cuestión

Referencia cruzada

Comentarios

Am

bien

te d

e

Eva

luac

ión

del

ries

go

Act

ivid

ades

de

Con

trol

Info

rmac

ión

y C

omun

icac

ión

Mon

itor

eo

6.1.2. Supervisión y Ejecución BYOD

Control: La dirección ejecutiva recibe informes de estado regulares sobre el uso de BYOD y la adhesión a las políticas.

ME1.5ME4

X X X

6.1.2.1. Obtención de informes de estado de gestión ejecutiva de la iniciativa BYOD.

6.1.2.2. Determinar la frecuencia a la cual la gerencia recibe informes de estado.

6.1.2.3. Determinar el contenido del informe de estado incluyendo:

indicadores de funcionamiento Claves establecidos durante puesta en práctica de programa · resumen de Escalada

Perdido BYOD dispositivos con datos de organización sensibles

las Estimaciones de ahorros por programa BYOD



COBIT

Referencia cruzada

COSOReferencia

hiperenlace

cuestión

Referencia cruzada

Comentarios

Am

bien

te d

e

Eva

luac

ión

del

ries

go

Act

ivid

ades

de

Con

trol

Info

rmac

ión

y C

omun

icac

ión

Mon

itor

eo

7. FORMACION

7.1. Formación

Auditoría / Seguridad Objetivo: los usuarios BYOD deben asistir a la formación inicial de orientación y capacitación regular de seguimiento.

7.1.1. Formación Inicial:

Control: usuarios BYOD están obligados a asistir a la capacitación inicial sobre BYOD procedimientos política, MAUP y apoyo.

PO7.4 X

7.1.1.1. Obtener los recursos de entrenamiento utilizados en la formación inicial.

7.1.1.2. Evaluar la integridad del programa de formación. Garantizar que se aborden todas las cuestiones de política identificadas en la sección de política de este programa de auditoría.

7.1.1.3. Determinar que los usuarios BYOD han asistido a la sesión (s).



COBIT

Referencia cruzada

COSOReferencia

hiperenlace

cuestión

Referencia cruzada

Comentarios

Am

bien

te d

e

Eva

luac

ión

del

ries

go

Act

ivid

ades

de

Con

trol

Info

rmac

ión

y C

omun

icac

ión

Mon

itor

eo

7.1.1.4. Seleccionar una muestra de usuarios BYOD en todos los niveles organizativos.

7.1.1.5. Inspeccione los registros de asistencia y otros documentos para determinar si los usuarios BYOD seleccionados han completado el entrenamiento requerido.

7.1.2. Seguridad y la formación en temas de:

Control: se requiere realizar una sensibilización y formación continua, por lo menos anualmente.

PO7.4 X

7.1.2.1. Obtener el programa de concienciación BYOD.

7.1.2.2. Determinar que el contenido del programa se sigan ocupando de las políticas de seguridad y BYOD.

7.1.2.3. Determinación de los requisitos para la asistencia a programas de formación.

7.1.2.4. Seleccionar una muestra de usuarios BYOD, determinar la frecuencia de asistencia.



COBIT

Referencia cruzada

COSOReferencia

hiperenlace

cuestión

Referencia cruzada

Comentarios

Am

bien

te d

e

Eva

luac

ión

del

ries

go

Act

ivid

ades

de

Con

trol

Info

rmac

ión

y C

omun

icac

ión

Mon

itor

eo

7.1.2.5. Determinar el porcentaje de usuarios BYOD que han asistido al programa de formación posterior.

7.1.2.6. Evaluar la efectividad del programa de entrenamiento.

8. CAPA DE SEGURIDAD PARA DISPOSITIVO MÓVIL

8.1. Seguridad del dispositivo

Auditoría / Seguridad Objetivo: los usuarios BYOD están obligados a mantener los procedimientos básicos de seguridad para el dispositivo.

8.1.1. Restricciones de acceso a Dispositivos

Control: usuarios BYOD están obligados a restringir el acceso a sus dispositivos.

DS5.4 X

8.1.1.1. Determinar que los usuarios BYOD son necesarios para establecer una contraseña para abrir el dispositivo. Dependiendo de las capacidades del dispositivo, este debe ser:

Un PIN numérico de por lo menos 4 dígitos o



COBIT

Referencia cruzada

COSOReferencia

hiperenlace

cuestión

Referencia cruzada

Comentarios

Am

bien

te d

e

Eva

luac

ión

del

ries

go

Act

ivid

ades

de

Con

trol

Info

rmac

ión

y C

omun

icac

ión

Mon

itor

eo

Una "fuerte" contraseña alfanumérica de conformidad con la directiva de contraseñas de la organización, si es que esto sea posible en el dispositivo

8.1.1.2. Determinar que los usuarios con acceso a los datos altamente sensibles tienen un segundo factor de autenticación, además del PIN / contraseña, por ejemplo, el uso de la cámara del dispositivo para el reconocimiento facial o escáner de retina.

8.1.1.3. Determinar si el PIN o la contraseña se vence en un horario regular, al menos cada 90 días.

8.1.1.4. Verifique que el dispositivo se bloquea automáticamente después de cinco minutos de inactividad.

8.1.1.5. Determinar que el dispositivo se bloqueará después de tres intentos de PIN / password fallidos.

8.1.1.6. Determinar que el dispositivo se detiene durante un tiempo antes de que el incremento siguiente intento, por ejemplo,



COBIT

Referencia cruzada

COSOReferencia

hiperenlace

cuestión

Referencia cruzada

Comentarios

Am

bien

te d

e

Eva

luac

ión

del

ries

go

Act

ivid

ades

de

Con

trol

Info

rmac

ión

y C

omun

icac

ión

Mon

itor

eo

30 segundos de retardo después de la primera serie de tres intentos fallidos, de 90 segundos, luego tres minutos, etc. para protección contra los intentos de fuerza bruta contra el PIN de acceso / contraseña.

8.1.2. Acceso de Datos:

Control: Acceso a los datos está en alineado con los requisitos de clasificación de datos de la organización y la función laboral de los trabajadores.

PO2.4DS5.4

X

8.1.2.1. Determinar si los datos disponibles para los usuarios BYOD suscriba a la clasificación de los datos dentro de la organización.

8.1.2.1.1. Seleccionar una muestra de usuarios BYOD. Determinar los datos de acceso a su dispositivo y evaluar si el dato permitido esta dentro de los requisitos de función de trabajo del usuario y la definición de clasificación de datos.



COBIT

Referencia cruzada

COSOReferencia

hiperenlace

cuestión

Referencia cruzada

Comentarios

Am

bien

te d

e

Eva

luac

ión

del

ries

go

Act

ivid

ades

de

Con

trol

Info

rmac

ión

y C

omun

icac

ión

Mon

itor

eo

8.1.3. permiso explícito para borrar datos

Control: usuarios BYOD deben comprometerse por escrito a los procedimientos de seguridad para proteger o borrar datos y aplicaciones de la organización en el caso de que el dispositivo ya no está disponible para la organización.

PO4.8PO6.3DS5

X X

8.1.3.1. Determinar que los usuarios BYOD acuerdan por escrito que informe la pérdida de su dispositivo (s) de inmediato, es decir, basado en el marco de tiempo especificado en la política / procedimiento

8.1.3.2. Determinar que los usuarios BYOD acuerdan por escrito que los datos empresariales y aplicaciones en el dispositivo se pueden limpiar remotamente el dispositivo si se pierde o es robado, o en el despido.

8.1.3.3. Determinar que los usuarios BYOD acuerdo por escrito que los datos empresariales y aplicaciones en el dispositivo se pueden limpiar remotamente después de un determinado número de



COBIT

Referencia cruzada

COSOReferencia

hiperenlace

cuestión

Referencia cruzada

Comentarios

Am

bien

te d

e

Eva

luac

ión

del

ries

go

Act

ivid

ades

de

Con

trol

Info

rmac

ión

y C

omun

icac

ión

Mon

itor

eo

intentos de acceso fallidos.8.1.4. Cifrado y protección de datos:

Control: El cifrado fuerte se implementa para proteger la confidencialidad de los datos sensibles en reposo sobre, o en tránsito hacia / desde todos los dispositivos móviles BYOD.

DS5.11DS11.6

X

8.1.4.1. Determinar que:

Cifrado de disco completo se requiere en todos los dispositivos BYOD con acceso a los datos sensibles.

Sólo se permiten los algoritmos de cifrado estándar, es decir, AES o Triple-DES (3DES.)

Longitud de las claves de cifrado debe ser de al menos 128 bits para AES y 168 bits (3 x 56) para 3DES.

8.1.5. Acceso Remoto:

Control: Conexiones de acceso remoto a los dispositivos BYOD se encuentran restringidas.

DS5.10 X

8.1.5.1. Determinación de que la configuración de Bluetooth en los



COBIT

Referencia cruzada

COSOReferencia

hiperenlace

cuestión

Referencia cruzada

Comentarios

Am

bien

te d

e

Eva

luac

ión

del

ries

go

Act

ivid

ades

de

Con

trol

Info

rmac

ión

y C

omun

icac

ión

Mon

itor

eo

dispositivos BYOD no está configurado para ser visible, para evitar intentos no autorizados para vincular con el dispositivo.

8.1.5.2. Verificar que los dispositivos móviles BYOD sólo se conectan con los dispositivos previamente asociados, tales como auriculares u otros dispositivos móviles.

8.1.5.3. Verificar que los dispositivos BYOD pueden conectarse a las redes de la empresa sólo a través de redes específicas virtuales privadas (VPN) que utilizan cifrado de alta seguridad, es decir, ya sea de Secure Sockets Layer (SSL) o túneles VPN de seguridad IP (IPSec).

8.1.5.4. Verificar que los dispositivos BYOD sólo pueden conectarse a través de Wi-Fi en las redes de la empresa sólo a través de redes privadas virtuales específicos o túneles IPSec con cifrado de alta seguridad.



COBIT

Referencia cruzada

COSOReferencia

hiperenlace

cuestión

Referencia cruzada

Comentarios

Am

bien

te d

e

Eva

luac

ión

del

ries

go

Act

ivid

ades

de

Con

trol

Info

rmac

ión

y C

omun

icac

ión

Mon

itor

eo

8.1.5.5. Verificar que los usuarios se les instruye en la conciencia de seguridad de formación-siempre utilizar una conexión Wi-Fi encriptada basada en Wi-Fi Protected Access (WPA2) o mejor, es decir, sin utilizar conexiones Wi-Fi que son o sin protección o que utilizar la "protección," inferior como Wired Equivalent Privacy (WEP).

8.1.6. Protección contra malware:

Control: Se requiere que los dispositivos móviles BYOD tener defensas antimalware estándar.

DS5.9 X

8.1.6.1. Determinar que el software antivirus estándar de la industria es necesaria en cualquier dispositivo con acceso a las redes de la organización o los datos sensibles.

8.1.6.2. Verificar que un firewall estándar de la industria se ha instalado y está en funcionamiento en todo momento en todos los dispositivos móviles BYOD.



COBIT

Referencia cruzada

COSOReferencia

hiperenlace

cuestión

Referencia cruzada

Comentarios

Am

bien

te d

e

Eva

luac

ión

del

ries

go

Act

ivid

ades

de

Con

trol

Info

rmac

ión

y C

omun

icac

ión

Mon

itor

eo

8.2. Seguridad de Conectividad:

Auditoría / Seguridad Objetivo: Usos BYOD Sólo autenticados pueden conectarse a las redes de la empresa.

8.2.1. Acceso a la red

Control: los usuarios BYOD están sujetos a los mismos controles de acceso como todos los otros usos.

DS5.3DS5.4DS5.10

X

8.2.1.1. Determinar que encriptado SSL / TLS o la obligación del túnel VPN para conectarse a cualquiera de las redes de la empresa.

8.2.1.2. Verificar que las conexiones de BYOD se validan con la tienda de la empresa de la identidad, por ejemplo, Active Directory y los usuarios autenticados solamente se permite el acceso.

8.2.1.3. Verificar que un segundo factor de autenticación se lleva a cabo para la conexión de dispositivos BYOD a aplicaciones y datos altamente sensibles.



COBIT

Referencia cruzada

COSOReferencia

hiperenlace

cuestión

Referencia cruzada

Comentarios

Am

bien

te d

e

Eva

luac

ión

del

ries

go

Act

ivid

ades

de

Con

trol

Info

rmac

ión

y C

omun

icac

ión

Mon

itor

eo

9. GESTIÓN DE DISPOSITIVOS MÓVILES

9.1. El uso de herramientas automatizadas

Auditoría / Seguridad Objetivo: La empresa utiliza un dispositivo herramienta automatizada Mobile Management (MDM) de software para administrar todos los dispositivos móviles BYOD.

9.1.1. Gestión de dispositivos móviles (MDM) se despliega

Control: Una herramienta estándar de la industria de software MDM se despliega para administrar todos los dispositivos móviles, incluidos los dispositivos propiedad de los empleados (BYOD).

DS5.5DS9.2

X

9.1.1.1. Determinar que una herramienta MDM estándar de la industria se ha implementado para administrar todos los dispositivos móviles BYOD con acceso a las redes y la información de la organización.

9.1.1.2. Por la revisión de documentación de procedimiento apropiado, determine que el



COBIT

Referencia cruzada

COSOReferencia

hiperenlace

cuestión

Referencia cruzada

Comentarios

Am

bien

te d

e

Eva

luac

ión

del

ries

go

Act

ivid

ades

de

Con

trol

Info

rmac

ión

y C

omun

icac

ión

Mon

itor

eo

MDM ha sido desplegado y se utiliza para administrar todos los dispositivos móviles BYOD.

9.1.1.3. Si el sistema MDM se instaló desde el último examen, obtener pruebas documentales de que el proceso de selección se realizó de acuerdo al ciclo de vida de desarrollo de sistemas de la empresa (SDLC) las normas para la adquisición de paquetes de software estándar.

9.1.2. Gestión Central de dispositivos BYOD:

Control: El MDM proporciona funciones de administración centralizada a la complejidad y el tamaño de la población BYOD.

DS5.1DS9.1DS9.2

X

9.1.2.1. Por discusión y revisión de la documentación MDM y procedimientos de TI, determinar que por lo menos las siguientes características de seguridad de los dispositivos están habilitados con la herramienta MDM (s):



COBIT

Referencia cruzada

COSOReferencia

hiperenlace

cuestión

Referencia cruzada

Comentarios

Am

bien

te d

e

Eva

luac

ión

del

ries

go

Act

ivid

ades

de

Con

trol

Info

rmac

ión

y C

omun

icac

ión

Mon

itor

eo

Un portal seguro para los usuarios de BYOD para inscribirse y la prestación de sus dispositivos

Aplicación de la política de seguridad centralizad

remotamente bloquear y borrar datos e instalar aplicaciones

Dispositivos de inventario, sistemas operativos (SO), los niveles de parches, la organización y las aplicaciones de terceros, y los niveles de revisión

Distribución de listas blancas y listas negras

Controles de acceso basado en permisos de acceso a las redes y los datos de la organización

Selectivo limpie y las políticas de privacidad de las aplicaciones y datos de la organización, es decir, sandboxing



COBIT

Referencia cruzada

COSOReferencia

hiperenlace

cuestión

Referencia cruzada

Comentarios

Am

bien

te d

e

Eva

luac

ión

del

ries

go

Act

ivid

ades

de

Con

trol

Info

rmac

ión

y C

omun

icac

ión

Mon

itor

eo

Distribución y gestión de certificados digitales (para encriptar y firmar digitalmente los correos electrónicos y documentos sensibles)

Los grupos de acceso basado en roles con políticas de control de acceso de grano fino y de aplicación

Over-the-air (OTA) de distribución de software (aplicaciones, parches, actualizaciones) y la política de cambios

Posponer las actualizaciones automáticas de los proveedores de servicios de Internet (ISP), por ejemplo, en los casos en que una actualización automática OS puede causar aplicaciones críticas.

Los registros de seguros y pistas de auditoría de todas las actividades de BYOD sensibles



COBIT

Referencia cruzada

COSOReferencia

hiperenlace

cuestión

Referencia cruzada

Comentarios

Am

bien

te d

e

Eva

luac

ión

del

ries

go

Act

ivid

ades

de

Con

trol

Info

rmac

ión

y C

omun

icac

ión

Mon

itor

eo

Capacidad para localizar y cartografiar los teléfonos perdidos para la recuperación

Copia de seguridad y restaurar los datos del dispositivo BYOD

Retirar o instalar perfiles basados en la localización geográfica, para garantizar el cumplimiento de la legislación extranjera pertinente, por ejemplo, la privacidad de datos y seguridad

Cuando los dispositivos BYOD intentan conectarse a las redes de la organización, el sistema MDM comprueba automáticamente:

- Los niveles de parches para sistemas operativos y aplicaciones- El software de seguridad necesario está activo y actual, es decir, antivirus, firewall, encriptación de disco completo,



COBIT

Referencia cruzada

COSOReferencia

hiperenlace

cuestión

Referencia cruzada

Comentarios

Am

bien

te d

e

Eva

luac

ión

del

ries

go

Act

ivid

ades

de

Con

trol

Info

rmac

ión

y C

omun

icac

ión

Mon

itor

eo

etc- El dispositivo no está jailbroken (Apple) o con raíces (Android)- Presencia de dispositivos no aprobados (si los hay)- Presencia de aplicaciones de la lista negra- Si alguno de los controles de inicio de sesión por encima de falla, el MDM puede actualizar automáticamente el dispositivo en cuestión (por ejemplo, niveles de parches) o no permitir el acceso.

9.1.2.2. Por discusión y observación, determinar que el MDM permite las siguientes funciones de apoyo:

• Enviar mensajes de texto a una o un grupo de dispositivos seleccionados con las instrucciones de solución de problemas

• Realizar el diagnóstico de dispositivos



COBIT

Referencia cruzada

COSOReferencia

hiperenlace

cuestión

Referencia cruzada

Comentarios

Am

bien

te d

e

Eva

luac

ión

del

ries

go

Act

ivid

ades

de

Con

trol

Info

rmac

ión

y C

omun

icac

ión

Mon

itor

eo

remotos para una amplia gama de dispositivos BYOD

• ver remotamente la pantalla de un dispositivo y tomar capturas de pantalla para ayudar en la solución de problemas

• Toma el control remoto de un dispositivo para la solución de problemas• Activar o desactivar aplicaciones específicas

9.1.3. Distribución de Software seguro.

Control: El MDM facilita la distribución segura de aplicaciones de negocios-sensibles con los controles adecuados contra la introducción de aplicaciones de "delincuentes".

DS5.9 X

9.1.3.1. Determinar mediante la discusión y la observación de que el MDM incluye una "tienda de aplicaciones" privada para la distribución segura de las aplicaciones de la organización.

9.1.3.2. Determinar que el acceso a la tienda de aplicaciones de la empresa se limita a



COBIT

Referencia cruzada

COSOReferencia

hiperenlace

cuestión

Referencia cruzada

Comentarios

Am

bien

te d

e

Eva

luac

ión

del

ries

go

Act

ivid

ades

de

Con

trol

Info

rmac

ión

y C

omun

icac

ión

Mon

itor

eo

dispositivos BYOD propiedad de los empleados.

9.1.3.3. Determinar que todas las aplicaciones en la tienda debe ser firmado digitalmente por la empresa.

9.1.3.4. Determinar mediante la discusión y la observación que una muestra de las plataformas soportadas para BYOD compruebe la validez de las firmas digitales de las aplicaciones para ejecutar en el dispositivo.

9.1.4. Monitoreo del Uso BYOD:

Control: El MDM proporciona capacidades de consulta y presentación de informes adecuados para gestionar la población BYOD proactiva.

ME2ME3

X X X

9.1.4.1. Determinar mediante la discusión y la observación de que el personal de soporte de TI son capaces de consultar la base de datos MDM para eventos de carácter de seguridad y el cumplimiento, por ejemplo, los dispositivos no respaldados por siete días.



COBIT

Referencia cruzada

COSOReferencia

hiperenlace

cuestión

Referencia cruzada

Comentarios

Am

bien

te d

e

Eva

luac

ión

del

ries

go

Act

ivid

ades

de

Con

trol

Info

rmac

ión

y C

omun

icac

ión

Mon

itor

eo

9.1.4.2. Determinar mediante la discusión y la observación de que el sistema MDM proporciona a TI informes automáticos de excepciones predeterminadas a las políticas de seguridad. Algunos ejemplos son:

Los dispositivos fuera del cumplimiento de la política, por ejemplo, jailbroken o raíces.

Los dispositivos que no han realizado en un tiempo determinado, por ejemplo, una semana.

Los dispositivos no compatibles o sistemas operativos.

Los dispositivos con aplicaciones y listas negras.

Los dispositivos con el uso de datos excesivos que pueden predecir altos cargos o indicar una posible malversación.

9.1.4.3. Verificar que el MDM proporcione tableros de mandos convenientes en tiempo real e informes de gestión regulares para IT para mantener el control apretado de la población MDM. Considere lo siguiente:



COBIT

Referencia cruzada

COSOReferencia

hiperenlace

cuestión

Referencia cruzada

Comentarios

Am

bien

te d

e

Eva

luac

ión

del

ries

go

Act

ivid

ades

de

Con

trol

Info

rmac

ión

y C

omun

icac

ión

Mon

itor

eo

Un motor de reglas existe del IT para definir la política y acontecimientos no conformes.El sistema automáticamente alerta a los administradores de sistema de acontecimientos no conformes por el mensaje de texto o el correo electrónico.

9.1.5. Interfaces a Otro Control de Sistemas:

El MDM facilita interfaces a otros sistemas financieros y de negocio.

DS5.11DS9.2

X

9.1.5.1. Confirmar que la información conveniente es proporcionada para la exportación al registro de activo fijo de la organización, p. ej., para el activo al menos parcialmente poseído por la empresa.

9.1.5.2. Determinar que la información conveniente es proporcionada para la exportación a una inteligencia de negocio (BI) el sistema para generar el métrico de dirección conveniente sobre el despliegue BYOD, la seguridad y el cumplimiento.



COBIT

Referencia cruzada

COSOReferencia

hiperenlace

cuestión

Referencia cruzada

Comentarios

Am

bien

te d

e

Eva

luac

ión

del

ries

go

Act

ivid

ades

de

Con

trol

Info

rmac

ión

y C

omun

icac

ión

Mon

itor

eo

9.1.6. Control de Dirección Remoto:

Verificación de funcionalidad de dirección remota

9.1.6.1 Confirman que un componente de dirección remoto ha sido ejercido cuando un dispositivo es relatado perdido/robado (p.ej. el dispositivo limpia ocurrió).

9.1.6.2 Confirme que los dispositivos relatan las violaciones de mandos hechos cumplir técnicos de política.

9.2. Los Instrumentos MDM Son el Objetivo de Revisión de cuentas/Aseguramiento Protegido:

La arquitectura MDM restringe el acceso al software MDM a administradores autorizados.

9.2.1. MDM Control de Seguridad De aplicación:

Los servidores MDM son sujetos a la misma protección de red que otros servidores sensibles de la empresa.

DS9.2 X

9.2.1.1. Obtener una copia de la arquitectura de red de MDM y determinar que los servidores MDM son detrás de cortafuegos de organización y sistemas de prevención de



COBIT

Referencia cruzada

COSOReferencia

hiperenlace

cuestión

Referencia cruzada

Comentarios

Am

bien

te d

e

Eva

luac

ión

del

ries

go

Act

ivid

ades

de

Con

trol

Info

rmac

ión

y C

omun

icac

ión

Mon

itor

eo

sistemas/intrusión de detección de intrusión (IDS/IPS).

VII. Evaluación de la Madurez

La evaluación de la madurez es una oportunidad para que el revisor evalúe la madurez de los procesos revisados. Basada en los resultados de auditoría / seguridad de opiniones, y las observaciones de los revisores, asignar un nivel de madurez de cada una de las siguientes prácticas de control de COBIT 4.1. Al completar esta evaluación, el enfoque de la evaluación sobre la implementación BYOD se refiere a cada una de las cuestiones señaladas a continuación.

COBIT Objetivo de Control

Evaluación de la madurez

Objetivo

De la madurez

Enlaces de Referencia

Comentarios

PO6.3 Políticas de Gestión TI

1. Crear un conjunto jerárquico de las políticas, normas y procedimientos para la gestión del ambiente y control de TI. La forma y el estilo de las políticas deben estar alineados con el ambiente de control de TI.

2. Desarrollar políticas específicas sobre los temas clave de interés, como la calidad, la seguridad, la confidencialidad, los controles internos, la ética y los derechos de propiedad intelectual.


3. Evaluar y actualizar las políticas por lo menos anualmente para dar cabida a los cambios del entorno de operación o negocio. La reevaluación debe evaluar la suficiencia y la idoneidad de las políticas ", y que debe ser modificada en caso necesario.

4. Asegúrese de que existen procedimientos para rastrear el cumplimiento con las políticas y definir las consecuencias de su incumplimiento.

5. Asegúrese de que la rendición de cuentas se ha definido a través de roles y responsabilidades.

PO7.4 Formación del Personal

1. Determinar requisitos de formación y de sensibilización más importantes para lograr las metas de la organización, y poner en marcha un proceso para medir respecto a los niveles esperados de la finalización, formación y el nivel de conciencia dentro de los diferentes grupos de usuarios. El proceso puede incluir la certificación y recertificación a intervalos adecuados, así como la necesidad de educación continua para mantener la certificación.

2. Desarrollar y ejecutar un programa para mantener al personal con conocimientos sobre los requisitos de la organización para el control interno y la conducta ética.

3. Desarrollar y ejecutar un programa de requisitos de seguridad para educar a todos los empleados de TI antes de conceder el acceso a los recursos de TI y las instalaciones. El programa debe educar a todos los nuevos empleados en:

El impacto sobre la organización y el empleado si no se cumplen los requisitos de seguridad

El uso apropiado de los recursos de TI y servicios. Cómo los incidentes de seguridad deben ser


manipulados e intensificados. El uso ético de los recursos de TI y servicios Las responsabilidades de los empleados de

seguridad de la información.

4. Revisar los materiales y programas de formación con regularidad para verificar su adecuación con respecto a los cambios en los requerimientos del negocio y su impacto en los conocimientos necesarios, habilidades y destrezas.


Evaluación de la

madurez

Objetivo

De la madure

z


Comentarios

PO9.2 Establecimiento del contexto de riesgo.

1. Evaluar cualitativamente los riesgos en función de su impacto (catastrófica, crítico, marginal), la probabilidad (muy probable, probable, improbable) y los plazos (inminente, a corto plazo, mucho tiempo), o cuantitativamente,


cuando existen datos de probabilidad correspondientes.

2. Priorizar los riesgos mediante la separación de la "pocos vitales" del resto y clasificarlos en base a un criterio o criterios establecidos por el equipo del proyecto. Las técnicas para la asignación de prioridades incluyen clasificación de riesgos comparación, multivotación y recortar a la cima 'n' entre los cinco primeros.

3. Realizar las actividades de evaluación de riesgos teniendo en cuenta el contexto de los procesos de gestión de TI que se ven afectados.

PO9.4 Evaluación del Riesgo

1. Determinar la probabilidad de los riesgos identificados cualitativamente (por ejemplo, es muy probable, probable, improbable) o cuantitativamente mediante análisis estadístico y las determinaciones de probabilidad, basado en fuentes razonables de información que pueden ser validados apropiadamente.

2. Determinar el impacto significativo en el negocio de los riesgos identificados cualitativamente (por ejemplo, catastrófica, crítico, marginal) o cuantitativamente (por ejemplo, el impacto en los ingresos o el valor


de los accionistas).3. Evaluar los riesgos inherentes al

caso y luego examinar los controles que se encuentran en el lugar para identificar los riesgos residuales para los que se necesitan una respuesta de riesgo.

4. Documentar los resultados de la evaluación de riesgos, que muestra el procedimiento seguido para llegar a las conclusiones.


Evaluación de la

madurez

Objetivo

De la madurez


Comentarios

DS5.3 Gestión de Identidad

1. Establecer y comunicar las políticas y procedimientos para identificar, autenticar y autorizar a los mecanismos y los derechos de acceso para todos los usuarios en una base necesario - a - saber / necesidad - a - tener una base, basados en los roles predeterminados y pre-aprobado. Es evidente que la rendición de cuentas estado de cualquier usuario para cualquier acción en cualquiera de los sistemas y / o aplicaciones implicados.

2. Asegúrese de que las funciones y criterios de autorización a los derechos de acceso de los usuario asignar tengan en cuenta:

• La sensibilidad de la información y las aplicaciones


que se trate (clasificación de los datos)

• Políticas para la protección de la información y difusión (políticas internas reguladoras y requisitos legales contractuales).

• Roles y responsabilidades definidas dentro de la organización.

• La necesidad a tener derechos de acceso asociados a la función.

• Los requisitos para garantizar la adecuada segregación de funciones.

3. Establecer un método para autenticar y autorizar a los usuarios para establecer la responsabilidad y hacer cumplir los derechos de acceso de acuerdo con la sensibilidad de la información y requisitos de las aplicaciones funcionales y componentes de infraestructura, y de conformidad con las leyes, regulaciones, políticas internas y los acuerdos contractuales.

4. Definir e implementar un procedimiento para la identificación de nuevos usuarios y el registro, autorización y mantenimiento de derechos de acceso. Esto tiene que ser solicitada por la administración de usuarios, aprobado por el propietario del sistema e implementado por la persona responsable de la seguridad.

5. Asegúrese de que el flujo de información oportuna es en el lugar que informa de los cambios en el empleo (es decir, la gente, la gente sale, la gente cambia). Conceder, revocar y adaptar los derechos de acceso de usuario en coordinación con los recursos humanos y los departamentos de usuario para los usuarios que son nuevos, que han dejado la organización, o


que han cambiado los roles o puestos de trabajo.

DS5.4 Administración de cuentas de usuario.

1. Asegúrese de que los procedimientos de control de acceso se incluyen, pero no están limitados a:

• Uso de ID de usuario únicas para que los usuarios puedan estar vinculados a rendir cuentas de sus acciones

• La conciencia de que el uso de los resultados del grupo ID en la pérdida de la responsabilidad individual se permita sólo cuando esté justificado por razones de negocios o de funcionamiento y compensado por controles de mitigación. ID de grupo deben ser aprobados y documentados

• Comprobar que el usuario tiene la autorización del propietario del sistema para el uso del sistema de información o servicio, y que el nivel de acceso otorgado es adecuado al propósito de negocios y coherentes con la política de seguridad de la organización.

• Un procedimiento para obligar a los usuarios a comprender y reconocer sus derechos y condiciones de acceso.


• Asegurar que los proveedores de servicios internos y externos no proporcionan acceso hasta que se hayan completado los procedimientos de autorización.

• Mantener un registro formal, incluyendo los niveles de acceso de todas las personas registradas para utilizar el servicio.

• Una revisión periódica y puntual de ID de usuarios y derechos de acceso.

2. Asegurar que las revisiones por la dirección o reasignada a los usuarios los derechos de acceso a intervalos regulares a través de un proceso formal. Los derechos de acceso de los usuarios deben ser revisados o reasignados después de cualquier cambio de empleo, como la transferencia, promoción, degradación o el despido. Autorización de los derechos especiales de acceso privilegiados deben ser revisados de manera independiente a intervalos más frecuentes.



Evaluación de la

madurez

Objetivo

De la madurez


Comentarios

DS5.5 Pruebas de Seguridad, Vigilancia y Monitoreo

1. Implementar monitoreo, verificación, revisión y otros controles para:

• Prevenir / detectar errores en los resultados del procesamiento rápidamente.

• Identificar rápidamente las violaciones e incidentes de seguridad de intentos, exitosos y no exitosos

• Detección de eventos de seguridad y así evitar incidentes de seguridad mediante el uso de tecnologías de detección y prevención.

• Determinar si las medidas adoptadas para resolver una violación de seguridad son eficaces.

2. Llevar a cabo procedimientos eficaces y eficientes de pruebas de seguridad a intervalos regulares a:

• Verificar que los procedimientos de gestión de identidad sean efectivas.

• Verificar que la administración de cuentas de usuario sea eficaz.

• Validar que la configuración de los parámetros del sistema de seguridad pertinentes se definen correctamente y están en conformidad con la línea de base de seguridad de información.

• Validar que los controles / configuración de seguridad de red están configurados correctamente y están en


conformidad con la línea de base de seguridad de información

• Validar que los procedimientos de control de seguridad funcionan correctamente.

• Considere la posibilidad de, en su caso, la obtención de opiniones de expertos del perímetro de seguridad.


Evaluación de la

madurez

Objetivo

De la madurez


Comentarios

DS5.9 Prevención de software malintencionado, Detección y Corrección.

1. Establecer, documentar, comunicar y hacer cumplir una política de prevención de software malicioso en la organización. Asegúrese de que


las personas en la organización son conscientes de la necesidad de protección contra software malicioso, así como sus responsabilidades en relación con la misma.

2. Instalar y activar herramientas maliciosas protección de software en todas las instalaciones de procesamiento, con los archivos de definición de software malintencionado que se actualizan según sea necesario (de forma automática o semi - automática).

3. Distribuir todo el software de protección de forma centralizada (versión y parche de nivel) con una configuración centralizada y la gestión del cambio.

4. Revisar periódicamente y evaluar la información sobre las nuevas amenazas potenciales.

5. El tráfico de entrada del filtro, tales como el correo electrónico y las descargas, para proteger contra la información no solicitada (por ejemplo, spyware, phishing e-mails).


Evaluación de la

madurez

Objetivo

De la madurez


Comentarios

DS5.10 Seguridad de la red

1. Establecer, mantener, comunicar y hacer


cumplir una política de seguridad de red (por ejemplo, los servicios prestados, el tráfico permitido, tipos de conexiones permitidas) que se revisa y actualiza de forma regular (al menos anualmente).

2. Establecer y actualizar periódicamente las normas y procedimientos para la administración de todos los componentes de red (por ejemplo, los routers de núcleo, DMZ, switches VPN inalámbricos).

3. Dispositivos de red adecuadamente seguras con mecanismos y herramientas (por ejemplo, la autenticación de administración de dispositivos, seguridad de las comunicaciones y los mecanismos de autenticación fuerte) especiales. Poner en práctica la supervisión activa y reconocimiento de patrones para proteger los dispositivos de los ataques.

4. Configurar sistemas operativos con características mínimas habilitados (por ejemplo, características que son necesarias para la funcionalidad y se endurecen para aplicaciones de seguridad). Retire todos los servicios innecesarios, funcionalidades e interfaces (por ejemplo, la interfaz gráfica de usuario [GUI]). Aplique todos los parches de seguridad y actualización del sistema de una manera oportuna.

5. Planear la arquitectura de seguridad de red (por ejemplo, las arquitecturas de DMZ, redes internas y externas, IDS de colocación e inalámbrico) para hacer frente a los requisitos de seguridad y procesamiento. Asegúrese de que la documentación que contiene información acerca de cómo el tráfico se intercambia a través de sistemas y cómo la estructura de la


red interna de la organización se oculta del mundo exterior.

6. Dispositivos sujetos a revisión por parte de expertos independientes de la implementación o el mantenimiento de los dispositivos.


Evaluación de la

madurez

Objetivo

De la madurez


Comentarios

DS5.11 Intercambio de datos confidenciales

1. Determinar mediante el esquema de clasificación de información establecido cómo se deben proteger los datos cuando se intercambian.

2. Aplicar controles de aplicación adecuadas para proteger el intercambio de datos.

3. Aplicar controles de infraestructuras adecuadas, sobre la base de la clasificación y la tecnología en el uso de la información, para proteger el intercambio de datos.


Evaluación de la

madurez

Objetivo

De la madurez


Comentarios

DS9.1 Repositorio de configuración y de línea de base.

1. Implementar un repositorio de configuración para capturar y


mantener los elementos de gestión de configuración. El repositorio debe incluir hardware, software de aplicación, middleware, parámetros, documentación, procedimientos y herramientas para el funcionamiento, acceso y utilización de los sistemas, servicios, números de versión y detalles de licenciamiento.

2. Implementar una herramienta para habilitar el registro eficaz de gestión de la información de configuración de un repositorio.

3. Proporcione un identificador único a un elemento de configuración así que el artículo puede ser fácilmente rastreado y relacionado con etiquetas de activos físicos y los registros financieros.

4. Definir y documentar las líneas de base de configuración para los componentes a través de entornos de desarrollo, prueba y producción, para permitir la identificación de la configuración del sistema en puntos específicos en el tiempo (pasado, presente y prevista).

5. Establecer un proceso para volver a la configuración inicial en caso de problemas, si se determina apropiado después de la investigación inicial.


6. Instalar mecanismos para monitorear los cambios en el repositorio y la línea base definida. Proporcionar informes de gestión de excepciones, la reconciliación y la toma de decisiones.


Evaluación de la

madurez

Objetivo

De la madurez


Comentarios

DS9.2 Identificación y mantenimiento de los elementos de configuración.

1. Definir e implementar una política que requiere que todos los elementos de configuración, sus atributos y las versiones que se identifiquen para el mantenimiento.

2. los activos físicos de acuerdo a una política definida. Considere el uso de un mecanismo automatizado, tales como códigos de barras.

3. Definir una política que integre los procedimientos de gestión de incidentes, cambios y problemas con el mantenimiento del depósito de configuración.

4. Definir un proceso para registrar, nuevos elementos de configuración modificados y eliminados y sus atributos relativos y versiones. Identificar y mantener las relaciones entre los elementos de configuración en el depósito de configuración.

5. Establecer un proceso para mantener una pista


de auditoría de todos los cambios en los elementos de configuración.

6. Definir un proceso para identificar los elementos de configuración críticos en relación a las funciones de negocio (análisis de impacto de fallo de un componente).

7. Registre todos los activos-incluyendo el nuevo hardware y software, adquirido o desarrollado internamente-en el repositorio de datos de gestión de configuración.

8. Definir e implementar un proceso para asegurar que las licencias son válidas en el lugar para evitar la inclusión de software no autorizado.


VIII. Grado de marudez vs. Tiempo de evaluacion

Este gráfico de araña es un ejemplo de los resultados de la evaluación y el objetivo madurez de una evaluación de seguridad BYOD:

PO6.3 IT Policies Management

PO7.4 Personnel Training

PO9.2 Establishment of Risk Context

PO9.4 Risk Assessment

DS5.3 Identity Management

DS5.4 User Account Management

DS5.5 Security Testing, Surveillance and Monitoring

DS5.9 Malicious Software Prevention, Detection and Correction

DS5.10 Network Security

DS5.11 Exchange of Sensitive Data

DS9.1 Configuration Repository and Baseline

DS9.2 Identification and Maintenance of Configuration Items

0

1

2

3

4

5

AssessmentTarget

auditoria (byod) trae tu propio dispositivo.modificado

Documents

cpa australia

vice presidentkenneth

vice presidentchristos

kpmg llp

vice presidentmarc vael

bank of tokyo

bkd llp

vice presidentjeff spivey