Diapositiva 1

1

ÍNDICE
AUDITORÍA DE SISTEMAS DE INFORMACIÓN
1.- INTRODUCCIÓN 2.- OBJETIVOS DE LA ASI 3.-
CONTROL INTERNO 4.- METODOLOGÍAS DE ASI 5.- ÁREAS
DE REVISIÓN 6.- NORMAS Y REGULACIONES
2


NORMAS Y REG.
AUDITORÍA DE SISTEMAS DE INFORMACIÓN

• CARÁCTER
• OBLIGATORIO
• INCUMPLIMIENTO
• SANCIONABLE
• DERECHOS y
• OBLIGACIONES

LEGISLACIÓN
3


NORMAS Y REG.
AUDITORÍA DE SISTEMAS DE INFORMACIÓN

• VOLUNTARIAS
• REQUERIMIENTOS
• CONTRACTUALES
• CONSENSO
• PROFESIONAL
• BUENAS PRÁCTICAS
• de la INDUSTRIA
• o SECTOR

NORMAS
4


NORMAS Y REG.
AUDITORÍA DE SISTEMAS DE INFORMACIÓN
LEGISLACIÓN y NORMATIVAS sobre la profesión
de AUDITORÍA de SISTEMAS de INFORMACIÓN
5


NORMAS Y REG.
AUDITORÍA DE SISTEMAS DE INFORMACIÓN
LEGISLACIÓN
No está regulada por ley
Sólo la auditoría de cuentas está regulada por ley
6


NORMAS Y REG.
AUDITORÍA DE SISTEMAS DE INFORMACIÓN
LEGISLACIÓN ACTUAL
LOPD - LEY de PROTECCIÓN de DATOS de carácter
personal
LSSI - Ley 34/2002 de 11 de julio, de servicios
de la sociedad de la información y comercio
electrónico
7


NORMAS Y REG.
AUDITORÍA DE SISTEMAS DE INFORMACIÓN
LEY de Auditoría de Cuentas
LEY de PROPIEDAD INTELECTUAL
LEY de TELECOMUNICACIONES
LEY de FIRMA ELECTRÓNICA
8


NORMAS Y REG.
AUDITORÍA DE SISTEMAS DE INFORMACIÓN
LOPD Del Peso (2000)

• Disposiciones generales
• 1.1 Objeto de la ley tratamiento de los datos
  personales y especialmente para garantizar el
  honor y la intimidad personal y familiar de las
  personas físicas
• 1.2 Ámbito de aplicación
• todos los datos de carácter personal registrados
  en
• soporte físico susceptibles de tratamiento
• toda modalidad de uso posterior
• sector público y privado

9


NORMAS Y REG.
AUDITORÍA DE SISTEMAS DE INFORMACIÓN

• Contempla diferentes territorios
• territorio español
• fuera del territorio español pero le sea
  aplicable la legislación española
• fuera del territorio de la Unión Europea
• Fuera de la aplicación de la LOPD
• ficheros mantenidos por personas físicas en el
  ejercicio de actividades exclusivamente
  personales o domésticas
• ficheros sometidos a la normativa sobre
  protección de materias clasificadas
• ficheros establecidos para la investigación del
  terrorismo y de formas graves de delincuencia
  organizada

10


NORMAS Y REG.
AUDITORÍA DE SISTEMAS DE INFORMACIÓN
Principios de la protección de datos -
finalidad - pertinencia - utilización no
abusiva -exactitud -derecho al olvido -lealtad -pu
blicidad -acceso individual -seguridad -consentimi
ento
11


NORMAS Y REG.
AUDITORÍA DE SISTEMAS DE INFORMACIÓN

• Derecho de información
• El interesado tiene derecho a tener conocimiento
  de
• la existencia de un fichero o tratamiento de
  datos de carácter personal, de la finalidad de la
  recogida de éstos y de los destinatarios de la
  información
• del carácter obligatorio o facultativo de su
  respuesta a las preguntas que le sean planteadas
• de las consecuencias de la obtención de los datos
  o de la negativa a suministrarlos
• de la posibilidad de ejercitar los derechos de
  acceso, rectificación, cancelación y oposición
• de la identidad y dirección del responsable del
  tratamiento o, en su caso, de su representante
• En los cuestionarios e impresos deben figurar las
  advertencias anteriores

12


NORMAS Y REG.
AUDITORÍA DE SISTEMAS DE INFORMACIÓN

• Datos especialmente protegidos
• Para el tratamiento de datos relativos a
• -ideología
• afiliación sindical
• religión
• creencias
• se precisa el consentimiento expreso y por
  escrito
• El consentimiento expreso es necesario cuando los
  datos hagan referencia a
• -origen racial
• salud
• vida sexual
• Posibilidad de tratar datos de carácter personal
  para prevención o diagnóstico médico, asistencia
  sanitaria, etc. por profesional sanitario

13


NORMAS Y REG.
AUDITORÍA DE SISTEMAS DE INFORMACIÓN

• Seguridad
• Articulo 9. Seguridad de los datos
• El responsable del fichero, y, en su caso, el
  encargado del tratamiento deberán adoptar las
  medidas de índole técnica y organizativas
  necesarias que garanticen la seguridad de los
  datos de carácter personal y eviten su
  alteración, pérdida, tratamiento o acceso no
  autorizado, habida cuenta del estado de la
  tecnología, la naturaleza de los datos
  almacenados y los riesgos a que están expuestos,
  ya provengan de la acción humana o del medio
  físico o natural.
• No se registrarán datos de carácter personal en
  ficheros que no reúnan las condiciones que se
  determinen por vía reglamentaria con respecto a
  su integridad y seguridad y a las de los centros
  de tratamiento, locales, equipos , sistemas y
  programas.
• Reglamentariamente se establecerán los requisitos
  y condiciones que deban reunir los ficheros y las
  personas que intervengan en el tratamiento de los
  datos a que se refiere el artículo 7 de esta Ley.

14


NORMAS Y REG.
AUDITORÍA DE SISTEMAS DE INFORMACIÓN
Seguridad En el artículo 12 Acceso a los datos
por cuenta de terceros se especifica que en el
contrato, que se debe establecer entre el
responsable del tratamiento y el encargado del
tratamiento, se estipularán las medidas de
seguridad a que se refiere el artículo 9 En el
artículo 26 se señala que en la notificación a la
APD se incluirán las medidas de seguridad El
artículo 44 se califica de infracción grave
mantener los ficheros, locales, programas o
equipos que contengan datos de carácter personal
sin las debidas condiciones de seguridad que por
vía reglamentaria se determinen
15


NORMAS Y REG.
AUDITORÍA DE SISTEMAS DE INFORMACIÓN

• Comunicación de los datos
• Condiciones necesarias para que los datos de
  carácter personal puedan ser cedidos a un
  tercero
• que sea para el cumplimiento de fines
  directamente relacionados con las funciones
  legítimas del cedente y del cesionario
• que se cuente con el previo consentimiento del
  interesado
• Excepciones cesión autorizada por ley, fuentes
  accesibles al público, ministerio fiscal, jueces,
  etc., entre AAPP con fines históricos,
  estadísticos o científicos, urgencia relativa a
  la salud, etc.

16


NORMAS Y REG.
AUDITORÍA DE SISTEMAS DE INFORMACIÓN

• El responsable del fichero en el momento en que
  se efectúe la primera cesión de los datos deberá
  informar a los interesados
• de la cesión de sus datos
• finalidad del fichero al que se incorporan
• naturaleza de los datos cedidos
• nombre y dirección del cesionario
• Acceso a los datos por cuenta de terceros, cuando
  sea necesario para la prestación de un servicio,
  no se considera cesión de datos.

17


NORMAS Y REG.
AUDITORÍA DE SISTEMAS DE INFORMACIÓN

• Derecho de las personas
• derecho de consulta
• derecho de conocimiento
• derecho de acceso
• derecho de rectificación y cancelación
• derecho de oposición
• derecho de tutela
• derecho de indemnización

18


NORMAS Y REG.
AUDITORÍA DE SISTEMAS DE INFORMACIÓN

• Procedimientos jurídicos posibles
• de acceso
• de reclamación
• de recurso
• de indemnización
• sancionador

19


NORMAS Y REG.
AUDITORÍA DE SISTEMAS DE INFORMACIÓN

• Notificación a la APD
• responsable del fichero
• finalidad del fichero
• ubicación
• tipo de datos de carácter personal que contiene
• medidas de seguridad con indicación del nivel
  exigible
• cesiones de datos que se prevean realizar
• transferencias de datos que se prevean realizar a
  terceros países

20


NORMAS Y REG.
AUDITORÍA DE SISTEMAS DE INFORMACIÓN

• La Agencia de Protección de Datos
• Artículos 35 al 42
• Ente de derecho público, con personalidad
  jurídica propia y plena capacidad pública y
  privada, que actúa con plena independencia de las
  administraciones públicas en el ejercicio de sus
  funciones. Se regirá por lo dispuesto en la
  presente Ley y en un Estatuto propio, que será
  aprobado por el Gobierno.
• Director de la APD, será nombrado de entre los
  miembros que componen el Consejo Consultivo.
• Funciones de la APD
• función jurídica que comprende todos los aspectos
  relacionados con la defensa de los derechos de
  los afectados
• función administrativa regulando los diferentes
  aspectos de gestión de la Agencia
• función reguladora de la seguridad, fijando las
  correspondientes medidas físicas, lógicas y
  técnico-organizativas

21


NORMAS Y REG.
AUDITORÍA DE SISTEMAS DE INFORMACIÓN

• Registro General de Protección de Datos
• Son objeto de inscripción en el Registro de
  Protección de Datos
• los ficheros de que sean titulares las AAPP
• los ficheros de titularidad privada
• las autorizaciones a las que se refiere la
  presente Ley
• los códigos tipo a que se refiere el artículo 32
  de la presente Ley
• los datos relativos a los ficheros que sean
  necesarios para el ejercicio de los derechos de
  información, acceso, rectificación, cancelación y
  oposición

22


NORMAS Y REG.
AUDITORÍA DE SISTEMAS DE INFORMACIÓN

• Potestades de la APD
• reguladora
• instructora
• sancionadora
• inmovilizadora
• inspectora

23


NORMAS Y REG.
AUDITORÍA DE SISTEMAS DE INFORMACIÓN
Las Comunidades Autónomas
24


NORMAS Y REG.
AUDITORÍA DE SISTEMAS DE INFORMACIÓN
REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS
FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE
CARÁCTER PERSONAL (RD994/99)
Del Peso y Ramos (2002)
ASPECTOS GENERALES Disposiciones generales Ámbito
de aplicación y fines El objeto del reglamento es
establecer las medidas de índole técnica y
organizativas necesarias para garantizar la
seguridad que deben reunir los ficheros
automatizados, los centros de tratamiento,
locales, equipos, sistemas, programas y las
personas que intervengan en el tratamiento
informatizado de los datos de carácter personal
sujetos a la LORTAD LOPD incluye también ficheros
no automatizados, existe un plazo de 12 años a
partir de 24 de octubre de 1995 para su
adecuación a la ley. LOPD declara la subsistencia
del reglamento en cuanto no se oponga a la misma
25


NORMAS Y REG.
AUDITORÍA DE SISTEMAS DE INFORMACIÓN
Niveles de seguridad - básico, medio y alto (y
uno intermedio entre el básico y el
medio) Cuando se trata de ficheros que contengan
datos relativos a infracciones administrativas o
penales, Hacienda Pública, servicios financieros
y aquellos ficheros cuyo funcionamiento se rija
por el artículo 29 de la LOPD además de las
medidas de nivel básico deberán reunir las
calificadas como de nivel medio Si se tratan de
ficheros que contengan datos que la LOPD califica
de especialmente protegidos (datos sobre
ideología, religión, creencias, origen racial,
salud o vida sexual, afiliación sindical, así
como los que contengan datos recabados para fines
policiales sin consentimiento de las personas
afectadas deberán reunir las de nivel alto En
los ficheros de nómina se incluyen minusvalías de
empleados y familiares así como la cuota
sindical. Puede resultar que del conjunto de
datos de carácter personal que figuren en un
fichero respecto a una persona determinada pueda
obtenerse un perfil de la misma (evaluación de su
personalidad). En este caso, deberán adoptarse
las medidas de nivel medio relativas a
realización de una auditoría, mecanismos de
identificación y autenticación, control de
acceso físico y gestión de soportes. Nivel
intermedio.
26


NORMAS Y REG.
AUDITORÍA DE SISTEMAS DE INFORMACIÓN

• FUNCIONES Y OBLIGACIONES DEL PERSONAL
• Responsable del fichero persona física o
  jurídica, de naturaleza pública o privada, u
  órgano administrativo, que decida sobre la
  finalidad, contenido y uso del tratamiento.
• I) Funciones
• Nivel básico
• Decidir sobre la finalidad, contenido y uso del
  tratamiento (art 3.d Ley)
• Autorizar la ejecución del tratamiento de datos
  de carácter personal fuera de los locales de la
  ubicación del fichero (art. 6)
• Elaborar el documento de seguridad (art. 8.1)
• Adoptar las medidas necesarias para que el
  personal conozca las normas de seguridad que
  afecten al desarrollo de sus funciones así como
  las consecuencias a que daría lugar su
  incumplimiento (art. 9.2)

27


NORMAS Y REG.
AUDITORÍA DE SISTEMAS DE INFORMACIÓN

• Se encargará de que exista una relación
  actualizada de usuarios que tengan acceso
  autorizado al SI (Art. 11)
• Establecerá los procedimientos de identificación
  y autenticación oara dicho acceso (Art. 11.1)
• Establecerá los criterios con que el personal
  administrador de contraseñas conceda, altere o
  suprima el acceso a los ficheros que contengan
  datos de carácter personal (Art 12.4)
• Establecerá mecanismos para evitar que un usuario
  pueda acceder a datos o recursos con derechos
  distintos de los autorizados (Art. 12.2)
• Será quien únicamente pueda autorizar la salida
  fuera de los locales en que está ubicado el
  fichero, de soportes informáticos que contengan
  datos de carácter personal (art.6)
• Verificará la definición y correcta aplicación de
  los procedimientos de realización de copias de
  respaldo y recuperación de datos (art. 14.1)
• Nivel medio
• Designar uno o varios responsables de seguridad
  (art. 16)

28


NORMAS Y REG.
AUDITORÍA DE SISTEMAS DE INFORMACIÓN

• II) Obligaciones
• Excluirá del tratamiento los datos relativos al
  afectado que ejercite su derecho a oposición
  (art. 6.4 ley)
• Adoptará las medidas de índole técnica y
  organizativas necesarias que garanticen la
  seguridad de los datos de carecer personal y
  eviten su alteración, pérdida, tratamiento o
  acceso no autorizado, habida cuenta del estado de
  la tecnología, la naturaleza de los datos
  almacenados y los riesgos a los que están
  expuestos, ya provengan de la acción humana o del
  medio físico o natural (art. 9 Ley)
• Está obligado al secreto profesional y al deber
  de custodia, respecto de los datos de carácter
  personal de la instalación (art. 10 de la Ley)
• Hará efectivo el derecho de rectificación o
  cancelación del interesado en el plazo de diez
  días (art 16.1 Ley)

29


NORMAS Y REG.
AUDITORÍA DE SISTEMAS DE INFORMACIÓN

• Deberá notificar la rectificación o cancelación
  efectuada a quien se haya comunicado, en el caso
  de que se mantenga el tratamiento por este último
  (art. 16.4 ley)
• En el momento en que se efectúe la primera cesión
  de datos, deberá informar de ello a los afectados
  (art 27.1 ley)
• Nivel medio
• Adoptar las medidas correctoras adecuadas según
  las deficiencias detectadas en la auditoría (art
  17.3)
• Establecerá un mecanismo que permita la
  identificación de forma inequívoca y
  personalizada de todo aquel usuario que intente
  acceder al sistema de información y la
  verificación de que está autorizado (art 18.1 )
• Autorizar por escrito la ejecución de los
  procedimientos de recuperación de datos (art 21.2)

30


NORMAS Y REG.
AUDITORÍA DE SISTEMAS DE INFORMACIÓN

• Responsable de seguridad persona o personas a
  las que el responsable del fichero ha asignado
  formalmente la función de coordinar y controlar
  las medidas de seguridad aplicables.
• Funciones
• Nivel medio
• Coordinar y controlar las medidas definidas en el
  documento de seguridad (Art 16)
• Analizar los informes de auditoría (art 17.3)
• Controlar los mecanismos que permiten el control
  de accesos (art 24.3)
• Obligaciones
• Nivel medio
• Elevar al responsable del fichero las
  conclusiones del análisis del informe de
  auditoría (art 17.3)

31


NORMAS Y REG.
AUDITORÍA DE SISTEMAS DE INFORMACIÓN

• Nivel alto
• Revisar periódicamente la información de control
  registrada (art 24.5)
• Mensualmente elaborará un informe de las
  revisiones efectuadas (art 24.5)
• Conocer la normativa interna en materia de
  seguridad, y especialmente la referente a
  protección de datos de carácter personal
• Conocer las consecuencias que se pudieran derivar
  y las responsabilidades en que pudiera incurrir
  en caso de incumplimiento de la normativa que
  podrían derivar en sanciones
• Guardar secreto de los datos de carácter personal
  que pueda conocer, así como sobre controles y
  posibles debilidades, incluso después de haber
  causado baja en la entidad (art. 10 ley)

32


NORMAS Y REG.
AUDITORÍA DE SISTEMAS DE INFORMACIÓN

• AUDITORÍA
• Los ficheros de nivel medio (y alto) deben ser
  sometidos a una auditoría interna o externa que
  verifique el cumplimiento del reglamento, de los
  procedimientos e instrucciones vigentes en
  materia de seguridad de datos, al menos, cada dos
  años.
• El informe de auditoría debe dictaminar
• adecuación de las medidas y controles al presente
  reglamento
• identificar sus deficiencias
• proponer medidas correctoras y complementarias

33


NORMAS Y REG.
AUDITORÍA DE SISTEMAS DE INFORMACIÓN

• AUDITORÍA
• El informe de auditoría debe incluir
• Datos, hechos y observaciones en que se basen
  los dictámenes
• Recomendaciones propuestas
• Debe ser analizado por el responsable de
  seguridad, y quedará en la organización a
  disposición de la Agencia de Protección de Datos.
• Puede ser realizada por un departamento de
  auditoría interna o empresa auditora externa

34


NORMAS Y REG.
AUDITORÍA DE SISTEMAS DE INFORMACIÓN
INFRACCIONES Y SANCIONES El incumplimiento de
las medidas de seguridad se considera infracción
grave según la LOPD De 10M (60.101,21euros) a 50M
(300.506,05euros) de pesetas Una sanción más
grave cesación de los tratamientos de datos de
carácter personal y cancelación de los
ficheros Iniciación del procedimiento por
acuerdo del Director de la Agencia de Protección
de Datos - por propia iniciativa - en virtud
de denuncia de un afectado o varios
35


NORMAS Y REG.
AUDITORÍA DE SISTEMAS DE INFORMACIÓN
LSSI Del Peso (2003)
La idea de la sociedad de la información
engloba un conjunto de actividades industriales y
económicas, comportamiento sociales, actitudes
individuales y formas de organización política y
administrativa, de importancia creciente en las
naciones situadas en la vanguardia económica y
cultural, a lo que no pueden sustraerse los
poderes públicos Real Decreto 1289/1999 de 23
de julio. Creación de la Comisión
Interministerial de la Sociedad de la Información
y de las Nuevas Tecnologías.
36


NORMAS Y REG.
AUDITORÍA DE SISTEMAS DE INFORMACIÓN
Por servicio de la sociedad de la información se
entiende todo servicio prestado normalmente a
cambio de una remuneración, a distancia, por vía
electrónica y a petición individual de un
destinatario de servicios. Directiva 98/48/CE
37


NORMAS Y REG.
AUDITORÍA DE SISTEMAS DE INFORMACIÓN

• COMERCIO ELECTRÓNICO
• (Otero, 1998)
• Es la entrega de información, producto/servicios
  o pagos por medio de líneas telefónicas, redes de
  ordenadores o cualquier otro medio electrónico
  (perspectiva de comunicaciones)
• Es la aplicación de la tecnología de la
  automatización de procesos de negocios y flujo de
  trabajo (perspectiva de procesos de negocio)
• Es una metodología de negocios que permite
  satisfacer a los proveedores y clientes,
  ahorrando costes, aumentando la calidad de los
  productos y la rapidez de su entrega
  (perspectiva de servicio)
• Es la capacidad para comprar y vender
  productos/servicios e información a través de
  Internet u otras redes que se encuentren
  interconectadas (perspectiva on line)

38


NORMAS Y REG.
AUDITORÍA DE SISTEMAS DE INFORMACIÓN
SANCIONES Art. 39 Infracciones muy graves
Multa de 150.001 hasta 600.000 euros La
reiteración en el plazo de tres años de dos o más
infracciones muy graves, sancionadas con carácter
firme, podrá dar lugar, en función de sus
circunstancias, a la sanción de prohibición de
actuación en España, durante un plazo máximo de
dos años. Infracciones graves Multa de 30.001
hasta 150.000 euros Infracciones leves Multa de
hasta 30.000 euros
39


NORMAS Y REG.
AUDITORÍA DE SISTEMAS DE INFORMACIÓN
OTRAS MEDIDAS - Suspensión temporal de la
actividad del prestador de servicios y, en su
caso, cierre provisional de sus
establecimientos - Precinto, depósito o
incautación de registros, soportes y archivos
informáticos y de documentos en general, así como
de aparatos y equipos informáticos de todo
tipo - Advertir al público de la existencia de
posibles conductas infractoras y de la incoación
del expediente sancionador de que se trate, así
como de las medidas adoptadas para el cese de
dichas conductas
40


NORMAS Y REG.
AUDITORÍA DE SISTEMAS DE INFORMACIÓN
NORMAS
PRÁCTICA CONSENSUADA
CERTIFICACION
BUENAS PRACTICAS
41


NORMAS Y REG.
AUDITORÍA DE SISTEMAS DE INFORMACIÓN
CERTIFICACIÓN CONFIANZA
ACREDITACIÓN PUBLICA
42


NORMAS Y REG.
AUDITORÍA DE SISTEMAS DE INFORMACIÓN
INFORME COSO
COBIT
GMITS (ISO/IEC 13335-x) ISO 17799
COMMON CRITERIA (ISO/IEC 15408-X)
DESARROLLO DE SOFTWARE CMM
43


NORMAS Y REG.
AUDITORÍA DE SISTEMAS DE INFORMACIÓN
INDEPENDENCIA
OBJETIVIDAD
ACREDITACIÓN PROFESIONAL
CISA
Certified Information Systems Auditor
44


NORMAS Y REG.
AUDITORÍA DE SISTEMAS DE INFORMACIÓN

• Profesión eminentemente práctica
• No se requiere una titulación específica
• pero imprescindible
• CONOCIMIENTOS SÓLIDOS de AUDITORÍA
• CONOCIMIENTOS TÉCNICOS y ENTRENAMIENTO PERMANENTE
  en las NUEVAS TECNOLOGÍAS

45
(No Transcript)
46


NORMAS Y REG.
AUDITORÍA DE SISTEMAS DE INFORMACIÓN
ÁREAS DEL CISA

• Management, Planning, and Organization of IS
  (11)Evaluate the strategy, policies, standards,
  procedures and related practices for the
  management, planning, and organization of IS.
• 2. Technical Infrastructure and Operational
  Practices (13)Evaluate the effectiveness and
  efficiency of the organization's implementation
  and ongoing management of technical and
  operational infrastructure to ensure that they
  adequately support the organization's business
  objectives.
• 3. Protection of Information Assets
  (25)Evaluate the logical, environmental, and IT
  infrastructure security to ensure that it
  satisfies the organization's business
  requirements for safeguarding information assets
  against unauthorized use, disclosure,
  modification, damage, or loss.

47


NORMAS Y REG.
AUDITORÍA DE SISTEMAS DE INFORMACIÓN
4. Disaster Recovery and Business Continuity
(10)Evaluate the process for developing and
maintaining documented, communicated, and tested
plans for continuity of business operations and
IS processing in the event of a disruption. 5.
Business Application System Development,
Acquisition, Implementation, and Maintenance
(16)Evaluate the methodology and processes by
which the business application system
development, acquisition, implementation, and
maintenance are undertaken to ensure that they
meet the organization's business objectives.
48


NORMAS Y REG.
AUDITORÍA DE SISTEMAS DE INFORMACIÓN
6. Business Process Evaluation and Risk
Management (15)Evaluate business systems and
processes to ensure that risks are managed in
accordance with the organization's business
objectives. 7. The IS Audit Process
(10)Conduct IS audits in accordance with
generally accepted IS audit standards and
guidelines to ensure that the organization's
information technology and business systems are
adequately controlled, monitored, and assessed.