M. Sc. Miguel Cotaña Mier Lp, Octubre 2010

AUDITORIA DE SISTEMAS

INFORMATICOS

UNIVERSIDAD MAYOR DE SAN ANDRES

FACULTAD DE CIENCIAS ECONOMICAS Y FINANCIERAS

CARRERA DE AUDITORIA

12.5. Administración del riesgo

2

Los cambios que ocurren hoy, sucomplejidad y la velocidad con los quese dan, son las raíces de laincertidumbre y el riesgo que lasorganizaciones confrontan.Los avances tecnológicos generan unambiente operativo, cada día másriesgoso y complicado.

INTRODUCCION

3

Es imprescindible en toda organizacióncontar con una herramienta, quegarantice la correcta evaluación de losriesgos, a los cuales estan sometidos losprocesos y actividades que participan enel area de informática; y por medio deprocedimientos de control se puedaevaluar el desempeño del entornoinformático.

4

Riesgos financieros: organización expuestaa pérdidas; los elementos que conforman lascausas de pérdidas financieras y; un peligroque puede causar la pérdida.Riesgos dinámicos: cambios en la economiaRiesgos estáticos: deshonestidad o fallahumana;Riesgo especulativo: posibilidad de pérdidao ganancia (situación aventurada o del azar);Riesgo fundamental: pérdidas impersonales,causados por fenómenos economico-sociales;Riesgo particular: son pérdidas que surgende eventos individuales (incendio, robo);

CLASIFICACION DE LOS RIESGOS

5

Riesgo puro: solo genera pérdida oganancia (personal, posesión,responsabilidad, fisico, quimico,biológico, psicosocial, ergonómicos)El riesgo puro en la empresa a su vez seclasifica en :

Riesgo inherente;Riesgo incorporado;Riesgo de control;Riesgo de detección.

6

El riesgo inherente es aquel riesgo que por sunaturaleza no se puede separar de la situacióndonde existe. Es propio del trabajo a realizar. Es elriesgo propio de cada empresa de acuerdo a suactividad:

TIPO EMPRESA RIESGO INHERENTE

Transporte Choques, colisiones, vuelco

Minería Derrumbes, explosiones, caídas

atrapamiento

Fabricas de Software Incendios, terremotos,

Metalmecánica Quemaduras, golpes

Construcción Caída distinto nivel, golpes, atrapamiento

7

Los riesgos inherentes en una empresa sedeben controlar y/o eliminar los que seanposibles, ya que como estos están endirecta relación con la actividad de laempresa si estos no lo asumen no puedeexistir.Los riesgos incorporados se debeneliminar de inmediato!!!

8

El riesgo incorporado es aquel riesgo queno es propio de la actividad, sino queproducto de conductas poco responsablesde un trabajador, el que asume otrosriesgos con objeto de conseguir algo quecree que es bueno para el y/o para laempresa, como por ejemplo ganar tiempo,terminar antes el trabajo paradestacar, demostrar a sus compañeros quees mejor, etc.

9

El riesgo de control es el riesgo por elque un error, que podría cometerse en unárea que no pueda ser evitado o detectadoy corregido oportunamente por el sistemade control interno. Por ejemplo, el riesgode control asociado a las revisionesmanuales de registros computadorizadoses alto debido al volumen de informaciónregistrada.

10

El riesgo de detección, es el riesgo que seproduce cuando los procedimientos sustantivosdel ASI no detectan un error que podría sermaterial, individualmente o en combinación conotros. Por ejemplo, el riesgo de detecciónasociado a la identificación de violaciones de laseguridad en un sistema es normalmente alto. Elriesgo de detección asociado con laidentificación de la falta de planes derecuperación ante desastres es normalmentebajo, dado que su existencia puede verificarsecon facilidad.

11

Riesgos de Integridad: abarca los riesgosasociados con la autorización, completitud yexactitud de entrada, procesamiento yreportes de las aplicaciones utilizadas. Semanifiestan en un sistema:Interface de usuario: niveles de acceso y

restricciones, validez y completitud;Procesamiento: balance de los controles

detectivos y preventivos. Abarca tambienlos riesgos asociados con la exactitud eintegridad de los reportes;

RIESGOS EN EL NEGOCIO

12

Procesamiento de errores: se relacionancon los métodos que aseguren cualquierE/proceso de información de errores(Exceptions) sean capturadosadecuadamente, corregidos yreprocesados;

Interface: controles preventivos ydetectivos que aseguren que lainformación ha sido procesadaadecuadamente;

Administración de cambios;Información.

13

Riesgos de Relación: se refiere al usooportuno de la información creada por unaaplicación. Estos riesgos se relacionandirectamente a la información de toma dedecisiones (información y datos correctos deuna persona/proceso/sistema correcto en eltiempo preciso permiten tomar decisionescorrectas)

14

Riesgos de acceso: inapropiado acceso alsistema, datos e información (riesgos desegregación inapropiada de trabajo, riesgoscon la integridad de la BD y riesgos con laconfidencialidad). Pueden ocurrir en lossiguientes niveles:

Procesos de negocio: incompatibilidad;Aplicacion: mecanismos de seguridad;Administracion de la informacion;Entorno de procesamiento;Redes;Nivel fisico.

15

Riesgos de utilidad: Estos riesgos seenfocan en 3 diferentes niveles:Los riesgos pueden ser enfrentados por el

direccionamiento de sistemas antes deque los problemas ocurran;

Técnicas de recuperación/restauraciónusadas para minimizar la ruptura de lossistemas;

Bachups y planes de contingenciacontrolan desastres en el procesamientode la información.

16

Riesgos en la infraestructura: estosriesgos se refieren a que en lasorganizaciones no existe una estructurade información tecnologica efectiva (Hw,Sw, redes, personas, procesos) :Planeacion organizacional: definición y

verificación de la tecnologia informática;Definicion de las aplicaciones: satisfacen

requerimientos de los usuarios;Administracion de seguridad;Operaciones de red y computacionales;Administracion de BD.

17

Riesgos de seguridad: para disminuir elriesgo: Riesgos de choque eléctrico; Riesgos de incendio; Riesgos de niveles inadecuados de

energia eléctrica; Riesgos de radiaciones; Riesgos mecánicos.

18

Riesgos de auditoria:es la posibilidad de quese emita un informeinadecuado, por nohaberse detectadoerrores oirregularidadessignificativas a travésdel proceso de revisión.

19

ANALISIS DE RIESGOS

Es parte de la planeación de auditoria yayuda a identificar los riesgos yvulnerabilidades para que el ASI puedadeterminar los controles que se necesitanpara mitigar esos riesgos.Los ASI deben poder identificar y diferenciarlos tipos de riegos y los controles usadospara mitigarlos.Los ASI deben entender que existe riesgodentro del proceso de auditoria.

20

“El potencial de que una amenaza determinada se aproveche de las

vulnerabilidades de un activo o grupo de activos y ocasione pérdida o daño a los activos. El impacto o severidad relativos del riesgo es proporcional al

valor de la pérdida/daño y a la frecuencia estimada de la amenaza

para el negocio”.

DEFINICION DE RIESGO

La Organización Internacional de Estandarización (ISO)(Directrices para la Administración de la Seguridad deTI) define como:

21

El riesgo tiene los siguientes elementos:Amenazas a, y vulnerabilidades de los

procesos y/o activos;Impacto sobre los activos basados en

las amenazas y las vulnerabilidades;Probabilidad de amenazas

(combinación de la probabilidad y lafrecuencia de que ocurran).

22

El ASI está enfocado en problemas dealto riesgo asociados con la:

Confidencialidad;Disponibilidad;Integridad.

La naturaleza de estas amenazas puedeser financiera, regulatoria u operacional.El impacto del riesgo está en función deldaño o perjuicio.Para la evaluación se determina las áreassensitivas del negocio.

23

Una vez que los activos de informaciónsensitiva y/o crítica están identificados,se realiza un análisis de riesgo paraidentificar los riesgos y para determinarla probabilidad de ocurrencia, el impactoresultante y las medidas adicionales quemitigarían este impacto a un nivelconsiderado aceptable por la gerencia.

24

Una(s) persona(s) ú objeto(s) comoposible fuente de peligro o catástrofe.

Ejemplos de amenazas: Errores; Ataques maliciosos; Fraude / Robo; Falla de Equipo.

AMENAZA

25

Acciones que pueden ocasionarconsecuencias negativas en laplataforma informática disponible:fallas, ingresos no autorizados a lasáreas de computo, virus, usoinadecuado de activos informáticos,desastres ambientales (terremotos,inundaciones), incendios, accesosilegales a los sistemas, fallas eléctricas.

Pueden ser de tipo lógico o físico.

26

Es una debilidad en un sistemapor la que un atacante puedeentrar o sacar información delmismo (falta de controles)

Ejemplos: Falta de Conocimiento del

Usuario; Falta de Funcionalidad de la

Seguridad; Mala elección de Contraseñas; Transmisión por medio de líneas

no protegidas.

VULNERABILIDAD

27

Exploit. Es una manera, herramienta ocódigo de programación para aprovecharuna vulnerabilidad y controlar el sistemavulnerable.Ejecución de código abierto. Es laposibilidad de ejecutar comandos einstrucciones en un sistema sin tener losprivilegios de administrador por medio deuna vulnerabilidad.

28

VICTIMA ATACANTETenemos un equipo VICTIMA con una

vulnerabilidad y un equipo ATACANTE que conoce que el

primer equipo tiene dicho problema.

El equipo ATACANTE manda datos

“explotando” la vulnerabilidad de la

VICTIMA.

La VICTIMA es vulnerable a

determinadas ordenes del

ATACANTE y le envía información propia.

Ejemplo de Vulnerabilidad

29

Desbordamiento de Búffer;

Denegación de servicio (DoS);

Escaladas de privilegios;

Error humano.

Tipos de Vulnerabilidad

30

ATACANTE

(usuario)

VICTIMA

(Servidor web)

www.bolivia.com

(18 caracteres)

El programador del servidor web ha previsto que reciba solo una cantidad razonable de

datos de 150 carácteres (dentro del buffer de memoria).

En cambio, si el atacante manda una cantidad exagerada de datos, sobrepasando el limite

previsto del programador, desbordando el búffer y escribiendo en zonas de memoria donde residen programas, datos, otros procesos, y por lo tanto,

destruyendo dicha información.

www.bolvia.com/qwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmwetuiuhsjhabgahnhanha

mhhahaehe[...]

(500 caracteres)

Desbordamiento de Buffer

ATACANTESVICTIMA

(Servidor web)

USUARIO

ACCIÓN NORMAL: El usuario hace una petición al servidor y éste se la responde.

EXPLOTACIÓN: Varios atacantes aprovechan una vulnerabilidad haciendo que la victima llegue al 100% de la CPU, colapsándolo.

DENEGACIÓN: Cuando un usuario le hace una petición, el servidor esta muy ocupado y éste le deniega el servicio.

Denegación de Servicio (DoS)

32

Inadecuados recursos compartidos;

Vulnerabilidades del S.O. sin parchear;

Vulnerabilidades de SW/HW sin parchear;

Servicios configurados incorrectamente;

Ausencia de actualizaciones del antivirus;

Ausencia de protección de un firewall;

Etc…

ERROR HUMANO

33

Consecuencias de laocurrencia de las distintasamenazas: financieras o nofinancieras.

Perdida de dinero, deteriorode la imagen de la empresa,reducción de eficiencia, fallasoperativas a corto o largoplazo, pérdida de vidashumanas, etc.

IMPACTO

34

Es el proceso de identificar las debilidades y lasamenazas asociados a los recursos de informaciónutilizados por una organización para lograr losobjetivos del negocio, y decidir QUÉ contramedidastomar, si hubiera alguna, para reducir el nivel deriesgo hasta un nivel aceptable.Los objetivos de la gestión de riesgos sonidentificar, controlar y eliminar las fuentes de riesgoantes de que empiecen a afectar al cumplimientode los objetivos del negocio.

ADMINISTRACION DEL RIESGO

35

La gestión continuada de los riesgospermite aumentar su eficiencia:Evaluar continuamente lo que pueda ir

mal;Determinar qué riesgos son

importantes;Implementar estrategias para

resolverlos;Asegurar la eficacia de las estrategias.

36

Analisis del riesgo: su objetivo, esdesarrollar un plan que controle cada unode los eventos perjudiciales;

Mitigacion del riesgo: compuesta pormétodos (evitar el riesgo, conseguirinformación acerca del riesgo, planificarel entorno informático, eliminar el origendel riesgo, asumir y comunicar el riesgo);

Evaluación del riesgo: Los riesgosaparecen y desaparecen en informática,por lo que es necesario realizarseguimiento

ACTIVIDADES DE GESTION

37

Evitarlos: Por ejemplo: no instalar redes en

ambientes con interferencia, arriesgarse a haceruna inversión. Puede ser mas negativa;Transferirlos: Por ejemplo, contratarempresa para cableado con fibra optica;Reducirlos: Por ejemplo, sistema dedeteccion y extincion de incendios, alarmas,

programas de seguridad, guardias de seguridad;Asumirlos: Que es lo que se hace si no secontrola el riesgo en absoluto.

TECNICAS DE ADMINISTRACION

38

Determinar los Objetivos;Identificación de los Riesgos:Herramientas de identificación de riesgos:

registros internos de la organización;listas de chequeo;cuestionarios de análisis de riesgos;flujos de procesos;análisis financiero;inspección de operaciones y;entrevistas.

Aproximación de combinación;

PROCESO DE GESTION DE RIEGOS

39

Evaluación de Riesgos:Riesgos críticosRiesgos importantesRiesgos no importantes

Consideración de alternativas y selección demecanismos de tratamiento de riesgos;

Implementación de la Decisión, Evaluación yRevisiones;

Responsabilidades Del Administrador De Riesgos.

40

1. Desarrollar politicas de administración: ayuda enla identificación de objetivos y preparación depoliticas junto a la alta gerencia;

2. Identificar los riesgos: requiere un gran SI quealertará al administrador;

3. Seleccionar alternativas financieras: el adm.Recomienda el camino a tomar;

4. Negociar el alcance de la seguridad: debeobtener la mejor combinacion entre alcance ycosto;

5. Supervisar la adm. Interna: estadisticas deperdida, monitorización y horarios;

6. Administrar funciones de riesgo;7. Supervisar la prevencion a perdidas

RESPONSABILIDAD: del Adm. Riesgos

41

Evaluar los objetivos y las políticas de laadministración de riesgos: medición deprogramas con éstandares y habilidad desoportar pérdidas.Identificar y evaluar los riesgos: despuésde que los objetivos han sido definidos yevaluados, el paso siguiente es identificar lasexposiciones a riesgos (análisis deoperaciones)

AUDITORIA EN ADM. DE RIESGOS

42

Evaluar las decisiones relacionadas apérdida: incluye una revisión de la extensiónde los riesgos.Evaluar las medidas de la administraciónde riesgos: que han sido implementadas.Evalua decisiones pasadas, verificando que ladecisión fue apropiadamente implementada.Recomendar cambios: para el beneficio delprograma de auditoria.

Declaración y Contexto del Riesgo;

Evaluación Binaria de Atributos de Riesgo;

Gráfica de Barra de Riesgos;

Clasificación de Riesgos;

Comparación de Rango de Riesgos;

Lista de Acción por Riesgos;

Hoja de Monitoreo de Riesgos;

Hoja de Información de Riesgos.

METODO EN ADM. DE RIESGOS

Identificador:

Nombre del RiesgoHoja de Información del Riesgo Identificado: Fecha de

identificación del riesgo

Prioridad: Puede ser alta,

media o bajaDeclaración: Documenta información inicial del riesgo

Probabilidad: Puede ser

alta, media o alta

Impacto: Efecto adverso,

alto medio o bajo

Origen: Persona que

identifica el riesgo

Clase: Riesgo por

experiencia propia o ajena

Asignado a: Responsable de

acciones correctivas

Contexto: Información completa de la declaración del riesgo

Estrategia Correctiva: Estrategía seleccionada para contrarrestar el riesgo

Plan de Contingencia y Activación: Plan de contingencia, evento o tiempo que activa el mismo.

Situación: Provee historia del riesgo y sus cambios Fecha de Situación:

Aprobado: Aprobación de

medidas correctivas o

clausura del riesgo

Fecha de Clausura: Fecha

en que riesgo fue clausurado.

Comentario de Clausura: Comentario de clausura o del

riesgo

Identificador: 1A Hoja de Información del Riesgo Identificado: Fecha de

identificación del riesgo

Prioridad: 2 Declaración: La falta de filtros de correo electrónico puede conllevar a un ataque de

negación de servicio en el que un ruteador o un servidor de correo electrónico están bajo un

continuo ataque; lo que constituye un riesgo de seguridadProbabilidad:Media

Impacto: Bajo Origen:Patricia Arce,

Especialista de Seguridad

Clase: Experiencia de otra

instalación

Asignado a: Patricia Arce,

Especialista de Seguridad

Contexto: Una bomba de correo electrónico es simplemente una serie de mensajes (probablemente miles) enviados a una casilla

de correo. Su tamaño promedio es de 2MB. Su intención es llenar la casilla de correo con basura. De no implementarse filtros de

correo podría conllevar a la negación de servicios y constituir un riesgo de seguridad.

Estrategia Correctiva: 1. Identificación de los paquetes de bombas. 2. Identificación de las aplicaciones de filtros. 3.

Entrenamiento al personal.

Plan de Contingencia y Activación: Plan: Contratar servicios profesionales que proporciones

entrenamiento en la instalación y utilización de filtros de correo. Activación: De no satisfacer la solución

interna

Situación: Casos reportados, tipo de bomba identificada, filtros instalados y Personal

Capacitado.

Fecha de Situación: 21/09/09

Aprobado: Giovanni

Cotaña, Director de

Seguridad de SI

Fecha de Clausura: 22/09/09. Comentario de Clausura: Las acciones fueron emprendidas

inmediatamente.

IdentificarRiesgos

Análisis: clasificary evaluar riesgos

Análisis:Prioridades

Plan: asignar y Aprobar

Plan: defineacciones

Monitoreo de Riesgos Control de riesgo

Declaracióny contexto del riesgo

Clase, prob.,impacto yocurrenciadel riesgo

Prioridadlistado de

riesgo

AsignacionesY planes

aprobados

Plan para contrarestar

el riesgo

Reporte desituación

Decisiones

Proceso de implementación