casos%prác*cos%de%auditoríay%% … · contenido(1/2) auditoría%informáca : % 1. conceptode%...
TRANSCRIPT
Casos Prác*cos de Auditoría y Seguridad Informá*ca
Jornadas sobre Supervisión electrónica y Tecnología
Centro de Formación de la AECID en La An@güa, Guatemala
17 de noviembre de 2015
Ing. Lilia Liu, CFE, CRISC, COBIT 5
Contenido (1/2) Auditoría Informá*ca: 1. Concepto de auditoría informá*ca. 2. Estándares internacionales en auditoría informá*ca. 3. Tipos de auditoría informá*ca. 4. Cómo implementamos la auditoría informá*ca. 5. Factores limitantes en una auditoría informá*ca. 6. Ejemplos de auditoría informá*ca:
a. Controles generales b. Infraestructura tecnológica c. Sistemas opera*vos d. Base de datos e. Aplicaciones en Producción
Contenido (2/2) Seguridad Informá*ca: 1. Concepto de seguridad informá*ca. 2. Estándares internacionales en seguridad informá*ca. 3. Cómo implementamos la seguridad informá*ca. 4. Polí*ca de seguridad informá*ca. 5. Caso prác*co de seguridad informá*ca.
Auditoría Informá*ca
Concepto de Auditoría Informá*ca
Es el proceso de revisión o verificación de todo el entorno informá*co con la finalidad de prevenir un riesgo en la organización. Las auditorías informá*cas son u*lizados como: 1. Apoyo a las auditorías financieras 2. Cumplimiento a regulaciones y norma*vas 3. Medida de prevención ante cualquier riesgo potencial 4. Análisis de desempeño de la función de tecnología 5. Puntos de oportunidad de mejoras.
Estándares internacionales en auditoría informá*ca
El marco de referencia para la realización de las auditorías informá*cas es el Existen otros estándares internacionales:
Sarbanes Oxley
Tipos de Auditoría Informá*ca
1. Controles generales –> Diagnós*co 2. Base de datos: Oracle, SAP, SQL 3. Sistema Opera*vo: Windows, Linux, Unix, OS/400 4. Aplicaciones en producción o en desarrollo 5. Migración de aplicaciones 6. Migración de base de datos 7. Cambios de infraestructura tecnológica 8. Ac*vos tecnológicos: hardware y socware 9. Redes y Comunicaciones
Tipos de Auditoría Informá*ca 10. Seguridad informá*ca 11. Pruebas de vulnerabilidad interna y externa 12. Administración de proyectos tecnológicos 13. Acuerdos de niveles de servicio (SLA) 14. Pruebas de validación 15. Centros de datos 16. Implementación de nuevo sistema 17. Con*ngencia y Recuperación de Desastres 18. Con*nuidad de negocios 19. Ciberseguridad 20. Y Otros más…
Si*o web de
ISACA es una organización líder en seguridad y control de entornos informá*cos, con filiales en cerca de 100 países y de interés para profesionales de Ciencias Económicas, Informá*ca e Ingeniería.
Através de su Centro de Conocimiento (Knowledge Center) posee la guía necesaria para poder realizar auditorías informá*cas específicas.
www.isaca.org
¿Cómo implementamos la Auditoría Informá*ca?
Mediante un proceso de planificación ordenado y programado:
1. Definir el alcance y el obje*vo de la auditoría 2. Definir los sponsor (promotores) 3. Definir la metodología de trabajo 4. Definir los recursos requeridos: personal, financiero,
herramientas. 5. Definir el *empo requerido para su realización 6. Elaboración de cronograma de auditoría 7. Elaboración de entrevistas, trabajo de campo, papeles
de trabajo 8. Elaboración de un informe preliminar y discusión con
las áreas auditadas. 9. Presentación ejecu*va: comité de auditoría o reunión
con direc*vos.
Herramientas de apoyo que se u*lizan en las auditorías informá*cas
¿Qué es lo más valioso de una Auditoría Informá*ca?
El Informe de Auditoría donde: 1. Iden*fique claramente los riesgos potenciales a los cuales la
organización se expone 2. Mejorar el ambiente de control 3. Tener recomendaciones y un plan de acción para cada
recomendación 4. Tener un plan de seguimiento y su monitoreo constante 5. Reflejar el compromiso de la Alta gerencia y de la Junta
Direc*va
Factores limitantes en una Auditoría Informá*ca
1. Des*nar un presupuesto limitado. 2. Poco conocimiento del personal de auditoría sobre lo que se
desea auditar. 3. Falta de herramientas tecnológicas para poder apoyar la
ges*ón de auditoría. 4. Manejo inapropiado de la metodología de trabajo. 5. Falta de compromiso de los promotores, alta gerencia o cuerpo
direc*vo.
Estos puntos puede hacer que fracase la Auditoría Informá;ca…
Ejemplo de una Auditoría Informá*ca de Controles Generales
1. Alcance: realización de un diagnós*co general de todo el entorno tecnológico de la organización, incluyendo los servicios tercerizados.
2. Obje*vo principal: evaluación de los controles existentes e iden*ficar los puntos de mejora para minimizar su exposición al riesgo.
3. Metodología a u*lizar: COBIT 5 4. Equipo de trabajo:
a. Líder del proyecto (definir un resumen breve de su experiencia) b. 2 auditores (definir un resumen breve de su experiencia)
5. Herramientas a u*lizar: a. IDEA b. TEAM MATE
6. Tiempo de duración de la auditoría (cronograma): fecha es*mada de inicio y fecha de finalización.
7. Lista de requerimientos de las áreas a auditar. 8. Encuesta a usuarios automa*zado. 9. Entrevista a personal de Tecnología y usuarios claves. 10. Modelo a presentar.
Ejemplo de una Auditoría Informá*ca de Infraestructura Tecnológica
1. Alcance: Efectuar una revisión de toda la infraestructura tecnológica existente en la organización.
2. Obje*vo principal: evaluar los controles existentes en la administración de los ac*vos tecnológicos.
3. Metodología a u*lizar: COBIT 5 4. Equipo de trabajo. 5. Herramientas a u*lizar:
a. Solar Winds b. Belarc Advisor
6. Tiempo de duración de la auditoría (cronograma) 7. Listado de los ac*vos: hardware y socware 8. Servidores principales 9. Descrip*vo de las redes LAN y WAN 10. Esquemas de replicación de datos 11. Arquitectura de base de datos 12. Arquitectura de los sistemas de seguridad
Seguridad Informá*ca
Hoy en día las empresas requieren de acciones más concretas para contrarrestar el caos generado como consecuencia de la adopción de estas nuevas tecnologías: 1. Planeamiento estratégico de IT 2. Ges*ón del cambio y de la innovación 3. IT como Broker 4. Crear dashboard de ges*ón 5. Una oficina de ges*ón de IT (PMO) 6. ITIL
Concepto de Seguridad Informá*ca
Es el conjunto de normas, procedimientos y herramientas que *enen como obje*vo garan*zar: 1. La disponibilidad, 2. La integridad, 3. La confidencialidad y 4. Buen uso de la información que reside en
un sistema informá*co.
proporciona recomendaciones de las mejores prác*cas en la ges*ón de la seguridad de la información a todos los interesados y responsables en iniciar, implantar o mantener sistemas de ges*ón de seguridad de la información.
ISO 27002
ISO/IEC 27003 Guía para la implementación de un Sistema de Ges;ón de Seguridad de la Información.
La norma *ene el siguiente contenido: 1. Alcance. 2. Referencias Norma*vas. 3. Términos y Definiciones. 4. Estructura de esta Norma. 5. Obtención de la aprobación de la alta dirección para iniciar un SGSI. 6. Definición del alcance del SGSI, límites y polí*cas. 7. Evaluación de requerimientos de seguridad de la información. 8. Evaluación de Riesgos y Plan de tratamiento de riesgos. 9. Diseño del SGSI. Anexo A: lista de chequeo para la implementación de un SGSI. Anexo B: Roles y responsabilidades en seguridad de la información Anexo C: Información sobre auditorías internas. Anexo D: Estructura de las polí*cas de seguridad. Anexo E: Monitoreo y seguimiento del SGSI.
ISO/IEC 27003
h@p://;enda.icontec.org/brief/GTC-‐ISO-‐IEC27003.pdf
EN EL SIGUIENTE LINK ENCONTRARÁ UN EJEMPLO DE UNA GUÍA PARA GESTIONAR LA SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN (SGSI)
LA GUÍA TÉCNICA COLOMBIANA PARA EL SGSI
COBIT 5 for Informa*on Security
El COBIT 5 brinda una guía básica para definir, operar y monitorear un sistema para la ges*ón de la seguridad, como son: APO13 Ges*ón de la seguridad (treceavo proceso del dominio Alineación, Planeación y Organización) DSS04 Ges*ón de la con*nuidad (cuarto proceso del dominio Entrega, Soporte y Servicio) DSS05 Ges*ón de servicios de seguridad (quinto proceso del mismo dominio)
¿Cómo implementamos la Seguridad Informá*ca?
1. Elaborar un Plan de Seguridad Informá*ca 2. Tener un presupuesto para este tema 3. Establecer una Polí*ca de Seguridad Informá*ca 4. Proteger los equipos portá*les y de escritorio 5. Mantener los programas actualizados 6. Sistemas de monitoreo: de correo, de la red interna, WIFI 7. Establecer conexiones seguras con los clientes 8. Mantener los datos a salvo (copias de seguridad, cifrado de datos, sistemas
UPS) 9. Protección de los disposi*vos móviles. 10. Plan de capacitación con*nua en materia de seguridad para el personal. 11. Revisión del Plan de seguridad.
Polí*ca de Seguridad Informá*ca Deberá abarcar: 1. Alcance de la polí*ca, incluyendo sistemas y personal sobre el cual se aplica. 2. Obje;vos de la polí*ca y descripción clara de los elementos involucrados en su definición. 3. Responsabilidad de cada uno de los servicios, recurso y responsables en todos los niveles
de la organización. 4. Responsabilidades de los usuarios con respecto a la información que generan y a la que
*enen acceso. 5. Requerimientos mínimos para la configuración de la seguridad de los sistemas al alcance
de la polí*ca. 6. Definición de violaciones y las consecuencias del no cumplimiento de la polí*ca. 7. Por otra parte, la polí*ca debe especificar la autoridad que debe hacer que las cosas
ocurran, el rango de los correc*vos y sus actuaciones que permitan dar indicaciones sobre la clase de sanciones que se puedan imponer. Pero, no debe especificar con exac*tud qué pasara o cuándo algo sucederá; ya que no es una sentencia obligatoria de la ley.
8. Explicaciones comprensibles (libre de tecnicismos y términos legales pero sin sacrificar su precisión) sobre el porque de las decisiones tomadas.
9. Finalmente, como documento dinámico de la organización, deben seguir un proceso de actualización periódica sujeto a los cambios organizacionales relevantes: crecimiento de la planta de personal, cambio en la infraestructura computacional, alta y rotación de personal, desarrollo de nuevos servicios, cambio o diversificación de negocios, etc.
Caso Prác*co de Seguridad Informá*ca
hvp://sisbib.unmsm.edu.pe/bibvirtual/tesis/Basic/cordova_rn/contenido.htm