clase 3 metodologías de control interno, seguridad y auditoría
TRANSCRIPT
Los recursos son los activos a proteger del sistema informático de la
organización.
Existen diferentes tipos de recursos:
• Hardware (HW) : Servidores, estaciones de trabajo, equipos,
etc.
• Software (SW): Sistemas operativos, herramientas ofimáticas,
herramientas de gestión, etc.
• Elementos de comunicaciones: Dispositivos de conectividad,
switches, routers, etc.
• Información que se almacena, procesa y distribuye.
• Locales y oficinas donde se ubican los recursos físicos y desde
los que acceden los usuarios finales.
• Personas que utilizan los equipos.
• Imagen y reputación de la organización.
Recursos del sistema
Método y Metodología
Término Significado
Método Modo ordenado y sistemático de
proceder para llegar a un resultado
o fin determinado
Meto-
dologíaConjunto de métodos que se
siguen en una disciplina
científica o en un estudio que
permiten abordarlo de forma
organizada
La proliferación de metodologías en el
mundo de la auditoría y control interno empezó
en los 80, paralelamente al
nacimiento y comercialización de
determinadas herramientas
metodológicas (SW análisis de riesgo)
El uso de métodos de auditoría es casi
paralelo al nacimiento de la informática
Qué es la seguridad de los
Sistemas de Información? Una de las disciplinas informáticas donde es
habitual el uso de las tecnologías es la seguridad
de los Sistemas de Información (SI)
• Doctrina que trata los riesgos informáticos
Seguridad de los SI
Relación de seguridad de SI con
la auditoría
La auditoría es una de las figuras involucradas en el proceso de (*)protección y
preservación de la información y de sus medios de proceso
El nivel de seguridad informática es un objetivo
a evaluar. Está directamente relacionado
con la calidad y eficacia de acciones y medidas
destinadas a *
Calidad y eficacia de las mismas es el objetivo a evaluar para identificar los puntos débiles y poder mejorarlos*
Preservando la entidad con contramedidas
Debemos protegernos de los riesgos
Informática crea riesgos
Relación de seguridad de SI con
la auditoría
* Esta es una de las funciones de los auditores informáticos
Cualquier contramedida nace
de la composición de factores:Normas
Organización (Personas)
Metodologías
Objetivos de Control
Procedimientos de Control
Tecnología de seguridad
Herramientas
Pirámide de contramedidas:
Normas Deben definir de forma clara y precisa todo lo que
debe existir y cumplirse:
Estándares (patrón uniforme)
Políticas (traza con que se conduce un asunto o se
emplean los medios para alcanzar un fin
determinado)
Marco jurídico
Normas de la empresa
Experiencia
Práctica profesional
No es frecuente que la
normativa sea el único
control de un riesgo
Pirámide de contramedidas:
Organización Son personas con :
Funciones específicas
Actuaciones concretas
Procedimientos definidos metodológicamente y
aprobados por la dirección de la empresa
Este es el aspecto más importante
Se pueden establecer controles sin alguno de
los demás aspectos, pero no sin personas.
Son éstas las que realizan los procedimientos
y desarrollan los planes (Seguridad,
Contingencia, Auditoría, etc.)
Pirámide de contramedidas:
Metodologías
Son necesarias para realizar cualquier proyecto propuesto de manera ordenada y
eficaz
Pirámide de contramedidas:
Objetivos de Control
Objetivos a cumplir en el control de los procesos
• Este es el concepto más importante después de la ORGANIZACION
De un planteamiento correcto de los objetivos saldrán procedimientos eficaces y realistas
Pirámide de contramedidas:
Procedimientos de ControlSon los procedimientos
operativos de las distintas áreas de la empresa obtenidos con una
metodología apropiada, para la consecución de uno
o varios objetivos de control
Deben estar documentados y aprobados por la
Dirección
Pirámide de contramedidas:
Tecnología de Seguridad Son todos de HW o SW que a controlar un riesgo
informático:
Cifradores
Autentificadores
Equipos de tolerancia a fallos
Herramientas de control, etc.
Pirámide de contramedidas:
Herramientas de Control
Elementos de SW que permiten definir uno o varios procedimientos de control para cumplir:
Normativa
Objetivo de Control
Pirámide de contramedidas:
Conclusiones
Todos los factores están relacionados entre sí y la calidad de c/u está relacionado con la de los demás
Cuando se evalúa el nivel de Seguridad de Sistemasse está evaluando toda la pirámide y se plantea un Plan de Seguridad, que mejore todos los factores
Al finalizar el plan se habrá conseguido una situación nueva, donde el nivel de control general sea superior
Plan de Seguridad
Estrategia planificada de acciones y proyectos que lleven a un sistema de
información y a sus centros de proceso de un
situación inicial determinada a una situación mejorada
Organización de la seguridad de
sistemas en las organizaciones• Seguridad corporativa
• Control interno
• Depto. de Informática
• Dirección del plan de seguridad
Comité de Seguridad
• Controles generales informáticosControl
informático
• Plan Auditor
• Dictámenes
Auditoría Informática
Metodologías de evaluación de
sistemas
Son todas las metodologías
necesarias para realizar un plan de
seguridad y auditoría informáticas.
Son de 2 tipos:
• Auditoría informática
• Análisis de Riesgos
Metodologías de evaluación de
sistemas
• Identifica el nivel de “exposición” por falta de controles
Auditoría informática
•Facilita la “evaluación” de los riesgos
•Recomienda acciones costo-beneficiosas
Análisis de riesgos
Definiciones clavesTérmino Definición
Amenaza Persona/cosa vista como fuente de peligro o catástrofe.
Ej.: inundación, incendio, robo de datos, sabotaje,
aplicaciones mal diseñadas, falta de procedimientos de
emergencia, etc.
Vulnerabi-
lidad
Situación creada por falta de uno o varios controles,
con lo que la AMENAZA pudiera acaecer y afectar el
entorno informático. Ej.: falta de control de: acceso
lógico/versiones, falta de cifrado en telecomunicaciones,
etc.
Riesgo Probabilidad de que una AMENAZA llegue a acaecer por
la existencia de una VULNERABILIDAD
Exposición
o Impacto
Evaluación del efecto del RIESGO. El impacto es la
medición y valoración del daño que podría producir a la
organización un incidente de seguridad
Clasificación de las Amenazas
Existen dos maneras de estudiar las amenazasatendiendo bien a la clasificación de las mismas o a laintencionalidad de ellas.
Clasificación principal de las amenazas:
Amenazas naturales: Inundación, incendio, tormentas,etc.
Amenazas de agentes externos: Virus informáticos,sabotajes terroristas, disturbios, etc.
Amenazas de agentes internos: Empleados descuidadoscon poca formación o descontentos, error en el uso deherramientas/uso del sistema, etc.
A qué están ligadas las
Vulnerabilidades? Las vulnerabilidades pueden estar ligadas a lo
siguiente:
Aspectos organizativos.
Factor humano.
Equipos, programas, locales, condiciones ambientales
en las que esta el sistema.
Valoración del Impacto Para una correcta valoración del impacto es
aconsejable tener en cuenta tanto los dañostangibles, cómo los daños intangibles (incluida lainformación). Para ello es necesario reunirse con losresponsables de departamentos y evaluar el gradode impacto que podría tener en su ámbito detrabajo.
Existe una escala cuantitativa/cualitativa paramedir el impacto del daño:
Defensas, salvaguardas o
medidas de seguridadUna defensa, salvaguarda o medida de seguridad es cualquier medio
empleado para eliminar o reducir un riesgo.
Su objetivo es reducir las vulnerabilidades de los activos, la probabilidad de ocurrencia de las amenazas o el nivel de impacto en la organización.
Medidas de seguridad activa: utilizada para anular o reducir el riesgo de una amenaza.
Medidas de seguridad pasiva: empleada para reducir el impacto cuando se produzca un incidente de seguridad.
Defensas físicas: implican el control de acceso físico a los recursos y las condiciones ambientales en que tienen que ser utilizados.
Defensas lógicas: se encuentran relacionadas con la protección conseguida mediante distintas herramientas y técnicas informáticas.
Nivel de riesgo residual: se obtiene tras un nuevo proceso de evaluación de riesgos teniendo en cuenta que los recursos ya se encuentran protegidos por las medias de seguridad seleccionadas.
Que podemos hacer respecto a
los riesgos… Evitarlo, ej. No construir un centro donde hay
peligros de inundaciones
Transferirlo, ej. Uso de un centro de procesa-
miento de datos contratado
Reducirlo, ej. sistemas de detección y extinción de
incendios
Asumirlo : es lo que se hace si no se controla el
riesgo en absoluto
Para los 3 primeros, se actúa y se establecen controles o
contramedidas
Propósito de las metodologías
Establecer y mejorar un entramado de
contramedidas que garanticen que la
probabilidad de que las amenazas se
materialicen en hechos (por falta de control) sea lo más baja posible o al menos quede reducida de una forma razonable
en costo-beneficio
Tipos de Metodologías Todas la metodologías existentes desarrolladas y
utilizadas en la auditoría y el control interno se
pueden agrupar en 2 grandes familias:
Cuantitativas > basadas en un modelo matemático
numérico que ayuda a la realización del trabajo
Cualitativas > basadas en el criterio y raciocinio
humano capaz de:
Definir un proceso de trabajo
Seleccionar en base a la experiencia acumulada
Metodologías CuantitativasDiseñadas para producir una lista de riesgos que pueden compararse entre sí con facilidad por tener asignados unos valores numéricos
Hay varios coeficientes que son usados para el juego de simulación que permite elegir entre varias contramedidas en el análisis de riesgo
Inconvenientes de estas metodologías:
Debilidad de los datos, de la probabilidad de ocurrencia, por los pocos registros de incidentes y la poca significación de los mismos a nivel mundial
Imposibilidad/dificultad de evaluar económicamente todos los impactos que pueden acaecer
Ventaja: Poder usar un modelo matemático para el análisis
Metodologías
Cualitativas/Subjetivas
Basadas en métodos estadísticos y lógica
borrosa
Precisan un profesional experimentado
Requieren menos recurso humano/tiempo
que las metodologías cuantitativas
Metodologías más comunes
Análisis de riesgos o diagnósticos de seguridad
Plan de contingencia
Auditoría de controles generales
Comparación entre ambos tipos
de metodologías (PROS)CUANTITATIVA CUALITATIVA
• Enfoca pensamientos
mediantes el uso de
números
• Facilita la comparación
de vulnerabilidades muy
distintas
• Proporciona una cifra
justificante para cada
contramedida
• Enfoca lo amplio que se
desee
• Plan de trabajo flexible y
reactivo
• Se concentra en la
identificación de eventos
• Incluye factores
intangibles
Comparación entre ambos tipos
de metodologías (CONTRAS)CUANTITATIVA CUALITATIVA
• Estimación de probabilidad
de estadísticas fiables
inexistentes
• Estimación de las pérdidas
potenciales sólo sí son
valores cuantificables
• Metodologías estándares
• Difíciles de mantener o
modificar
• Dependencia de un
profesional
• Depende fuertemente de la
habilidad y calidad del
personal involucrado
• Pueden excluir riesgos
significantes desconocidos
• Identificación de eventos
reales más claros al no tener
que aplicarles
probabilidades complejas de
calcular
• Dependencia de un
profesional
Funcionamiento de SW de
análisis de riesgo
Creación de los informes
Simulaciones (análisis “Que pasa si…”)
Identificar las contramedidas y el coste
Calcular el impacto
Identificar los riesgos
Cuestionario
Principales métodos de análisis
y gestión de riesgos CRAMM (CCTA Risk Analysis and Management
Method)
PRIMA (Prevención de Riesgos Informáticos con
Metodología Abierta)
MELISA
MAGERIT
OCTAVE
Plan de contingencia
El auditor debe conocer perfectamente los conceptos de
un plan de contingencia para poder auditarlo
Es una estrategia planificada constituida por un conjunto de
recursos de respaldo, una organización de emergencia y
unos procedimientos de actuación, encaminada a
conseguir una restauración progresiva y ágil de los servicios
de negocio afectados por una paralización total o parcial de la capacidad operativa de la
empresa
Fases de un plan
Análisis y Diseño
• Estudio de la problemática, las necesidades de recursos, alternativas de respaldo y se analiza el coste/beneficio de las mismas
Desarrollo del plan
• Desarrollo de la estrategia, implantándose hasta el final de todas las acciones previstas
Pruebas y Mantenimiento
• En esta fase se definen las pruebas, sus características, sus ciclos y se realiza la 1era prueba como comprobación de todo el trabajo realizado y mentalizar al personal implicado
Fases de análisis y diseño En la forma de desarrollar esta fase se diferencian
las dos familias metodológicas:
Risk Analisys se basa en el estudio de los posibles riesgos desde
el punto de vista de probabilidad de que los mismos
sucedan
Business
Impact
Se basa en el estudio del impacto (pérdida
económica o de imagen) que ocasiona la falta de
algún recurso de los que soporta la actividad del
negocio
Metodologías aplicables a la
auditoría informática Se encuentran 2 familias:
Auditorías de controles generales (Compañías
auditoras profesionales que son una homologación de
las mismas a nivel internacional)
Auditorías de los auditores internos
El plan auditor informático Es el esquema metodológico del auditor informático.
Las partes de un plan auditor informático deben ser al menos las siguientes:
Funciones
Procedimientos para las distintas áreas de auditoría
Tipos de auditorías que realiza
Sistema de evaluación y los distintos aspectos que evalúa
Nivel de exposición
Seguimiento de las acciones correctoras
Plan quinquenal
Plan de trabajo anual