desarrollo de una herramienta de auditoría de seguridad de la información aplicada a la gestión...

DESARROLLO DE UNA HERRAMIENTA DE AUDITORIA DE SEGURIDAD DE LA INFORMACIÓN APLICADA A LA GESTIÓN

DE CONTINUIDAD DEL NEGOCIO

Ing. Maria Elena Sierralta M.

…..Preparemonos para lo peor, pero esperemos que suceda lo mejor……

Sin Autor

….La Imaginación es más importante que el conocimiento…

Albert Einsten

CONTENIDO

• Planteamiento del problema

• Objetivos de la investigación

• Marco Teórico

• Marco Metodológico

• Propuesta del estudio

• Conclusiones y Recomendaciones

PLANTEAMIENTO DEL PROBLEMA

Fallas o incidentes de seguridad

Afectan los procesos críticos del negocio

Clientes

Retrasos en la entrega del informe

Incremento en las hH trabajadas

Firma de Auditores

CONTENIDO



• Marco Teórico




OBJETIVOS DE LA INVESTIGACIÓN

• Desarrollar una herramientade auditoría de seguridad dela información aplicada a lagestión de continuidad denegocio en la firma deauditores MGI P&P asociados.

Objetivo General

• Diagnosticar la necesidad de una herramienta de auditoría de seguridad de la información aplicada a la gestión de continuidad de negocio en la firma de auditores MGI P&P asociados.

• Determinar la factibilidad operativa, técnica, yeconómica de desarrollar una herramienta deauditoría de seguridad de la información aplicadaa la gestión de continuidad de negocio en la firmade auditores MGI P&P asociados.

• Diseñar una herramienta de auditorias deseguridad de la información aplicada a la gestiónde continuidad de negocio en la firma de auditoresMGI P&P asociados.

Objetivos Específicos

CONTENIDO



• Marco Teórico




MARCO TEORICO

ANTECEDENTES DE LA INVESTIGACIÓN

• PINO, DEL (2007)

•“Diseño de un plan de continuidad de negocios para Zapasol S.A.”

• Universidad Politécnica de Madrid.

• LEÓN (2007)

•“Diseño de un Plan de contingencia para el archivo de la Universidad de la Salle de Bogotá“.

• BATTAGLINI (2007)

• “Desarrollo de una metodología de evaluación para centro de cómputo y centro de telecomunicación” . Universidad Simón Bolívar de Caracas.

• SANCHEZ (2004)

• “Metodología para la evaluación y mejora de la aplicación de los ocho principios de gestión de la calidad (serie de normas 9000:2000)”

• Universidad Católica Andrés Bello de Caracas.

1

2

3

4

MARCO TEORICO

BASES TEÓRICAS

AUDITORIA SEGURIDAD DE LA INFORMACIÓN

GESTION CONTINUIDAD NEGOCIO

INTRODUCCIÓN SEGURIDAD

INFORMACIÓN

1

SEGURIDAD INFORMACIÓN

2

AUDITORIA SEGURIDAD DE

LA INFORMACIÓN

3

GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO

4

ESTÁNDARES DE SEGURIDAD DE

LA INFORMACIÓN

5

NORMA ISO/IEC 27001: 2005 Y 27002: 2005

6

OBJETIVOS DE CONTROL PARA

INFORMACIÓN Y TECNOLOGÍA

RELACIONADA

7

2.- Maiwald 2003

3-Rivas 1998, Del Peso 2003

4-Harrys, Devlin y Robey

5-Universidad Nacional de Colombia

7-www.isaca.org

MARCO TEORICO

COBIT

PLANEAR Y ORGANIZAR

ADQUIRIR E IMPLANTAR

ENTREGAR Y DAR SOPORTE

MONITOREAR Y EVALUAR

MARCO TEORICO

COBIT

PLANERAR Y ORGANIZAR

ADQUIRIR E IMPLANTAR

ENTREGAR Y DAR SOPORTE

MONITOREAR Y EVALUAR

1. DEFINIR Y ADMINISTRAR NIVELES DESERVICIOS

2. ADMINISTRAR SERVICIOS DE TERCEROS3. ADMINISTRAR DESEMPEÑO Y

CAPACIDAD4. GARANTIZAR LA CONTINUIDAD DEL

SERVICIO5. GARANTIZAR LA SEGURIDAD DE LOS

SISTEMAS6. IDENTIFICAR Y ASIGNAR COSTOS7. EDUCAR Y ENTRENAR A LOS USUARIOS8. ADMINISTRAR LA MESA DE SERVICIO Y

LOS INCIDENTES9. ADMINISTRAR LA CONFIGURACIÓN10.ADMINISTRAR LOS PROBLEMAS11.ADMINISTRAR LOS DATOS12.ADMINISTRAR EL AMBIENTE FÍSICO13.ADMINISTRAR LAS OPERACIONES

3

MARCO TEORICO

• NO EXISTEN PROCESOS ESTÁNDAR

• ENFOQUE ADHOC1-INICIAL

•EXISTEN PROCEDIMIENTOS

•NO HAY ENTRENAMIENTO O COMUNICACIÓN FORMAL DE LOS PROCEDIMIENTOS

2-REPETIBLE

•EXISTE ENTRENAMIENTO DE LOS PROCEDIMIENTOS

•NO SE DETECTAN DESVIACIONES EN LOS PROCEDIMIENTOS3-DEFINIDO

•SE PUEDE MONITOREAR LOS PROCEDIMIENTOS

•MEJORA CONTINUA DE LOS PROCESOS4-ADMINISTRADO

•MEJOR PRÁCTICA DE LOS PROCESOS

•BENCHMARKING CON OTRAS EMPRESAS5-OPTIMIZADO

MODELO DE MADUREZ COBIT

MARCO TEORICO

ISO 27001:2005

DESCRIPCIÓN DE PUNTOS DE CONTROL DETALLESEvaluación de riesgo

Probabilidad o Frecuencia de ocurrencia Definir en base a una escala cuantitativa o cualitativa (nulo, leve,medio y catastrófico) la probabilidad o frecuencia de ocurrenciadel riesgo.

Impacto Evaluar los impactos de interrupción del negocio tomando encuenta los siguientes factores: a) Económicos, b)En clientes ysuministradores, c) En imagen y credibilidad, d) Incumplimientode obligaciones legales, e) Incumplimiento de normativa, f)Ambiental y g) Operacional

Controles de prevención y mitigación Definir los procedimientos relacionados a la evaluación de cadauno de los riesgos que permitan establecer controles deprevención para disminuir el impacto causado por cada uno deellos.

MARCO TEORICO

ISO 27001:2005

DESCRIPCIÓN DE PUNTOS DE CONTROL DETALLES

Identificación de los activos involucradosen los procesos críticos de negocio

InformaciónBase de datos, documentación de sistemas, manuales deusuarios, procedimientos y soportes de operación, planes decontinuidad de negocio, trazas de auditoría, y archivos deinformación (reportes, listados, expedientes).

Software Aplicativos, sistemas de información, sistema operativo,herramientas de seguridad y programas de desarrollo.

Activos físicos Computadoras, portátiles, equipos de comunicaciones, UPS, cintasde respaldos, muebles, aire acondicionado, y luces deemergencia.

CONTENIDO



• Marco Teórico




MARCO METODOLÓGICO

• PROYECTO FACTIBLE (*)NATURALEZA DE LA

INVESTIGACIÓN

• DIAGNÓSTICO

• FACTIBILIDAD

• DISEÑO DEL PROYECTO

DISEÑO DE LA INVESTIGACIÓN

1

2

(*)Universidad Centro Occidental Lisandro Alvarado

MARCO METODOLÓGICO

FASE I. DIAGNÓSTICO

POBLACIÓN Y MUESTRA

TÉCNICAS RECOLECCIÓN

DE DATOS

TÉCNICAS DE ANÁLISIS DE

DATOS

MARCO METODOLÓGICO




DE DATOS


DATOS

16 CLIENTES2 TRABAJADORES DE LA FIRMA

Vit (2005)

Naghi(2000)

MARCO METODOLÓGICO




DE DATOS


DATOS

CUESTIONARIOENTREVISTAOBSERVACIÓN DIRECTA

Sabino (1992)

MARCO METODOLÓGICO




DE DATOS


DATOS

RECURSOS DE ESTADÍSTICA DESCRIPTIVA

Farci y Ruiz (2007)

MARCO METODOLÓGICO

FASE II. FACTIBILIDAD

OPERATIVA TÉCNICA ECONÓMICA

Muñoz(2002)

MARCO METODOLÓGICO

FASE III. DISEÑO DEL PROYECTO

DETERMINACIÓN REQUERIMIENTOS

DEL SISTEMA

DISEÑO DEL SISTEMA

DESARROLLO DEL

SOFTWARE

PRUEBA DEL

SISTEMA

I MPLANTACIÓN DEL SISTEMA

3 4 5

IDENTIFICACIÓN DE PROBLEMAS Y

OBJETIVOS

1

DETERMINACION DEL

REQUERIMIENTO

62

Kendall y Kendall(2005)

CONTENIDO



• Marco Teórico




PROPUESTA DEL ESTUDIO

FASE I: DIAGNÓSTICO

VALIDEZ Y CONFIABILIDAD DEL INSTRUMENTOInstrumento de fuerte confiabilidad (0,81 coeficiente alpha de cronbach)

TÉCNICA DE ANÁLISIS Y PRESENTACIÓN DE RESULTADOSAplicación de la entrevista a cliente y al Auditor General de la FirmaAplicación del cuestionario a clientes de la Firma de AuditoresObservación directa de la investigadora



RESULTADOS DE LA ENTREVISTA

Entre las debilidades encontradas en la firma de auditores, se menciona el procesamientomanual de la información para la generación de los informes, la falta de documentaciónen el proceso de gestión de continuidad del negocio de todos los puntos de controldefinidos en los estándares de seguridad de la información, y la existencia de variosprogramas de auditorias adaptados a cada cliente.

En las debilidades encontradas en los clientes, se observó la incompleta documentaciónde los procesos de gestión de continuidad de negocio adaptado a los estándaresinternacionales de seguridad de la información, la falta de un plan de actuación en casode incendio, y la Inexistencia de planes de pruebas para responder a contingencias.



RESULTADOS DEL CUESTIONARIO- VARIABLE REQUERIMIENTO DEL CLIENTE

El 70% de los clientes encuestados, tienen un requerimiento de optimización de losprocesos de gestión de continuidad del negocio en base a lo recomendado por estándaresinternacionales de seguridad de la información, que permitan garantizar la disminución delos riesgos para responder oportunamente ante una contingencia, incidente de seguridad,terremotos e incendio.



RESULTADOS DEL CUESTIONARIO- VARIABLE SATISFACCIÓN DEL CLIENTE

El 70% de los clientes encuestados, no están satisfechos con la gestión de continuidad denegocio, ni con los resultados obtenidos a partir de la documentación, y además, lasauditorias realizadas a dicho proceso no garantizan una adecuada gestión, adaptada a losestándares de seguridad de la información.



OBSERVACIÓN DIRECTA

Existen clientes que tienen documentado el proceso de gestión de continuidad de negocio,pero que no están adaptado a lo recomendado por estándares de seguridad de lainformación.

También existe clientes que no tienen documentado el proceso de gestión de continuidad delnegocio

Existe evidencia en las organizaciones auditadas, que no se realizan pruebas totales de losprocesos, instalaciones y personas, no existen planes de actuación en caso de incendios yterremotos, desconocimiento de las mejoras en los tiempos de respuestas antecontingencias, y las recomendaciones realizadas por auditoría no ayudan al desarrollocompleto del plan .



OBSERVACIÓN DIRECTA

En cuanto al procedimiento de auditoría de seguridad de la información, de la firma deauditores P&P asociados, se elabora un programa de auditoría para cada cliente, y lageneración de los informes de auditoría se realiza en forma manual, el cual se presenta unasemana después de la visita al cliente, lo que trae retrasos en la entrega, hecho corroborableen la entrevista realizada al Auditor General de la firma


FASE II: FACTIBILIDAD OPERATIVA

Cambio y optimización del procedimiento de auditoría de seguridad de la informaciónaplicado a la gestión de continuidad de negocio.

Nuevo programa de auditoría con todos los puntos de control recomendado por el estándarde seguridad de la información ISO 27001.

Reuniones con el socio de la firma, para presentar el procedimiento y el nuevo programa deauditoría de seguridad de la información aplicado a la gestión de continuidad de negocio.

Aprobación por el socio de la firma, del procedimiento y nuevo programa de auditoría deseguridad de la información aplicado a la gestión de continuidad de negocio.

Prueba del programa de auditoría de seguridad de la información aplicado a la gestión decontinuidad del negocio, tomando como muestra uno de los clientes de la firma de auditoresP&P asociados .


FASE II: FACTIBILIDAD TÉCNICA

Los conocimientos, habilidades y experiencias que se requieren para la realizacióndel proyecto en estudio están relacionados con los temas de auditorias deseguridad de la información aplicadas a la gestión de continuidad de negocio y conlas normas internacionales de seguridad de la información, ISO 27001, 27002 yCOBIT

Los requerimientos tecnológicos como el hardware y el software necesario para larealización del proyecto


FASE II: FACTIBILIDAD ECONÓMICA

Costos del diseño: involucró el costo de las horas hombres utilizadas para eldiseño de la herramienta, lo que generó un total de tres mil ciento sesenta yocho (3.168) BsF.

Costos de desarrollo: involucró el costo de las horas hombres utilizadas para eldesarrollo de la herramienta, lo que generó un total de cinco mil doscientosochentas (5.280) BsF.

Costo de Instalación: involucró el costo de las horas hombres utilizadas para lainstalación de la herramienta, lo que generó un total de cien (100) BsF.

TOTAL = 8.548 BsF.


FASE III: DISEÑO DEL PROYECTO

1. IDENTIFICACIÓN DEL PROBLEMA Y OBJETIVOS

Fallas o incidentes de seguridad en las organizaciones

Retrasos en la entrega del informe de auditoría aplicado a la gestión de continuidad del negocio



2. DETERMINACIÓN DEL REQUERIMIENTO

Un programa de auditoría puede ser aplicado a todos los clientes.Se puede mejorar los tiempos de entrega del informe a través de unaherramienta automatizada.Realizar un modelo de los posibles escenarios de debilidades delcliente basado en los estándares internacionales de seguridad de lainformación.La revisión de informe de auditoría por parte del Auditor General, se

puede realizar una sola vez.



3. DISEÑO DE SISTEMA

Entradas y salidas del sistemaComponentes del hardware y softwarePersonalBase de DatosDiagrama Entidad RelaciónDiseño de PantallasProcedimiento optimizado de auditoría de seguridad de la

información para la gestión de continuidad del negocio.


FASE III: DISEÑO DEL PROYECTOProcedimiento Auditoria Gestión Continuidad Negocio

1. REALIZAR PLAN

DE AUDITORIA

2. APROBARPLAN DE

AUDITORIA

3. REALIZAR PROGRAMA DE

AUDITORIA

4. RECIBIR LISTA DE

REQUERIMIENTO

5. APLICAR PROGRAMA DE

AUDITORIA

6. ANALIZAR INFORMACIÓN

7. REALIZAR INFORME DE AUDITORIA

8. REVISAR INFORME

AUDITORIA

9. ENVIAR INFORME A LA GERENCIA TI

10. RECIBIR INFORME DE LA

GERENCIA TI

11.PRESENTAR INFORME A LA

DIRECCIÓN



1. REALIZAR PLAN

DE AUDITORIA

2. APROBARPLAN DE

AUDITORIA

3. REALIZAR PROGRAMA DE

AUDITORIA

4. RECIBIR LISTA DE

REQUERIMIENTO

5. APLICAR PROGRAMA DE

AUDITORIA

6. ANALIZAR INFORMACIÓN

7. REALIZAR INFORME DE AUDITORIA

8. REVISAR INFORME

AUDITORIA



GERENCIA TI

11.PRESENTAR INFORME A LA

DIRECCIÓN

MEJORA PROPUESTA



1. REALIZAR PLAN

DE AUDITORIA

2. APROBARPLAN DE

AUDITORIA

3. RECIBIR LISTA DE

REQUERIMIENTO

4. APLICAR HERRAMIENTA DE

AUDITORIA

5. GENERAR INFORME



GERENCIA TI

8. .PRESENTAR INFORME A LA

DIRECCIÓN

MEJORA PROPUESTA



4. DESARROLLO DE SISTEMASistema realizado en Visual Foxpro

5. PRUEBA DEL SISTEMASe realizó pruebas siguiendo la experiencia de la investigadora en las auditorías realizadas a los clientes.

6. IMPLANTACIÓN DEL SISTEMASe realizó la instalación del sistema




PRESENTACIÓN DEL SISTEMA DE AUDITORÍA

DE SEGURIDAD DE LA INFORMACIÓN

APLICADO A LA GESTIÓN DE CONTINUIDAD DEL NEGOCIO

CONTENIDO



• Marco Teórico




CONCLUSIONES Y RECOMENDACIONES

Las mejoras a nivel de cliente se reflejan en la documentación uoptimización del proceso de gestión de continuidad de negocio en lasorganizaciones, en base a lo recomendado por estándares internacionales deseguridad de la información

Por otra parte, las mejoras a nivel de los procesos de auditoría de seguridadde la información aplicado a la gestión de continuidad del negocio, sereflejan en el procesamiento automático de la información durante laauditoría, garantizando la entrega rápida y oportuna del informe a losclientes de la firma.

Dicho procesamiento automático reflejó una mejora de reducción del 96%del tiempo, en la generación del informe de auditoría.

CONCLUSIONES

CONCLUSIONES Y RECOMENDACIONES

Realizar charlas frecuentes a los clientes de la firma sobre los puntos decontrol que deben incluirse en la documentación del proceso de gestión decontinuidad del negocio.

Realizar una presentación formal a los clientes de la firma, de la herramientade auditoría de seguridad de la información aplicada a la gestión decontinuidad de negocio

Aplicar la herramienta de auditoría, a todos los clientes de la firma y mostrarlos resultados a través del informe de auditoría generado por dichaherramienta.

RECOMENDACIONES




…..AGRADECIDA POR EL APOYO Y LAS ENSEÑANZAS…..

desarrollo de una herramienta de auditoría de seguridad de la información aplicada a la gestión...

Education