View
214
Download
0
Category
Tags:
Preview:
Citation preview
Information Audit Planning
M.C. Juan Carlos Olivares Rojas
Department of Computer and SystemInstituto Tecnológico de Morelia
jcolivar@itmorelia.edu.mx19.72388 lat, -101.1848 long
DisclaimerSome material in this presentation has been obtained from various sources, each of which has intellectual property, so in this presentation will only have some rights reserved.
These slides are free, so you can add, modify, and delete slides (including this one) and slide content to suit your needs. They obviously represent a lot of work on my part. In return for use, I only ask the following: if you use these slides (e.g., in a class) in substantially unaltered form, that you mention their source.
OutlineAuditing Phases
Planning
Preliminar Review
Detailed Review
Exam and Evaluation of Information.
Tests of User Control
Sustantive Test
System Assesment according to Risk.
Preliminar Investigation
Staff Participant
Objectives of the Session• The students will know the basis of planning
and make plans for Information Audit Project
Planning• Itinerary
• Estimation
• Tracking
Planning• The first step for planning consist in replanning
all the time.
• The estimation is a dificult activity because we manage impredictible sources such as time, money and people.
• The tracking process is an especial activity who is a critical factor for sucessfully development a project
Itinerary• It consist of a serie of activities which some
order, duration and other resources assignations.
• Results:
• Plan Diagram• Activity Matrix• Gant Chart• PERT/CPM• Program
Itinerary• Resources Matrix
• Estimation is implicit in the process.
• The most important estimation are time, cost, human resources, among others.
• Tracking is realized in a especial period of time called milestone. Tracking is a control process inside planning process.
Activity• Make the planning for a vacation trip (your
choose the place) this must be include all planning elements described in this class.
• Where we must be to beginning?
• Homework: Make a planning for an IT Auditing Process at Instituto Tecnológico de Morelia.
Preliminar and Detailed Review• In this Phase we works with documents
information systems and other resources.
• Preliminar Review is fast and acts as a filter. Detailed Review is important because we assurance the process.
Exam and Evaluation of Information
• The most important thing in a organization is asset, frecuently information assets.
• What are the principal assets in a Telecomunication Firm such as AT&T, Telmex, etc.?
• Cupper in 1976 60%
• Cupper, Fiber and Infraestructure 30% aprox. in 2008
Exam and Evaluation of Information
• Where are the rest of the money?
• Information System
• What is the most important thing in Coca-Cola?
• The Secret Formula. It’s the same since 1886, only 3 pesons in the world know it.
• This formula is patented like a comercial secret
Test of User Control’s• What’s a User Control?• It’s a control which applied to final user or
employees.
• This process is important because a lot of firms are interesting in their relations with theirs user, employees, providers and third-parts.
• In Programming the User Controls are the User Interface (UI). Remember for a end user, the UI is the system.
Substantive Test• Substantive testing is the stage of an audit
when the auditor gathers evidence as to the extent of misstatements in client's accounting records.
• This evidence is referred to as substantive evidence and is an important factor in determining the auditor's opinion on the financial statements as a whole.
Substantive Test• For example, the substantive test in an Inventory
System consists of:
• Physically examine inventory on balance date as evidence that inventory shown in the accounting records actually exists (validity assertion);
• Arrange for suppliers to confirm in writing the details of the amount owing at balance date as evidence that accounts payable is complete (completeness assertion);
Substantive Test• And make inquires of management about the
collectibility of customers' accounts as evidence that trade debtors is accurate as to its valuation. Evidence that an account balance or class of transaction is not complete, valid or accurate is evidence of a substantive misstatement.
Activity• In a Spreadsheet (electronic or paper) obtain
de Standard Deviation of the follow numbers: 1, 3, 5, 7, 9, 11, 13, 21, and the last 2 digit of yours control number.
• For the first number (until 21) SD = 6.36
• This is an example of compliance test
Activity• What did the next pseudocode do?
• W, X, Y, Z: real
• READ W, X
• Z = 1
• While (z > 0.01) do
• Y = X – (((X*X) – W)/ (2*X))
• Z = abs(X – Y)
• X = Y
• End While
• Print X
Activity• Realized a desktop test or paper run of the
algoritm with some values.
Risk Assesment• In auditing, risk assessment is a very crucial
stage before accepting an audit engagement.
• According to ISA315 Understanding the Entity and its Environment and Assessing the Risks of Material Misstatement, "the auditor should perform risk assessment procedures to obtain an understanding of the entity and its environment, including its internal control"
Risk Assessment• Auditor obtains initial evidence regarding the
classes of transactions at the client and the operating effectiveness of the client’s internal controls.
• In auditing, audit risk includes inherent risk, control risk and detection risk.
Risk Assessment• What’s a Risk?
• It`s a probability of activity occurs.
• It’s related with Threats, Vulnerabilities, Impact and Exposures.
• All activities have a risk.
Risk Assesment
What’s the probability of ocurrence of this activity?
Risk Assesment• There are a lot of Methodologies for Calculating
Risk but all are dependents of the user.
• Risk are calculating in three levels: high, medium and low.
• Risk are calculating by dimension like Impact and Frecuency of Ocurrence.
Risk Assesment
Simulators• Assurance-Life:
• 194.224.248.32/simuladores/ *
• Business:
• http://www.gameonsoftware.com/index.htm
• http://www.beer-war.com/ *
• http://www.riskybusiness.com/
27
Riesgo
Calculado por el producto de la probabilidad de ocurrencia de la amenaza vs los impactos que tendría
el activo de materializarse dicha amenaza.
28
Controles
Es una tecnología, política, proceso o procedimiento que contrarresta una amenaza y por consecuencia
mitiga los riesgos asociados a un activo.
29
Modelo de Riesgos
Riesgo
VulnerabilidadesAmenazas
Controles
Requerimientos de seguridad Valor del activo
Activos
Proteccióncontra
Explotan
Reduce
Aumenta
Establece
Aumenta
Exponen
TieneAumenta
Implementan
Impacto en la organización
30
Objetivo
• Implementación de controles que ayuden a mitigar los riesgos.
• Monitoreo de la efectividad de los controles y su impacto (reducción) en los riesgos
El análisis de riesgos debe contar con el soporte de la alta dirección
31
Análisis de Riesgos
• ¿Quién debe participar?
– Se debe formar un equipo interdisciplinario que debe estar conformado por al menos las siguientes funciones:
• Dueños de los activos
• Custodios de los activos
• Seguridad de Información
– Se pueden incluir según sea el caso:
• Recursos Humanos
• Legal / Regulatorio
• Finanzas
32
Responsabilidades de Dueños y Custodios de activos
• Responsabilidades de los dueños:– Últimos responsables de los activos– Responsables de los riesgos asociados a los activos– Responsables de la valuación de activos– Responsables de la clasificación de activos
• Responsabilidades de los custodios:– Operación y mantenimiento de los activos
(incluyendo sus servicios asociados)– Operación de los controles asociados a los activos
• Monitoreo, respaldos, análisis de bitácoras, etc.
33
Análisis de Riesgos
• Existen dos tipos de análisis de riesgos:
– Cualitativo• Se utilizan escenarios, juicios, percepciones e
incluso la intuición para el calculo de los valores de los elementos que conforman el proceso.
• Se asume que el personal que participa en los análisis son expertos en las funciones que les compete.
34
Análisis de Riesgos
• Existen dos tipos de análisis de riesgos:– Cuantitativo
• Se realizan cálculos numéricos para la estimación de todos los elementos que conforman el proceso, tales como:
– El valor de los activos.– La probabilidad de ocurrencia de las amenazas.– Los impactos en el negocio.
• Un análisis cuantitativo “puro” no es posible dada la naturaleza cualitativa de los elementos que conforman el proceso.
35
Cualitativo vs. Cuantitativo
Cuantitativo Cualitativo
Ventajas
Se asignan prioridades a los riesgos según las repercusiones financieras; se asignan prioridades de los activos según los valores financieros. Los resultados facilitan la administración del riesgo por el rendimiento de la inversión en seguridad. Los resultados se pueden expresar en términos de negocio (ejemplo: perdidas financieras, costos anuales) La precisión tiende a incrementarse con el tiempo a medida que se gana experiencia y se acumula información histórica.
Permite la visibilidad y la comprensión de la clasificación de riesgos.
Resulta más fácil lograr el consenso.
No es necesario cuantificar la frecuencia de las amenazas.
No es necesario determinar los valores financieros de los activos.
Resulta más fácil involucrar a personas que no sean expertas en seguridad o en informática.
36
Cualitativo vs. Cuantitativo
Cuantitativo Cualitativo
Desventajas
Los valores de impacto asignados a los riesgos se basan en las opiniones subjetivas de los participantes. Los procesos para alcanzar el consenso y resultados creíbles consumen mucho tiempo. Los cálculos pueden ser complejos y lentos. Los resultados sólo se presentan en términos monetarios y pueden ser difíciles de interpretar por algunas personas. El proceso requiere experiencia, los participantes no pueden ser educados con facilidad a través del proceso.
No hay una distinción suficiente entre los riesgos importantes.
Es difícil de justificar la inversión en la implementación de los controles debido a que no hay bases de un análisis costo-beneficio.
Los resultados dependen de la calidad del equipo que este trabajando en el proceso.
37
1- Asignar valor a los activos
2- Estimar pérdida potencial por riesgoCalcular SLE (single loss expectancy)SLE = Valor del Activo * EF (EF= % de pérdida de activo causada por identificar amenazas)
3- Ejecutar un análisis de amenazasCalcular ARO (annualized rate of ocurrence)Es la frecuencia esperada donde una amenaza pueda ocurrir en base anualizada
Modelos Cuantitativos, pasos a seguir
Calcular ALE (annualized rate of ocurrence)ALE = SLE * ARO
4- Derivar la pérdida potencial global por amenaza
5- Reducir, asignar o aceptar el riesgo
38
Modelos Cualitativos de Análisis de RiesgosModelos Cualitativos de Análisis de Riesgos
• No asigna números reales o valores monetarios a componentes y perdidas.
• Analizan diversos escenarios de posibilidades de riesgo y “rankean” la seriedad de las amenazas y la validez de las diversas posibles contramedidas.
• Es necesario usar juicios, intuición y experiencia Se usan técnicas como:
BrainstormingFocus GroupsEncuestasCuestionariosChecklistsEntrevistas
39
Identificación de Amenazas
Identificación de Vulnerabilidad
Identificación de Impactos
Riesgo (A,M,B) Enfoques:Relativa Frecuencia, “A priori”, deducción lógica, Subjetividad
Modelo de Análisis de Riesgos de TIModelo de Análisis de Riesgos de TI
Análisis de RiesgosSon necesarios Controles de Seguridad para mitigar riesgos,
pueden ser:Procesos, Directrices, Mecanismos tecnológicos,Políticas, Etc.
Amenaza:Código MaliciosoSi se materializa:Pérdida del Servicio,Pérdida de Información
-Respaldo de Información
-Política de Email
-Separación de ambiente de desarrolloy de producción
- Controles vs troyanos
CONTROLES
40
Matriz deRiesgo
Análisisde
Controles
Modelo de ANÁLISIS DE RIESGOModelo de ANÁLISIS DE RIESGO
Selección de
Amenazas
Datos deEntrada
Caso de Negocios
Plan deAcción
VoBo Rechazado
41
Amenazas Vulnerabilidades
Controles Riesgos Bienes
Explotan
AumentanProtegen de Aumentan
Exponen
Reducen
Matriz de RiesgosMatriz de Riesgos
Riesgo = Vulnerabilidad * Impacto
42
Matriz de RiesgosMatriz de Riesgos
Nivel Definición de Ocurrencia
Alto La amenaza tiene una gran probabilidad de ocurrencia, y los controles que previenen
esta vulnerabilidad son inefectivos.
Medio La amenaza tiene probabilidad de ocurrencia, pero los controles actuales
pueden impedir que se explote dicha vulnerabilidad.
Bajo La amenaza es de muy baja probabilidad o los controles
existentes evitan que suceda.
Determinación del nivel de Vulnerabilidad ante amenazas de TI
43
Magnitud del Impacto Definición del Impacto
Alto Si se explota la vulnerabilidad:1.Existe una pérdida monetaria de los activos tangibles o recursos más importantes de la empresa2.Se ve afectada la misión, reputación o interés de la empresa3.Existen pérdidas humanas o lesiones mayores
Medio Si se explota la vulnerabilidad:1.Puede resultar en la pérdida monetaria de activos o recursos2.puede violar o impedir la misión, reputación o interés de la empresa3.Puede resultar en una lesión
Bajo Si se explota la vulnerabilidad:1.Puede resultar en la pérdida de algunos recursos o activos2.Puede llegar a afectar de manera casi imperceptible la misión, reputación o interés de la empresa
Determinación de nivel de Impactos ante explotación de vulnerabilidades de TI
44
Nivel de Riesgo Impacto Vulnerabilidad
Muy Alto Alto Alto
Alto Alto Medio
Alto Medio Alto
Medio Alto Bajo
Medio Medio Medio
Medio Medio Bajo
Medio Bajo Alto
Medio Bajo Medio
Bajo Bajo Bajo
Determinación de nivel de riesgo
Riesgo = Vulnerabilidad * Impacto
45
WEB
Server
Acceso no autorizado
B A M Se puede presentar el caso en el que personal no autorizado accese al equipo a nivel hardware o software durante el trayecto del Servicio hacia el sitio del Cliente, por lo cual impactaría en el desempeño adecuado del activo.
Front END Server
Falla de Hardware M A A Puede presentarse el caso en que alguna de las partes del activo funcione en forma deficiente, con lo cual afectaría en su funcionamiento general y afectaría también al aprovisionamiento adecuado del servicio.
WEB
Server
Negación de Servicio
A A MA Puede presentarse un ataque DoS dada la popularidad del sitio y la falta de controles para mitigar este ataque, si deja de responder el servicio causaría daños graves financieros y de imagen
Activo de Amenaza Justificación Información Vulnerbilidad Impacto Riesgo
Matriz derivada del análisis de riesgosMatriz derivada del análisis de riesgos
46
• Definición de las reglas de negocio del servicio
Información previa a la ejecución del Información previa a la ejecución del Análisis de riesgosAnálisis de riesgos
• Lista del inventario de activos de información que forman parte del servicio.
• La identificación y clasificación de la información para los activos de Información.
• Los flujos de información entre activos de información.
• Los usuarios de la información y/o activos.
• Información de impactos (financieros, legal, imagen, etc.)
47
Reglas de NegocioReglas de Negocio
Ejemplos más estructurados:Reglas de Operación
- 24x7 monitoreo y atención a fallas
- Equipo y solución de filtrado operada en XYZ por el equipo de Operaciones
- Cliente dueño de la cuenta, tiene privilegios para realizar cambios a los perfiles de sus usuarios vía el WEBKIT
- Filtrado esta dentro de la solución de los switches de Cache
- Perfiles definidos por el usuario no pueden cambiar ni modificar los perfiles. Tampoco pueden solicitar apoyo para cambiar perfiles, solo el usuario administrados puede hacer esto.
- Solamente el dueño (administrador) de la cuenta puede pedir cambios
- Soporte por medio del centro de atención para clientes de Internet Dial-Up
Atención a Clientes
- Facturación plana, adicional a la cuota de Dial-Up
- Puede ofrecerse un mes de prueba gratis
- Ajuste proporcional al tiempo que se utilizo cuando no entra la solicitud en los ciclos de facturación
Facturación
- Entrega hecha por parte de TMK (adicional a Dial-Up cuando se solicite en conjunto)
- No requiere configuración del lado del cliente
- Cliente se le da una clave de acceso para configurar los accesos adicionales con los perfiles que el requiera.
Entrega de Servicios
48
Lista del inventario de activos de informaciónElemento / Sistema / Aplicación
Descripción de Requerimientos Hardware
Descripción requerimientos de Software
Rol del Activo
Networker Server Servidor Ultra 60 OS Solaris 2.8Parches recomendados for SolarisLEGATO Networker 9.1.1
Servidor que realiza la administración de los respaldos y que recibe las peticiones de los cliente
Storage Node SUN Ultra 450 Networker Client 8.33 Storage nodes incrementa el paralelismo y la capacidad de recuperación de una configuración de networker. Un storage node puede estar conectado a un uno o varios storage devices.
Networker Client Por dispositvo Networker Client 6.1 para sistemas operativo
Agente que se instala en todos los servidores en los cuales se requiere realizar el respaldo
49
Identificación y clasificación de la información para los activos de Información
Activo Información Clasificación Información
Networker Server
Información de configuración del servidor Parámetros para los sistemas cliente que vaya a respaldar (horario y lineamientos)Índices de los archivos de esos clientesBase de datos de todos los volúmenes donde los datos de back up están almacenados. Metadatos
Propietaria ( restringida)
Storage Node
Información de configuración del respaldo para servidor local y de clientes distribuidos
Propietaria ( restringida)
Networker Client
Configuración de cliente Información a respaldar
Propietaria ( restringida)
50
Los flujos de información entre activos de Información
Aplicación / SistemaOrigen
Aplicación o Sistema Destino
Protocolo utilizado
Razón del flujo
Networker Server Network Client TCP / UDP ( Puertos variables)
Generación de respaldo
Network Client Networker Server TCP / UDP ( Puertos variables)
Restauración de información
Storage Node Network Client TCP / UDP ( Puertos variables)
Generación de respaldo cuando aplique
Networker Server Storage Node TCP / UDP ( Puertos variables)
Generación de respaldo cuando aplique
51
Los usuarios de la información y/o activos
Usuarios/ Organización
Aplicación / Sistema
al cual requiere acceso
Permiso ( Lectura / Escritura) y a que parte de la información se refiere
Naturaleza de Acceso
Ubicación del Acceso
Operación de Servicios
GSX.VOICE
GATEWAY
Lectura/Escritura
Configuración de Troncales ,
TELNET, WEB, CLI
RED Gestión
Administrador del sistema
Ruteadores de los clientes
Lectura/Escritura
Sistema Operativo, Configuración de Rutas, Configuración WAN, Configuración de Usuarios y Accesos
TELNET, WEB, CLI Intefase
RED Interna
52
Información de impactos (Financieros)
Descripción Hoy 4to. Cuarto de 2004
Tipo de cliente Empresarial Empresarial
Porcentaje de Mercado
8.8 % 9.1%
Numero de clientes de XYZ al cierre de Abril 2004
6,712 7,098
Volumen de ventas en retención
$ 88,160,000 $ 88,160,000
Volumen estimado de ventas de adquisición
N/A $ 45,510,000
Total de ventas anuales en (promedio)
$ 88,160,000 $ 133,670,000
Total de ventas mensuales (promedio)
$ 7,346,666 $ 11,139,166
Total de ventas diarias entrantes (promedio)
$ 244,888 $ 371,305
Datos crudos de las unidades de negocio, Servicio XYZ
USD
53
Información de impactos (Financieros)Información de impactos (Financieros)
-
5,000
10,000
15,000
20,000
25,000
1 2 3 4 5 6 7 8 9 10
En la Gráfica de Impactos financieros vs indisponibilidad en el servicio XYZ, se muestra la pérdida en el ingreso considerando un evento de afectación total del servicio
15min 1h 3h 12h 1d 2d 1sem 2sem 1mes 2mes
USD K MILES
54
Información de impactos (Legal, Ejemplo)Información de impactos (Legal, Ejemplo)
Existe la posibilidad que a causa de una falla en el servicio XYZ , los clientes puedan reclamar legalmente la reparación de un daño financiero.
Lo anterior es considerado si el servicio de XYZ a consecuencia de algún incidente no deseado o a consecuencia de la falta de capacidad de la infraestructura destinada a ofrecerlo pueda afectar el proceso de facturación y registro de llamadas, además del proceso de análisis de trafico, provocando inconsistencia en la información necesaria para realizar adecuadamente este proceso, afectando así las funcionalidades requeridas por los clientes.
Esto creará inconformidad en la relación Empresa-Cliente, ya que se les estará cobrando algún dato o trafico que no les corresponde, además que sería un factor de deserción y por consecuencia de la perdida porcentual de mercado que se pretende mantener y obtener.
55
Información de impactos (Imagen, Ejemplo)Información de impactos (Imagen, Ejemplo)
Existe la posibilidad que a consecuencia de una falla en el servicio XYZ se tenga un impacto negativo en la imagen de la empresa.
Se podría ante una falla en el servicio afectar en forma muy significativa las relaciones con diversas organizaciones así como en la sociedad en general ante una publicidad adversa ampliamente distribuida a nivel nacional, lo que afectará en los pronósticos realizados para retener y obtener un porcentaje mayor del segmento de mercado.
56
Créditos:Créditos:
Ing. Ricardo Morales González, MCSI, CISA, CISM, ISO27001 Auditor
Diseño y Programación Diseño y Programación
Miguel Angel Reynosa Castro
References• Senft, S. And Gallegos, F. (2008) Information
Technology Control and Audit, Third Edition, CRC Press, United States
¿Preguntas?
Recommended