• Home

  • Documents

  • Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System...
58
Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia [email protected] 19.72388 lat, -101.1848 long

Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia [email protected]

Tags:

Embed Size (px)

Citation preview

Page 1: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx

Information Audit Planning

M.C. Juan Carlos Olivares Rojas

Department of Computer and SystemInstituto Tecnológico de Morelia

[email protected] lat, -101.1848 long

Page 2: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx

DisclaimerSome material in this presentation has been obtained from various sources, each of which has intellectual property, so in this presentation will only have some rights reserved.

These slides are free, so you can add, modify, and delete slides (including this one) and slide content to suit your needs. They obviously represent a lot of work on my part. In return for use, I only ask the following: if you use these slides (e.g., in a class) in substantially unaltered form, that you mention their source.

Page 3: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx

OutlineAuditing Phases

Planning

Preliminar Review

Detailed Review

Exam and Evaluation of Information.

Tests of User Control

Sustantive Test

System Assesment according to Risk.

Preliminar Investigation

Staff Participant

Page 4: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx

Objectives of the Session• The students will know the basis of planning

and make plans for Information Audit Project

Page 5: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx

Planning• Itinerary

• Estimation

• Tracking

Page 6: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx

Planning• The first step for planning consist in replanning

all the time.

• The estimation is a dificult activity because we manage impredictible sources such as time, money and people.

• The tracking process is an especial activity who is a critical factor for sucessfully development a project

Page 7: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx

Itinerary• It consist of a serie of activities which some

order, duration and other resources assignations.

• Results:

• Plan Diagram• Activity Matrix• Gant Chart• PERT/CPM• Program

Page 8: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx

Itinerary• Resources Matrix

• Estimation is implicit in the process.

• The most important estimation are time, cost, human resources, among others.

• Tracking is realized in a especial period of time called milestone. Tracking is a control process inside planning process.

Page 9: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx

Activity• Make the planning for a vacation trip (your

choose the place) this must be include all planning elements described in this class.

• Where we must be to beginning?

• Homework: Make a planning for an IT Auditing Process at Instituto Tecnológico de Morelia.

Page 10: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx

Preliminar and Detailed Review• In this Phase we works with documents

information systems and other resources.

• Preliminar Review is fast and acts as a filter. Detailed Review is important because we assurance the process.

Page 11: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx

Exam and Evaluation of Information

• The most important thing in a organization is asset, frecuently information assets.

• What are the principal assets in a Telecomunication Firm such as AT&T, Telmex, etc.?

• Cupper in 1976 60%

• Cupper, Fiber and Infraestructure 30% aprox. in 2008

Page 12: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx

Exam and Evaluation of Information

• Where are the rest of the money?

• Information System

• What is the most important thing in Coca-Cola?

• The Secret Formula. It’s the same since 1886, only 3 pesons in the world know it.

• This formula is patented like a comercial secret

Page 13: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx

Test of User Control’s• What’s a User Control?• It’s a control which applied to final user or

employees.

• This process is important because a lot of firms are interesting in their relations with theirs user, employees, providers and third-parts.

• In Programming the User Controls are the User Interface (UI). Remember for a end user, the UI is the system.

Page 14: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx

Substantive Test• Substantive testing is the stage of an audit

when the auditor gathers evidence as to the extent of misstatements in client's accounting records.

• This evidence is referred to as substantive evidence and is an important factor in determining the auditor's opinion on the financial statements as a whole.

Page 15: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx

Substantive Test• For example, the substantive test in an Inventory

System consists of:

• Physically examine inventory on balance date as evidence that inventory shown in the accounting records actually exists (validity assertion);

• Arrange for suppliers to confirm in writing the details of the amount owing at balance date as evidence that accounts payable is complete (completeness assertion);

Page 16: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx

Substantive Test• And make inquires of management about the

collectibility of customers' accounts as evidence that trade debtors is accurate as to its valuation. Evidence that an account balance or class of transaction is not complete, valid or accurate is evidence of a substantive misstatement.

Page 17: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx

Activity• In a Spreadsheet (electronic or paper) obtain

de Standard Deviation of the follow numbers: 1, 3, 5, 7, 9, 11, 13, 21, and the last 2 digit of yours control number.

• For the first number (until 21) SD = 6.36

• This is an example of compliance test

Page 18: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx

Activity• What did the next pseudocode do?

• W, X, Y, Z: real

• READ W, X

• Z = 1

• While (z > 0.01) do

• Y = X – (((X*X) – W)/ (2*X))

• Z = abs(X – Y)

• X = Y

• End While

• Print X

Page 19: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx

Activity• Realized a desktop test or paper run of the

algoritm with some values.

Page 20: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx

Risk Assesment• In auditing, risk assessment is a very crucial

stage before accepting an audit engagement.

• According to ISA315 Understanding the Entity and its Environment and Assessing the Risks of Material Misstatement, "the auditor should perform risk assessment procedures to obtain an understanding of the entity and its environment, including its internal control"

Page 21: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx

Risk Assessment• Auditor obtains initial evidence regarding the

classes of transactions at the client and the operating effectiveness of the client’s internal controls.

• In auditing, audit risk includes inherent risk, control risk and detection risk.

Page 22: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx

Risk Assessment• What’s a Risk?

• It`s a probability of activity occurs.

• It’s related with Threats, Vulnerabilities, Impact and Exposures.

• All activities have a risk.

Page 23: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx

Risk Assesment

What’s the probability of ocurrence of this activity?

Page 24: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx

Risk Assesment• There are a lot of Methodologies for Calculating

Risk but all are dependents of the user.

• Risk are calculating in three levels: high, medium and low.

• Risk are calculating by dimension like Impact and Frecuency of Ocurrence.

Page 25: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx

Risk Assesment

Page 26: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx

Simulators• Assurance-Life:

• 194.224.248.32/simuladores/ *

• Business:

• http://www.gameonsoftware.com/index.htm

• http://www.beer-war.com/ *

• http://www.riskybusiness.com/

http://www.gameonsoftware.com/index.htm
http://www.beer-war.com/
http://www.riskybusiness.com/
http://www.riskybusiness.com/
Page 27: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx

27

Riesgo

Calculado por el producto de la probabilidad de ocurrencia de la amenaza vs los impactos que tendría

el activo de materializarse dicha amenaza.

Page 28: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx

28

Controles

Es una tecnología, política, proceso o procedimiento que contrarresta una amenaza y por consecuencia

mitiga los riesgos asociados a un activo.

Page 29: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx

29

Modelo de Riesgos

Riesgo

VulnerabilidadesAmenazas

Controles

Requerimientos de seguridad Valor del activo

Activos

Proteccióncontra

Explotan

Reduce

Aumenta

Establece

Aumenta

Exponen

TieneAumenta

Implementan

Impacto en la organización

Page 30: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx

30

Objetivo

• Implementación de controles que ayuden a mitigar los riesgos.

• Monitoreo de la efectividad de los controles y su impacto (reducción) en los riesgos

El análisis de riesgos debe contar con el soporte de la alta dirección

Page 31: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx

31

Análisis de Riesgos

• ¿Quién debe participar?

– Se debe formar un equipo interdisciplinario que debe estar conformado por al menos las siguientes funciones:

• Dueños de los activos

• Custodios de los activos

• Seguridad de Información

– Se pueden incluir según sea el caso:

• Recursos Humanos

• Legal / Regulatorio

• Finanzas

Page 32: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx

32

Responsabilidades de Dueños y Custodios de activos

• Responsabilidades de los dueños:– Últimos responsables de los activos– Responsables de los riesgos asociados a los activos– Responsables de la valuación de activos– Responsables de la clasificación de activos

• Responsabilidades de los custodios:– Operación y mantenimiento de los activos

(incluyendo sus servicios asociados)– Operación de los controles asociados a los activos

• Monitoreo, respaldos, análisis de bitácoras, etc.

Page 33: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx

33

Análisis de Riesgos

• Existen dos tipos de análisis de riesgos:

– Cualitativo• Se utilizan escenarios, juicios, percepciones e

incluso la intuición para el calculo de los valores de los elementos que conforman el proceso.

• Se asume que el personal que participa en los análisis son expertos en las funciones que les compete.

Page 34: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx

34

Análisis de Riesgos

• Existen dos tipos de análisis de riesgos:– Cuantitativo

• Se realizan cálculos numéricos para la estimación de todos los elementos que conforman el proceso, tales como:

– El valor de los activos.– La probabilidad de ocurrencia de las amenazas.– Los impactos en el negocio.

• Un análisis cuantitativo “puro” no es posible dada la naturaleza cualitativa de los elementos que conforman el proceso.

Page 35: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx

35

Cualitativo vs. Cuantitativo

Cuantitativo Cualitativo

Ventajas

Se asignan prioridades a los riesgos según las repercusiones financieras; se asignan prioridades de los activos según los valores financieros. Los resultados facilitan la administración del riesgo por el rendimiento de la inversión en seguridad. Los resultados se pueden expresar en términos de negocio (ejemplo: perdidas financieras, costos anuales) La precisión tiende a incrementarse con el tiempo a medida que se gana experiencia y se acumula información histórica.

Permite la visibilidad y la comprensión de la clasificación de riesgos.

Resulta más fácil lograr el consenso.

No es necesario cuantificar la frecuencia de las amenazas.

No es necesario determinar los valores financieros de los activos.

Resulta más fácil involucrar a personas que no sean expertas en seguridad o en informática.

Page 36: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx

36

Cualitativo vs. Cuantitativo

Cuantitativo Cualitativo

Desventajas

Los valores de impacto asignados a los riesgos se basan en las opiniones subjetivas de los participantes. Los procesos para alcanzar el consenso y resultados creíbles consumen mucho tiempo. Los cálculos pueden ser complejos y lentos. Los resultados sólo se presentan en términos monetarios y pueden ser difíciles de interpretar por algunas personas. El proceso requiere experiencia, los participantes no pueden ser educados con facilidad a través del proceso.

No hay una distinción suficiente entre los riesgos importantes.

Es difícil de justificar la inversión en la implementación de los controles debido a que no hay bases de un análisis costo-beneficio.

Los resultados dependen de la calidad del equipo que este trabajando en el proceso.

Page 37: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx

37

1- Asignar valor a los activos

2- Estimar pérdida potencial por riesgoCalcular SLE (single loss expectancy)SLE = Valor del Activo * EF (EF= % de pérdida de activo causada por identificar amenazas)

3- Ejecutar un análisis de amenazasCalcular ARO (annualized rate of ocurrence)Es la frecuencia esperada donde una amenaza pueda ocurrir en base anualizada

Modelos Cuantitativos, pasos a seguir

Calcular ALE (annualized rate of ocurrence)ALE = SLE * ARO

4- Derivar la pérdida potencial global por amenaza

5- Reducir, asignar o aceptar el riesgo

Page 38: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx

38

Modelos Cualitativos de Análisis de RiesgosModelos Cualitativos de Análisis de Riesgos

• No asigna números reales o valores monetarios a componentes y perdidas.

• Analizan diversos escenarios de posibilidades de riesgo y “rankean” la seriedad de las amenazas y la validez de las diversas posibles contramedidas.

• Es necesario usar juicios, intuición y experiencia Se usan técnicas como:

BrainstormingFocus GroupsEncuestasCuestionariosChecklistsEntrevistas

Page 39: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx

39

Identificación de Amenazas

Identificación de Vulnerabilidad

Identificación de Impactos

Riesgo (A,M,B) Enfoques:Relativa Frecuencia, “A priori”, deducción lógica, Subjetividad

Modelo de Análisis de Riesgos de TIModelo de Análisis de Riesgos de TI

Análisis de RiesgosSon necesarios Controles de Seguridad para mitigar riesgos,

pueden ser:Procesos, Directrices, Mecanismos tecnológicos,Políticas, Etc.

Amenaza:Código MaliciosoSi se materializa:Pérdida del Servicio,Pérdida de Información

-Respaldo de Información

-Política de Email

-Separación de ambiente de desarrolloy de producción

- Controles vs troyanos

CONTROLES

Page 40: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx

40

Matriz deRiesgo

Análisisde

Controles

Modelo de ANÁLISIS DE RIESGOModelo de ANÁLISIS DE RIESGO

Selección de

Amenazas

Datos deEntrada

Caso de Negocios

Plan deAcción

VoBo Rechazado

Page 41: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx

41

Amenazas Vulnerabilidades

Controles Riesgos Bienes

Explotan

AumentanProtegen de Aumentan

Exponen

Reducen

Matriz de RiesgosMatriz de Riesgos

Riesgo = Vulnerabilidad * Impacto

Page 42: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx

42

Matriz de RiesgosMatriz de Riesgos

Nivel Definición de Ocurrencia

Alto La amenaza tiene una gran probabilidad de ocurrencia, y los controles que previenen

esta vulnerabilidad son inefectivos.

Medio La amenaza tiene probabilidad de ocurrencia, pero los controles actuales

pueden impedir que se explote dicha vulnerabilidad.

Bajo La amenaza es de muy baja probabilidad o los controles

existentes evitan que suceda.

Determinación del nivel de Vulnerabilidad ante amenazas de TI

Page 43: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx

43

Magnitud del Impacto Definición del Impacto

Alto Si se explota la vulnerabilidad:1.Existe una pérdida monetaria de los activos tangibles o recursos más importantes de la empresa2.Se ve afectada la misión, reputación o interés de la empresa3.Existen pérdidas humanas o lesiones mayores

Medio Si se explota la vulnerabilidad:1.Puede resultar en la pérdida monetaria de activos o recursos2.puede violar o impedir la misión, reputación o interés de la empresa3.Puede resultar en una lesión

Bajo Si se explota la vulnerabilidad:1.Puede resultar en la pérdida de algunos recursos o activos2.Puede llegar a afectar de manera casi imperceptible la misión, reputación o interés de la empresa

Determinación de nivel de Impactos ante explotación de vulnerabilidades de TI

Page 44: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx

44

Nivel de Riesgo Impacto Vulnerabilidad

Muy Alto Alto Alto

Alto Alto Medio

Alto Medio Alto

Medio Alto Bajo

Medio Medio Medio

Medio Medio Bajo

Medio Bajo Alto

Medio Bajo Medio

Bajo Bajo Bajo

Determinación de nivel de riesgo

Riesgo = Vulnerabilidad * Impacto

Page 45: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx

45

WEB

Server

Acceso no autorizado

B A M Se puede presentar el caso en el que personal no autorizado accese al equipo a nivel hardware o software durante el trayecto del Servicio hacia el sitio del Cliente, por lo cual impactaría en el desempeño adecuado del activo.

Front END Server

Falla de Hardware M A A Puede presentarse el caso en que alguna de las partes del activo funcione en forma deficiente, con lo cual afectaría en su funcionamiento general y afectaría también al aprovisionamiento adecuado del servicio.

WEB

Server

Negación de Servicio

A A MA Puede presentarse un ataque DoS dada la popularidad del sitio y la falta de controles para mitigar este ataque, si deja de responder el servicio causaría daños graves financieros y de imagen

Activo de Amenaza Justificación Información Vulnerbilidad Impacto Riesgo

Matriz derivada del análisis de riesgosMatriz derivada del análisis de riesgos

Page 46: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx

46

• Definición de las reglas de negocio del servicio

Información previa a la ejecución del Información previa a la ejecución del Análisis de riesgosAnálisis de riesgos

• Lista del inventario de activos de información que forman parte del servicio.

• La identificación y clasificación de la información para los activos de Información.

• Los flujos de información entre activos de información.

• Los usuarios de la información y/o activos.

• Información de impactos (financieros, legal, imagen, etc.)

Page 47: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx

47

Reglas de NegocioReglas de Negocio

Ejemplos más estructurados:Reglas de Operación

- 24x7 monitoreo y atención a fallas

- Equipo y solución de filtrado operada en XYZ por el equipo de Operaciones

- Cliente dueño de la cuenta, tiene privilegios para realizar cambios a los perfiles de sus usuarios vía el WEBKIT

- Filtrado esta dentro de la solución de los switches de Cache

- Perfiles definidos por el usuario no pueden cambiar ni modificar los perfiles. Tampoco pueden solicitar apoyo para cambiar perfiles, solo el usuario administrados puede hacer esto.

- Solamente el dueño (administrador) de la cuenta puede pedir cambios

- Soporte por medio del centro de atención para clientes de Internet Dial-Up

Atención a Clientes

- Facturación plana, adicional a la cuota de Dial-Up

- Puede ofrecerse un mes de prueba gratis

- Ajuste proporcional al tiempo que se utilizo cuando no entra la solicitud en los ciclos de facturación

Facturación

- Entrega hecha por parte de TMK (adicional a Dial-Up cuando se solicite en conjunto)

- No requiere configuración del lado del cliente

- Cliente se le da una clave de acceso para configurar los accesos adicionales con los perfiles que el requiera.

Entrega de Servicios

Page 48: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx

48

Lista del inventario de activos de informaciónElemento / Sistema / Aplicación

Descripción de Requerimientos Hardware

Descripción requerimientos de Software

Rol del Activo

Networker Server Servidor Ultra 60 OS Solaris 2.8Parches recomendados for SolarisLEGATO Networker 9.1.1

Servidor que realiza la administración de los respaldos y que recibe las peticiones de los cliente

Storage Node SUN Ultra 450 Networker Client 8.33 Storage nodes incrementa el paralelismo y la capacidad de recuperación de una configuración de networker. Un storage node puede estar conectado a un uno o varios storage devices.

Networker Client Por dispositvo Networker Client 6.1 para sistemas operativo

Agente que se instala en todos los servidores en los cuales se requiere realizar el respaldo

Page 49: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx

49

Identificación y clasificación de la información para los activos de Información

Activo Información Clasificación Información

Networker Server

Información de configuración del servidor Parámetros para los sistemas cliente que vaya a respaldar (horario y lineamientos)Índices de los archivos de esos clientesBase de datos de todos los volúmenes donde los datos de back up están almacenados. Metadatos

Propietaria ( restringida)

Storage Node

Información de configuración del respaldo para servidor local y de clientes distribuidos

Propietaria ( restringida)

Networker Client

Configuración de cliente Información a respaldar

Propietaria ( restringida)

Page 50: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx

50

Los flujos de información entre activos de Información

Aplicación / SistemaOrigen

Aplicación o Sistema Destino

Protocolo utilizado

Razón del flujo

Networker Server Network Client TCP / UDP ( Puertos variables)

Generación de respaldo

Network Client Networker Server TCP / UDP ( Puertos variables)

Restauración de información

Storage Node Network Client TCP / UDP ( Puertos variables)

Generación de respaldo cuando aplique

Networker Server Storage Node TCP / UDP ( Puertos variables)

Generación de respaldo cuando aplique

Page 51: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx

51

Los usuarios de la información y/o activos

Usuarios/ Organización

Aplicación / Sistema

al cual requiere acceso

Permiso ( Lectura / Escritura) y a que parte de la información se refiere

Naturaleza de Acceso

Ubicación del Acceso

Operación de Servicios

GSX.VOICE

GATEWAY

Lectura/Escritura

Configuración de Troncales ,

TELNET, WEB, CLI

RED Gestión

Administrador del sistema

Ruteadores de los clientes

Lectura/Escritura

Sistema Operativo, Configuración de Rutas, Configuración WAN, Configuración de Usuarios y Accesos

TELNET, WEB, CLI Intefase

RED Interna

Page 52: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx

52

Información de impactos (Financieros)

Descripción Hoy 4to. Cuarto de 2004

Tipo de cliente Empresarial Empresarial

Porcentaje de Mercado

8.8 % 9.1%

Numero de clientes de XYZ al cierre de Abril 2004

6,712 7,098

Volumen de ventas en retención

$ 88,160,000 $ 88,160,000

Volumen estimado de ventas de adquisición

N/A $ 45,510,000

Total de ventas anuales en (promedio)

$ 88,160,000 $ 133,670,000

Total de ventas mensuales (promedio)

$ 7,346,666 $ 11,139,166

Total de ventas diarias entrantes (promedio)

$ 244,888 $ 371,305

Datos crudos de las unidades de negocio, Servicio XYZ

USD

Page 53: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx

53

Información de impactos (Financieros)Información de impactos (Financieros)

-

5,000

10,000

15,000

20,000

25,000

1 2 3 4 5 6 7 8 9 10

En la Gráfica de Impactos financieros vs indisponibilidad en el servicio XYZ, se muestra la pérdida en el ingreso considerando un evento de afectación total del servicio

15min 1h 3h 12h 1d 2d 1sem 2sem 1mes 2mes

USD K MILES

Page 54: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx

54

Información de impactos (Legal, Ejemplo)Información de impactos (Legal, Ejemplo)

Existe la posibilidad que a causa de una falla en el servicio XYZ , los clientes puedan reclamar legalmente la reparación de un daño financiero.

Lo anterior es considerado si el servicio de XYZ a consecuencia de algún incidente no deseado o a consecuencia de la falta de capacidad de la infraestructura destinada a ofrecerlo pueda afectar el proceso de facturación y registro de llamadas, además del proceso de análisis de trafico, provocando inconsistencia en la información necesaria para realizar adecuadamente este proceso, afectando así las funcionalidades requeridas por los clientes.

Esto creará inconformidad en la relación Empresa-Cliente, ya que se les estará cobrando algún dato o trafico que no les corresponde, además que sería un factor de deserción y por consecuencia de la perdida porcentual de mercado que se pretende mantener y obtener.

Page 55: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx

55

Información de impactos (Imagen, Ejemplo)Información de impactos (Imagen, Ejemplo)

Existe la posibilidad que a consecuencia de una falla en el servicio XYZ se tenga un impacto negativo en la imagen de la empresa.

Se podría ante una falla en el servicio afectar en forma muy significativa las relaciones con diversas organizaciones así como en la sociedad en general ante una publicidad adversa ampliamente distribuida a nivel nacional, lo que afectará en los pronósticos realizados para retener y obtener un porcentaje mayor del segmento de mercado.

Page 56: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx

56

Créditos:Créditos:

Ing. Ricardo Morales González, MCSI, CISA, CISM, ISO27001 Auditor

Diseño y Programación Diseño y Programación

Miguel Angel Reynosa Castro

Page 57: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx

References• Senft, S. And Gallegos, F. (2008) Information

Technology Control and Audit, Third Edition, CRC Press, United States

Page 58: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx

¿Preguntas?


Datos de contacto - itmorelia.edu.mx · SOLICITUD DE ACTO RECEPCIONAL Y TITULO PASO 1 DIGITALIZACION Y ENVIO DE DOCUMENTOS ATENCIÓN POR correo electrónico titulacion.escolares@itmorelia.edu.mx

Datos de contacto - itmorelia.edu.mx · SOLICITUD DE ACTO RECEPCIONAL Y TITULO PASO 1 DIGITALIZACION Y ENVIO DE DOCUMENTOS ATENCIÓN POR correo electrónico [email protected]

Documents
Computer Network Construction M. Sc. Juan Carlos Olivares Rojas juancarlosolivares@hotmail.com jcolivar@itmorelia.edu.mx jcolivar

Computer Network Construction M. Sc. Juan Carlos Olivares Rojas [email protected] [email protected] jcolivar

Documents
E-books M.C. Juan Carlos Olivares Rojas MSN: juancarlosolivares@hotmail.com jcolivar@itmorelia.edu.mx jcolivar/ @jcolivares

E-books M.C. Juan Carlos Olivares Rojas MSN: [email protected] [email protected] jcolivar/ @jcolivares

Documents
IP CORES ISE WEBPACK - itmorelia.edu.mx

IP CORES ISE WEBPACK - itmorelia.edu.mx

Documents
Planificación del Sistema M.C. Juan Carlos Olivares Rojas jcolivar@itmorelia.edu.mx jcolivar/ juancarlosolivares@hotmail.com

Planificación del Sistema M.C. Juan Carlos Olivares Rojas [email protected] jcolivar/ [email protected]

Documents
Competencia 3: Planeación de los Centros de Informática M.C. Juan Carlos Olivares Rojas MSN: juancarlosolivares@hotmail.com jcolivar@itmorelia.edu.mx jcolivar

Competencia 3: Planeación de los Centros de Informática M.C. Juan Carlos Olivares Rojas MSN: [email protected] [email protected] jcolivar

Documents
INSTITUTO TECNOLÓGICO DE MORELIA SUBDIRECCIÓN …itmorelia.edu.mx/assets/sliders/doctos/Resultados de ingreso.pdf · “2020, Año de Leona Vicario, Benemérita Madre de la Patria”

INSTITUTO TECNOLÓGICO DE MORELIA SUBDIRECCIÓN …itmorelia.edu.mx/assets/sliders/doctos/Resultados de ingreso.pdf · “2020, Año de Leona Vicario, Benemérita Madre de la Patria”

Documents
Conoce Morelia

Conoce Morelia

Travel
UP: Planeación M.C. Juan Carlos Olivares Rojas jolivares@uvaq.edu.mx jcolivar 2009

UP: Planeación M.C. Juan Carlos Olivares Rojas [email protected] jcolivar 2009

Documents
Notas Transformadores 2017 ok - itmorelia.edu.mx

Notas Transformadores 2017 ok - itmorelia.edu.mx

Documents
Software Planning Juan Carlos Olivares Rojas MSN: juancarlosolivares@hotmail.com jcolivar@itmorelia.edu.mx jcolivar/ @jcolivares

Software Planning Juan Carlos Olivares Rojas MSN: [email protected] [email protected] jcolivar/ @jcolivares

Documents
MANUAL DE REDES DE COMPUTADORAS - itmorelia.edu.mx

MANUAL DE REDES DE COMPUTADORAS - itmorelia.edu.mx

Documents
Metodologías de Desarrollo de Software (Ciclo de Vida) Juan Carlos Olivares Rojas MSN: juancarlosolivares@hotmail.com jcolivar@itmorelia.edu.mx jcolivar

Metodologías de Desarrollo de Software (Ciclo de Vida) Juan Carlos Olivares Rojas MSN: [email protected] [email protected] jcolivar

Documents
Software Modelling Juan Carlos Olivares Rojas MSN: juancarlosolivares@hotmail.com jcolivar@itmorelia.edu.mx jcolivar

Software Modelling Juan Carlos Olivares Rojas MSN: [email protected] [email protected] jcolivar

Documents
Introduction to Information Audit M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx

Introduction to Information Audit M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia [email protected]

Documents
Manual FastTrack de PC2 M.C. Juan Carlos Olivares Rojas jcolivar@itmorelia.edu.mx jcolivar/ @jcolivares Marzo 2010

Manual FastTrack de PC2 M.C. Juan Carlos Olivares Rojas [email protected] jcolivar/ @jcolivares Marzo 2010

Documents
Network Problems and Solutions M. Sc. Juan Carlos Olivares Rojas juancarlosolivares@hotmail.com jcolivar@itmorelia.edu.mx jcolivar

Network Problems and Solutions M. Sc. Juan Carlos Olivares Rojas [email protected] [email protected] jcolivar

Documents
Software Testing Juan Carlos Olivares Rojas MSN: juancarlosolivares@hotmail.com jcolivar@itmorelia.edu.mx jcolivar/ @jcolivares

Software Testing Juan Carlos Olivares Rojas MSN: [email protected] [email protected] jcolivar/ @jcolivares

Documents
Poker Planning Juan Carlos Olivares Rojas MSN: juancarlosolivares@hotmail.com jcolivar@itmorelia.edu.mx jcolivar/ @jcolivares

Poker Planning Juan Carlos Olivares Rojas MSN: [email protected] [email protected] jcolivar/ @jcolivares

Documents
Security Assesment M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx 19.72388

Security Assesment M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia [email protected] 19.72388

Documents
Network Basis M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx 19.72388 lat,

Network Basis M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia [email protected] 19.72388 lat,

Documents
UP: Construcción M.C. Juan Carlos Olivares Rojas jolivares@uvaq.edu.mx jcolivar 2009

UP: Construcción M.C. Juan Carlos Olivares Rojas [email protected] jcolivar 2009

Documents
Test-Driven Development Juan Carlos Olivares Rojas MSN: juancarlosolivares@hotmail.com jcolivar@itmorelia.edu.mx jcolivar

Test-Driven Development Juan Carlos Olivares Rojas MSN: [email protected] [email protected] jcolivar

Documents
Sensores Conceptos - itmorelia.edu.mx

Sensores Conceptos - itmorelia.edu.mx

Documents
MORELIA · 2020. 7. 7. · MORELIA ... morelia

MORELIA · 2020. 7. 7. · MORELIA ... morelia

Documents
Reestructuración de Código M.C. Juan Carlos Olivares Rojas jcolivar@itmorelia.edu.mx jcolivar/ juancarlosolivares@hotmail.com

Reestructuración de Código M.C. Juan Carlos Olivares Rojas [email protected] jcolivar/ [email protected]

Documents
Introducción M.C. Juan Carlos Olivares Rojas jcolivar@itmorelia.edu.mx jcolivar/ juancarlosolivares@hotmail.com @jcolivares

Introducción M.C. Juan Carlos Olivares Rojas [email protected] jcolivar/ [email protected] @jcolivares

Documents
J2ME M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx jcolivar

J2ME M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia [email protected] jcolivar

Documents
“Conceptos Básicos”xumarhu.net/web_services_conceptos.pdf · 14 Rogelio Ferreira Escutia Instituto Tecnológico de Morelia Departamento de Sistemas y Computación Correo: rogelio@itmorelia.edu.mx

“Conceptos Básicos”xumarhu.net/web_services_conceptos.pdf · 14 Rogelio Ferreira Escutia Instituto Tecnológico de Morelia Departamento de Sistemas y Computación Correo: [email protected]

Documents
Rogelio Ferreira Escutia - itmorelia.edu.mx

Rogelio Ferreira Escutia - itmorelia.edu.mx

Documents