JORNADA NACIONAL DE SEGURIDAD INFORMÁTICA

2004ACIS – UNIVERSIDAD CATÓLICA

Modelos de Control, Seguridad y Auditoría: Herramientas para profesionales en Seguridad

Informática

Junio 24 de 2004 – BogotáJorge Hernández CordóbaFernando Ferrer Olivaes

Universidad Católica2

Agenda

01 Introducción

02 Modelos

03 Conclusiones

04 Bibliografía

Universidad Católica3

“Revisión independiente de alguna o algunas actividades, funciones específicas, resultados u operaciones de una entidad

administrativa, realizada por un profesional de la Auditoría, con el propósito de evaluar su correcta

realización y con base en este análisis poder emitir una opinión autorizada sobre

la razonabilidad de sus resultados y el cumplimiento de sus operaciones.”

Definiciones de Auditoría... 0101

Universidad Católica4

Auditoría interna es una actividad independiente y objetiva de

aseguramiento y consulta, concebida para agregar valor y mejorar las

operaciones de una organización. Ayuda a una organización a cumplir sus objetivos aportando un enfoque

sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno

Otra definición

Universidad Católica5

El propósito fundamental es evaluar el uso adecuado de los sistemas para el correcto

ingreso de los datos, el procesamiento adecuado de la información y la emisión

oportuna de sus resultados en la institución, incluyendo la evaluación en el

cumplimiento de las funciones, actividades y operaciones de funcionarios, empleados y usuarios involucrados con los servicios

que proporcionan los sistemas computacionales a la empresa”

Auditoría de Sistemas de Información

Universidad Católica6

El control es una de las fases del proceso administrativo, le corresponde:

• comparar los resultados obtenidos contra los resultados determinados en el proceso de planeación de la estrategia organizacional y de sus actividades tácticas y operativas con el fin de

• determinar el nivel de cumplimiento y

• ajustar los diferentes parámetros y características de los procesos mediante los cuales se busca el cumplimiento de los objetivos organizacionales.

Control: Base para el desarrollo de la Auditoría

Universidad Católica7

Cualquier forma de control está basada en el uso de un lazo de retroalimentación

(feedback) mediante el cual se compara la salida (output) del proceso o sistema

controlado contra valores de referencia, de modo que al presentarse desviaciones, por exceso o por defecto, se produce una señal de “corrección” que debe ser alimentada al

proceso para corregir las desviaciones observadas en la salida.

Concepto de Control

Universidad Católica8

proceso

Lazo de retroalimentación

salidaentrada

Muestra de La salida

Valor de referencia

Concepto de control

Universidad Católica9

Auditoria de cumplimiento – un enfoque reactivo auditoria del Cumplimiento de un estándar Auditoría de Cumplimiento de una “mejor práctica” Auditoria del Cumplimiento de la opinión del auditor Auditoria del desarrollo de sistemas – un enfoque

proactivo Aseguramiento interno – un enfoque coactivo

Esquemas metodológicos tradicionales de la Auditoría

Universidad Católica10

Modelos de Control

Orientados a:

Control gerencial

Control Informático

Apoyar los controles anteriores

0202

Universidad Católica11

Control Gerencial - Gobierno Corporativo Control Gerencial - Gobierno Corporativo

Tecnología InformáticaTecnología Informática

Control InternoControl Interno

Seguridad InformáticaSeguridad Informática

ApoyoApoyo

0202Modelos de Control

Universidad Católica12

Control Gerencial - Gobierno Corporativo(OCDE, Basel II, Sarbanes-Oxley, HIPAA, PIPEDA, GLBA, …)

Control Gerencial - Gobierno Corporativo(OCDE, Basel II, Sarbanes-Oxley, HIPAA, PIPEDA, GLBA, …)

Tecnología Informática(Gobierno de TI, COBIT, Net Centric,

CMM/SW, CMM-I, MAGERIT…)

Tecnología Informática(Gobierno de TI, COBIT, Net Centric,

CMM/SW, CMM-I, MAGERIT…)

Control Interno(COSO, CoCo, Cadbury, …)

Control Interno(COSO, CoCo, Cadbury, …)

Seguridad Informática(Gobierno de Seguridad, ISO-17799,

BS-7799-2, NIST, Octave, …)

Seguridad Informática(Gobierno de Seguridad, ISO-17799,

BS-7799-2, NIST, Octave, …)

ApoyoRisk Management

[AS/NZS:4360/1999,MAGERIT, MGs]

Control-Self Assessment

Project Management

Quality Assurance

…

ApoyoRisk Management

[AS/NZS:4360/1999,MAGERIT, MGs]

Control-Self Assessment

Project Management

Quality Assurance

…

0202Modelos de Control y Alineamiento

Universidad Católica13

Necesidad de establecer un Sistema de Control Interno

Necesidad de establecer un Sistema de Control Interno

Modelos de Control Gerencial -Corporate Governance

OCDE (Organización para la cooperación y el desarrollo económicos)

Principios para mantener la confianza de los inversionistas y atraer capitales estables y a largo plazo en países en vía de desarrollo

Sarbanes Oxley Exactitud y transparencia de la información financiera

para empresas que cotizan en Bolsa

Universidad Católica14

Especificación de un Sistema de Control Interno

Especificación de un Sistema de Control Interno

Modelos de Control GerencialControl Interno

Definición

Proceso, llevado a cabo por la Junta Directiva, la dirección u otro personal de la entidad, y el resto del personaly el resto del personal, diseñado para proveer seguridad razonable sobre el logro de los siguientes tipos de objetivo:

Efectividad y eficiencia de las operaciones Confiabilidad de la información financiera Cumplimiento de leyes y regulaciones Salvaguarda de activosSalvaguarda de activos

Universidad Católica15

MONITOREO

ACTIVIDADES DE CONTROL

VALORACIÓN DE RIESGOS

AMBIENTE DE CONTROL

INF

OR

MA

CIÓ

N Y

CO

MU

NIC

AC

IÓN

COSOComponentes

Universidad Católica16

Control InternoAmbiente de Control

• Integridad y valores éticos

• Incentivos y tentaciones

• Guía de comportamiento moral

• Acuerdos de competencias

• Comité de auditoría

• Filosofía de administración

• Estructura organizacional

• Asignación de autoridad y responsabilidad

• Políticas y prácticas de recursos humanos

Universidad Católica17

Coco: Esquema

Objetivo

Compromiso

Capacidad

Acción

Seguimiento y aprendizaje

Entorno

Una persona ejecuta una tarea guiada por el entendimiento de:

Universidad Católica18

Objetivos

Recursos

Procesos

Objetivos de Control

Objetivos

Recursos

Procesos

Objetivos de Control

Modelos InformáticosTecnología Informática

Ambiente InformáticoAmbiente Informático

Universidad Católica19

Se refiere a la información que es relevante para el negocio y que debe ser entregada de manera correcta, oportuna, consistente y usable.

Efectividad

Se refiere a la provisión de información a través del óptimo (más productivo y económico) uso de los recursos.

Eficiencia

Relativa a la protección de la información sensitiva de su revelación no autorizada.

Confidencialidad

Se refiere a la exactitud y completitud de la información, así como su validez, en concordancia con los valores y expectativas del negocio.

Integridad

Objetivos

Universidad Católica20

Se refiere a la que la información debe estar disponible cuando es requerida por los procesos del negocio ahora y en el futuro. Involucra la salvaguarda de los recursos y sus capacidades asociadas.

Disponibilidad

Se refiere a cumplir con aquellas leyes, regulaciones y acuerdos contractuales, a los que están sujetos los procesos del negocio.

Cumplimiento

Se refiere a la provisión de la información apropiada a la alta gerencia, para operar la entidad y para ejercer sus responsabilidades finacieras y de cumplir con los reportes de su gestión.

Confiabilidad

Objetivos

Universidad Católica21

Recursos

Microcomputador o terminal==========================

Aplicaciones en funcionamiento(1),(2),(3),(4),(8),(10),(11)

Red local===============(1),(2),(3),(4),(5),(6),(7),(8),(9),(10),(11)

Sistema de comunicaciones(8),(11)

Seguridad de lainformación

Seguridad física

(1) Sistemas Operacionales

(2) Software de Seguridad

(3) Sistemas Manejadores de Bases de Datos y Diccionarios de Datos

(4) Monitores de Teleprocesamiento

(5) Ayudas para el desarrollo de programas

(6) Control del Cambio y Administración de librerías

(7) Editores en línea

(8) Software de Telecomunicaciones

(9) Sistema de soporte a operaciones

(10) Sistemas de oficina

(11) Intercambio electrónico de datos

Equipo central =========================

Operación del sistema(1),(2),(6),(7),(8),(9)

Universidad Católica22

Procesos

Adquisición eImplementación

Identificación de solucionesAdquisición y mantenimiento de SW aplicativoAdquisición y mantenimiento de arquitectura TIDesarrollo y mantenimiento de Procedimientos de TIInstalación y Acreditación de sistemasAdministración de Cambios

Planeación y Organización

Definir un plan estratégico de TIDefinir la arquitectura de informaciónDeterminar la dirección tecnológicaDefinir la organización y relaciones de TIManejo de la inversión en TIComunicación de directrices GerencialesAdministración del Recurso HumanoAsegurar el cumplir requerimientos externosEvaluación de RiesgosAdministración de ProyectosAdministración de Calidad

Universidad Católica23

Procesos

Servicios y Soporte

Seguimiento

Seguimiento de los procesosEvaluar lo adecuado del control InternoObtener aseguramiento independienteProveer una auditoría independiente

Definición del nivel de servicioAdministración del servicio de tercerosAdministración de la capacidad y el desempeñoAsegurar el servicio continuoGarantizar la seguridad del sistemaIdentificación y asignación de costosCapacitación de usuariosSoporte a los clientes de TIAdministración de la configuraciónAdministración de problemas e incidentesAdministración de datosAdministración de InstalacionesAdministración de Operaciones

Universidad Católica24

Objetivos de Control

• “Una declaración de resultado deseado o propósito a ser alcanzado por medio de la implementación de procedimientos de control en una actividad Particular de TI”

• 318 objetivos de control (de 3 a 30 objetivos por cada uno de los procesos)

• 2.3 Contratos con Terceros

Con respecto a las relaciones con los proveedores de servicios como terceras partes, la Gerencia deberá asegurar que los acuerdos de seguridad (por ejemplo, los acuerdos de no - revelación) sean identificados, declarados explícitamente y acordados, que éstos concuerden con los estándares de negocios universales y estén en línea con los requerimientos legales y regulatorios, incluyendo obligaciones.

Universidad Católica25

• Fundamentos de Seguridad Informática

• Elementos de un Framework de Seguridad

• Técnicas

• Fundamentos de Seguridad Informática

• Elementos de un Framework de Seguridad

• Técnicas

Modelos InformáticosSeguridad Informática

Universidad Católica26

Confidencialidad

Integridad Disponibilidad

Fundamentos de Seguridad InformáticaNIST – Common Criteria

AuditabilidadIdentificaciónAutenticación

RiesgoAmenaza

Vulnerabilidad…

Universidad Católica27

Elementos de un Framework de SeguridadISO 17799 - Areas principales

Política de Seguridad

Control y clasificación de activos

Seguridad física y ambiental

Control de acceso

Administración de la continuidad del negocio

Organización de la Seguridad

Seguridad del personal

Administración de las comunicaciones y

operaciones

Desarrollo y mantenimiento de

sistemas

Cumplimiento

Universidad Católica28

Técnicas

Valoración de Riesgos Riesgo = Vulnerabilidad x Amenaza x Valor del Activo Riesgo = Impacto x Probabildad

Identificación de Activos Identificación de Inventarios Clasificación de Datos Documentación de Hardware

http://net-services.ufl.edu/security/policy/workshops/documentation-workshop.ppt

Valoración de Vulnerabilidadeshttp://csrc.nist.gov/publications/nistpubs/800-55/sp800-55.pdf

Universidad Católica29

• Risk Management

• Control-Self Asessment

• Project Management

• …

• Risk Management

• Control-Self Asessment

• Project Management

• …

Modelos de Apoyo

Universidad Católica30

Modelos, Modelos, Modelos ….

Actualización – Investigación

Conclusiones 0303

Universidad Católica31

Universidad Católica de ColombiaFacultad de PostGrados

Bogotá

Proyecto Estado del Arte de la Auditoría de Sistemas

Bibliografía 0404

Universidad Católica32

PREGUNTAS?

Universidad Católica33

Muchas gracias por su atención