• Se define como cualquier actividad o acciónrealizada manual y/o automática para prevenir,corregir errores o irregularidades que puedanafectar al funcionamiento de un sistema paraconseguir sus objetivos.

• Se necesitan que para su implementación seancompletos, simples, fiables, revisables, adecuados yrentables

• Controles preventivos: Para tratar de evitar elhecho, como un software de seguridad que impidalos accesos no autorizados al sistema.

• Controles detectivos: cuando fallan lospreventivos para tratar de conocer cuanto antes elevento. Por ejemplo, el registro de intentos deacceso no autorizados.

• Controles correctivos: facilitan la vuelta a lanormalidad cuando se han producido incidencias.Por ejemplo, la recuperación de un archivo perdidoo dañado a partir de las copias de seguridad.

• Objetivo de control de mantenimiento:asegurarse que las modificaciones de losprocedimientos programados están adecuadamentediseñados, probadas, aprobadas e implantadas.

• Objetivo de control de seguridad deprogramas: garantizar que no se pueden efectuarcambios no autorizados en los procedimientosprogramados.

• Es necesario conocer la configuración del sistema,para identificar riesgos

• Se sugiere documentar lo siguiente: Entorno de red: esquema de la red, descripción

del hardware, software que se utiliza para el accesoa las telecomunicaciones.

Configuración del computador base:configuración del soporte físico, entorno del S.O,software con particiones, programas y conjuntos dedatos.

Entorno de aplicaciones: procesos detransacciones, sistemas de gestión de bd y entornosde procesos distribuidos.

Productos y herramientas: software paradesarrollo de programas, software de gestión debibliotecas y para operaciones automáticas.

Seguridad del computador base: identificar yverificar usuarios, control de acceso a registros einformación, integridad del sistema, controles desupervisión, etc.

Es necesario definir lo siguiente:• Gestión de sistemas de información: políticas,

pautas y normas técnicas que sirvan de base parael diseño y la implantación de los SI y de loscontroles correspondiente.

• Administración de sistemas: controles sobre laactividad de los centros de datos y otras funcionesde apoyo al sistema, incluyendo la administraciónde redes.

• Seguridad• Gestión del cambio

• Seguridad: incluye los tres clases de controlesimplantados en el software del sistema, integridad,confidencialidad y disponibilidad.

• Gestión del cambio: separación de las pruebas y laproducción a nivel de software y controles deprocedimientos para la migración de programassoftware aprobados y probados.

Es necesario definir lo siguiente:• Gestión de sistemas de información: políticas,

pautas y normas técnicas que sirvan de base parael diseño y la implantación de los SI y de loscontroles correspondiente.

• Administración de sistemas: controles sobre laactividad de los centros de datos y otras funcionesde apoyo al sistema, incluyendo la administraciónde redes.

• Seguridad: Incluye los tres clases de controlesfundamentales implantados en el software delsistema como son: integridad del sistema,condifencialidad y disponibilidad.

• Gestión del cambio: separación de las pruebas yla producción a nivel de software y controles deprocedimientos para la migración de programasaprobados y probados.

La implantación de una política y cultura sobre laseguridad requiere que sea realizada por fases y estérespaldada por la Dirección :• Dirección de Negocio o dirección de SI: Han definir la política

y/o directrices para los SI en base a las exigencias delnegocio, que podrán ser internas o externas.

• Dirección informática: Define las normas de funcionamientodel entorno informático y de cada una de las funciones deinformática mediante la creación y publicación deprocedimientos, estándares, metodología y normas, aplicablesa todas las áreas de Informática así como a los usuarios, queestablezcan el marco de funcionamiento

• Control interno informático: Define los diferentescontroles periódicos a realizar en cada una de lasfunciones informáticas, de acuerdo al nivel deriesgo de cada una de ellas, y ser diseñadosconformo a los objetivos de negocio y dentro delmarco legal aplicable. Éstos se plasmarán en losprocedimientos de control interno, pueden serpreventivos. Debe de realizar revisiones periódicala revisión de los controles establecidos, e informarsi detectas desviaciones, se debe sugerir cambiosque considere pertinente y difundirconstantemente a toda la organización deinformática la cultura y política delriesgo informático.

• Auditor interno/externo: Revisará los diferentescontroles internos definidos en cada una de lasfunciones informáticas y el cumplimiento denormativa interna y externa. De acuerdo al nivelde riesgo, conforme a los objetivos definidos por laDirección de Negocio y la Dirección de Informática.Informará a la Alta Dirección de los hechosobservados y al detectarse deficiencias o ausenciasde controles recomendar acciones que minimicenlos riesgos que pueden originarse.

Dirección Exigencias internas y externas

Políticas y directrices

Políticas

Estándares procedimientos, normas y metodologías

Implantar procedimientos de control

Comprobación y seguimiento de controles

Cultura

1. Controles generales organizativos

• Políticas. Deberá servir de base para la planificación,control y evaluación por la dirección de las actividades deldpto de informática.

• Planificación:Plan Estratégico de Información realizado por el Comité de

Informática.Plan Informático, realizado por el Departamento de Informática.Plan General de Seguridad (física y lógica).Plan de Contingencia ante desastres.

2. Controles de desarrollo y mantenimiento de sistemas de información

Permiten alcanzar la eficacia del sistema, economía,eficiencia, integridad de datos, protección de recursos ycumplimiento con las leyes y regulaciones a través demetodologías como la del Ciclo de Vida de Desarrollo deaplicaciones.

3. Controles de explotación de sistemas de información

Tienen que ver con la gestión de los recursos tanto a nivel deplanificación, adquisición y uso del hardware así como losprocedimientos de, instalación y ejecución del software.

4. Controles en aplicacionesToda aplicación debe llevar controles incorporados paragarantizar la entrada, actualización, salida, validez ymantenimiento completos y exactos de los datos.

5. Controles específicos de ciertas tecnologías5.1 Controles en sistemas de gestión de base de datosTienen que ver con la administración de los datos paraasegurar su integridad, disponibilidad y seguridad.5.2 Controles informáticos sobre redesTienen que ver sobre el diseño, instalación, mantenimiento,seguridad y funcionamiento de las redes instaladas en unaorganización sean estas centrales y/o distribuidas.

5.3 Controles sobre computadores y redes de árealocal

Se relacionan a las políticas de adquisición, instalación ysoporte técnico, tanto del hardware como del software deusuario, así como la seguridad de los datos que en ellos seprocesan.

Método: Modo de decir o hacer conorden una cosa.

Metodología: Conjunto de métodosque se siguen en una investigacióncientífica o en una exposicióndoctrinal.

La normatividadLa organizaciónLas metodologíasLos objetos de controlLos procedimientos de controlTecnología de seguridadLas herramienta de control

La normatividad

La organización

Las metodologías

Los objetos de control

Los procedimientos de control

Tecnología de seguridad

Las herramienta de control

+Plan de Seguridad:Estrategia planificada deacciones y productos quelleven a un sistema deinformación y sus centrosde proceso de unasituación inicialdeterminada a unasituación mejorada.

• Análisis de riesgo: Facilita la evaluación de los riegosy recomienda acciones en base al costo-beneficio de lasmismas.

• Auditoria informática: Identifica el nivel deexposición por falta de controles.

Definiciones importantes de mencionar:

• Amenaza: una persona o cosa vista como posible fuentede peligro o catástrofe.

• Vulnerabilidad: Situación creada, por la falta de unoo varios controles, con la que la amenaza pudieraacaecer y así afectar al entorno informático.

• Riesgo: La probabilidad de que una amenaza llegue aacaecer por una vulnerabilidad.

• Exposición o impacto: La evaluación del efecto delriesgo.

Todos los riesgos que se presentan pueden:

• Evitarlo• Transferirlo• Reducirlos• Asumirlos

Todos los riesgos que se presentan pueden:

• Evitarlo• Transferirlo• Reducirlos• Asumirlos

Metodologías cuantitativas

Están diseñadas para producir una lista de riesgos quepueden compararse entre sí con facilidad por tenerasignados unos valores numéricos. Estos valores en el casode metodologías de análisis de riesgos son datos deprobabilidad de ocurrencia de un evento que se debeextraer de un registro de incidencias donde el número deincidencias tienda al infinito.

Metodologías cualitativas/subjetivasSe basan en métodos estadísticos y lógica borrosa. Precisande un profesional experimentado, pero requieren menosrecursos humanos/tiempo que las metodologíascuantitativas.

Metodologías cuantitativas

Hay varios coeficientes que conviene definir:

• A.L.E: multiplicar la pérdida máxima posible de cadabien/recurso por la amenaza con probabilidad más alta.

• Reducción del A.L.E: Es cociente entre el costeanualizado de la instalación y el mantenimiento de lamedida contra el valor total del bien /recurso que se estáprotegido, en tanto por cierto.

• Retorno de la inversión

• Análisis de riegos• De diagnósticos de seguridad• Plan de contingencias• Auditoria de controles generales

Objetivo de la Auditorias Informática:• Comprobar la fiabilidad de la herramienta

informática y la utilización que se hace de lamisma(Yann Derrien).

• Según Piattini y Peso los objetivos son: La protección de activos e integridad de datos De gestión que abarcan, no solamente los de

protección de activos, sino también los de eficacia yeficiencia.

• El alcance ha de definir con precisión el entorno ylos límites en que va a desarrollarse la auditoriainformática, se complementa con los objetivos deésta.

• El alcance ha de figurar expresamente en elInforme Final, de modo que quede perfectamentedeterminado no solamente hasta que puntos se hallegado, sino cuales materias fronterizas han sidoomitidas.

• Ejemplos:¿Se someterán los registros grabados a un control deintegridad exhaustivo?•¿Se comprobará que los controles de validación deerrores son adecuados y suficientes?