M. Sc. Miguel Cotaña Mier Lp, Octubre 2010
AUDITORIA DE SISTEMAS
INFORMATICOS
UNIVERSIDAD MAYOR DE SAN ANDRES
FACULTAD DE CIENCIAS ECONOMICAS Y FINANCIERAS
CARRERA DE AUDITORIA
12.5. Administración del riesgo
2
Los cambios que ocurren hoy, sucomplejidad y la velocidad con los quese dan, son las raíces de laincertidumbre y el riesgo que lasorganizaciones confrontan.Los avances tecnológicos generan unambiente operativo, cada día másriesgoso y complicado.
INTRODUCCION
3
Es imprescindible en toda organizacióncontar con una herramienta, quegarantice la correcta evaluación de losriesgos, a los cuales estan sometidos losprocesos y actividades que participan enel area de informática; y por medio deprocedimientos de control se puedaevaluar el desempeño del entornoinformático.
4
Riesgos financieros: organización expuestaa pérdidas; los elementos que conforman lascausas de pérdidas financieras y; un peligroque puede causar la pérdida.Riesgos dinámicos: cambios en la economiaRiesgos estáticos: deshonestidad o fallahumana;Riesgo especulativo: posibilidad de pérdidao ganancia (situación aventurada o del azar);Riesgo fundamental: pérdidas impersonales,causados por fenómenos economico-sociales;Riesgo particular: son pérdidas que surgende eventos individuales (incendio, robo);
CLASIFICACION DE LOS RIESGOS
5
Riesgo puro: solo genera pérdida oganancia (personal, posesión,responsabilidad, fisico, quimico,biológico, psicosocial, ergonómicos)El riesgo puro en la empresa a su vez seclasifica en :
Riesgo inherente;Riesgo incorporado;Riesgo de control;Riesgo de detección.
6
El riesgo inherente es aquel riesgo que por sunaturaleza no se puede separar de la situacióndonde existe. Es propio del trabajo a realizar. Es elriesgo propio de cada empresa de acuerdo a suactividad:
TIPO EMPRESA RIESGO INHERENTE
Transporte Choques, colisiones, vuelco
Minería Derrumbes, explosiones, caídas
atrapamiento
Fabricas de Software Incendios, terremotos,
Metalmecánica Quemaduras, golpes
Construcción Caída distinto nivel, golpes, atrapamiento
7
Los riesgos inherentes en una empresa sedeben controlar y/o eliminar los que seanposibles, ya que como estos están endirecta relación con la actividad de laempresa si estos no lo asumen no puedeexistir.Los riesgos incorporados se debeneliminar de inmediato!!!
8
El riesgo incorporado es aquel riesgo queno es propio de la actividad, sino queproducto de conductas poco responsablesde un trabajador, el que asume otrosriesgos con objeto de conseguir algo quecree que es bueno para el y/o para laempresa, como por ejemplo ganar tiempo,terminar antes el trabajo paradestacar, demostrar a sus compañeros quees mejor, etc.
9
El riesgo de control es el riesgo por elque un error, que podría cometerse en unárea que no pueda ser evitado o detectadoy corregido oportunamente por el sistemade control interno. Por ejemplo, el riesgode control asociado a las revisionesmanuales de registros computadorizadoses alto debido al volumen de informaciónregistrada.
10
El riesgo de detección, es el riesgo que seproduce cuando los procedimientos sustantivosdel ASI no detectan un error que podría sermaterial, individualmente o en combinación conotros. Por ejemplo, el riesgo de detecciónasociado a la identificación de violaciones de laseguridad en un sistema es normalmente alto. Elriesgo de detección asociado con laidentificación de la falta de planes derecuperación ante desastres es normalmentebajo, dado que su existencia puede verificarsecon facilidad.
11
Riesgos de Integridad: abarca los riesgosasociados con la autorización, completitud yexactitud de entrada, procesamiento yreportes de las aplicaciones utilizadas. Semanifiestan en un sistema:Interface de usuario: niveles de acceso y
restricciones, validez y completitud;Procesamiento: balance de los controles
detectivos y preventivos. Abarca tambienlos riesgos asociados con la exactitud eintegridad de los reportes;
RIESGOS EN EL NEGOCIO
12
Procesamiento de errores: se relacionancon los métodos que aseguren cualquierE/proceso de información de errores(Exceptions) sean capturadosadecuadamente, corregidos yreprocesados;
Interface: controles preventivos ydetectivos que aseguren que lainformación ha sido procesadaadecuadamente;
Administración de cambios;Información.
13
Riesgos de Relación: se refiere al usooportuno de la información creada por unaaplicación. Estos riesgos se relacionandirectamente a la información de toma dedecisiones (información y datos correctos deuna persona/proceso/sistema correcto en eltiempo preciso permiten tomar decisionescorrectas)
14
Riesgos de acceso: inapropiado acceso alsistema, datos e información (riesgos desegregación inapropiada de trabajo, riesgoscon la integridad de la BD y riesgos con laconfidencialidad). Pueden ocurrir en lossiguientes niveles:
Procesos de negocio: incompatibilidad;Aplicacion: mecanismos de seguridad;Administracion de la informacion;Entorno de procesamiento;Redes;Nivel fisico.
15
Riesgos de utilidad: Estos riesgos seenfocan en 3 diferentes niveles:Los riesgos pueden ser enfrentados por el
direccionamiento de sistemas antes deque los problemas ocurran;
Técnicas de recuperación/restauraciónusadas para minimizar la ruptura de lossistemas;
Bachups y planes de contingenciacontrolan desastres en el procesamientode la información.
16
Riesgos en la infraestructura: estosriesgos se refieren a que en lasorganizaciones no existe una estructurade información tecnologica efectiva (Hw,Sw, redes, personas, procesos) :Planeacion organizacional: definición y
verificación de la tecnologia informática;Definicion de las aplicaciones: satisfacen
requerimientos de los usuarios;Administracion de seguridad;Operaciones de red y computacionales;Administracion de BD.
17
Riesgos de seguridad: para disminuir elriesgo: Riesgos de choque eléctrico; Riesgos de incendio; Riesgos de niveles inadecuados de
energia eléctrica; Riesgos de radiaciones; Riesgos mecánicos.
18
Riesgos de auditoria:es la posibilidad de quese emita un informeinadecuado, por nohaberse detectadoerrores oirregularidadessignificativas a travésdel proceso de revisión.
19
ANALISIS DE RIESGOS
Es parte de la planeación de auditoria yayuda a identificar los riesgos yvulnerabilidades para que el ASI puedadeterminar los controles que se necesitanpara mitigar esos riesgos.Los ASI deben poder identificar y diferenciarlos tipos de riegos y los controles usadospara mitigarlos.Los ASI deben entender que existe riesgodentro del proceso de auditoria.
20
“El potencial de que una amenaza determinada se aproveche de las
vulnerabilidades de un activo o grupo de activos y ocasione pérdida o daño a los activos. El impacto o severidad relativos del riesgo es proporcional al
valor de la pérdida/daño y a la frecuencia estimada de la amenaza
para el negocio”.
DEFINICION DE RIESGO
La Organización Internacional de Estandarización (ISO)(Directrices para la Administración de la Seguridad deTI) define como:
21
El riesgo tiene los siguientes elementos:Amenazas a, y vulnerabilidades de los
procesos y/o activos;Impacto sobre los activos basados en
las amenazas y las vulnerabilidades;Probabilidad de amenazas
(combinación de la probabilidad y lafrecuencia de que ocurran).
22
El ASI está enfocado en problemas dealto riesgo asociados con la:
Confidencialidad;Disponibilidad;Integridad.
La naturaleza de estas amenazas puedeser financiera, regulatoria u operacional.El impacto del riesgo está en función deldaño o perjuicio.Para la evaluación se determina las áreassensitivas del negocio.
23
Una vez que los activos de informaciónsensitiva y/o crítica están identificados,se realiza un análisis de riesgo paraidentificar los riesgos y para determinarla probabilidad de ocurrencia, el impactoresultante y las medidas adicionales quemitigarían este impacto a un nivelconsiderado aceptable por la gerencia.
24
Una(s) persona(s) ú objeto(s) comoposible fuente de peligro o catástrofe.
Ejemplos de amenazas: Errores; Ataques maliciosos; Fraude / Robo; Falla de Equipo.
AMENAZA
25
Acciones que pueden ocasionarconsecuencias negativas en laplataforma informática disponible:fallas, ingresos no autorizados a lasáreas de computo, virus, usoinadecuado de activos informáticos,desastres ambientales (terremotos,inundaciones), incendios, accesosilegales a los sistemas, fallas eléctricas.
Pueden ser de tipo lógico o físico.
26
Es una debilidad en un sistemapor la que un atacante puedeentrar o sacar información delmismo (falta de controles)
Ejemplos: Falta de Conocimiento del
Usuario; Falta de Funcionalidad de la
Seguridad; Mala elección de Contraseñas; Transmisión por medio de líneas
no protegidas.
VULNERABILIDAD
27
Exploit. Es una manera, herramienta ocódigo de programación para aprovecharuna vulnerabilidad y controlar el sistemavulnerable.Ejecución de código abierto. Es laposibilidad de ejecutar comandos einstrucciones en un sistema sin tener losprivilegios de administrador por medio deuna vulnerabilidad.
28
VICTIMA ATACANTETenemos un equipo VICTIMA con una
vulnerabilidad y un equipo ATACANTE que conoce que el
primer equipo tiene dicho problema.
El equipo ATACANTE manda datos
“explotando” la vulnerabilidad de la
VICTIMA.
La VICTIMA es vulnerable a
determinadas ordenes del
ATACANTE y le envía información propia.
Ejemplo de Vulnerabilidad
29
Desbordamiento de Búffer;
Denegación de servicio (DoS);
Escaladas de privilegios;
Error humano.
Tipos de Vulnerabilidad
30
ATACANTE
(usuario)
VICTIMA
(Servidor web)
www.bolivia.com
(18 caracteres)
El programador del servidor web ha previsto que reciba solo una cantidad razonable de
datos de 150 carácteres (dentro del buffer de memoria).
En cambio, si el atacante manda una cantidad exagerada de datos, sobrepasando el limite
previsto del programador, desbordando el búffer y escribiendo en zonas de memoria donde residen programas, datos, otros procesos, y por lo tanto,
destruyendo dicha información.
www.bolvia.com/qwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmwetuiuhsjhabgahnhanha
mhhahaehe[...]
(500 caracteres)
Desbordamiento de Buffer
ATACANTESVICTIMA
(Servidor web)
USUARIO
ACCIÓN NORMAL: El usuario hace una petición al servidor y éste se la responde.
EXPLOTACIÓN: Varios atacantes aprovechan una vulnerabilidad haciendo que la victima llegue al 100% de la CPU, colapsándolo.
DENEGACIÓN: Cuando un usuario le hace una petición, el servidor esta muy ocupado y éste le deniega el servicio.
Denegación de Servicio (DoS)
32
Inadecuados recursos compartidos;
Vulnerabilidades del S.O. sin parchear;
Vulnerabilidades de SW/HW sin parchear;
Servicios configurados incorrectamente;
Ausencia de actualizaciones del antivirus;
Ausencia de protección de un firewall;
Etc…
ERROR HUMANO
33
Consecuencias de laocurrencia de las distintasamenazas: financieras o nofinancieras.
Perdida de dinero, deteriorode la imagen de la empresa,reducción de eficiencia, fallasoperativas a corto o largoplazo, pérdida de vidashumanas, etc.
IMPACTO
34
Es el proceso de identificar las debilidades y lasamenazas asociados a los recursos de informaciónutilizados por una organización para lograr losobjetivos del negocio, y decidir QUÉ contramedidastomar, si hubiera alguna, para reducir el nivel deriesgo hasta un nivel aceptable.Los objetivos de la gestión de riesgos sonidentificar, controlar y eliminar las fuentes de riesgoantes de que empiecen a afectar al cumplimientode los objetivos del negocio.
ADMINISTRACION DEL RIESGO
35
La gestión continuada de los riesgospermite aumentar su eficiencia:Evaluar continuamente lo que pueda ir
mal;Determinar qué riesgos son
importantes;Implementar estrategias para
resolverlos;Asegurar la eficacia de las estrategias.
36
Analisis del riesgo: su objetivo, esdesarrollar un plan que controle cada unode los eventos perjudiciales;
Mitigacion del riesgo: compuesta pormétodos (evitar el riesgo, conseguirinformación acerca del riesgo, planificarel entorno informático, eliminar el origendel riesgo, asumir y comunicar el riesgo);
Evaluación del riesgo: Los riesgosaparecen y desaparecen en informática,por lo que es necesario realizarseguimiento
ACTIVIDADES DE GESTION
37
Evitarlos: Por ejemplo: no instalar redes en
ambientes con interferencia, arriesgarse a haceruna inversión. Puede ser mas negativa;Transferirlos: Por ejemplo, contratarempresa para cableado con fibra optica;Reducirlos: Por ejemplo, sistema dedeteccion y extincion de incendios, alarmas,
programas de seguridad, guardias de seguridad;Asumirlos: Que es lo que se hace si no secontrola el riesgo en absoluto.
TECNICAS DE ADMINISTRACION
38
Determinar los Objetivos;Identificación de los Riesgos:Herramientas de identificación de riesgos:
registros internos de la organización;listas de chequeo;cuestionarios de análisis de riesgos;flujos de procesos;análisis financiero;inspección de operaciones y;entrevistas.
Aproximación de combinación;
PROCESO DE GESTION DE RIEGOS
39
Evaluación de Riesgos:Riesgos críticosRiesgos importantesRiesgos no importantes
Consideración de alternativas y selección demecanismos de tratamiento de riesgos;
Implementación de la Decisión, Evaluación yRevisiones;
Responsabilidades Del Administrador De Riesgos.
40
1. Desarrollar politicas de administración: ayuda enla identificación de objetivos y preparación depoliticas junto a la alta gerencia;
2. Identificar los riesgos: requiere un gran SI quealertará al administrador;
3. Seleccionar alternativas financieras: el adm.Recomienda el camino a tomar;
4. Negociar el alcance de la seguridad: debeobtener la mejor combinacion entre alcance ycosto;
5. Supervisar la adm. Interna: estadisticas deperdida, monitorización y horarios;
6. Administrar funciones de riesgo;7. Supervisar la prevencion a perdidas
RESPONSABILIDAD: del Adm. Riesgos
41
Evaluar los objetivos y las políticas de laadministración de riesgos: medición deprogramas con éstandares y habilidad desoportar pérdidas.Identificar y evaluar los riesgos: despuésde que los objetivos han sido definidos yevaluados, el paso siguiente es identificar lasexposiciones a riesgos (análisis deoperaciones)
AUDITORIA EN ADM. DE RIESGOS
42
Evaluar las decisiones relacionadas apérdida: incluye una revisión de la extensiónde los riesgos.Evaluar las medidas de la administraciónde riesgos: que han sido implementadas.Evalua decisiones pasadas, verificando que ladecisión fue apropiadamente implementada.Recomendar cambios: para el beneficio delprograma de auditoria.
Declaración y Contexto del Riesgo;
Evaluación Binaria de Atributos de Riesgo;
Gráfica de Barra de Riesgos;
Clasificación de Riesgos;
Comparación de Rango de Riesgos;
Lista de Acción por Riesgos;
Hoja de Monitoreo de Riesgos;
Hoja de Información de Riesgos.
METODO EN ADM. DE RIESGOS
Identificador:
Nombre del RiesgoHoja de Información del Riesgo Identificado: Fecha de
identificación del riesgo
Prioridad: Puede ser alta,
media o bajaDeclaración: Documenta información inicial del riesgo
Probabilidad: Puede ser
alta, media o alta
Impacto: Efecto adverso,
alto medio o bajo
Origen: Persona que
identifica el riesgo
Clase: Riesgo por
experiencia propia o ajena
Asignado a: Responsable de
acciones correctivas
Contexto: Información completa de la declaración del riesgo
Estrategia Correctiva: Estrategía seleccionada para contrarrestar el riesgo
Plan de Contingencia y Activación: Plan de contingencia, evento o tiempo que activa el mismo.
Situación: Provee historia del riesgo y sus cambios Fecha de Situación:
Aprobado: Aprobación de
medidas correctivas o
clausura del riesgo
Fecha de Clausura: Fecha
en que riesgo fue clausurado.
Comentario de Clausura: Comentario de clausura o del
riesgo
Identificador: 1A Hoja de Información del Riesgo Identificado: Fecha de
identificación del riesgo
Prioridad: 2 Declaración: La falta de filtros de correo electrónico puede conllevar a un ataque de
negación de servicio en el que un ruteador o un servidor de correo electrónico están bajo un
continuo ataque; lo que constituye un riesgo de seguridadProbabilidad:Media
Impacto: Bajo Origen:Patricia Arce,
Especialista de Seguridad
Clase: Experiencia de otra
instalación
Asignado a: Patricia Arce,
Especialista de Seguridad
Contexto: Una bomba de correo electrónico es simplemente una serie de mensajes (probablemente miles) enviados a una casilla
de correo. Su tamaño promedio es de 2MB. Su intención es llenar la casilla de correo con basura. De no implementarse filtros de
correo podría conllevar a la negación de servicios y constituir un riesgo de seguridad.
Estrategia Correctiva: 1. Identificación de los paquetes de bombas. 2. Identificación de las aplicaciones de filtros. 3.
Entrenamiento al personal.
Plan de Contingencia y Activación: Plan: Contratar servicios profesionales que proporciones
entrenamiento en la instalación y utilización de filtros de correo. Activación: De no satisfacer la solución
interna
Situación: Casos reportados, tipo de bomba identificada, filtros instalados y Personal
Capacitado.
Fecha de Situación: 21/09/09
Aprobado: Giovanni
Cotaña, Director de
Seguridad de SI
Fecha de Clausura: 22/09/09. Comentario de Clausura: Las acciones fueron emprendidas
inmediatamente.
IdentificarRiesgos
Análisis: clasificary evaluar riesgos
Análisis:Prioridades
Plan: asignar y Aprobar
Plan: defineacciones
Monitoreo de Riesgos Control de riesgo
Declaracióny contexto del riesgo
Clase, prob.,impacto yocurrenciadel riesgo
Prioridadlistado de
riesgo
AsignacionesY planes
aprobados
Plan para contrarestar
el riesgo
Reporte desituación
Decisiones
Proceso de implementación