M. Sc. Miguel Cotaña Mier Lp, Noviembre 2012
AUDITORIA DE SISTEMAS
INFORMATICOS
UNIVERSIDAD MAYOR DE SAN ANDRES
FACULTAD DE CIENCIAS ECONOMICAS Y FINANCIERAS
CARRERA DE AUDITORIA
1 3. Administración del riesgo
2
Los cambios que ocurren hoy, su complejidad y la velocidad con los que se dan, son las raíces de la incertidumbre y el riesgo que las organizaciones confrontan. Los avances tecnológicos generan un ambiente operativo, cada día más riesgoso y complicado.
INTRODUCCION
3
Es imprescindible en toda organización contar con una herramienta, que garantice la correcta evaluación de los riesgos, a los cuales estan sometidos los procesos y actividades que participan en el area de informática; y por medio de procedimientos de control se pueda evaluar el desempeño del entorno informático.
4
Riesgos financieros: organización expuesta a pérdidas; los elementos que conforman las causas de pérdidas financieras y; un peligro que puede causar la pérdida. Riesgos dinámicos: cambios en la economia Riesgos estáticos: deshonestidad o falla humana; Riesgo especulativo: posibilidad de pérdida o ganancia (situación aventurada o del azar); Riesgo fundamental: pérdidas impersonales, causados por fenómenos economico-sociales; Riesgo particular: son pérdidas que surgen de eventos individuales (incendio, robo);
CLASIFICACION DE LOS RIESGOS
5
Riesgo puro: solo genera pérdida o ganancia (personal, posesión, responsabilidad, fisico, quimico, biológico, psicosocial, ergonómicos) El riesgo puro en la empresa a su vez se clasifica en :
Riesgo inherente; Riesgo incorporado; Riesgo de control; Riesgo de detección.
6
El riesgo inherente es aquel riesgo que por su naturaleza no se puede separar de la situación donde existe. Es propio del trabajo a realizar. Es el riesgo propio de cada empresa de acuerdo a su actividad:
TIPO EMPRESA RIESGO INHERENTE
Transporte Choques, colisiones, vuelco
Minería Derrumbes, explosiones, caídas
atrapamiento
Fabricas de Software Incendios, terremotos,
Metalmecánica Quemaduras, golpes
Construcción Caída distinto nivel, golpes, atrapamiento
7
Los riesgos inherentes en una empresa se deben controlar y/o eliminar los que sean posibles, ya que como estos están en directa relación con la actividad de la empresa si estos no lo asumen no puede existir. Los riesgos incorporados se deben eliminar de inmediato!!!
8
El riesgo incorporado es aquel riesgo que no es propio de la actividad, sino que producto de conductas poco responsables de un trabajador, el que asume otros riesgos con objeto de conseguir algo que cree que es bueno para el y/o para la empresa, como por ejemplo ganar tiempo, terminar antes el trabajo para destacar, demostrar a sus compañeros que es mejor, etc.
9
El riesgo de control es el riesgo por el que un error, que podría cometerse en un área que no pueda ser evitado o detectado y corregido oportunamente por el sistema de control interno. Por ejemplo, el riesgo de control asociado a las revisiones manuales de registros computadorizados es alto debido al volumen de información registrada. El riesgo de control asociado a los procedimientos computarizados de validación de datos es normalmente bajo puesto que los procesos se aplican con regularidad.
10
El riesgo de detección, es el riesgo que se produce cuando los procedimientos sustantivos del ASI no detectan un error que podría ser material, individualmente o en combinación con otros. Por ejemplo, el riesgo de detección asociado a la identificación de violaciones de la seguridad en un sistema es normalmente alto. El riesgo de detección asociado con la identificación de la falta de planes de recuperación ante desastres es normalmente bajo, dado que su existencia puede verificarse con facilidad.
11
Riesgos de Integridad: abarca los riesgos asociados con la autorización, completitud y exactitud de entrada, procesamiento y reportes de las aplicaciones utilizadas. Se manifiestan en un sistema: Interface de usuario: niveles de acceso y
restricciones, validez y completitud; Procesamiento: balance de los controles
detectivos y preventivos. Abarca tambien los riesgos asociados con la exactitud e integridad de los reportes;
RIESGOS EN EL NEGOCIO
12
Procesamiento de errores: se relacionan con los métodos que aseguren cualquier E/proceso de información de errores (Exceptions) sean capturados adecuadamente, corregidos y reprocesados;
Interface: controles preventivos y detectivos que aseguren que la información ha sido procesada adecuadamente;
Administración de cambios; Información.
13
Riesgos de Relación: se refiere al uso oportuno de la información creada por una aplicación. Estos riesgos se relacionan directamente a la información de toma de decisiones (información y datos correctos de una persona/proceso/sistema correcto en el tiempo preciso permiten tomar decisiones correctas)
14
Riesgos de acceso: inapropiado acceso al sistema, datos e información (riesgos de segregación inapropiada de trabajo, riesgos con la integridad de la BD y riesgos con la confidencialidad). Pueden ocurrir en los siguientes niveles:
Procesos de negocio: incompatibilidad; Aplicacion: mecanismos de seguridad; Administracion de la informacion; Entorno de procesamiento; Redes; Nivel fisico.
15
Riesgos de utilidad: Estos riesgos se enfocan en 3 diferentes niveles: Los riesgos pueden ser enfrentados por el
direccionamiento de sistemas antes de que los problemas ocurran;
Técnicas de recuperación/restauración usadas para minimizar la ruptura de los sistemas;
Bachups y planes de contingencia controlan desastres en el procesamiento de la información.
16
Riesgos en la infraestructura: estos riesgos se refieren a que en las organizaciones no existe una estructura de información tecnologica efectiva (Hw, Sw, redes, personas, procesos) : Planeacion organizacional: definición y
verificación de la tecnologia informática; Definicion de las aplicaciones: satisfacen
requerimientos de los usuarios; Administracion de seguridad; Operaciones de red y computacionales; Administracion de BD.
17
Riesgos de seguridad: para disminuir el riesgo: Riesgos de choque eléctrico; Riesgos de incendio; Riesgos de niveles inadecuados de
energia eléctrica; Riesgos de radiaciones; Riesgos mecánicos.
18
Riesgos de auditoria: es la posibilidad de que se emita un informe inadecuado, por no haberse detectado errores o irregularidades significativas a través del proceso de revisión.
19
ANALISIS DE RIESGOS
Es parte de la planeación de auditoria y ayuda a identificar los riesgos y vulnerabilidades para que el ASI pueda determinar los controles que se necesitan para mitigar esos riesgos. Los ASI deben poder identificar y diferenciar los tipos de riegos y los controles usados para mitigarlos. Los ASI deben entender que existe riesgo dentro del proceso de auditoria.
20
“El potencial de que una amenaza determinada se aproveche de las
vulnerabilidades de un activo o grupo de activos y ocasione pérdida o daño a los activos. El impacto o severidad relativos del riesgo es proporcional al
valor de la pérdida/daño y a la frecuencia estimada de la amenaza
para el negocio”.
DEFINICION DE RIESGO
La Organización Internacional de Estandarización (ISO) (Directrices para la Administración de la Seguridad de TI) define como:
21
El riesgo tiene los siguientes elementos: Amenazas a, y vulnerabilidades de los
procesos y/o activos; Impacto sobre los activos basados en
las amenazas y las vulnerabilidades; Probabilidad de amenazas
(combinación de la probabilidad y la frecuencia de que ocurran).
22
El ASI está enfocado en problemas de alto riesgo asociados con la:
Confidencialidad; Disponibilidad; Integridad.
La naturaleza de estas amenazas puede ser financiera, regulatoria u operacional. El impacto del riesgo está en función del daño o perjuicio. Para la evaluación se determina las áreas sensitivas del negocio.
23
Una vez que los activos de información sensitiva y/o crítica están identificados, se realiza un análisis de riesgo para identificar los riesgos y para determinar la probabilidad de ocurrencia, el impacto resultante y las medidas adicionales que mitigarían este impacto a un nivel considerado aceptable por la gerencia.
24
Una(s) persona(s) ú objeto(s) como posible fuente de peligro o catástrofe.
Ejemplos de amenazas: Errores; Ataques maliciosos; Fraude / Robo; Falla de Equipo.
AMENAZA
25
Acciones que pueden ocasionar consecuencias negativas en la plataforma informática disponible: fallas, ingresos no autorizados a las áreas de computo, virus, uso inadecuado de activos informáticos, desastres ambientales (terremotos, inundaciones), incendios, accesos ilegales a los sistemas, fallas eléctricas.
Pueden ser de tipo lógico o físico.
26
Es una debilidad en un sistema por la que un atacante puede entrar o sacar información del mismo (falta de controles)
Ejemplos: Falta de Conocimiento del
Usuario; Falta de Funcionalidad de la
Seguridad; Mala elección de Contraseñas; Transmisión por medio de líneas
no protegidas.
VULNERABILIDAD
27
Exploit. Es una manera, herramienta o código de programación para aprovechar una vulnerabilidad y controlar el sistema vulnerable. Ejecución de código abierto. Es la posibilidad de ejecutar comandos e instrucciones en un sistema sin tener los privilegios de administrador por medio de una vulnerabilidad.
28
VICTIMA ATACANTE Tenemos un equipo VICTIMA con una
vulnerabilidad y un equipo ATACANTE que conoce que el
primer equipo tiene dicho problema.
El equipo ATACANTE manda datos
“explotando” la vulnerabilidad de la
VICTIMA.
La VICTIMA es vulnerable a
determinadas ordenes del
ATACANTE y le envía información propia.
Ejemplo de Vulnerabilidad
29
Desbordamiento de Búffer;
Denegación de servicio (DoS);
Escaladas de privilegios;
Error humano.
Tipos de Vulnerabilidad
30
ATACANTE
(usuario)
VICTIMA
(Servidor web)
www.bolivia.com
(18 caracteres)
El programador del servidor web ha previsto que reciba solo una cantidad razonable de
datos de 150 carácteres (dentro del buffer de memoria).
En cambio, si el atacante manda una cantidad exagerada de datos, sobrepasando el limite
previsto del programador, desbordando el búffer y escribiendo en zonas de memoria donde residen programas, datos, otros procesos, y por lo tanto,
destruyendo dicha información.
www.bolvia.com/qwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmwetuiuhsjhabgahnhanha
mhhahaehe[...]
(500 caracteres)
Desbordamiento de Buffer
ATACANTES VICTIMA
(Servidor web)
USUARIO
ACCIÓN NORMAL: El usuario hace una petición al servidor y éste se la responde.
EXPLOTACIÓN: Varios atacantes aprovechan una vulnerabilidad haciendo que la victima llegue al 100% de la CPU, colapsándolo.
DENEGACIÓN: Cuando un usuario le hace una petición, el servidor esta muy ocupado y éste le deniega el servicio.
Denegación de Servicio (DoS)
32
Inadecuados recursos compartidos;
Vulnerabilidades del S.O. sin parchear;
Vulnerabilidades de SW/HW sin parchear;
Servicios configurados incorrectamente;
Ausencia de actualizaciones del antivirus;
Ausencia de protección de un firewall;
Etc…
ERROR HUMANO
33
Consecuencias de la ocurrencia de las distintas amenazas: financieras o no financieras.
Perdida de dinero, deterioro de la imagen de la empresa, reducción de eficiencia, fallas operativas a corto o largo plazo, pérdida de vidas humanas, etc.
IMPACTO
34
Es el proceso de identificar las debilidades y las amenazas asociados a los recursos de información utilizados por una organización para lograr los objetivos del negocio, y decidir QUÉ contramedidas tomar, si hubiera alguna, para reducir el nivel de riesgo hasta un nivel aceptable. Los objetivos de la gestión de riesgos son identificar, controlar y eliminar las fuentes de riesgo antes de que empiecen a afectar al cumplimiento de los objetivos del negocio.
ADMINISTRACION DEL RIESGO
35
La gestión continuada de los riesgos permite aumentar su eficiencia: Evaluar continuamente lo que pueda ir
mal; Determinar qué riesgos son
importantes; Implementar estrategias para
resolverlos; Asegurar la eficacia de las estrategias.
36
Analisis del riesgo: su objetivo, es desarrollar un plan que controle cada uno de los eventos perjudiciales;
Mitigacion del riesgo: compuesta por métodos (evitar el riesgo, conseguir información acerca del riesgo, planificar el entorno informático, eliminar el origen del riesgo, asumir y comunicar el riesgo);
Evaluación del riesgo: Los riesgos aparecen y desaparecen en informática, por lo que es necesario realizar seguimiento
ACTIVIDADES DE GESTION
37
Evitarlos: Por ejemplo: no instalar redes en
ambientes con interferencia, arriesgarse a hacer una inversión. Puede ser mas negativa; Transferirlos: Por ejemplo, contratar empresa para cableado con fibra optica; Reducirlos: Por ejemplo, sistema de deteccion y extincion de incendios, alarmas,
programas de seguridad, guardias de seguridad; Asumirlos: Que es lo que se hace si no se controla el riesgo en absoluto.
TECNICAS DE ADMINISTRACION
38
Determinar los Objetivos; Identificación de los Riesgos: Herramientas de identificación de riesgos:
registros internos de la organización; listas de chequeo; cuestionarios de análisis de riesgos; flujos de procesos; análisis financiero; inspección de operaciones y; entrevistas.
Aproximación de combinación;
PROCESO DE GESTION DE RIEGOS
39
Evaluación de Riesgos: Riesgos críticos Riesgos importantes Riesgos no importantes
Consideración de alternativas y selección de mecanismos de tratamiento de riesgos;
Implementación de la Decisión, Evaluación y Revisiones;
Responsabilidades Del Administrador De Riesgos.
40
1. Desarrollar politicas de administración: ayuda en la identificación de objetivos y preparación de politicas junto a la alta gerencia;
2. Identificar los riesgos: requiere un gran SI que alertará al administrador;
3. Seleccionar alternativas financieras: el adm. Recomienda el camino a tomar;
4. Negociar el alcance de la seguridad: debe obtener la mejor combinacion entre alcance y costo;
5. Supervisar la adm. Interna: estadisticas de perdida, monitorización y horarios;
6. Administrar funciones de riesgo; 7. Supervisar la prevencion a perdidas
RESPONSABILIDAD: del Adm. Riesgos
41
Evaluar los objetivos y las políticas de la administración de riesgos: medición de programas con éstandares y habilidad de soportar pérdidas. Identificar y evaluar los riesgos: después de que los objetivos han sido definidos y evaluados, el paso siguiente es identificar las exposiciones a riesgos (análisis de operaciones)
AUDITORIA EN ADM. DE RIESGOS
42
Evaluar las decisiones relacionadas a pérdida: incluye una revisión de la extensión de los riesgos. Evaluar las medidas de la administración de riesgos: que han sido implementadas. Evalua decisiones pasadas, verificando que la decisión fue apropiadamente implementada. Recomendar cambios: para el beneficio del programa de auditoria.
Declaración y Contexto del Riesgo;
Evaluación Binaria de Atributos de Riesgo;
Gráfica de Barra de Riesgos;
Clasificación de Riesgos;
Comparación de Rango de Riesgos;
Lista de Acción por Riesgos;
Hoja de Monitoreo de Riesgos;
Hoja de Información de Riesgos.
METODO EN ADM. DE RIESGOS
Identificador:
Nombre del Riesgo Hoja de Información del Riesgo Identificado: Fecha de
identificación del riesgo
Prioridad: Puede ser alta,
media o baja Declaración: Documenta información inicial del riesgo
Probabilidad: Puede ser
alta, media o alta
Impacto: Efecto adverso,
alto medio o bajo
Origen: Persona que
identifica el riesgo
Clase: Riesgo por
experiencia propia o ajena
Asignado a: Responsable de
acciones correctivas
Contexto: Información completa de la declaración del riesgo
Estrategia Correctiva: Estrategía seleccionada para contrarrestar el riesgo
Plan de Contingencia y Activación: Plan de contingencia, evento o tiempo que activa el mismo.
Situación: Provee historia del riesgo y sus cambios Fecha de Situación:
Aprobado: Aprobación de
medidas correctivas o
clausura del riesgo
Fecha de Clausura: Fecha
en que riesgo fue clausurado.
Comentario de Clausura: Comentario de clausura o del
riesgo
Identificador: 1A Hoja de Información del Riesgo Identificado: Fecha de
identificación del riesgo
Prioridad: 2 Declaración: La falta de filtros de correo electrónico puede conllevar a un ataque de
negación de servicio en el que un ruteador o un servidor de correo electrónico están bajo un
continuo ataque; lo que constituye un riesgo de seguridad Probabilidad:Media
Impacto: Bajo Origen:Patricia Arce,
Especialista de Seguridad
Clase: Experiencia de otra
instalación
Asignado a: Patricia Arce,
Especialista de Seguridad
Contexto: Una bomba de correo electrónico es simplemente una serie de mensajes (probablemente miles) enviados a una casilla
de correo. Su tamaño promedio es de 2MB. Su intención es llenar la casilla de correo con basura. De no implementarse filtros de
correo podría conllevar a la negación de servicios y constituir un riesgo de seguridad.
Estrategia Correctiva: 1. Identificación de los paquetes de bombas. 2. Identificación de las aplicaciones de filtros. 3.
Entrenamiento al personal.
Plan de Contingencia y Activación: Plan: Contratar servicios profesionales que proporciones
entrenamiento en la instalación y utilización de filtros de correo. Activación: De no satisfacer la solución
interna
Situación: Casos reportados, tipo de bomba identificada, filtros instalados y Personal
Capacitado.
Fecha de Situación: 21/09/09
Aprobado: Giovanni
Cotaña, Director de
Seguridad de SI
Fecha de Clausura: 22/09/09. Comentario de Clausura: Las acciones fueron emprendidas
inmediatamente.
Identificar Riesgos
Análisis: clasificar y evaluar riesgos
Análisis: Prioridades
Plan: asignar y Aprobar
Plan: define acciones
Monitoreo de Riesgos Control de riesgo
Declaración y contexto del riesgo
Clase, prob., impacto y ocurrencia del riesgo
Prioridad listado de
riesgo
Asignaciones Y planes
aprobados
Plan para contra restar
el riesgo
Reporte de situación
Decisiones
Proceso de implementación