Download - Modelos de Control, Seguridad y Auditoría
JORNADA NACIONAL DE SEGURIDAD INFORMÁTICA
2004ACIS – UNIVERSIDAD CATÓLICA
Modelos de Control, Seguridad y Auditoría: Herramientas para profesionales en Seguridad
Informática
Junio 24 de 2004 – BogotáJorge Hernández CordóbaFernando Ferrer Olivaes
Universidad Católica2
Agenda
01 Introducción02 Modelos 03 Conclusiones04 Bibliografía
Universidad Católica3
“Revisión independiente de alguna o algunas actividades, funciones específicas, resultados u operaciones de una entidad
administrativa, realizada por un profesional de la Auditoría, con el propósito de evaluar su correcta
realización y con base en este análisis poder emitir una opinión autorizada sobre
la razonabilidad de sus resultados y el cumplimiento de sus operaciones.”
Definiciones de Auditoría... 01
Universidad Católica4
Auditoría interna es una actividad independiente y objetiva de
aseguramiento y consulta, concebida para agregar valor y mejorar las
operaciones de una organización. Ayuda a una organización a cumplir sus objetivos aportando un enfoque
sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno
Otra definición
Universidad Católica5
El propósito fundamental es evaluar el uso adecuado de los sistemas para el correcto
ingreso de los datos, el procesamiento adecuado de la información y la emisión
oportuna de sus resultados en la institución, incluyendo la evaluación en el
cumplimiento de las funciones, actividades y operaciones de funcionarios, empleados y usuarios involucrados con los servicios
que proporcionan los sistemas computacionales a la empresa”
Auditoría de Sistemas de Información
Universidad Católica6
El control es una de las fases del proceso administrativo, le corresponde:
• comparar los resultados obtenidos contra los resultados determinados en el proceso de planeación de la estrategia organizacional y de sus actividades tácticas y operativas con el fin de
• determinar el nivel de cumplimiento y • ajustar los diferentes parámetros y características de los
procesos mediante los cuales se busca el cumplimiento de los objetivos organizacionales.
Control: Base para el desarrollo de la Auditoría
Universidad Católica7
Cualquier forma de control está basada en el uso de un lazo de retroalimentación
(feedback) mediante el cual se compara la salida (output) del proceso o sistema
controlado contra valores de referencia, de modo que al presentarse desviaciones, por exceso o por defecto, se produce una señal de “corrección” que debe ser alimentada al
proceso para corregir las desviaciones observadas en la salida.
Concepto de Control
Universidad Católica8
proceso
Lazo de retroalimentación
salidaentrada
Muestra de La salida
Valor de referencia
Concepto de control
Universidad Católica9
Auditoria de cumplimiento – un enfoque reactivo auditoria del Cumplimiento de un estándar Auditoría de Cumplimiento de una “mejor práctica” Auditoria del Cumplimiento de la opinión del auditor Auditoria del desarrollo de sistemas – un enfoque
proactivo Aseguramiento interno – un enfoque coactivo
Esquemas metodológicos tradicionales de la Auditoría
Universidad Católica10
Modelos de Control
Orientados a: Control gerencial Control Informático Apoyar los controles anteriores
02
Universidad Católica11
Control Gerencial - Gobierno Corporativo
Tecnología Informática
Control Interno
Seguridad Informática
Apoyo
02Modelos de Control
Universidad Católica12
Control Gerencial - Gobierno Corporativo(OCDE, Basel II, Sarbanes-Oxley, HIPAA, PIPEDA, GLBA, …)
Tecnología Informática(Gobierno de TI, COBIT, Net Centric,
CMM/SW, CMM-I, MAGERIT…)
Control Interno(COSO, CoCo, Cadbury, …)
Seguridad Informática(Gobierno de Seguridad, ISO-17799,
BS-7799-2, NIST, Octave, …)
ApoyoRisk Management
[AS/NZS:4360/1999,MAGERIT, MGs]
Control-Self Assessment
Project Management
Quality Assurance
…
02Modelos de Control y Alineamiento
Universidad Católica13
Necesidad de establecer un Sistema de Control Interno
Modelos de Control Gerencial -Corporate Governance
OCDE (Organización para la cooperación y el desarrollo económicos)
Principios para mantener la confianza de los inversionistas y atraer capitales estables y a largo plazo en países en vía de desarrollo
Sarbanes Oxley Exactitud y transparencia de la información financiera
para empresas que cotizan en Bolsa
Universidad Católica14
Especificación de un Sistema de Control Interno
Modelos de Control GerencialControl Interno
DefiniciónProceso, llevado a cabo por la Junta Directiva, la dirección u otro personal de la entidad, y el resto del personaly el resto del personal, diseñado para proveer seguridad razonable sobre el logro de los siguientes tipos de objetivo:
Efectividad y eficiencia de las operaciones Confiabilidad de la información financiera Cumplimiento de leyes y regulaciones Salvaguarda de activosSalvaguarda de activos
Universidad Católica15
MONITOREO
ACTIVIDADES DE CONTROL
VALORACIÓN DE RIESGOS
AMBIENTE DE CONTROL
INFO
RM
AC
IÓN
YC
OM
UN
ICA
CIÓ
N
COSOComponentes
Universidad Católica16
Control InternoAmbiente de Control
• Integridad y valores éticos• Incentivos y tentaciones• Guía de comportamiento moral• Acuerdos de competencias• Comité de auditoría• Filosofía de administración• Estructura organizacional• Asignación de autoridad y responsabilidad• Políticas y prácticas de recursos humanos
Universidad Católica17
Coco: Esquema
Objetivo
Compromiso
Capacidad
Acción
Seguimiento y aprendizaje
Entorno
Una persona ejecuta una tarea guiada por el entendimiento de:
Universidad Católica18
Objetivos Recursos Procesos Objetivos de Control
Modelos InformáticosTecnología Informática
Ambiente Informático
Universidad Católica19
Se refiere a la información que es relevante para el negocio y que debe ser entregada de manera correcta, oportuna, consistente y usable.
Efectividad
Se refiere a la provisión de información a través del óptimo (más productivo y económico) uso de los recursos.
Eficiencia
Relativa a la protección de la información sensitiva de su revelación no autorizada.
Confidencialidad
Se refiere a la exactitud y completitud de la información, así como su validez, en concordancia con los valores y expectativas del negocio.
Integridad
Objetivos
Universidad Católica20
Se refiere a la que la información debe estar disponible cuando es requerida por los procesos del negocio ahora y en el futuro. Involucra la salvaguarda de los recursos y sus capacidades asociadas.
Disponibilidad
Se refiere a cumplir con aquellas leyes, regulaciones y acuerdos contractuales, a los que están sujetos los procesos del negocio.
Cumplimiento
Se refiere a la provisión de la información apropiada a la alta gerencia, para operar la entidad y para ejercer sus responsabilidades finacieras y de cumplir con los reportes de su gestión.
Confiabilidad
Objetivos
Universidad Católica21
RecursosMicrocomputador o terminal
==========================Aplicaciones en funcionamiento
(1),(2),(3),(4),(8),(10),(11)
Red local===============(1),(2),(3),(4),(5),(6),(7),(8),(9),(10),(11)
Sistema de comunicaciones(8),(11)
Seguridad de lainformación
Seguridad física
(1) Sistemas Operacionales
(2) Software de Seguridad
(3) Sistemas Manejadores de Bases de Datos y Diccionarios de Datos
(4) Monitores de Teleprocesamiento
(5) Ayudas para el desarrollo de programas
(6) Control del Cambio y Administración de librerías
(7) Editores en línea
(8) Software de Telecomunicaciones
(9) Sistema de soporte a operaciones
(10) Sistemas de oficina
(11) Intercambio electrónico de datos
Equipo central =========================
Operación del sistema(1),(2),(6),(7),(8),(9)
Universidad Católica22
Procesos
Adquisición eImplementación
Identificación de solucionesAdquisición y mantenimiento de SW aplicativoAdquisición y mantenimiento de arquitectura TIDesarrollo y mantenimiento de Procedimientos de TIInstalación y Acreditación de sistemasAdministración de Cambios
Planeación y Organización
Definir un plan estratégico de TIDefinir la arquitectura de informaciónDeterminar la dirección tecnológicaDefinir la organización y relaciones de TIManejo de la inversión en TIComunicación de directrices GerencialesAdministración del Recurso HumanoAsegurar el cumplir requerimientos externosEvaluación de RiesgosAdministración de ProyectosAdministración de Calidad
Universidad Católica23
Procesos
Servicios y Soporte
Seguimiento
Seguimiento de los procesosEvaluar lo adecuado del control InternoObtener aseguramiento independienteProveer una auditoría independiente
Definición del nivel de servicioAdministración del servicio de tercerosAdministración de la capacidad y el desempeñoAsegurar el servicio continuoGarantizar la seguridad del sistemaIdentificación y asignación de costosCapacitación de usuariosSoporte a los clientes de TIAdministración de la configuraciónAdministración de problemas e incidentesAdministración de datosAdministración de InstalacionesAdministración de Operaciones
Universidad Católica24
Objetivos de Control
• “Una declaración de resultado deseado o propósito a ser alcanzado por medio de la implementación de procedimientos de control en una actividad Particular de TI”
• 318 objetivos de control (de 3 a 30 objetivos por cada uno de los procesos)
• 2.3 Contratos con TercerosCon respecto a las relaciones con los proveedores de servicios como terceras partes, la Gerencia deberá asegurar que los acuerdos de seguridad (por ejemplo, los acuerdos de no - revelación) sean identificados, declarados explícitamente y acordados, que éstos concuerden con los estándares de negocios universales y estén en línea con los requerimientos legales y regulatorios, incluyendo obligaciones.
Universidad Católica25
• Fundamentos de Seguridad Informática
• Elementos de un Framework de Seguridad
• Técnicas
Modelos InformáticosSeguridad Informática
Universidad Católica26
Confidencialidad
Integridad Disponibilidad
Fundamentos de Seguridad InformáticaNIST – Common Criteria
AuditabilidadIdentificaciónAutenticación
RiesgoAmenaza
Vulnerabilidad…
Universidad Católica27
Elementos de un Framework de SeguridadISO 17799 - Areas principales
Política de Seguridad
Control y clasificación de activos
Seguridad física y ambiental
Control de acceso
Administración de la continuidad del negocio
Organización de la Seguridad
Seguridad del personal
Administración de las comunicaciones y
operaciones
Desarrollo y mantenimiento de
sistemas
Cumplimiento
Universidad Católica28
Técnicas
Valoración de Riesgos Riesgo = Vulnerabilidad x Amenaza x Valor del Activo Riesgo = Impacto x Probabildad
Identificación de Activos Identificación de Inventarios Clasificación de Datos Documentación de Hardware
http://net-services.ufl.edu/security/policy/workshops/documentation-workshop.ppt Valoración de Vulnerabilidades
http://csrc.nist.gov/publications/nistpubs/800-55/sp800-55.pdf
Universidad Católica29
• Risk Management• Control-Self Asessment• Project Management• …
Modelos de Apoyo
Universidad Católica30
Modelos, Modelos, Modelos ….Actualización – Investigación
Conclusiones 03
Universidad Católica31
Universidad Católica de ColombiaFacultad de PostGrados
Bogotá
Proyecto Estado del Arte de la Auditoría de Sistemas
Bibliografía 04
Universidad Católica32
PREGUNTAS?
Universidad Católica33
Muchas gracias por su atención