JORNADA NACIONAL DE
SEGURIDAD INFORMÁTICA
2004
ACIS – UNIVERSIDAD CATÓLICA
Modelos de Control, Seguridad y
Auditoría: Herramientas para
profesionales en Seguridad
Informática
Junio 24 de 2004 – Bogotá
Jorge Hernández Cordóba
Fernando Ferrer Olivaes
Agenda
01 Introducción
02 Modelos
03 Conclusiones
04 Bibliografía
2
Universidad Católica
Definiciones de Auditoría...
01
“Revisión independiente de alguna o algunas
actividades, funciones específicas, resultados u
operaciones de una entidad administrativa,
realizada por un profesional de la Auditoría, con
el propósito de evaluar su correcta realización y
con base en este análisis poder emitir una
opinión autorizada sobre la razonabilidad de sus
resultados y el cumplimiento de sus
operaciones.”
3
Universidad Católica
Otra definición
Auditoría interna es una actividad
independiente y objetiva de
aseguramiento y consulta, concebida
para agregar valor y mejorar las
operaciones de una organización. Ayuda
a una organización a cumplir sus
objetivos aportando un enfoque
sistemático y disciplinado para evaluar y
mejorar la eficacia de los procesos de
gestión de riesgos, control y gobierno
4
Universidad Católica
Auditoría de Sistemas de Información
El propósito fundamental es evaluar el
uso adecuado de los sistemas para el
correcto ingreso de los datos, el
procesamiento adecuado de la
información y la emisión oportuna de sus
resultados en la institución, incluyendo la
evaluación en el cumplimiento de las
funciones, actividades y operaciones de
funcionarios, empleados y usuarios
involucrados con los servicios que
proporcionan los sistemas
computacionales a la empresa”
5
Universidad Católica
Control: Base para el desarrollo de la
Auditoría
El control es una de las fases del proceso administrativo, le
corresponde:
•
comparar los resultados obtenidos contra los resultados
determinados en el proceso de planeación de la estrategia
organizacional y de sus actividades tácticas y operativas con
el fin de
• determinar el nivel de cumplimiento y
• ajustar los diferentes parámetros y características de los
procesos mediante los cuales se busca el cumplimiento de
los objetivos organizacionales.
6
Universidad Católica
Concepto de Control
Cualquier forma de control está basada en el
uso de un lazo de retroalimentación
(feedback) mediante el cual se compara la
salida (output) del proceso o sistema
controlado contra valores de referencia, de
modo que al presentarse desviaciones, por
exceso o por defecto, se produce una señal
de “corrección” que debe ser alimentada al
proceso para corregir las desviaciones
observadas en la salida.
7
Universidad Católica
Concepto de control
entrada
salida
proceso
Valor de
referencia
Lazo de
retroalimentación
8
Muestra de
La salida
Universidad Católica
Esquemas metodológicos tradicionales de
la Auditoría
 Auditoria de cumplimiento – un enfoque reactivo
 auditoria del Cumplimiento de un estándar
 Auditoría de Cumplimiento de una “mejor práctica”
 Auditoria del Cumplimiento de la opinión del auditor
 Auditoria del desarrollo de sistemas – un enfoque
proactivo
 Aseguramiento interno – un enfoque coactivo
9
Universidad Católica
Modelos de Control
02
Orientados a:
 Control gerencial
 Control Informático
 Apoyar los controles anteriores
10
Universidad Católica
Modelos de Control
02
Control Gerencial - Gobierno Corporativo
Control Interno
Apoyo
Tecnología Informática
Seguridad Informática
11
Universidad Católica
Modelos de Control y Alineamiento
02
Control Gerencial - Gobierno Corporativo
(OCDE, Basel II, Sarbanes-Oxley, HIPAA, PIPEDA, GLBA, …)
Control Interno
(COSO, CoCo, Cadbury, …)
Tecnología Informática
(Gobierno de TI, COBIT, Net Centric,
CMM/SW, CMM-I, MAGERIT…)
Seguridad Informática
(Gobierno de Seguridad, ISO-17799,
BS-7799-2, NIST, Octave, …)
12
Apoyo
Risk Management
[AS/NZS:4360/1999,
MAGERIT, MGs]
Control-Self Assessment
Project Management
Quality Assurance
…
Universidad Católica
Modelos de Control Gerencial Corporate Governance
Necesidad de establecer un Sistema de
Control Interno
OCDE (Organización para la cooperación y el desarrollo
económicos)
 Principios para mantener la confianza de los
inversionistas y atraer capitales estables y a largo
plazo en países en vía de desarrollo
Sarbanes Oxley
 Exactitud y transparencia de la información financiera
para empresas que cotizan en Bolsa
13
Universidad Católica
Modelos de Control Gerencial
Control Interno
Especificación de un Sistema de Control
Interno
Definición
Proceso, llevado a cabo por la Junta Directiva, la dirección
u otro personal de la entidad, y el resto del personal,
diseñado para proveer seguridad razonable sobre el logro
de los siguientes tipos de objetivo:
14
o
Efectividad y eficiencia de las operaciones
o
Confiabilidad de la información financiera
o
Cumplimiento de leyes y regulaciones
o
Salvaguarda de activos
Universidad Católica
COSO
Componentes
INFORMACIÓN Y
COMUNICACIÓN
MONITOREO
15
ACTIVIDADES DE CONTROL
VALORACIÓN DE RIESGOS
AMBIENTE DE CONTROL
Universidad Católica
Control Interno
Ambiente de Control
• Integridad y valores éticos
• Incentivos y tentaciones
• Guía de comportamiento moral
• Acuerdos de competencias
• Comité de auditoría
• Filosofía de administración
• Estructura organizacional
• Asignación de autoridad y responsabilidad
• Políticas y prácticas de recursos humanos
16
Universidad Católica
Coco: Esquema
Una persona ejecuta una tarea guiada por el entendimiento de:
Objetivo
Entorno
Compromiso
Seguimiento y
aprendizaje
Capacidad
Acción
17
Universidad Católica
Modelos Informáticos
Tecnología Informática
 Objetivos
 Recursos
 Procesos
Ambiente Informático
 Objetivos de Control
18
Universidad Católica
Objetivos
Efectividad
Se refiere a la información que es
relevante para el negocio y que debe ser
entregada de manera correcta, oportuna,
consistente y usable.
Eficiencia
Se refiere a la provisión de información a
través del óptimo (más productivo y
económico) uso de los recursos.
Confidencialidad
Relativa a la protección de la
información sensitiva de su revelación
no autorizada.
Integridad
Se refiere a la exactitud y completitud de
la información, así como su validez, en
concordancia con los valores y
expectativas del negocio.
19
Universidad Católica
Objetivos
Disponibilidad
Se refiere a la que la información debe
estar disponible cuando es requerida por
los procesos del negocio ahora y en el
futuro. Involucra la salvaguarda de los
recursos y sus capacidades asociadas.
Cumplimiento
Se refiere a cumplir con aquellas leyes,
regulaciones y acuerdos contractuales, a
los que están sujetos los procesos del
negocio.
Confiabilidad
Se refiere a la provisión de la
información apropiada a la alta gerencia,
para operar la entidad y para ejercer sus
responsabilidades finacieras y de
cumplir con los reportes de su gestión.
20
Universidad Católica
Recursos
Seguridad de la
información
Microcomputador o terminal
==========================
Aplicaciones en funcionamiento
(1),(2),(3),(4),(8),(10),(11)
Seguridad física
(1) Sistemas Operacionales
(2) Software de Seguridad
(3) Sistemas Manejadores de Bases de Datos
y Diccionarios de Datos
Equipo central
=========================
Operación del sistema
(1),(2),(6),(7),(8),(9)
(4) Monitores de Teleprocesamiento
(5) Ayudas para el desarrollo de programas
(6) Control del Cambio y Administración de
librerías
(7) Editores en línea
(8) Software de Telecomunicaciones
(9) Sistema de soporte a operaciones
(10) Sistemas de oficina
Sistema de comunicaciones
(8),(11)
21
(11) Intercambio electrónico de datos
Red local
===============
(1),(2),(3),(4),(5),(6),
(7),(8),(9),(10),(11)
Universidad Católica
Procesos
Planeación y
Organización
Adquisición e
Implementación
22
Definir un plan estratégico de TI
Definir la arquitectura de información
Determinar la dirección tecnológica
Definir la organización y relaciones de TI
Manejo de la inversión en TI
Comunicación de directrices Gerenciales
Administración del Recurso Humano
Asegurar el cumplir requerimientos externos
Evaluación de Riesgos
Administración de Proyectos
Administración de Calidad
Identificación de soluciones
Adquisición y mantenimiento de SW aplicativo
Adquisición y mantenimiento de arquitectura TI
Desarrollo y mantenimiento de Procedimientos de TI
Instalación y Acreditación de sistemas
Administración de Cambios
Universidad Católica
Procesos
Servicios y
Soporte
Seguimiento
Definición del nivel de servicio
Administración del servicio de terceros
Administración de la capacidad y el desempeño
Asegurar el servicio continuo
Garantizar la seguridad del sistema
Identificación y asignación de costos
Capacitación de usuarios
Soporte a los clientes de TI
Administración de la configuración
Administración de problemas e incidentes
Administración de datos
Administración de Instalaciones
Administración de Operaciones
Seguimiento de los procesos
Evaluar lo adecuado del control Interno
Obtener aseguramiento independiente
Proveer una auditoría independiente
23
Universidad Católica
Objetivos de Control
• “Una declaración de resultado deseado o propósito a ser
alcanzado por medio de la implementación de
procedimientos de control en una actividad Particular de TI”
• 318 objetivos de control (de 3 a 30 objetivos por cada uno de
los procesos)
• 2.3 Contratos con Terceros
Con respecto a las relaciones con los proveedores de servicios
como terceras partes, la Gerencia deberá asegurar que los acuerdos
de seguridad (por ejemplo, los acuerdos de no - revelación) sean
identificados, declarados explícitamente y acordados, que éstos
concuerden con los estándares de negocios universales y estén en
línea con los requerimientos legales y regulatorios, incluyendo
obligaciones.
24
Universidad Católica
Modelos Informáticos
Seguridad Informática
• Fundamentos de Seguridad Informática
• Elementos de un Framework de Seguridad
• Técnicas
25
Universidad Católica
Fundamentos de Seguridad Informática
NIST – Common Criteria
Confidencialidad
Integridad Disponibilidad
Riesgo
Amenaza
Vulnerabilidad
…
Auditabilidad
Identificación
Autenticación
26
Universidad Católica
Elementos de un Framework de Seguridad
ISO 17799 - Areas principales
27
Política de Seguridad
Organización de la
Seguridad
Control y clasificación
de activos
Seguridad del personal
Seguridad física y ambiental
Administración de las
comunicaciones y
operaciones
Control de acceso
Desarrollo y
mantenimiento de
sistemas
Administración de la
continuidad del negocio
Cumplimiento
Universidad Católica
Técnicas
 Valoración de Riesgos
 Riesgo = Vulnerabilidad x Amenaza x Valor del Activo
 Riesgo = Impacto x Probabildad
 Identificación de Activos
 Identificación de Inventarios
 Clasificación de Datos
 Documentación de Hardware
http://net-services.ufl.edu/security/policy/workshops/documentation-workshop.ppt
 Valoración de Vulnerabilidades
http://csrc.nist.gov/publications/nistpubs/800-55/sp800-55.pdf
28
Universidad Católica
Modelos de Apoyo
• Risk Management
• Control-Self Asessment
• Project Management
• …
29
Universidad Católica
Conclusiones
03
Modelos, Modelos, Modelos ….
Actualización – Investigación
30
Universidad Católica
Bibliografía
04
Universidad Católica de Colombia
Facultad de PostGrados
Bogotá
Proyecto Estado del Arte de la Auditoría de Sistemas
31
Universidad Católica
PREGUNTAS?
32
Universidad Católica
Muchas gracias por su
atención
33
Universidad Católica
Descargar

Modelos de Control, Seguridad y Auditoría