Documentos de Académico
Documentos de Profesional
Documentos de Cultura
LOGO
Auditoría de
Sistemas I
Contenido de la parte 3
• Riesgos y Controles en las Tecnologías de Información
– Riesgos
• Definición
• Análisis de riesgos
• Gestión de riesgos
– Controles
• Definición
• Tipos
• Evaluación de controles
– Proceso de Auditoría basada en riesgos
– Impacto de los riesgos en la Auditoría
Qué es Riesgo?
Ejemplo: Venir a clases
Venir a clases es un Riesgo?
Cuáles son los riesgos de venir a clases?
Qué es Riesgo?
Visualizar el Riesgo
• VENIR a Clases • NO ESTAR en clases
Qué es Riesgo?
DEBILIDAD:
Deficiencia interna en algún aspecto.
AMENAZA:
Un evento que puede crear situaciones de incertidumbre.
Percepción de la posibilidad de ocurrencia de algún hecho dañino
sobre recursos.
RIESGO:
La incertidumbre de alcanzar un objetivo.
La posibilidad de que una amenaza afecte negativamente la habilidad
de un ente para alcanzar su objetivo.
Situación adversa en la cual existe la posibilidad de una desviación
con respecto a un resultado esperado.
Definición de Riesgo
Según COSO I
(Comitee of Sponsoring Organizations of the Treadway Commission –
1992)
Definición de Riesgo
Según ISO
(Guidelines for the Management of IT Security)
ESCALAS: ALTO
MEDIO
BAJO
Análisis de Riesgos
• Es el proceso mediante el cual se realiza la
identificación y valoración de los riesgos para su
posterior gestión.
IDENTIFICACIÓN
VALORACIÓN
TRATAMIENTO
Análisis de Riesgos
Gestión de Riesgos
Análisis de Riesgos
Identificación de riesgos
Proceso Objetivos Riesgo asociado al negocio Riesgo asociado a Área de Sistemas
No se puede realizar una buena planificación Las tareas automáticas del sistema no se ejecutan
de la producción en el sistema de forma completa
Fuentes de Riesgos de TI
PERSONAS
ADMINISTRACIÓN
*Error humano, falta honestidad
*Falta de estrategia *Capacidades y competencias
*Debilidad *Estructuras organizacionales
*Visión *Motivación
*Falta de información de decisiones *Incentivos inapropiados
FUENTES SISTEMA TRANSACCIONES
PROCESOS
DE *Baja inversión en Sistemas
*Excesivo volúmen/Capacidad reducida
* Marco de control débil
RIESGOS *Deficiente Integridad,
Seguridad y Exactitud
*Ineficiencias y errores de procesos *Datos Inconsistentes
*Eventos inusuales *Interfaces manuales
NUEVAS ACTIVIDADES
FUENTES EXTERNAS
*Desastres naturales *Cambios a la estrategia
*Terceros *Re-ingeniería e integración
*Entorno de Negocios *Nuevos productos
*Cambios a Legislación y Regulaciones *Aumento de la sofisticación
NORMAS,LEYES,REGULACIONES
*Contratos *Tipos de negocio
*Poderes *Interlocutores
*Responsabilidades *Globalización
Valoración de riesgos
• Es la asignación de impacto y probabilidad a
cada riesgo a fin de tener una visión global de la
percepción en la organización sobre los mismos
y por lo tanto sobre cuales enfocaremos el
trabajo.
Muy baja 2 1
Baja 4 3
Alta 6 5
Muy alta 8 7
Gestión de riesgos
En la vida todo es administrar el riesgo,
no eliminarlo.
Walter Wriston,
Ex-presidente de Citicorp.
Gestión de riesgos
• Proceso de decidir que contramedidas se
deben tomar (o que controles se deben
implementar), si existiera alguna, para reducir
el nivel de riesgo hasta un nivel aceptable por
la organización.
NIVEL DE EXPOSICIÓN
(Riesgo residual)
Gestión de riesgos
• Habiendo definido el apetito de riesgo e
identificado la exposición a los mismos se
pueden establecer las estrategias para
gestionar los riesgos y aclarar
responsabilidades.
• Dependiendo del tipo de riesgo y su
importancia para el negocio, se pueden
optar por:
Gestión de riesgos
• Evitar el riesgo. Ej: escoger no implentar ciertas
actividades o procesos
• Mitigar el riesgo. Ej: definir implementar controles para
reducir el impacto o la probabilidad de ocurrencia del
riesgo
• Transferir el riesgo. Ej: asegurar un equipo, compartir
el riesgo con socios
• Aceptar el riesgo. Ej: reconocer formalmente la
existencia del riesgo y monitorearlo
• Eliminar el riesgo. Ej: eliminar la fuente del riesgo
Gestión de Riesgos
Monitoreo de Riesgos
1. Decidir que riesgos serán
monitoreados
6. Identificar la naturaleza y
frecuencia de monitoreo
Ing. Miguel Chang A.
Company
LOGO
Controles - Definición
Todas las políticas, procedimientos, prácticas y
estructura organizacional implantadas con la finalidad
de reducir Riesgos.
CONTROLES
Clasificación de los controles
• Preventivo - probabilidad
• Detectivo
• Correctivo - impacto
CONTROLES - EJEMPLOS
PREVENTIVOS:
• EMPLEAR SOLO PERSONAL CALIFICADO
• ESTABLECER PROCEDIMIENTOS ADECUADOS PARA LA
AUTORIZACION DE TRANSACCIONES
DETECTIVOS:
• DOBLE VERIFICACION DE CALCULOS
• FUNCION DE AUDITORIA INTERNA
CORRECTIVOS:
• PROCEDIMIENTOS DE RESPALDO
• PLANEACION DE CONTINGENCIAS
CONTROLES
Definición de CONTROL INTERNO según COSO
Objetivos de Control
Los objetivos de control son enunciados del resultado
deseado que se espera lograr mediante la implantación de
uno o varios controles.
El resultado deseado apunta a
• alcanzar objetivos y
• evitar riesgos que afecten la:
- Efectividad de las operaciones
- Confiabilidad de la información
- Cumplimiento con leyes y regulaciones
Objetivos de Control
Objetivos de Control de IT
Conceptualmente, los objetivos de control en un ambiente de
IT permanecen invariables en relación a los de un ambiente
manual: salvaguarda de activos, eficacia y eficiencia de
operaciones, integridad de la información sensitiva, integridad
de la información financiera para accionistas / público,
autorización de las transacciones, etc.
Objetivos de Control
Objetivos de control de IT
COBIT
Objetivos de control en IT y estándares de buenas
prácticas
34 objetivos de control de alto nivel
ISO 17799
11 áreas de objetivos de alto nivel en IT, incluidas
en un gran objetivo de Seguridad de la
Información
Procedimientos de control de IT
• Controles Generales de IT
dirigidos a los controles del ambiente computacional y
de los sistemas operativos
• Controles de Aplicación
dirigidos a las aplicaciones computacionales
individuales que soportan los procesos del negocio
Procedimientos de control de IT
Procedimientos de Control de IT
Ejemplos de Controles Generales
– Estrategia y dirección de IT
– Gerencia y organización general de IT
– Acceso a datos y programas
– Desarrollo de sistemas y control de cambios
– Operaciones de procesamiento de datos
– Programación de sistemas y funciones de soporte técnico
– Procedimientos de aseguramiento de calidad del procesamiento de
datos
– Controles de acceso físico
– Planeación de continuidad del negocio / Recuperación de desastres
– Redes y comunicaciones
– Administración de bases de datos
Tesorería
Ciclos de Administración del Inventario
Negocios
Ingresos Gastos
Controles Aplicaciones
BaaN
SAP ORACLE
Relación con los proveedores externos Generales del Soporte al Software de Sistemas
Seguridad de la información
Computador
Soporte a redes
C
O Cuentas Contables
M
P
R Ciclos Control
Banca Activo
de Captación Créditos de
Electrónica
Tesorería Fijo Nómina Contabilidad P
E Negocios Pagos
r
S u
I e
b
Ó Visión a
Aplicaciones BaaN JD PANORAMA SAP BEM Meta 4 Base24
N Plus s
Ambientes de
Procesamiento
de la Computadora
UNIX Mainframe 390 Windows
Planeación Estratégica de TI
• Alcance
• Objetivo
– Gerencia Sistemas alineada con los
– Planificar y asignar Objetivos de la Organización
recursos en forma – Liderazgo, adquisición y retención
eficaz y eficiente, para de Recursos Humanos.
brindar los servicios – Entrenamiento y Capacitación
que el resto de las – Administración de costos y
Áreas de la Compañía recursos (costo/efectiva)
requiere – Roles, Responsabilidades
– Segregación clara de funciones
Planeación Estratégica de TI
• Requerimientos de • Evaluación
documentación – Comité de Sistemas de quién
– Plan de Sistemas, depende, a quién reporta?
Organigrama y descripción de – Segregación de funciones (entre sí
puestos, Presupuesto / plan y con otras áreas)
de inversiones, Plan de
– Supervisión personal
capacitación, Mapa de
Sistemas – Evaluación / selección de personal
• Problemas potenciales – Exceso personal
– Plan / Comité de Sistemas, – Compra centralizada hard & soft
Descripción de puestos, – Nivel de conocimientos y
organigrama, Plan de experiencia de la Gerencia / del
capacitación, Estructura del personal
área, Compra de hardware y – Dimensionamiento del área
software
Planeación Estratégica de TI
Nivel de madurez
• Inicial
– Los roles y responsabilidades no se encuentran formalizados (ni documentado el organigrama).
– La organización no cuenta con personal suficiente (cantidad y/o con skills requeridos).
– Excesiva dependencia en terceros (personal subcontratado).
• Definido
– Roles definidos y formalizados.
– Organización estable, y con los skills necesarios en cada puesto.
– Recursos internos y externos son utilizados para reunir los requerimientos del proyecto.
– La mayoría de las áreas se encuentran adecuadamente cubiertas.
• Optimizado
– Los roles de la Organización han sido definidos, documentados y correctamente comunicados.
– Los Skills y la Performance de la Organización superan las expectativas.
– Existe capacitación formal e informal adecuada para actuales y futuras necesidades.
– La estructura está alineada con las necesidades del negocio. Existe un planeamiento adecuado sobre
los Recursos Humanos
Operación de TI
• Alcance
• Objetivo – Planeamiento de ejecución de procesos
– Operar, monitorear y – Ejecución y control de procesos (día a día)
mantener los recursos de – Hardware y Software utilizados (schedulers,
sistemas, en forma efectiva y consolas de monitoreo, medios de
eficiente asegurando el almacenamiento, etc.)
proceso oportuno e integro – Recursos que se encuentran en el centro
para los negocios de la de cómputos
compañía – Upgrades y cambios tecnológicos
– Contratos con terceros (hosting,
datacenters, etc.)
– Distribución de reportes
Operación de TI
• Evaluación
• Requerimientos de – Acceso a la línea de comandos
documentación – Scheduller automático
– Ordenes de procesos – cómo y quién planifica
– Log’s o Journal – cómo y quién revisa log’s
– Cuaderno de bitácora – cómo se solucionan los incidentes
– Documentación de sistemas – quién efectúa (operaciones o
usuarios)?
– Normas y control de distribución
– Seguridad física
– Política Seguridad física / acceso al
centro de cómputos – Restricción de acceso a terminales
críticas
• Problemas potenciales
– Control y supervisión de operaciones
– Control de procesos
Operación de TI
Nivel de madurez
• Inicial
– No existe un Plan formal a largo plazo para planificar y coordinar actualizaciones de Sistemas
Operativos o Hardware y crecimiento de medios de almacenamiento.
– No existe un procedimiento que evalúe las necesidades de capacidad para almacenamiento, o que
planifique en forma proactiva el espacio necesario.
– No existe mantenimiento preventivo ni herramientas automatizadas para monitorear procesos/
recursos, ni para identificar fallas en hardware o software.
– No se han definido SLA’s para Computer Operations.
– No se han definido los procedimientos de Backup y Restore para todos los Sistemas Operativos y
Aplicaciones críticas.
– Las tareas de Computer Operations no están siendo realizadas por personal capacitado, ni se
encuentran formalizadas.
• Definido
– Existe un plan de actualización y se han definido formalmente responsabilidades específicas para las
tareas del día a día, como para la planificación, ejecución, back-up y restore, etc.
– Los procesos son planificados y coordinados diariamente, para evitar problemas de recursos, o de
capacidad de almacenamiento.
– Existen herramientas de ejecución automática de procesos (schedullers) y de monitoreo.
– Las funciones operativas son realizadas por personal específicamente entrenado.
Operación de TI
Nivel de madurez (cont.)
• Optimizado
– Existe un plan integral de Computer Operations que detalla las adquisiciones
planificadas, prioridades, esquema de migración, el cual es actualizado en
forma regular.
– Existen definidos y se cumplen SLA’s sobre procesamiento
– Existen herramientas automáticas para las siguientes funciones (métricas de
gestión, schedule de programas, reinicio de procesos con problemas,
monitoreo, almacenamiento, de monitoreo automático, etc.).
– Se han desarrollado e integrado los procedimientos para solución de
problemas.
Seguridad de la Información
• Alcance
– Seguridad Física y Lógica
• Objetivo
– Organización (Área de seguridad)
– Definir e Implementar medidas
que impidan accesos, – Control de acceso a plataformas
modificación y/o destrucción de tecnológicas
activos de información, por – Aplicación de “parches”.
personas no autorizadas – Administración de usuarios
– Normas, Políticas y Procedimientos
– Concientización a usuarios
– Respuestas ante incidentes de
seguridad (virus, hacking)
Seguridad de la Información
Usuarios de la Información Tipo de Información Medidas de Seguridad
Niveles de Toma de
Decisiones SECRETA ESTRICTAS
Estratégicas
MINIMAS
Comunidad en General
PUBLICA
Quién?
Qué? Cómo?
Seguridad de la Información
Valores de Contraseñas
Eventos de Seguridad
Registro / Responsabilidad
Valida si
Valida
transacción
Ejecuta acceso a Transacción
Ejecuta Identifica está es procesada
Menú Aplicación Transacción recursos
Automático y habilitada
Autenica
APL Fallido SYS APL
Registro
Fallido Pistas de
Auditoría
SYS
Fallido
Identifica Analiza
USUARIO y SCRIPT
Autentica
SYS
SYS
Exitoso 3
Línea de Válida
Ejecuta acceso a Comando es
comandos comandos procesado
recursos
SYS
Ing. Miguel Chang A.
Company
LOGO
Seguridad de la Información
• Aspectos a considerar: Controles físicos
– Selección del sitio para establecer el Centro de Procesamiento de
Datos
– Seguridad perimetral
– Sistemas de Identificación
– Sistemas de acceso al centro de procesamiento de datos
– Copias de resguardo y documentación - Almacenamiento externo
– UPS, Generadores de energía propios
– Extinguidores de incendio
– Detectores de movimiento
– Detectores de humo y humedad
– Circuito cerrado de televisión
– Alarmas y Sensores
Seguridad de la Información
• Aspectos a considerar: Controles administrativos
– Políticas y procedimientos de seguridad informática:
• Clasificación y manejo de la información.
• Separación de ambientes de procesamiento y funciones de desarrollo
• Administración de usuarios y recursos
• Instalación operativa de sistemas de aplicación
• Registración de eventos de seguridad
• Seguridad física
• Transmisión de datos
• Auditabilidad de los sistemas de aplicación
– Planes de concientización y entrenamiento a usuarios
Seguridad de la Información
• Aspectos a considerar: Controles técnicos
– Sistemas de control de accesos:
• Definiciones Globales
• Identificaciones individuales, accesos no concurrentes.
• Atributos de contraseñas (forzar cambios periódicos, no repeticiones,
longitudes mínimas, caracteres complejos).
• Límite de intentos de acceso fallidos, accesos de gracia.
• “Script”: Secuencia lógica de ejecución (menú automático)
– Software antivirus
– Aplicación de “parches” y sistemas de control de cambios
– Encripción
– Control del acceso dial-up y sistemas de call-back
– Sistemas de detección de intrusos
– Pistas de Auditoría
Seguridad de la Información
• Requerimientos de
documentación • Evaluación
– (depende de c/sistema) – usuarios individuales, identificados
– Listado de usuarios – valores administración de passwords,
habilitados definición de usuarios propietarios de los
– Políticas de seguridad de la datos
información – Acceso personal del área de sistemas
– Muestra perfiles (por línea de comandos)
– Protección de objetos – Recorrida del centro de cómputos /
– Normas s/seguridad medidas de seguridad
• Problemas potenciales – Existencia de un administrador de
seguridad independiente
– Administración de la
seguridad – Análisis de control interno al momento
del alta
– Accesos del personal del
área de Sistemas – Procedimientos de administración de
usuarios
– Seguridad física
– Revisión periódica de accesos y log’s de
– Revisión de archivos e eventos.
auditoría / Accesos a la red
interna
Seguridad de la Información
Nivel de madurez
• Inicial
– El entorno de IT no es seguro, su integridad es desconocida, y no se ha definido formalmente la función de
Administrador de seguridad.
– Los usuarios no tienen confianza en la seguridad de los recursos de IT.
– No se encuentran definidos, ni documentados los estándares, procedimientos o políticas de seguridad.
– No se han implementado en forma efectiva herramientas de administración de seguridad.
– El personal no está capacitado o no tiene el skill necesario para administrar seguridad
• Definido
– La integridad del entorno es conocida y los recursos de IT están asegurados contra accesos no autorizados.
– Se asignan Responsables de la administración de seguridad, con el skill y la capacitación necesaria.
– Se definen y documentan los estándares, procedimientos y políticas de seguridad.
– Existen herramientas de Security Management que se utilizan periódicamente
• Optimizado
– La función del Administrador de seguridad tiene una apropiada segregación de tareas y reporta al nivel de gerencia
adecuado.
– Los procesos son probados y se encuentran en constante actualización para asegurar que cubran todas las
necesidades.
– La herramienta de seguridad permite la administración centralizada de los recursos.
Objetivo Alcance
• Proveer un óptimo servicio de • Se debe evaluar personal,
las funciones tercerizadas de IT procesos y tecnología necesaria
para dar soporte
• Incluye el proceso de selección y
evaluación periódica
• Deben definirse y monitorearse
“SLA” para cada servicio
• Problemas potenciales
– Inadecuada formalización de relaciones contractuales y/o Dependencia de Proveedores (A-B)
– Falta de control y supervisión de los proveedores (B)
– Falencias en la prestación de servicios (A)
– Inexistencia de adecuados indicadores de performance y/o de aplicación de multas y sanciones a proveedores de servicios
tercerizados (B)
Objetivo Alcance
• Análisis de Evaluación de impacto en
• Garantizar la continuidad y
rápido restablecimiento de los el negocio (distintos escenarios)
sistemas y servicios críticos a • Evaluación de Riesgos /
usuarios, y administrar la Vulnerabilidades y Exposición
recuperación de la • Definición de Estrategias de
infraestructura dañada
Recuperación
• Documentación y Prueba
• Generación de Copias de Resguardo
• Almacenamiento off-site
• Requerimientos de • Evaluacion
– Razonabilidad
documentación – Visita off-site
– Política de back-up • Si hay:
– Plan de contingencias – razonabilidad de la estrategia
– Problemas potenciales – participación usuarios
– Política de realización de – plan probado
copias de seguridad – plan actualizado / integridad
Objetivo Alcance
• Asegurar la disponibilidad, • Organización y Conocimiento sobre
integridad performance y Aplicaciones y Procesos.
capacidad de las aplicaciones • Administración de Recursos y Eventos
críticas • Caídas de Servicio
• Metodología / Normas de desarrollo y
prueba, conversión y Puesta en
Producción de aplicaciones
• Quality Assurance
• Planificación de crecimiento
(escalabilidad)
A/P: W
PRODUCCION INTERMEDIA
x
Operador
(Optativo)
• Definido
– Se han creado y acordado los SLAs, y las medidas han sido establecidas.
– Todas las caídas son planificadas.
– Los responsables tienen los skills adecuados, y existen políticas y medidas establecidas.
• Optimizado
– SLAs fueron implementadas en forma detallada.
– Nuevas tecnologías son consideradas, para mejorar la administración de las aplicaciones.
– Se mejoran continuamente los procedimientos, políticas y se incorporan nuevas tecnologías para la administración
de aplicaciones
Implementación y Soporte de BD
Objetivo Alcance
• Diseñar, Implementar, • Definición de modelos de datos que
monitorear y mantener los aseguren que los datos sean precisos,
procedimientos necesarios íntegros y unívocos
para asegurar la integridad, • Actualización y modificación de los
performance y disponibilidad estándares
de los datos de la
• Configuración de la base de datos
Organización
para asegurar adecuados tiempos de
respuesta de procesos de
actualización, almacenamiento y
depuración
• Roles de Operadores y
Administradores de bases de datos
(DBA)
Implementación y Soporte de BD
Nivel de madurez
• Inicial
– No existe un plan integral de Data Management. Existen dudas sobre la integridad y/o consistencia de los datos de
las diversas aplicaciones (“silos” de aplicaciones).
– No se encuentra asignada la función de Administración de Datos ni existe capacitación al respecto. Falta
coordinación en las actividades de administración de bases de datos.
– No existen estándares ni herramientas de administración de datos que permitan, modelar los datos, diseñar
repositorios, manejar la performance de las bases de datos.
• Definido
– Existe documentación de datos que no está 100% integrada y/o actualizada.
– Se han definido responsabilidades específicas (aunque son cumplidas por personal que no está suficientemente
capacitado o certificado).
– Existen estándares de datos y procesos operativos para Administración de Datos, pero no están totalmente
automatizados.
• Optimizado
– Existe un Diccionario de datos formalizado y actualizado.
– Se han desarrollado estándares de datos, permitiendo optimizar la consistencia de la información, y definir
correctamente los derechos de acceso.
– Se han definido los roles y son cubiertos por personal capacitado y con los skills necesarios.
– La performance es monitoreada en forma centralizada por una herramienta de
administración, la cuál permite solucionar errores en forma automatizada
Soporte de la Red
Objetivo Alcance
• Administrar en forma • Planificación según necesidades del
negocio
integrada la tecnología
• Diseño y adecuada segmentación de
y software relacionado la red
con la comunicación de • Monitoreo y resolución de eventos de
la red (LAN, WAN, la red (caídas, performance y ataques,
Intranet y acceso a actividades anormales)
Redes externas) • Implementación de seguridad a la red
evitando amenazas (barreras de
acceso, filtros, encripción, tunneling,
switchs)
Soporte de la Red
• Una red de computadoras consiste en una o más computadoras conectadas por un medio
físico y que ejecutan un software que permite a las computadoras comunicarse entre sí.
Los componentes básicos son:
– Estaciones de trabajo
• Equipos desde los cuales un usuario puede utilizar la red.
– Servidor de Archivos
• Es aquel equipo que permite compartir los archivos y programas que se encuentren en su(s) disco(s). Generalmente
existen múltiples Servidores, de Impresión, de Dominios, de Nombres, de Bases de Datos, etc.
– Switch / Hub
• Término general que se aplica a un dispositivo electrónico que permite establecer una conexión cuando resulte necesario y
terminarla cuando ya no hay sesión alguna que soportar.
• Dispositivo que integra distintas clases de cables y arquitecturas o tipos de redes de área local.
– Router
• En general, debe considerarse como el elemento responsable de discernir cuál es el camino más adecuado para la
transmisión de mensajes en una red compleja que está soportando un tráfico intenso de datos.
– Firewall
• Es un elemento de hardware o software que conectado a una red filtra, bloquea y/o registra el acceso entre diversas zonas
(generalmente, accesos no autorizados de una red local hacia/desde Internet). Este mecanismo permite filtrar servicios,
usuarios, paquetes de información, etc. conforme a las políticas de seguridad definidas, garantizando la privacidad y
autenticación de los usuarios, etc.
Red
Pública Red Accesos
Internet Telefónica Remotos
Red Semi-
Semi- Barrera de
Pública Seguridad
Servidores
Públicos
WAN
Red Privada
Sucursal
LAN Casa Central
Debilidades
Red Semi- Ataques a Barrera de en la Barrera
Pública Aplicaciones Seguridad
Inadecuados mecanismos y procesos de Seg.
WEB, DoS, Toma Servidores (Configuraci
de detección y respuesta ante incidentes de
de Control, Públicos ón y Toma
seguridad si se produce un intento
Alteración de de control)
de acceso no autorizado o ataque
Información)
WAN
Inadecuada ad-
ministración de la
Red Privada seguridad (Acce-
sos, DoS, Parches
y esquema de
autenticación) Incorrecta
configuración de
LAN usuarios
Ejecución sistemas y bases de
Sitio A de Virus y LAN usuarios datos (Accesos,
programas Sitio B Parches y DoS)
maliciosos,
Sniffing,
DoS
Ing. Miguel Chang A.
Company
LOGO
Soporte de la Red
• Requerimientos de • Evaluación
documentación – Métodos y herramientas de encripción
– Diagrama técnico de la red (que incluya – Responsabilidades de administración y
vinculos alternativos) y de la monitoreo de redes
configuración de los equipos de
comunicaciones – Segmentación de la red
– Contratos con empresas de – Existencia de herramientas:
comunicaciones por vínculos, hardware, • de administración y monitoreo de red
software y servicios (confidencialidad,
acceso remoto, acceso físico, nivel de • de detección de intrusos
servicio, etc.) • de monitoreo / estadísticas de uso
– Políticas, proceso de uso de mail, – Configuración de firewall y otros dispositivos.
Internet, administración de la red, etc. Análisis de filtros y servicios habilitados
– Muestra de logs de accesos remotos,
actividad de usuarios en Internet, – Existencia de UPS y antivirus
accesos fallidos a los dispositivos. – Accesos por RAS / Modems
• Problemas potenciales – ¿Qué información se encripta?
– Exposición de la información crítica del
Negocio, Fisuras en las Barreras de
Seguridad
– Inadecuados mecanismos de control de
acceso, autorización y registro de
usuarios, Inexistencia de mecanismos
de Detección de Intrusos
– Vulnerabilidades y debilidades de Redes
– Inadecuada Administración de la Red
– Incapacidad de garantizar la continuidad
del servicio
Soporte de la Red
Nivel de madurez
• Inicial
– No se han formalizado los procesos, políticas y estándares sobre configuración, operación, mantenimiento
y monitoreo de la arquitectura de red.
– La disponibilidad y performance de la red es impredecible.
– La organización no invierte en la infraestructura de red para satisfacer las necesidades del negocio.
Carencia de métricas y objetivos para medir la performance de la red.
– La capacitación del personal sobre cada plataforma es mínima.
• Definido
– Se han definido procesos, políticas y estándares y responsabilidades específicas.
– La disponibilidad y performance de la red se encuentra estable.
– Existen herramientas automatizadas para monitorear los componentes clave.
– Se introducen nuevas tecnologías que son evaluadas periódicamente.
– Se han definido formalmente y se cumplen SLA’s para Network Management
• Optimizado
– Los elementos clave de la Infraestructura de red son administrados en forma transparente e integrada,
brindando soluciones en tiempo real
– Se cuenta con soporte real de los proveedores y de especialistas internos sobre las plataformas críticas.
– Los cambios de configuración “sufren” procesos de QA igual que las aplicaciones y se realizan en forma
proactiva.
Soporte al HW y SW de Sistemas
Objetivo Alcance
• Integrar en forma transparente el • Planificación, instalación, prueba
hardware, los sistemas y monitoreo de todos los
operativos y sus herramientas cambios realizados sobre la
plataforma (hardware y software
de base)
• Mantenimiento y Soporte
• Monitoreo y evaluación de
performance, disponibilidad y
fiabilidad de la plataforma
Soporte al HW y SW de Sistemas
• Requerimientos de • Evaluación
documentación – Circuito de control de cambios
– Registros de cambios del – Niveles de autorización de los
software de base cambios
– Aprobaciones de cambios – Accesos restringidos
– Documentación del software – Calidad del software / Servicio
• Problemas potenciales del proveedor del software
– Acceso irrestricto al software de
base
– Procedimiento de cambios del
software de base
Soporte al HW y SW de Sistemas
Nivel de madurez
• Inicial
– No existen procesos, políticas y estándares, ni responsabilidades específicas relacionadas
con la distribución, configuración, y mantenimiento de cada una de las plataformas.
– La disponibilidad y performance del ambiente operativo es impredecible.
– La organización no invierte en los sistemas apropiados, para satisfacer las necesidades del
negocio
• Definido
– Se han definido y documentado procesos, políticas y estándares.
– La disponibilidad y performance del ambiente operativo se encuentra estable y consistente.
– Nueva tecnología es introducida y evaluada en forma periódica.
– Ha sido implementado en forma eficiente herramientas de System Management para
monitorear la performance y disponibilidad de la plataforma. Se han definido y se cumplen
SLAs.
• Optimizado
– Los sistemas son administrados en forma transparente e integrada.
– Se cuenta con soporte real de los vendors y de especialistas internos sobre las plataformas
críticas.
– La tecnología de System Management es utilizada en forma proactiva, para prevenir
problemas.
– Los cambios de configuración de plataformas “sufren” procesos de QA igual que las
aplicaciones
Procedimientos de control de IT
Procedimientos de control de IT
Ejemplos de Controles de Aplicación
SEGURIDAD Y CONTROLES DE
APLICACIONES
CONTROLES DE ENTRADA:
ENTRADA DE DATOS.
CALIDAD DE LOS DATOS.
DATOS INTEGROS
SALIDA DE DATOS
REPORTES A LA ALTA GERENCIA
INFORMACION A LOS ESTADOS FINANCIEROS
SEGURIDAD Y CONTROLES DE
APLICACIONES
Controles del
aplicativo
Ambiente de
procesamiento
Controles en la
computadora
SISTEMA INFORMATICO
•Información financiera reciente
Concluir la Auditoría
•Crear recomendaciones •Redactar el informe de auditoría
Ing. Miguel Chang A.
Company
LOGO