Clase3 Ups Asi

Company
LOGO
Auditoría de
Sistemas I
Mayo - Septiembre de 2010

Ing. Miguel Chang A.
Company
LOGO
Contenido de la parte 3
• Riesgos y Controles en las Tecnologías de Información
– Riesgos
• Definición
• Análisis de riesgos
• Gestión de riesgos
– Controles
• Definición
• Tipos
• Evaluación de controles
– Proceso de Auditoría basada en riesgos
– Impacto de los riesgos en la Auditoría

Company
LOGO
Qué es Riesgo?
Ejemplo: Venir a clases
Venir a clases es un Riesgo?
Cuáles son los riesgos de venir a clases?

Company
LOGO
Qué es Riesgo?
Visualizar el Riesgo
• VENIR a Clases • NO ESTAR en clases

Company
LOGO
Qué es Riesgo?
DEBILIDAD:
Deficiencia interna en algún aspecto.
AMENAZA:
Un evento que puede crear situaciones de incertidumbre.
Percepción de la posibilidad de ocurrencia de algún hecho dañino
sobre recursos.
RIESGO:
La incertidumbre de alcanzar un objetivo.
La posibilidad de que una amenaza afecte negativamente la habilidad
de un ente para alcanzar su objetivo.
Situación adversa en la cual existe la posibilidad de una desviación
con respecto a un resultado esperado.

Company
LOGO
Definición de Riesgo
Según COSO I
(Comitee of Sponsoring Organizations of the Treadway Commission –
1992)
Factor identificado que podría afectar la consecución de un

objetivo de:
•Efectividad de las operaciones (eficacia y eficiencia)

•Confiabilidad de información
•Cumplimiento con leyes y regulaciones

Company
LOGO
Definición de Riesgo
Según ISO
(Guidelines for the Management of IT Security)
El potencial de que una amenaza dada explote las

vulnerabilidades de un activo o grupo de activos, causando
pérdida o daño a los mismos.
El impacto o severidad relativa del riesgo es proporcional al valor

de las pérdidas o daños para el negocio y a la frecuencia estimada
de la amenaza.

Company
LOGO
RIESGO – Como calcularlo?
• Elementos del riesgo:

• Impacto
• Probabilidad de ocurrencia
RIESGO = (IMPACTO) X (PROB. DE OCURRENCIA)
ESCALAS: ALTO
MEDIO
BAJO

Company
LOGO
Tipos de Riesgos de Auditoría

• Riesgo Inherente.- Riesgo de que exista un error que podría ser
material o significativo cuando se combina con otros errores encontrados
durante la auditoría. Los riesgos inherentes existen independientemente
de una auditoría y pueden ocurrir debido a la naturaleza del negocio.
• Riesgo de Control.- Riesgo de que un error material exista que no sea
prevenido ni detectado oportunamente por el sistema de control interno.
• Riesgo de detección.- Riesgo de que un auditor use un procedimiento
inadecuado de prueba y concluya que no existen errores materiales
cuando en realidad si existen.
• Riesgo general de auditoría.- Riesgo que se plantea aceptar utilizando
un enfoque de auditoría basado en riesgos, es el riesgo expresado en
términos generales sobre la efectividad de la auditoría.

Company
LOGO
Tipos de Riesgos de Auditoría

Deficiencias en la Fraude
ejecución de procesos, interno Fraude externo
en el procesamiento de
operaciones y en las
relaciones con
Prácticas laborales y
proveedores y otros
seguridad del
externos
ambiente de trabajo
Pérdidas
Interrupción del
negocio por fallas
en la tecnología Prácticas relacionadas
de información con los clientes, los
Daños a los productos y el negocio
activos físicos

Company
LOGO
RIESGO – Como calcularlo?

Componentes del Riesgo:
Procesos y/o activos (incluyendo todos los activos de una
organización: físicos y de información)
Impacto sobre los activos
Probabilidad: combinación de la frecuencia de ocurrencia
de la amenaza (cada cuánto ocurre la amenaza) y la
exposición (cada cuánto ocurre la actividad que contiene la
amenaza)
Existe una Probabilidad a priori y una

Probabilidad a posteriori
Existe una probabilidad de detección

Company
LOGO
Análisis de Riesgos
• Es el proceso mediante el cual se realiza la
identificación y valoración de los riesgos para su
posterior gestión.
IDENTIFICACIÓN
VALORACIÓN
TRATAMIENTO
Gestión de Riesgos

Company
LOGO
• La Identificación de riesgos corresponde a la

determinación, sobre los objetivos, de los
eventos que puedan suceder y tener un efecto
negativo en la consecución de tales objetivos.

Company
LOGO
Identificación de riesgos
Proceso Objetivos Riesgo asociado al negocio Riesgo asociado a Área de Sistemas
No existe la información de inventario No existen controles de validación de datos de

disponible y a tiempo entrada al sistema
No funciona adecuadamente la base de datos
El sistema falla y no se puede No se verifica el acceso no autorizado a las

facturar/despachar computadoras del personal
No existe un plan de continuidad ante una

interrupción
Los usuarios generalmente olvidan su clave y

INGRESOS
llaman a sistemas a consultarla
INCREMENTAR LOS
INGRESOS DE LA
COMPAÑÍA Las facturas tiene errores
Se realizan cambios no controlados al sistema y no
se prueban dichos cambios
No funciona adecuadamente la red
No se puede realizar una buena planificación Las tareas automáticas del sistema no se ejecutan
de la producción en el sistema de forma completa
No existen procedimientos de revisión de tareas

automáticas

Company
LOGO
Fuentes de Riesgos de TI
PERSONAS
ADMINISTRACIÓN
*Error humano, falta honestidad
*Falta de estrategia *Capacidades y competencias
*Debilidad *Estructuras organizacionales
*Visión *Motivación
*Falta de información de decisiones *Incentivos inapropiados
FUENTES SISTEMA TRANSACCIONES
PROCESOS
DE *Baja inversión en Sistemas
*Excesivo volúmen/Capacidad reducida
* Marco de control débil
RIESGOS *Deficiente Integridad,
Seguridad y Exactitud
*Ineficiencias y errores de procesos *Datos Inconsistentes
*Eventos inusuales *Interfaces manuales
NUEVAS ACTIVIDADES
FUENTES EXTERNAS
*Desastres naturales *Cambios a la estrategia
*Terceros *Re-ingeniería e integración
*Entorno de Negocios *Nuevos productos
*Cambios a Legislación y Regulaciones *Aumento de la sofisticación
NORMAS,LEYES,REGULACIONES
*Contratos *Tipos de negocio
*Poderes *Interlocutores
*Responsabilidades *Globalización

Company
LOGO
Tips – Identificación de riesgos

• Se debe partir siempre de los objetivos o cambios
• Una buena fuente para obtener los objetivos de la
organización son los planes estratégicos y operativos,
en ausencia de los mismos las entrevistas con la alta
gerencia proporcionaran la información que se busca
• Generalmente los riesgos principales ya están
identificados por lo tanto las indagaciones deben
considerar ese aspecto

Company
LOGO
Valoración de riesgos
• Es la asignación de impacto y probabilidad a
cada riesgo a fin de tener una visión global de la
percepción en la organización sobre los mismos
y por lo tanto sobre cuales enfocaremos el
trabajo.

Company
LOGO
Valoración de los riesgos determinados
para el Área de Sistemas
Leyenda Probabilidad Impacto
Muy baja 2 1
Baja 4 3
Alta 6 5
Muy alta 8 7
Ha Ocurrido Aplicabilidad Probabilidad Impacto Severidad

Riesgo asociado a TI
No existen controles de validación de datos de entrada al sistema n s 2 5 10
No funciona adecuadamente la base de datos n s 2 5 10
No se verifica el acceso no autorizado a las computadoras del

personal n s 4 7 28
No existe un plan de continuidad ante una interrupción s s 4 5 20
Se realizan cambios no controlados al sistema y no se prueban

dichos cambios n s 4 7 28
No funciona adecuadamente la red s s 4 5 20
Las tareas automáticas del sistema no se ejecutan de forma

completa n s 4 5 20
No existen procedimientos de revisión de tareas automáticas n n 2 5 10

Company
LOGO
Tips – Valoración de riesgos

• Es recomendable utilizar el método cualitativo
para calificar impacto y probabilidad de
ocurrencia.
• Se debe recolectar la percepción del riesgo con
personas clave en la organización.
• Siempre considerar a la alta gerencia en éste
tipo de análisis.

Company
LOGO
Gestión de riesgos
En la vida todo es administrar el riesgo,
no eliminarlo.
Walter Wriston,
Ex-presidente de Citicorp.
Las empresas participan en el negocio de la administración de

riesgos. Las más competentes lo consiguen, otras fallan.
Mientras que algunas empresas asumen pasivamente los riesgos
financieros, otras intentan crear una ventaja competitiva a través
de una exposición juiciosa a estos tipos de riesgos.

Company
LOGO
Gestión de riesgos
• Proceso de decidir que contramedidas se
deben tomar (o que controles se deben
implementar), si existiera alguna, para reducir
el nivel de riesgo hasta un nivel aceptable por
la organización.
NIVEL DE EXPOSICIÓN
(Riesgo residual)
Situación una vez se

Situación normal han implementado
controles

Company
LOGO
Gestión de riesgos
• Habiendo definido el apetito de riesgo e
identificado la exposición a los mismos se
pueden establecer las estrategias para
gestionar los riesgos y aclarar
responsabilidades.
• Dependiendo del tipo de riesgo y su
importancia para el negocio, se pueden
optar por:

Company
LOGO
Gestión de riesgos
• Evitar el riesgo. Ej: escoger no implentar ciertas
actividades o procesos
• Mitigar el riesgo. Ej: definir implementar controles para
reducir el impacto o la probabilidad de ocurrencia del
riesgo
• Transferir el riesgo. Ej: asegurar un equipo, compartir
el riesgo con socios
• Aceptar el riesgo. Ej: reconocer formalmente la
existencia del riesgo y monitorearlo
• Eliminar el riesgo. Ej: eliminar la fuente del riesgo

Company
LOGO
Gestión de Riesgos
• Corresponde a un nuevo enfoque organizacional

llamado ERM o Enterprise Risk Management el
cual será abordado en el próximo capítulo.

Company
LOGO
Monitoreo de Riesgos
1. Decidir que riesgos serán
monitoreados
10. Comunicar a las partes

2. Identificar los principales
apropiadas
indicadores del riesgo
9. Considerar la efectividad del 3. Identificar las fuentes de datos

monitoreo
4. Considerar niveles inaceptables

8. Considerar la evidencia de
de riesgos
monitoreo
5. Identificar los puntos de reporte

7. Asignar individual responsabilidad
y las escalas de tiempo requeridos
por la propiedad de los riesgos
para reportar excepciones
6. Identificar la naturaleza y
frecuencia de monitoreo
Company
LOGO
Controles - Definición
Todas las políticas, procedimientos, prácticas y
estructura organizacional implantadas con la finalidad
de reducir Riesgos.
Son establecidas para proveer seguridad razonable de

que los objetivos específicos serán alcanzados.
Por tanto los controles apuntan a dos objetivos:
Lo que debe ser alcanzado

Lo que debe ser evitado

Company
LOGO
RELACION ENTRE RIESGOS Y CONTROLES:
CONTROL MITIGA RIESGOS

Es importante tener claro que los controles deben ser aceptables en costo.

Company
LOGO
CONTROLES
Clasificación de los controles
• Preventivo - probabilidad
• Detectivo
• Correctivo - impacto

Company
LOGO
CONTROLES - EJEMPLOS
PREVENTIVOS:
• EMPLEAR SOLO PERSONAL CALIFICADO
• ESTABLECER PROCEDIMIENTOS ADECUADOS PARA LA
AUTORIZACION DE TRANSACCIONES
DETECTIVOS:
• DOBLE VERIFICACION DE CALCULOS
• FUNCION DE AUDITORIA INTERNA
CORRECTIVOS:
• PROCEDIMIENTOS DE RESPALDO
• PLANEACION DE CONTINGENCIAS

Company
LOGO
CONTROLES
Definición de CONTROL INTERNO según COSO
Es un proceso establecido por la Junta Directiva, la alta

gerencia y todos los niveles de personal para proveer
seguridad razonable de que los objetivos de la organización
serán alcanzados.

Company
LOGO
Objetivos de Control
Los objetivos de control son enunciados del resultado
deseado que se espera lograr mediante la implantación de
uno o varios controles.
El resultado deseado apunta a
• alcanzar objetivos y
• evitar riesgos que afecten la:
- Efectividad de las operaciones
- Confiabilidad de la información
- Cumplimiento con leyes y regulaciones

Company
LOGO
Objetivos de Control de IT
Conceptualmente, los objetivos de control en un ambiente de
IT permanecen invariables en relación a los de un ambiente
manual: salvaguarda de activos, eficacia y eficiencia de
operaciones, integridad de la información sensitiva, integridad
de la información financiera para accionistas / público,
autorización de las transacciones, etc.
Sin embargo, deben ser adaptados a un entorno diferente, el

entorno informático.

Company
LOGO
Objetivos de control de IT
COBIT
Objetivos de control en IT y estándares de buenas
prácticas
34 objetivos de control de alto nivel
ISO 17799
11 áreas de objetivos de alto nivel en IT, incluidas
en un gran objetivo de Seguridad de la
Información

Company
LOGO
Procedimientos de control de IT
• Controles Generales de IT
dirigidos a los controles del ambiente computacional y
de los sistemas operativos
• Controles de Aplicación
dirigidos a las aplicaciones computacionales
individuales que soportan los procesos del negocio

Company
LOGO
Procedimientos de Control de IT
Ejemplos de Controles Generales
– Estrategia y dirección de IT
– Gerencia y organización general de IT
– Acceso a datos y programas
– Desarrollo de sistemas y control de cambios
– Operaciones de procesamiento de datos
– Programación de sistemas y funciones de soporte técnico
– Procedimientos de aseguramiento de calidad del procesamiento de
datos
– Controles de acceso físico
– Planeación de continuidad del negocio / Recuperación de desastres
– Redes y comunicaciones
– Administración de bases de datos

Company
Relación de controles
LOGO
• Los controles generales de la computadora soportan las operaciones que se

realizan en las aplicaciones y que soportan los ciclos de negocios
Contabilidad Financiera
Activo Fijo Nóminas y Personal
Tesorería
Ciclos de Administración del Inventario
Negocios
Ingresos Gastos
Controles Aplicaciones
BaaN
SAP ORACLE
Planeación y estrategia de los recursos de información

Implantación y mantenimiento de los sistemas de información
Operaciones de los sistemas de información Controles Soporte e implantación de la base de datos
Relación con los proveedores externos Generales del Soporte al Software de Sistemas
Seguridad de la información
Computador
Soporte a redes
Plan de Continuidad del negocio

Soporte al Hardware

Company
LOGO
• Los controles generales de la computadora soportan las operaciones que se realizan en

las aplicaciones y que soportan los ciclos de negocios
C
O Cuentas Contables
M
P
R Ciclos Control
Banca Activo
de Captación Créditos de
Electrónica
Tesorería Fijo Nómina Contabilidad P
E Negocios Pagos
r
S u
I e
b
Ó Visión a
Aplicaciones BaaN JD PANORAMA SAP BEM Meta 4 Base24
N Plus s
Ambientes de
Procesamiento
de la Computadora
UNIX Mainframe 390 Windows
*No se incluyen todos los sistemas financieros

Company
LOGO
Alcance Controles Generales de la Computadora

• Alineación de la estrategia de TI con negocio, capacitación y
selección de personal. Esto a través de seguimiento a las
Planeación Estratégica
planeaciones a corto y largo plazo, presupuestos, proyectos y
de TI
planes de capacitación, entre otros.
• Calendarización de procesos y revisión de la exitosa conclusión

Operación de los
de los procesos que afectan la operación del negocio.
Sistemas de Información
• Procesamiento de los sistemas de aplicación
Relación con • Proceso de selección y evaluación de proveedores externos.

Proveedores Externos • Niveles de servicio
Seguridad de los • Políticas y procedimientos

Sistemas de Información • Privilegios de acceso y segregación de funciones
• Seguridad en los accesos (Físicos y Lógicos)
• Políticas y procedimientos de recuperación de la información

Plan de Continuidad del
• Control de cintas de respaldo
Negocio
• Pruebas para la recuperación de la información

Company
LOGO
Alcance Controles Generales de la Computadora

• Ciclo de vida de los sistemas
Mantenimiento e • Control de cambios
implantación de los • Administración de proyectos, documentación y pruebas de
Sistemas de usuario
Información • Metodologías de Implantación y desarrollo
• Procedimientos de control de cambios
Soporte e • Arquitectura de la base de datos

Implementación de la • Administración de la base de datos
Base de Datos • Monitoreo y seguridad de la base de datos
• Monitoreo del rendimiento de la red

Soporte a la Red • Infraestructura y diagrama de telecomunicaciones
• Control de cambios sobre el software crítico relacionado.
• Adquisición del software de sistemas

Soporte al Software de
• Modificaciones y mantenimiento al software de sistemas
Sistemas
• Control de cambios sobre el software crítico relacionado
• Adquisición del hardware

Soporte al Hardware • Actualización del hardware
• Mantenimiento del hardware

Company
LOGO
Planeación Estratégica de TI
• Alcance
• Objetivo
– Gerencia Sistemas alineada con los
– Planificar y asignar Objetivos de la Organización
recursos en forma – Liderazgo, adquisición y retención
eficaz y eficiente, para de Recursos Humanos.
brindar los servicios – Entrenamiento y Capacitación
que el resto de las – Administración de costos y
Áreas de la Compañía recursos (costo/efectiva)
requiere – Roles, Responsabilidades
– Segregación clara de funciones

Company
LOGO
• Requerimientos de • Evaluación
documentación – Comité de Sistemas de quién
– Plan de Sistemas, depende, a quién reporta?
Organigrama y descripción de – Segregación de funciones (entre sí
puestos, Presupuesto / plan y con otras áreas)
de inversiones, Plan de
– Supervisión personal
capacitación, Mapa de
Sistemas – Evaluación / selección de personal
• Problemas potenciales – Exceso personal
– Plan / Comité de Sistemas, – Compra centralizada hard & soft
Descripción de puestos, – Nivel de conocimientos y
organigrama, Plan de experiencia de la Gerencia / del
capacitación, Estructura del personal
área, Compra de hardware y – Dimensionamiento del área
software

Company
LOGO
Nivel de madurez
• Inicial
– Los roles y responsabilidades no se encuentran formalizados (ni documentado el organigrama).
– La organización no cuenta con personal suficiente (cantidad y/o con skills requeridos).
– Excesiva dependencia en terceros (personal subcontratado).
• Definido
– Roles definidos y formalizados.
– Organización estable, y con los skills necesarios en cada puesto.
– Recursos internos y externos son utilizados para reunir los requerimientos del proyecto.
– La mayoría de las áreas se encuentran adecuadamente cubiertas.
• Optimizado
– Los roles de la Organización han sido definidos, documentados y correctamente comunicados.
– Los Skills y la Performance de la Organización superan las expectativas.
– Existe capacitación formal e informal adecuada para actuales y futuras necesidades.
– La estructura está alineada con las necesidades del negocio. Existe un planeamiento adecuado sobre
los Recursos Humanos

Company
LOGO
Operación de TI
• Alcance
• Objetivo – Planeamiento de ejecución de procesos
– Operar, monitorear y – Ejecución y control de procesos (día a día)
mantener los recursos de – Hardware y Software utilizados (schedulers,
sistemas, en forma efectiva y consolas de monitoreo, medios de
eficiente asegurando el almacenamiento, etc.)
proceso oportuno e integro – Recursos que se encuentran en el centro
para los negocios de la de cómputos
compañía – Upgrades y cambios tecnológicos
– Contratos con terceros (hosting,
datacenters, etc.)
– Distribución de reportes

Company
LOGO
Operación de TI
• Evaluación
• Requerimientos de – Acceso a la línea de comandos
documentación – Scheduller automático
– Ordenes de procesos – cómo y quién planifica
– Log’s o Journal – cómo y quién revisa log’s
– Cuaderno de bitácora – cómo se solucionan los incidentes
– Documentación de sistemas – quién efectúa (operaciones o
usuarios)?
– Normas y control de distribución
– Seguridad física
– Política Seguridad física / acceso al
centro de cómputos – Restricción de acceso a terminales
críticas
• Problemas potenciales
– Control y supervisión de operaciones
– Control de procesos

Company
LOGO
Operación de TI
Nivel de madurez
• Inicial
– No existe un Plan formal a largo plazo para planificar y coordinar actualizaciones de Sistemas
Operativos o Hardware y crecimiento de medios de almacenamiento.
– No existe un procedimiento que evalúe las necesidades de capacidad para almacenamiento, o que
planifique en forma proactiva el espacio necesario.
– No existe mantenimiento preventivo ni herramientas automatizadas para monitorear procesos/
recursos, ni para identificar fallas en hardware o software.
– No se han definido SLA’s para Computer Operations.
– No se han definido los procedimientos de Backup y Restore para todos los Sistemas Operativos y
Aplicaciones críticas.
– Las tareas de Computer Operations no están siendo realizadas por personal capacitado, ni se
encuentran formalizadas.
• Definido
– Existe un plan de actualización y se han definido formalmente responsabilidades específicas para las
tareas del día a día, como para la planificación, ejecución, back-up y restore, etc.
– Los procesos son planificados y coordinados diariamente, para evitar problemas de recursos, o de
capacidad de almacenamiento.
– Existen herramientas de ejecución automática de procesos (schedullers) y de monitoreo.
– Las funciones operativas son realizadas por personal específicamente entrenado.

Company
LOGO
Operación de TI
Nivel de madurez (cont.)
• Optimizado
– Existe un plan integral de Computer Operations que detalla las adquisiciones
planificadas, prioridades, esquema de migración, el cual es actualizado en
forma regular.
– Existen definidos y se cumplen SLA’s sobre procesamiento
– Existen herramientas automáticas para las siguientes funciones (métricas de
gestión, schedule de programas, reinicio de procesos con problemas,
monitoreo, almacenamiento, de monitoreo automático, etc.).
– Se han desarrollado e integrado los procedimientos para solución de
problemas.

Company
LOGO
Seguridad de la Información
• Alcance
– Seguridad Física y Lógica
• Objetivo
– Organización (Área de seguridad)
– Definir e Implementar medidas
que impidan accesos, – Control de acceso a plataformas
modificación y/o destrucción de tecnológicas
activos de información, por – Aplicación de “parches”.
personas no autorizadas – Administración de usuarios
– Normas, Políticas y Procedimientos
– Concientización a usuarios
– Respuestas ante incidentes de
seguridad (virus, hacking)

Company
LOGO
Usuarios de la Información Tipo de Información Medidas de Seguridad
Niveles de Toma de
Decisiones SECRETA ESTRICTAS
Estratégicas
Niveles Operativos RESTRINGIDA

SUFICIENTES
MINIMAS
Comunidad en General
PUBLICA
Quién?
Qué? Cómo?
Propietarios de datos Custodios de la información

Company
LOGO
Valores del Sistema

Sist. Operativo (SYS)
Identificación y
Autenticación Sist. Aplicativo (APL)
Valores de Contraseñas
Menú vs. Línea de comandos
Acceso a Recursos Propiedad

Autorizaciones
Listas de Autorizaciones
Pistas de Auditoría Sist. Operativo (SYS)

Sist. Aplicativo (APL)
Eventos de Seguridad
Registro / Responsabilidad

Company
LOGO
Esquema conceptual de un proceso

Pistas de
de validación de usuarios Archivos de Seg. Auditoría
Aplicativa
APL
Valida si
Valida
transacción
Ejecuta acceso a Transacción
Ejecuta Identifica está es procesada
Menú Aplicación Transacción recursos
Automático y habilitada
Autenica
APL Fallido SYS APL
Registro
Fallido Pistas de
Auditoría
SYS
Fallido
Identifica Analiza
USUARIO y SCRIPT
Autentica
SYS
SYS
Exitoso 3
Línea de Válida
Ejecuta acceso a Comando es
comandos comandos procesado
recursos
SYS
Company
LOGO
• Aspectos a considerar: Controles físicos
– Selección del sitio para establecer el Centro de Procesamiento de
Datos
– Seguridad perimetral
– Sistemas de Identificación
– Sistemas de acceso al centro de procesamiento de datos
– Copias de resguardo y documentación - Almacenamiento externo
– UPS, Generadores de energía propios
– Extinguidores de incendio
– Detectores de movimiento
– Detectores de humo y humedad
– Circuito cerrado de televisión
– Alarmas y Sensores

Company
LOGO
• Aspectos a considerar: Controles administrativos
– Políticas y procedimientos de seguridad informática:
• Clasificación y manejo de la información.
• Separación de ambientes de procesamiento y funciones de desarrollo
• Administración de usuarios y recursos
• Instalación operativa de sistemas de aplicación
• Registración de eventos de seguridad
• Seguridad física
• Transmisión de datos
• Auditabilidad de los sistemas de aplicación
– Planes de concientización y entrenamiento a usuarios

Company
LOGO
• Aspectos a considerar: Controles técnicos
– Sistemas de control de accesos:
• Definiciones Globales
• Identificaciones individuales, accesos no concurrentes.
• Atributos de contraseñas (forzar cambios periódicos, no repeticiones,
longitudes mínimas, caracteres complejos).
• Límite de intentos de acceso fallidos, accesos de gracia.
• “Script”: Secuencia lógica de ejecución (menú automático)
– Software antivirus
– Aplicación de “parches” y sistemas de control de cambios
– Encripción
– Control del acceso dial-up y sistemas de call-back
– Sistemas de detección de intrusos
– Pistas de Auditoría

Company
LOGO
• Requerimientos de
documentación • Evaluación
– (depende de c/sistema) – usuarios individuales, identificados
– Listado de usuarios – valores administración de passwords,
habilitados definición de usuarios propietarios de los
– Políticas de seguridad de la datos
información – Acceso personal del área de sistemas
– Muestra perfiles (por línea de comandos)
– Protección de objetos – Recorrida del centro de cómputos /
– Normas s/seguridad medidas de seguridad
• Problemas potenciales – Existencia de un administrador de
seguridad independiente
– Administración de la
seguridad – Análisis de control interno al momento
del alta
– Accesos del personal del
área de Sistemas – Procedimientos de administración de
usuarios
– Seguridad física
– Revisión periódica de accesos y log’s de
– Revisión de archivos e eventos.
auditoría / Accesos a la red
interna

Company
LOGO
Nivel de madurez
• Inicial
– El entorno de IT no es seguro, su integridad es desconocida, y no se ha definido formalmente la función de
Administrador de seguridad.
– Los usuarios no tienen confianza en la seguridad de los recursos de IT.
– No se encuentran definidos, ni documentados los estándares, procedimientos o políticas de seguridad.
– No se han implementado en forma efectiva herramientas de administración de seguridad.
– El personal no está capacitado o no tiene el skill necesario para administrar seguridad
• Definido
– La integridad del entorno es conocida y los recursos de IT están asegurados contra accesos no autorizados.
– Se asignan Responsables de la administración de seguridad, con el skill y la capacitación necesaria.
– Se definen y documentan los estándares, procedimientos y políticas de seguridad.
– Existen herramientas de Security Management que se utilizan periódicamente
• Optimizado
– La función del Administrador de seguridad tiene una apropiada segregación de tareas y reporta al nivel de gerencia
adecuado.
– Los procesos son probados y se encuentran en constante actualización para asegurar que cubran todas las
necesidades.
– La herramienta de seguridad permite la administración centralizada de los recursos.

Company
LOGO
Relaciones con Proveedores Externos
Objetivo Alcance
• Proveer un óptimo servicio de • Se debe evaluar personal,
las funciones tercerizadas de IT procesos y tecnología necesaria
para dar soporte
• Incluye el proceso de selección y
evaluación periódica
• Deben definirse y monitorearse
“SLA” para cada servicio

Company
LOGO

• Evaluación
• Requerimientos de documentación – Las actividades de control y selección del proveedor.
– Nivel de detalle de los SLA definidos
– Contratos y detalle de SLA
– El cumplimiento de las condiciones contractuales de
– Legajo de evaluación/ Presupuestos y r resultados técnicas,
prestación de producto y/o de la satisfacción conforme a
económicas y comerciales (*)
los requerimientos del producto adquirido.
– Procedimientos y políticas
– cómo se solucionan los incidentes, cant. de ocurrencias
– Informes de Auditoría/ Evaluaciones periódicas sobre
cumplimiento de SLA (*)
– Cartas y documentación entre las partes.
• Problemas potenciales
– Inadecuada formalización de relaciones contractuales y/o Dependencia de Proveedores (A-B)
– Falta de control y supervisión de los proveedores (B)
– Falencias en la prestación de servicios (A)
– Inexistencia de adecuados indicadores de performance y/o de aplicación de multas y sanciones a proveedores de servicios
tercerizados (B)

Company
LOGO

Nivel de madurez
• Inicial
– Las obligaciones y responsabilidades de los proveedores no se encuentran definidas ni formalizadas. No hay circuitos
establecidos para la selección efectiva y eficiente de los proveedores.
– El servicio prestado por los proveedores no es evaluado.
• Definido
– La Organización posee un detalle de todos los servicios que prestan proveedores, habiendo definido formalmente para
cada uno, las obligaciones y responsabilidades de los mismos, a través de contratos tipos con cláusulas especificas
referidas a los niveles de satisfacción esperados. El proceso de selección y evaluación cubre la realización de
análisis técnico, económico y comercial. Se encuentra definido un proceso y responsabilidades para el monitoreo y
prueba de cumplimiento de los servicios del proveedor.
• Optimizado
– La Organización ha definido, documentado y comunicado el proceso de selección de los proveedores. Se formalizan
y controlan las relaciones con proveedores externos en términos de niveles de servicio, precios, derechos y
obligaciones. Se aplican multas y sanciones, en caso de corresponder. La selección de proveedores externos es
consistente con las intenciones de la gerencia.
– Los niveles de servicio de los proveedores externos satisfacen o exceden las expectativas de la gerencia.

Company
LOGO
Planeación de la Continuidad del Negocio
Objetivo Alcance
• Análisis de Evaluación de impacto en
• Garantizar la continuidad y
rápido restablecimiento de los el negocio (distintos escenarios)
sistemas y servicios críticos a • Evaluación de Riesgos /
usuarios, y administrar la Vulnerabilidades y Exposición
recuperación de la • Definición de Estrategias de
infraestructura dañada
Recuperación
• Documentación y Prueba
• Generación de Copias de Resguardo
• Almacenamiento off-site

Company
LOGO
• Requerimientos de • Evaluacion
– Razonabilidad
documentación – Visita off-site
– Política de back-up • Si hay:
– Plan de contingencias – razonabilidad de la estrategia
– Problemas potenciales – participación usuarios
– Política de realización de – plan probado
copias de seguridad – plan actualizado / integridad
– Plan de contingencias • Si no hay:

– ¿hay análisis costo/ beneficio?
– ¿Existe alguna idea básica?
– Detectar si son “sistemas
dependientes”
– experiencia de problemas

Company
LOGO

Nivel de madurez
• Inicial
– No se han establecido metas y expectativas en la continuidad del negocio. No se encuentra definido un proceso de
análisis de impacto en el negocio.
– No existe un plan documentado ni se han establecido claramente responsabilidades de su desarrollo y actualización.
– No se almacenan todas las copias de resguardo en sitios seguros.
• Definido
– La Compañía realizó un análisis inicial y determinó los riesgos y probabilidad de ocurrencia, pero este análisis no fue
integral cubriendo todas las áreas.
– Existen procedimientos de administración de continuidad, pero no se han desarrollado procedimientos de prueba y
actualización periódica de los mismos.
– Las medidas a tomar para realizar las tareas de continuidad de negocio se encuentran identificadas, pero estas
medidas deben ser refinadas.
• Optimizado
– Un proceso integral fue desarrollado, considerando los tipos, naturaleza y probabilidad de todos los riesgos que afecten
procesos críticos para el negocio y definiendo un plan de contingencia que permita brindar un servicio aceptable.
– Los procesos son probados y se encuentran en constante actualización para asegurar que cubran todas las
necesidades. Para esto, un responsable ha sido claramente definido
– El personal ha sido capacitado sobre los roles a seguir durante la contingencia
– Existen medidas definidas para asegurar el cumplimiento de SLA’s (durante la contingencia)

Company
LOGO
Adquisición e Implementación de Sistemas
Objetivo Alcance
• Asegurar la disponibilidad, • Organización y Conocimiento sobre
integridad performance y Aplicaciones y Procesos.
capacidad de las aplicaciones • Administración de Recursos y Eventos
críticas • Caídas de Servicio
• Metodología / Normas de desarrollo y
prueba, conversión y Puesta en
Producción de aplicaciones
• Quality Assurance
• Planificación de crecimiento
(escalabilidad)

Company
LOGO

DESARROLLO
X= EXECUTE Implementador: None o
R=READ A/P:W Programa Fuente read
W=WRITE
N=NONE
Programa Objeto
A/P: W
PRODUCCION INTERMEDIA
Datos Programa Fuente

A/P: N
R
Programa Fuente Recompilo Implementador
A/P: R X
Programa Objeto Programa Objeto
A/P: N
W
x
Operador

Company
LOGO
(Optativo)

Company
LOGO

Usuario Editor Compilador Datos Pgrms Ambiente
Analista/ X X W W
Programador
Desarrollo
Usuario --- --- --- ---
Analista/ --- --- W X

Programador
Prueba
Implemen. R X W W
Usuario --- --- W X
Analista/ --- --- R R

Programador Producción
Usuario --- --- W X

Company
LOGO

• Requerimientos de documentación • Evaluación
– Metodología – Software documentador (funcional y de
• Selección / Implementación programas)
• Desarrollo / mantenimiento • Supervisión personal
• Estándares de programación • Interno
– Requerimientos usuarios • Externo
– Documentación aplicaciones
– Participación usuarios
• Manual del Usuario y Documentación Técnica
– Pruebas de usuarios, Pasajes a producción, Quality – Sistema control de proyectos
assurance (QA)
– Asignación costo
• Problemas potenciales – Puesta en producción
– Puesta en producción de desarrollos/ modificaciones de – Sistema control de bibliotecas
sistemas
– Metodología de desarrollo/ mantenimiento de sistemas – Software comparador de versiones
– Requerimientos de los sectores usuarios – Back-up versiones anteriores
– Prueba de desarrollos/ modificaciones de sistemas,
Documentación de los sistemas de aplicación, – Ambiente separado
Dependencia de programadores externos
– Participación usuarios
– Satisfacción usuarios

Company
LOGO

Nivel de madurez
• Inicial
– No se han definido procedimientos y políticas para la administración de aplicaciones críticas.
– Las aplicaciones no son escalables y/o no cumplen con los SLAs.
– No se han implementado herramientas de monitoreo.
– No se han definido formalmente procedimientos de control de cambio.
• Definido
– Se han creado y acordado los SLAs, y las medidas han sido establecidas.
– Todas las caídas son planificadas.
– Los responsables tienen los skills adecuados, y existen políticas y medidas establecidas.
• Optimizado
– SLAs fueron implementadas en forma detallada.
– Nuevas tecnologías son consideradas, para mejorar la administración de las aplicaciones.
– Se mejoran continuamente los procedimientos, políticas y se incorporan nuevas tecnologías para la administración
de aplicaciones

Company
LOGO
Implementación y Soporte de BD
Objetivo Alcance
• Diseñar, Implementar, • Definición de modelos de datos que
monitorear y mantener los aseguren que los datos sean precisos,
procedimientos necesarios íntegros y unívocos
para asegurar la integridad, • Actualización y modificación de los
performance y disponibilidad estándares
de los datos de la
• Configuración de la base de datos
Organización
para asegurar adecuados tiempos de
respuesta de procesos de
actualización, almacenamiento y
depuración
• Roles de Operadores y
Administradores de bases de datos
(DBA)

Company
LOGO
Implementación y Soporte de BD
Nivel de madurez
• Inicial
– No existe un plan integral de Data Management. Existen dudas sobre la integridad y/o consistencia de los datos de
las diversas aplicaciones (“silos” de aplicaciones).
– No se encuentra asignada la función de Administración de Datos ni existe capacitación al respecto. Falta
coordinación en las actividades de administración de bases de datos.
– No existen estándares ni herramientas de administración de datos que permitan, modelar los datos, diseñar
repositorios, manejar la performance de las bases de datos.
• Definido
– Existe documentación de datos que no está 100% integrada y/o actualizada.
– Se han definido responsabilidades específicas (aunque son cumplidas por personal que no está suficientemente
capacitado o certificado).
– Existen estándares de datos y procesos operativos para Administración de Datos, pero no están totalmente
automatizados.
• Optimizado
– Existe un Diccionario de datos formalizado y actualizado.
– Se han desarrollado estándares de datos, permitiendo optimizar la consistencia de la información, y definir
correctamente los derechos de acceso.
– Se han definido los roles y son cubiertos por personal capacitado y con los skills necesarios.
– La performance es monitoreada en forma centralizada por una herramienta de
administración, la cuál permite solucionar errores en forma automatizada

Company
LOGO
Soporte de la Red
Objetivo Alcance
• Administrar en forma • Planificación según necesidades del
negocio
integrada la tecnología
• Diseño y adecuada segmentación de
y software relacionado la red
con la comunicación de • Monitoreo y resolución de eventos de
la red (LAN, WAN, la red (caídas, performance y ataques,
Intranet y acceso a actividades anormales)
Redes externas) • Implementación de seguridad a la red
evitando amenazas (barreras de
acceso, filtros, encripción, tunneling,
switchs)

Company
LOGO
Soporte de la Red
• Una red de computadoras consiste en una o más computadoras conectadas por un medio
físico y que ejecutan un software que permite a las computadoras comunicarse entre sí.
Los componentes básicos son:
– Estaciones de trabajo
• Equipos desde los cuales un usuario puede utilizar la red.
– Servidor de Archivos
• Es aquel equipo que permite compartir los archivos y programas que se encuentren en su(s) disco(s). Generalmente
existen múltiples Servidores, de Impresión, de Dominios, de Nombres, de Bases de Datos, etc.
– Sistema Operativo de Red

• Adicionalmente al software de base es necesario que exista un sistema operativo para que administre las funciones de la
red. Este sistema tiene dos partes : la del servidor de archivos y de las estaciones de trabajo.
– Switch / Hub
• Término general que se aplica a un dispositivo electrónico que permite establecer una conexión cuando resulte necesario y
terminarla cuando ya no hay sesión alguna que soportar.
• Dispositivo que integra distintas clases de cables y arquitecturas o tipos de redes de área local.
– Router
• En general, debe considerarse como el elemento responsable de discernir cuál es el camino más adecuado para la
transmisión de mensajes en una red compleja que está soportando un tráfico intenso de datos.
– Firewall
• Es un elemento de hardware o software que conectado a una red filtra, bloquea y/o registra el acceso entre diversas zonas
(generalmente, accesos no autorizados de una red local hacia/desde Internet). Este mecanismo permite filtrar servicios,
usuarios, paquetes de información, etc. conforme a las políticas de seguridad definidas, garantizando la privacidad y
autenticación de los usuarios, etc.

Company
LOGO
Networks (Redes) – Infraestructura Genérica
Terceras partes
Clientes Usuarios Móviles Proveedores
Red
Pública Red Accesos
Internet Telefónica Remotos
Red Semi-
Semi- Barrera de
Pública Seguridad
Servidores
Públicos
WAN
Red Privada
Sucursal
LAN Casa Central

Inadecuados
mecanismos de
Company acceso y de
LOGO usuarios (seg.
Física, sniffing,
autenticación,
seguridad del
equipo local)
Networks (Redes) – Riesgos

Clientes
Inadecuada
protección Usuarios Móviles
Terceras partes
Proveedores
de la
Ataques
Red ejecutados información
almacenada Accesos Ataques
Pública por Hackers PSTN ejecutados
Internet por usuarios Remotos
(DoS, Toma por personal
móviles
de control) disconforme
Debilidades
Red Semi- Ataques a Barrera de en la Barrera
Pública Aplicaciones Seguridad
Inadecuados mecanismos y procesos de Seg.
WEB, DoS, Toma Servidores (Configuraci
de detección y respuesta ante incidentes de
de Control, Públicos ón y Toma
seguridad si se produce un intento
Alteración de de control)
de acceso no autorizado o ataque
Información)
WAN
Inadecuada ad-
ministración de la
Red Privada seguridad (Acce-
sos, DoS, Parches
y esquema de
autenticación) Incorrecta
configuración de
LAN usuarios
Ejecución sistemas y bases de
Sitio A de Virus y LAN usuarios datos (Accesos,
programas Sitio B Parches y DoS)
maliciosos,
Sniffing,
DoS
Company
LOGO
Networks (Redes) – Soluciones Conceptuales

• Firewalls • Herramientas de administración
• Políticas de Actualización de centralizada y monitoreo
Software (aplicación de parches) • “Single-sign on”
• Logs y monitoreo de red • Sistemas de Autenticación y
• Segmentación de red (adecuada protección de computadoras
disposición de servidores en red personales
pública, semipública y privada (DMZ) • Herramientas de detección de
• Herramientas de evaluación de intrusos (IDS)
vulnerabilidades y escaneo de • Plan y Equipo de respuesta ante
puertos (Ej. ISS) incidentes
• Soluciones antivirus y de monitoreo y
control / filtrado de contenido activo
• Sistemas de Encripción y VPN

Company
LOGO
Soporte de la Red
documentación – Métodos y herramientas de encripción
– Diagrama técnico de la red (que incluya – Responsabilidades de administración y
vinculos alternativos) y de la monitoreo de redes
configuración de los equipos de
comunicaciones – Segmentación de la red
– Contratos con empresas de – Existencia de herramientas:
comunicaciones por vínculos, hardware, • de administración y monitoreo de red
software y servicios (confidencialidad,
acceso remoto, acceso físico, nivel de • de detección de intrusos
servicio, etc.) • de monitoreo / estadísticas de uso
– Políticas, proceso de uso de mail, – Configuración de firewall y otros dispositivos.
Internet, administración de la red, etc. Análisis de filtros y servicios habilitados
– Muestra de logs de accesos remotos,
actividad de usuarios en Internet, – Existencia de UPS y antivirus
accesos fallidos a los dispositivos. – Accesos por RAS / Modems
• Problemas potenciales – ¿Qué información se encripta?
– Exposición de la información crítica del
Negocio, Fisuras en las Barreras de
Seguridad
– Inadecuados mecanismos de control de
acceso, autorización y registro de
usuarios, Inexistencia de mecanismos
de Detección de Intrusos
– Vulnerabilidades y debilidades de Redes
– Inadecuada Administración de la Red
– Incapacidad de garantizar la continuidad
del servicio

Company
LOGO
Soporte de la Red
Nivel de madurez
• Inicial
– No se han formalizado los procesos, políticas y estándares sobre configuración, operación, mantenimiento
y monitoreo de la arquitectura de red.
– La disponibilidad y performance de la red es impredecible.
– La organización no invierte en la infraestructura de red para satisfacer las necesidades del negocio.
Carencia de métricas y objetivos para medir la performance de la red.
– La capacitación del personal sobre cada plataforma es mínima.
• Definido
– Se han definido procesos, políticas y estándares y responsabilidades específicas.
– La disponibilidad y performance de la red se encuentra estable.
– Existen herramientas automatizadas para monitorear los componentes clave.
– Se introducen nuevas tecnologías que son evaluadas periódicamente.
– Se han definido formalmente y se cumplen SLA’s para Network Management
• Optimizado
– Los elementos clave de la Infraestructura de red son administrados en forma transparente e integrada,
brindando soluciones en tiempo real
– Se cuenta con soporte real de los proveedores y de especialistas internos sobre las plataformas críticas.
– Los cambios de configuración “sufren” procesos de QA igual que las aplicaciones y se realizan en forma
proactiva.

Company
LOGO
Soporte al HW y SW de Sistemas
Objetivo Alcance
• Integrar en forma transparente el • Planificación, instalación, prueba
hardware, los sistemas y monitoreo de todos los
operativos y sus herramientas cambios realizados sobre la
plataforma (hardware y software
de base)
• Mantenimiento y Soporte
• Monitoreo y evaluación de
performance, disponibilidad y
fiabilidad de la plataforma

Company
LOGO
documentación – Circuito de control de cambios
– Registros de cambios del – Niveles de autorización de los
software de base cambios
– Aprobaciones de cambios – Accesos restringidos
– Documentación del software – Calidad del software / Servicio
• Problemas potenciales del proveedor del software
– Acceso irrestricto al software de
base
– Procedimiento de cambios del
software de base

Company
LOGO
Nivel de madurez
• Inicial
– No existen procesos, políticas y estándares, ni responsabilidades específicas relacionadas
con la distribución, configuración, y mantenimiento de cada una de las plataformas.
– La disponibilidad y performance del ambiente operativo es impredecible.
– La organización no invierte en los sistemas apropiados, para satisfacer las necesidades del
negocio
• Definido
– Se han definido y documentado procesos, políticas y estándares.
– La disponibilidad y performance del ambiente operativo se encuentra estable y consistente.
– Nueva tecnología es introducida y evaluada en forma periódica.
– Ha sido implementado en forma eficiente herramientas de System Management para
monitorear la performance y disponibilidad de la plataforma. Se han definido y se cumplen
SLAs.
• Optimizado
– Los sistemas son administrados en forma transparente e integrada.
– Se cuenta con soporte real de los vendors y de especialistas internos sobre las plataformas
críticas.
– La tecnología de System Management es utilizada en forma proactiva, para prevenir
problemas.
– Los cambios de configuración de plataformas “sufren” procesos de QA igual que las
aplicaciones

Company
LOGO
Ejemplos de Controles de Aplicación
– Satisfacción de las necesidades corporativas y de los

usuarios
– Acceso a las funciones de las aplicaciones
– Validaciones en la entrada de datos
– Niveles de autorización
– Exactitud del procesamiento de cálculos
– Oportunidad del procesamiento
– Reportes
– Pistas de auditoría
– Etc…

Company
LOGO
SEGURIDAD Y CONTROLES DE APLICACIONES
Establecimiento de controles manuales o

automáticos, que permitan:
– Que los datos sean completos, exactos y válidos.
– Que el procesamiento se realice de forma correcta.
– Que los resultados y procesamiento satisfagan expectativas.
– Que se mantengan los datos.

Company
LOGO
SEGURIDAD Y CONTROLES DE
APLICACIONES
CONTROLES DE ENTRADA:
ENTRADA DE DATOS.
CALIDAD DE LOS DATOS.
DATOS INTEGROS
SALIDA DE DATOS
REPORTES A LA ALTA GERENCIA
INFORMACION A LOS ESTADOS FINANCIEROS
LA INTEGRIDAD DE LOS DATOS DEBE MANTENERSE A

TRAVEZ DE TODO EL SISTEMA.

Company
LOGO
SEGURIDAD Y CONTROLES DE
APLICACIONES
Controles del
aplicativo
Ambiente de
procesamiento
Controles en la
computadora

PROCESO DE AUDITORIA BASADA EN EL RIESGO
Company
LOGO
Recopilar Información y Planificar

DOCUMENTACION DE UN
•Conocimiento del negocio y de la industria
•Resultados de auditoría del año anterior
•Leyes y Regulaciones
•Análisis del riesgo inherente
SISTEMA INFORMATICO
•Información financiera reciente
Lograr Entender el Control Interno

•Ambiente de control
•Procedimientos de control •Determinación del riesgo del control
•Análisis de riesgo de detección •Poner en ecuación el riesgo total
Efectuar Pruebas de Cumplimiento

•Comprobar las políticas y procedimientos •Comprobar la segregación de tareas
Efectuar Pruebas Sustantivas

•Procedimientos analíticos •Otros procedimientos sustantivos de auditoría
•Pruebas detalladas de balances de cuenta
Concluir la Auditoría
•Crear recomendaciones •Redactar el informe de auditoría
Company
LOGO
Impacto de los riesgos en la Auditoría

• Una adecuada selección de áreas a revisar
generalmente deberá ser soportada/justificada en un
correcto análisis de riesgos.
• Es posible que durante el trabajo se presenten
situaciones que obliguen a reenfocar las revisiones, un
monitoreo continuo de riesgos permitirá establecer el
impacto de desviar nuestro trabajo, afectando a nuestra
planificación y posiblemente al alcance de nuestras
revisiones

Clase3 Ups Asi

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Clase3 Ups Asi

Cargado por

Copyright:

Formatos disponibles

Company

Mayo - Septiembre de 2010

Ing. Miguel Chang A.

Ing. Miguel Chang A.

Ing. Miguel Chang A.

Ing. Miguel Chang A.

Factor identificado que podría afectar la consecución de un

•Efectividad de las operaciones (eficacia y eficiencia)

Ing. Miguel Chang A.

El potencial de que una amenaza dada explote las

El impacto o severidad relativa del riesgo es proporcional al valor

Ing. Miguel Chang A.

RIESGO – Como calcularlo?

• Elementos del riesgo:

RIESGO = (IMPACTO) X (PROB. DE OCURRENCIA)

Ing. Miguel Chang A.

Tipos de Riesgos de Auditoría

Ing. Miguel Chang A.

Tipos de Riesgos de Auditoría

Ing. Miguel Chang A.

RIESGO – Como calcularlo?

Existe una Probabilidad a priori y una

Ing. Miguel Chang A.

Ing. Miguel Chang A.

• La Identificación de riesgos corresponde a la

Ing. Miguel Chang A.

No existe la información de inventario No existen controles de validación de datos de

No funciona adecuadamente la base de datos

El sistema falla y no se puede No se verifica el acceso no autorizado a las

No existe un plan de continuidad ante una

Los usuarios generalmente olvidan su clave y

No funciona adecuadamente la red

No existen procedimientos de revisión de tareas

Ing. Miguel Chang A.

Ing. Miguel Chang A.

Tips – Identificación de riesgos

Ing. Miguel Chang A.

Ing. Miguel Chang A.

Ha Ocurrido Aplicabilidad Probabilidad Impacto Severidad

No existen controles de validación de datos de entrada al sistema n s 2 5 10

No funciona adecuadamente la base de datos n s 2 5 10

No se verifica el acceso no autorizado a las computadoras del

No existe un plan de continuidad ante una interrupción s s 4 5 20

Se realizan cambios no controlados al sistema y no se prueban

No funciona adecuadamente la red s s 4 5 20

Las tareas automáticas del sistema no se ejecutan de forma

No existen procedimientos de revisión de tareas automáticas n n 2 5 10

Ing. Miguel Chang A.

Tips – Valoración de riesgos

Ing. Miguel Chang A.

Las empresas participan en el negocio de la administración de

Ing. Miguel Chang A.

Situación una vez se

Ing. Miguel Chang A.

Ing. Miguel Chang A.

Ing. Miguel Chang A.

• Corresponde a un nuevo enfoque organizacional

Ing. Miguel Chang A.

10. Comunicar a las partes

9. Considerar la efectividad del 3. Identificar las fuentes de datos

4. Considerar niveles inaceptables

5. Identificar los puntos de reporte

Son establecidas para proveer seguridad razonable de

Por tanto los controles apuntan a dos objetivos: