Manual Del Estudiante - Diplomado de Seguridad de La Informacion Cap 6

DIPLOMADO DE
SEGURIDAD DE LA INFORMACION
AUDITORÍA
Escuela de Informática y
Telecomunicaciones
1
DIPLOMADO DE
Procesos de Auditoría TI
Telecomunicaciones
2
Introducción
• Auditoría TI
• El proceso de auditoría TI consiste en recoger y evaluar
evidencias para determinar si los sistemas de
información de una organización cumplen con los
objetivos propuestos y cumplen con las regulaciones
establecidas.
• En el ámbito de Seguridad de la Información, la
auditoría cuida que los activos de Información cumplan
con los atributos de CDI.
• Dentro del modelo de GSI, la auditoría se preocupa que
los controles implementados cumplan con las métricas
propuestas y los objetivos planteados
Diplomado de Seguridad de la Información 3

Introducción
• El rol del Auditor

Introducción
• Auditoría TI:
• El rol de un equipo auditor dentro de una organización
debe estar aprobado por la alta dirección y debe operar
en forma independiente a las áreas auditadas
• Debe establecerse dentro de los estatutos de auditoría,
claramente la responsabilidad y los objetivos de esta
área dentro de la organización
• Además el comité de auditoría debe rendir directamente
a la alta dirección en ningún caso al comité de
seguridad o a algún área comprometida en los
procesos de auditoría

Proceso de una auditoría TI
• La auditoría puede definirse como un proceso
sistemático a través del cual se evalúa la evidencia de
las afirmaciones que realiza el área de auditada,
también conocido como “cumplimiento”
• Auditoría de Sistemas de Información:
– Este proceso recolecta y evalúa la evidencia para determinar si
los controles de los sistemas de información protegen en forma
adecuada los activos de información en cuanto a Integridad,
Disponibilidad y Confidencialidad.
– Además se preocupa de medir si dichos sistemas contribuyen
en forma efectiva a las metas de la organización y utilizan en
forma eficiente los recursos corporativos
– Finalmente debe garantizar que los eventos no deseados serán
alcanzados o detectados en forma oportuna

• Fases de una auditoría de Sistema de Información
Fases Descripción
Sujeto de la auditoría Identificar el área auditada
Objetivo de la auditoría Identificar el propósito de la auditoría, como
detectar cambios o métricas no adecuadas
Alcance de la auditoría Identificar los sistemas o unidades de la
organización que serán incluidos en el proceso de
auditoría, debe será claro y acotado
Planificación Identificar los recursos y plazos involucrados,
fuentes de información, políticas, normativas y
procedimientos de auditoría anteriores
Procedimientos Identificar el enfoque para la validación de
controles, los roles que formaran parte de las
entrevistas y desarrollar la metodología
Reporte Identificar los procedimientos para probar la
efectividad de los controles
• Auditoría basada en riesgo:
• Este enfoque se basa en evaluar riesgos y sus
controles asociados dentro del proceso de
cumplimiento, las principales fases de esta metodología
son:
– Recopilación de Información y planificación
– Comprensión del Control Interno
– Prueba de cumplimiento
– Prueba de análisis
– Reporte

• Esquema de una auditoría basada en riesgo

• Riesgo y materialidad de la auditoría:
• Se refiere al riesgo de que la información que se
obtenga durante el proceso de auditoría, pueda
contener errores, para minimizar esto el auditor debe
contar con información anexa como factores relevantes
para la organización, estos pueden ser:
– Datos relevantes de la organización
– Esquemas de privacidad
– Disponibilidad de los servicios prestados
– Imagen corporativa
– Imagen pública
– Corporaciones o ONG

• El riesgo en una auditoría se puede categorizar
como:
• Riesgo inherente: son propios del negocio y consiste
en el margen de información errónea que se puede
obtener por declaraciones incompletas
• Riesgo de control: ocurre por falta de prolijidad en el
proceso, sobretodo cuando existen muchos pasos
manuales.
• Riesgo de detección: al utilizar procedimientos
adecuados es posible no detectar un error, esto podría
hacerse notar en el proceso de revisión
• Riesgo general: ocurre si las categorías de evaluación
de controles no se realizan adecuadamente
• Técnicas de valoración de riesgos:
• Existen muchas metodologías disponibles para
evaluación, automatizadas y manuales, cuantitativas o
cualitativas.
• Lo importante en estos casos es considerar todos los
factores que puedan afectar a los controles y su
evaluación de riesgo tales como:
– Complejidad técnica
– Nivel de procedimiento de control
– Nivel de pérdida financiera
• Tampoco puede estar fuera de la evaluación el criterio y

experiencia del auditor

• Ejemplo de evaluación de controles basado en riesgo

• Evidencia:
• Se refiera a cualquier información que pueda ser
utilizada por el auditor para determinar si se cumplen
los objetivos y en que nivel.
• Debe ser suficiente, relevante y competente
• También se puede apoyar la evidencia por notas del
auditor para complementar la información.
• Lo más relevante de una evidencia es que cumpla:
– Independencia
– Objetividad
– Disponibilidad

• Algunos ejemplos de documentación de evidencia
pueden ser:
– Documentación de desarrollo de sistemas
– Documentación de proveedores externos
– Acuerdos de SLA
– Requerimientos de diseño
– Plan de prueba
– Documentos operativos
– Registro de log o historial de eventos
– Manuales de operación y usuarios
– Plan de evaluación de riesgo
– Planes de continuidad de negocio
– Reporte de métricas
• Ejemplo de un proceso de auditoría TI

• Reporte de una auditoría:
• Como entregable final del proceso de auditoría existe
un reporte escrito en el cual se resume el trabajo
realizado, sus principales componentes son:
– Introducción: incluye los objetivos, los alcances, el periodo
cubierto por la auditoría y una declaración de la metodología
utilizada
– Hallazgos: incluirlos clasificados por orden de importancia y
por secciones según sea el caso
– Conclusiones: la opinión de los auditores respecto de los
procedimientos auditados y la información recopilada
– Recomendaciones: en base a los hallazgos el informe debe
incluir las mejoras que, a juicio de los auditores, deben ser
ejecutadas, clasificadas por orden de prioridad.

• Autoevaluación de controles:
• Este proceso, también denominado CSA (Control Self
Assesment), permite realizar revisiones periódicas y
proactivas de tal forma de no esperar a que ocurra el
proceso de auditoría para detectar alguna falencia.
• CSA constituye una serie de herramientas y
procedimientos que deben ejecutar los usuarios, tales
como encuestas o talleres de facilitación
• CSA no reemplaza en ningún caso al proceso de
auditoría, lo complementa y tiene como principal
beneficio que puede mejorar las métricas de los
controles evaluados.

• Diagrama de flujo de CSA:

• Resumen:
• Auditoría TI
– Auditoría de Sistemas de Información
– Fase de una auditoría TI
– Auditoría basada en riesgo
– Técnicas de valoración de riesgo
• Reporte de una auditoría TI

– Autoevaluación de controles
– Metodología CSA

Pregunta 1
• El primer paso en la planificación de un proceso de
auditoría es:
• A.- Definir los productos de la auditoría

• B.- Definir el alcance y los objetivos de la auditoría
• C.- Lograr una adecuada comprensión de los atributos
del negocio
• D.- Desarrollar la metodología de la auditoría de
acuerdo a lo planteado

Pregunta 2
• Mientras se revisan los controles de una aplicación, el
auditor encuentra una debilidad que considera grave, a
continuación debería:
• A.- ignorarla dado que una revisión de aplicaciones esta

fuera del alcance de una auditoría
• B.- realizar una revisión detallada y reportar las
debilidades del control
• C.- incluir un reporte con una declaración de la revisión
del control
• D.- revisar los controles relevantes y recomendar una
revisión detallada
DIPLOMADO DE
Gobierno y Gestión TI
Telecomunicaciones
23
Gobierno y Gestion TI
• Introducción:
• Como ya se vió anteriormente el Gobierno TI es la rama
del Gobierno corporativo que se preocupa de los temas
de Tecnologías de Información asociada al negocio.
• Su principal objetivo es dirigir los esfuerzos de las
Tecnologías de Información hacia el alineamiento del
negocio, de tal forma que se cumplan los objetivos y
maximizar los beneficios del uso de dichas TI
• Por lo tanto los ámbitos más relevantes son:
– Gestión de recursos
– Medición del desempeño
– Cumplimiento

• Áreas del Gobierno TI:
• El Gobierno de TI debe institucionalizar las mejores
practicas del mercado para respaldar los objetivos del
negocio
• Las principales áreas que deben componer un
Gobierno TI según la definición de COBIT son:
– Alineación estratégica
– Entrega de valor
– Gestión de riesgos
– Gestión de recursos
– Medición del desempeño

• Esquema de Gobierno de TI

• Marcos de Gobierno TI:
– COBIT: propone una serie de controles orientados a que TI se
alinee con el negocio y maximice los beneficios de los recursos
TI. Propone 34 procesos de TI en una organización
– ISO 27001: proporciona orientación en el ámbito de Seguridad
de la Información, en su versión 2013 propone 35 objetivos de
control y 114 controles
– ITIL: detalla como mejorar la gestión de los servicios de TI en
el ámbito operacional
– ISM3: modelo de madurez para la Seguridad de la Información
– ISO 38500: proporciona un marco para el gobierno efectivo de
TI para apoyar a la alta gerencia en sus obligaciones legales y
reglamentarias

• Rol de la auditoría en el Gobierno de TI:
• La auditoría tiene un rol estratégico dentro del Gobierno
TI, dado que se preocupa de realizar recomendaciones
de practica a la alta dirección.
• Dado que una de sus funciones es monitorear el
cumplimiento, el análisis de las métricas de TI con una
visión independiente facilita el mejoramiento en los
procesos
• Por lo tanto es importante destacar dentro del rol de
auditor TI:
– La alineación con la misión organizacional
– El logro de los objetivos de TI
– Cumplimiento a requerimientos legales y normativos
• Comité de estrategia de TI:
• Para validar los resultados de una auditoría en el
ámbito TI teniendo como marco el Gobierno TI, se crea
el comité de estrategia TI, cuyas principales funciones
son:
Nivel Estrategia Dirección
Responsabilidad Proporciona información Decide el nivel de gasto en
detallada y asesoría proyectos TI
respecto de temas de TI
Autoridad Asesora respecto de la Asiste a los ejecutivos sobre la
estrategia TI estrategia de TI
Membrecía Incluye a los miembros Ejecutivo patrocinante
del consejo de dirección Ejecutivo de negocios
y especialistas no Gerente de Finanzas
miembros Asesores especialistas (legal,
Diplomado de Seguridad de lafinanciero)
Información 29
• Cuadro de mando integral TI (CMI):
• Técnica utilizada para evaluar los procesos de TI, está
fuertemente ligada al proceso de auditoría, dado que
muchos de sus indicadores, se obtienen de los análisis
y reportes que realizan los auditores
• Para aplicar un CMI a una estructura TI deben
considerarse los siguientes elementos:
– Perspectiva financiera
– Clientes (internos y externos)
– Aprendizaje y crecimiento
– Procesos internos de negocio

• Ejemplo de un Cuadro de mando integral TI:

• Modelo de Madurez de Capacidad (CMMI):
• Corresponde a un enfoque de mejoramiento de
procesos que proporciona a las empresas los
elementos esenciales para integrar las funciones
organizacionales a los procesos de TI.
• Uno de los aspectos relevantes de una auditoría TI es
la evaluación de los ROI de los proyectos de seguridad,
en términos de su efectividad, este proceso también
puede tener una mirada CMMI.
• Dado que cada control auditado esta sujeto a cambios
tecnológicos o regulatorios, es la auditoría el proceso
llamado a incorporarlos dentro de un modelo CMMI

• El modelo CMMI aplicado al proceso de auditoría
cuenta con 5 niveles:

• El proceso de auditoría, también debe comprender la
revisión de la política de Seguridad de la Información en
forma periódica.
• Como parte integral del GSI, es importante incorporar
las mejoras que en la política se puedan incorporar
como parte resultante del proceso de auditoría
• Esta revisión debe incluir, al menos:
– Desempeño y cumplimiento de la política actual
– Cambios que podrían afectar el enfoque organizacional
– Consideraciones regulatorias o legales que se hayan
modificado en el periodo
– Incidentes de seguridad reportados
– Recomendaciones relevantes
• Los principales documentos de debe exigir una
auditoría a un proceso de Gestión de TI son:
– Planes de presupuesto TI
– Políticas de Seguridad
– Cuadro organizacional
– Descripción de cargos
– Reportes del comité directivo
– Procedimientos de desarrollo de sistemas
– Procedimientos de control de cambio
– Procedimientos de operación
– Manuales de recursos humanos
– Procedimientos de QA

• Resumen:
• Áreas de Gobierno TI
– Marcos de Gobierno TI
– Rol de la auditoría en un gobierno TI
– Cuadro de mando integral
• Modelo de madurez
– Niveles de CMMI
– Auditoría de un gobierno TI
– Documentación

Pregunta 1
• Un auditor de Sistemas de Información debe asegurar
que las medidas del Gobierno TI:
• A.- evalúen las actividades del comité de supervisión de

TI
• B.- provean impulsadores estratégicos de TI
• C.- acaten los estándares y definiciones de los reportes
regulatorios
• D.- evalúen el departamento de TI

Pregunta 2
• ¿Cuál de los siguientes es el control más crítico
respecto de la administración de bases de datos?
• A.- Aprobación de las actividades del DBA

• B.- Segregación de funciones
• C.- Revisión del registro de acceso y actividades
• D.- Revisión del uso de herramientas de bases de datos

DIPLOMADO DE
Desarrollo de Sistemas de Información
Telecomunicaciones
39
• Introducción:
• Todo desarrollo de Sistemas debe información debe
estar respaldado por un caso de negocios, de tal forma
que quede establecido que la inversión en dicho
sistema rentará positivamente para la organización
• Además debe existir la correspondiente gestión de
proyectos, en este ámbito, la metodología más
utilizadas es la del PMBOK
• Es importante comentar que el desarrollo de un sistema
presenta riesgos inherentes al proceso, por lo tanto la
gestión permanente y la auditoría sobre estos, son de
vital importancia

• Ciclo de gestión de proyectos

• Control de proyectos:
• Dentro del proceso de auditoría, el control de los
proyectos de Desarrollo de Sistemas es fundamental
para garantizar que no se excedan los recursos
comprometidos y el riesgo asociado al mismo
• Los principales aspectos que debe vigilar la auditoría en
este ámbito son:
– Tiempos involucrados (plazos)
– Uso de recursos
– Cumplimiento de objetivos
– Documentación

• Modelo V, para validación y verificación de
desarrollo de sistemas

• SDLC:
• Software Delivery Life Cycle, corresponde al modelo de
desarrollo de aplicaciones mas ampliamente utilizado
en la actualidad.
• Propone una serie de fases que se ejecutan en forma
secuencial y que cubren todos los aspectos de un
desarrollo de sistemas
• Dentro del modelo SDLC se propone una serie de
factores críticos de éxito (CSF), los cuales pueden ser
revisados en un proceso de auditoría y asegurar su
éxito como proyecto.

• Modelo SDLC

• Fases de un SDLC:
– Análisis: corresponde a la etapa de definición de las
necesidades que debe cubrir el desarrollo y de la factibilidad de
poder resolverlas. El estudio de caso de negocio se inserta
dentro de esta etapa
– Diseño: en esta etapa se establecen las especificaciones del
sistema así como las interfaces y la integración que se
requiera. En esta etapa se eligen las aplicaciones y bases de
datos que serán utilizadas
– Desarrollo: comienzo de la programación de acuerdo a la
planificación planteada, ejecución de los diferentes módulos
que formen parte del desarrollo.
– Pruebas: todos los niveles de pruebas que se requieran para
aprobar las diferentes fases del desarrollo ya sean funcionales
o de capacidad
– Término: Poner en operación el sistema desarrollado
• CSF (Critical Success Factors)
• Factores Críticos de éxito para un Desarrollo de
Comercio electrónico en el modelo SDLC:
– Productividad: dólares gastados por usuario, transacciones
mensuales, transacciones por usuario
– Calidad: tasa de fallas, tasa de reclamos de usuario, cantidad
de fraudes en un periodo
– Valor: reducción de tiempo de procesamiento, costos
operativos, porcentaje de aumento en las ventas, porcentaje de
reducción en los costos
– Servicio al cliente: tiempo de respuesta, retardos en los
despachos, tasa de satisfacción

• Auditoría de un SDLC:
• La principal función del auditor se debe centrar en
establecer un adecuado nivel de controles por cada una
de las fases del SDLC.
• La función de auditoría debe estar inserta en el proceso
completo de tal forma que no sea posible avanzar en
las etapas posteriores sin cumplir con los hitos de
evaluación correspondientes
• Uno de los puntos importantes que no debe dejar de
lado la auditoría, son los controles de cambio, pues el
factor de mayor introducción de riesgo en un SDLC

• Auditoría de un SDLC:
• Los tipos de prueba que debe realizar un auditor dentro
de un proceso SDLC son:
– Pruebas de unidad: corresponde a la evaluación individual de
cada uno de los módulos, se valida que cumpla con las
especificación
– Pruebas de interfaz: evalúa la interacción de dos o mas
componentes que se transfieren información
– Pruebas de sistema: permite revisar un sistema como un
conjunto con todos sus componentes, con el objeto de validar la
capacidad, seguridad, desempeño de la aplicación, incluyendo
interfaces de usuario y bases de datos
– Prueba de aceptación final: prueba de QA de la aplicación
con todos sus componentes de cumplimiento de
especificaciones
• Riesgos asociados a las aplicaciones de negocios:
• Uno de los principales riesgos de un desarrollo de un
sistema es que no satisfaga los requerimientos o
expectativas del negocio
• Otro riesgo importante es que los recursos utilizados,
superen significativamente los recursos asignados o
estimados
• Riesgo de cambio de tecnología o de prioridades que
puede hacer que el desarrollo sufra retrasos o se haga
inviable
• Todo esto hace concluir que el sólo hecho de seguir la
metodología SDLC no asegura el éxito de un desarrollo

• Evaluación de controles:
• Dentro del proceso de auditoría, es fundamental
evaluar en forma periódica los controles de activos de
información, los aspectos mas importantes de este
proceso son:
– Revisión de políticas y procedimientos
– Revisión de acceso lógico
– Revisión de los programas de concientización y capacitación
– Propiedad de los datos
– Custodio de los datos
– Gestión de la seguridad
– Controles de acceso de usuarios

• A continuación se presenta un cuadro con los niveles
mínimos de seguridad (baseline) recomendados para
los controles de Seguridad TI mas comunes
Control Objetivo
Inventario de activos Crear y mantener un inventario actualizado
Antivirus Mantener antivirus actualizado
Contraseñas Validación de uso de contraseñas robustas
Parches Configuración de actualización automática de parches y
sistema de gestión de parches
Servicios Solo debe estar presentes los servicios utilizados
Vulnerabilidades Sistema de Gestion de vulnerabilidades que permita
detectar y eliminarlas en forma temprana
Respaldo Sistema de recuperación de información automatizado
con sistema a prueba de errores

• Auditoría de Seguridad de la Infraestructura de red
• Los principales ítems de este proceso son:
– Revisión de los diagramas de red
– Revisar los criterios de diseño
– Validar segmentación de IP utilizada
– Validar políticas de seguridad aplicadas
– Identificar los conocimientos de las personas responsables de
seguridad TI
– Determinar el cumplimiento de los aspectos legales
– Revisar los SLA en caso de servicios con terceros
– Revisar los procedimientos de administración de red

• Pruebas de penetración:
• Una de las evaluaciones de controles más importantes
en auditoría de seguridad TI es la denominada “prueba
de penetración” o pentesting.
• Esta metodología permite identificar los riesgos mas
importantes en un sistema TI
• La prueba consiste en tratar de evadir los controles de
seguridad de los sistemas TI, explotando las
vulnerabilidades encontradas, tratando de acceder sin
credenciales o escalando privilegios a usuarios de
administración

• Esquema de un test de penetración
Descubrimiento adicional
Planificación Descubrimiento Ataque
Reportes

• Resumen:
• Introducción
• Ciclo de gestión de proyectos
– Control de proyectos
– Modelo V
– SDLC
– Factores críticos
• Auditoría de un SDLC
– Riesgos en aplicaciones de negocio
– Evaluación de controles
• Auditoría de red
– Pruebas de penetración
Pregunta 1
• Un auditor TI esta realizando una revisión de una
aplicación de negocio y debe validar si se cumplen los
objetivos de negocio. ¿Cuál de los siguientes ítems es
el más importante que debe validar?
• A.- aceptación del usuario

• B.- desempeño de la aplicación
• C.- facilidad de uso
• D.- test de penetración

Pregunta 2
• ¿En cual de las fases de un SDLC se debe realizar el
estudio comparativo (benchmarking) de una aplicación
de negocios?
• A.- Análisis
• B.- Diseño
• C.- Desarrollo
• D.- Pruebas

Pregunta 3
• ¿Cuál de las siguientes opciones es la prueba más
adecuado para evaluar una solución antivirus como
control de Seguridad TI?
• A.- Escaneo de los archivos adjuntos de correo

electrónico y medición de tasa de detección
• B.- Restauración de un sistema a partir de una copia
limpia y revisión de seguridad
• C.- Probar la inhabilitación de puertos USB
• D.- Realizar una exploración de virus con la lista
actualizada

DIPLOMADO DE
Operación, mantenimiento y soporte
Telecomunicaciones
60
• Evaluación de practicas de gestión:
• La gestión de operaciones de TI tiene como principal
responsabilidad regular y medir las operaciones de los
servicios de TI, lo que incluye planificación,
organización, procedimiento, acatamiento de los
estándares, monitoreo de procesos y soporte
• Sus principales funciones son:
– Asignación de recursos
– Estándares y procedimientos
– Monitoreo de procesos

• Gestión de servicios TI:
• El parámetro mas importante de gestión de servicios TI
es el SLA (Service Level Agreement) que corresponde
al acuerdo de servicio entre las partes involucradas.
• El SLA detalla los servicios que se prestaran y los
niveles de cumplimiento que éstos deben tener
• Por lo tanto también es responsabilidad del proceso de
auditoría revisar si estos acuerdos se están cumpliendo
y a que nivel
• En caso de encontrar un no cumplimiento en los SLA
establecidos, claramente se deben realizar la acciones
de mejora correspondiente

• Medición de SLA

• La medición de los SLA debe considerar que la entrega
de servicios incluya exactitud, integridad, puntualidad y
seguridad
• Los principales documentos que debe exigir un auditor
para corroborar estos parámetros son:
– Reportes de excepción: incluye todas aquellas actividades o
procesos de TI que no se pudieron concluir
– Registro de sistema y aplicaciones: que permitan identificar
los problemas producidos por las aplicaciones de TI
– Reporte de problemas de operación: registro de todas las
situaciones anómalas sufridas por los operadores y su
resultado final
– Cronograma de trabajo: fechas y trabajos comprometidos por
TI y su respectivo cumplimiento

• ¿De que preocuparse?

• Planes de continuidad y de recuperación ante
desastres
• El principal propósito de la Continuidad de Negocio, es
permitir a la compañía seguir operando luego de un
incidente o evento critico que comprometa los
principales servicios o procesos de la organización
• El primer paso en un Plan de Continuidad de Negocio
(BCP) es identificar los procesos de negocio de
importancia estratégica para la consecución de los
objetivos de la compañía
• El BCP debe estar respaldado por una política formal
aprobada por la alta dirección con las atribuciones
correspondientes
• BCP:
• La parte operativa de un BCP debe contener todas las
funciones y activos necesarios para continuar con la
operación de la organización.
• Su principal enfoque es la disponibilidad de los
procesos claves de negocio de acuerdo a la política
definida.
• Es permitido que el BCP ofrezca un nivel de servicio
reducido, sin embargo, debe permitir que la
organización sea “viable” durante el periodo de la
contingencia, por lo tanto los procesos que debe ser
incluidos son los “mínimos” necesarios.

• El BCP debe tomar en consideración:
– Las operaciones criticas que son necesarias para asegurar la
viabilidad de la organización
– Los recursos humanos y tecnológicos que soportan dichas
operaciones
– El DRP, que es el plan de recuperación en caso de que las
instalaciones de la organización se hayan vuelto inoperables,
esto incluye la reubicación si fuese el caso
– El plan de restauración, que se utiliza para retomar las
operaciones una vez concluida la emergencia
• Una organización puede tener varios BCP, que pueden

atender a diferentes áreas o unidades de negocio
dentro de la organización

• Diagrama de proceso de un BCP

• Un buen BCP debe cubrir todos los tipos razonables de
eventos significativos que puedan tener impacto sobre
las instalaciones criticas del procesamiento TI.
• Basándose en la evaluación de riesgos, se deben
formular los escenarios de peor caso y las estrategias
de contingencia de corto y largo plazo.
• Las actividades efectivas de un BCP pueden ayudar a
contener el daño y evitar que la crisis empeore o se
dañe la imagen de la organización
• El BCP además debe reflejar las relaciones entre
controles e impactos como parte de las labores
preventivas que es posible ejecutar

• Diagrama de relación entre incidente e impacto

• Costos de un incidente:
• Otro factor importante a considerar en un BCP es el
costo que tiene para una organización un incidente.
• El valor más importante es el costo de recuperación, el
cual claramente se incrementa en el tiempo, en caso de
que el incidente aumente su duración
• El otro factor es el costo de las medidas correctivas que
se utilizaron para activar el BCP, que disminuyen en el
tiempo dado que los mayores esfuerzos se realizan al
inicio del incidente
• El cruce entre estos dos factores da el óptimo para el
BCP

• Costos de recuperación versus costos de
interrupción

• Clasificación y análisis de criticidad
• En el proceso de un BCP es fundamental tener claro
cuales son los sistemas mas críticos, pues un incidente
se deben atender en este orden, un modelo de
clasificación es:
– Critico: no es posible realizar este proceso, a menos que se
reemplace por un equivalente
– Vital: es posible realizarlo en forma manual, pero solo por
periodos breves de tiempo
– Sensitivo: es posible realizar este proceso en forma manual a
un costo aceptable por un periodo prolongado
– No sensitivas: es todo proceso que se puede interrumpir por
periodos largos de tiempo y no afecta significantemente la
viabilidad de la compañía, además que su reposición es de bajo
costo
• Auditoría al BCP:
• Los principales documentos que debe solicitar el auditor
respecto de BCP son:
– Copia de la política de continuidad de negocio
– Copia del BCP
– Hallazgos mas recientes del BIA y los parámetros de RTO y
RPO
– Validar si BCP apoya la gestión de continuidad de negocio
– Evaluar la efectividad de los procedimientos que invoca el BCP
– Revisar la actualización de los manuales de BCP
– Documentación de la responsabilidades en un BCP

• Preguntas ejemplos de una auditoría al BCP
– ¿Quién esta encargado de la mantención del BCP?
– ¿Cada cuánto tiempo se actualiza?
– ¿Qué sistemas críticos cubre el BCP?
– ¿Qué sistemas no están cubiertos por el BCP y porque razón?
– ¿Cuáles son los supuestos con los que opera el BCP?
– ¿Cuáles son las instancias en las que el comité se reúne para
manejo de emergencias o para mejoras del BCP?
– ¿Están todos los procedimientos documentados?
– ¿Qué capacitación se ha impartido al personal a cargo para la
ejecución de los procedimientos?
– ¿Cuál es la frecuencia de los respaldos y bajo que criterio se
realiza?
– ¿Existe un cronograma de capacitación y pruebas?
• DRP
• ¿Qué es un Plan de Recuperación ante Desastres?

• Definición DRP:
• Proceso de recuperación de la información una vez
ocurrido un incidente de seguridad crítico, que permite
al negocio reanudar sus operaciones en el menor
tiempo posible, con el mínimo de impacto
• Un DRP debe cubrir cualquier causa de incidente, no
solo el ámbito tecnológico, sino que también desastres
naturales, incendios, etc.
• Dado que la mayoría de los negocios de las empresas,
están montados sobre tecnología, el proceso de DRP
cobra vital importancia en los procesos de negocio
actuales

• RTO:
• Corresponde al Tiempo Objetivo de Recuperación, que
es el tiempo máximo que el proceso debe ser
restaurado luego de ocurrido un incidente. Se
determina a través del BIA en un DRP
• RPO:
• Corresponde al Punto Objetivo de Recuperación, que
es el periodo máximo que los datos de un proceso se
pueden perder en caso de un incidente, debe ser
definido por el dueño de los datos dentro del BCP

• Relación entre RTO y RPO

Operación, mantención y soporte
• Esquemas de respaldo
• Respaldo completo: copia todos los archivos y
carpetas que estén considerados en el BCP de tal
forma que se tenga toda la información en un único
punto
• Respaldo incremental: solamente copia las
modificaciones respecto del último respaldo o archivos
y carpetas nuevas que se hayan creado desde esa
fecha. Es mas rápido que el respaldo completo, sin
embargo no tiene toda la información en caso que se
requiere
• La frecuencia de ambos procesos debe estar definida
en el DRP
• Ejemplo de una política de respaldo
Activo Dia 1 Dia 2 Dia 3 Dia 4 Dia 5 Dia 6 Dia 7
Archivo 1 x x
Archivo 2 x x
Archivo 3 x x
Archivo 4 x x
Archivo 5 x x

• Auditoría al DRP:
• Principales documentos que solicita un auditor de un
DRP
– Procedimientos de pruebas
– Procedimientos de respaldo
– Procedimientos de recuperación
– Vigencia y comprensión de los procedimientos
– Bitácoras
– Procedimientos de traslados, en caso de utilizar un sitio de
contingencia
– Almacenamiento externo

• Auditoría al DRP
• Preguntas que realiza un auditor respecto de un DRP
– ¿Quién esta encargado del plan?
– ¿Se actualiza el plan en forma periódica?
– ¿Dónde se almacena el DRP?
– ¿Cuáles son los sistemas críticos considerados dentro del
plan?
– ¿Cuáles sistemas no están cubiertos por el plan y por que
razón?
– ¿Aborda el plan, diferentes tipos de desastres?
– ¿Qué capacitación se ha impartido a las personas
responsables de ejecutar el plan?

• Resumen:
• Introducción:
• Gestión de servicios TI
– Medición de SLA
– Planes de continuidad y recuperación
• BCP
– Incidente
– Clasificación y análisis
– Auditoría al BCP
• DRP
– Definición
– Auditoría al DRP
Pregunta 1
• ¿Cuál de los siguientes procesos se debe abarcar
primero en la construcción de un DRP?
• A.- Clasificación de sistemas basada en riesgo

• B.- Inventario de activos
• C.- Documentación de desastres anteriores
• D.- Disponibilidad de hardware y software

Pregunta 2
• ¿En qué etapa de un DRP el auditor TI debe estar
presente?
• A.- La observación de las pruebas del DRP

• B.- El desarrollo del DRP
• C.- La mantención del DRP
• D.- La revisión de los requerimientos de recuperación

Pregunta 3
• En el proceso de auditoría de un BCP. ¿Cuál de los
siguientes es el hallazgo más importante por parte de
un auditor?
• A.- No hay seguro contratado en caso de desastre

• B.- El plan no se actualiza periódicamente
• C.- La prueba de respaldo no se ha realizado
regularmente
• D.- No hay registros de las pruebas del BCP

DIPLOMADO DE
AUDITORÍA
Telecomunicaciones
89

Manual Del Estudiante - Diplomado de Seguridad de La Informacion Cap 6

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Manual Del Estudiante - Diplomado de Seguridad de La Informacion Cap 6

Cargado por

Copyright:

Formatos disponibles

DIPLOMADO DE

Diplomado de Seguridad de la Información 3

Diplomado de Seguridad de la Información 4

Diplomado de Seguridad de la Información 5

Diplomado de Seguridad de la Información 6

Diplomado de Seguridad de la Información 8

Diplomado de Seguridad de la Información 9

Diplomado de Seguridad de la Información 10

• Tampoco puede estar fuera de la evaluación el criterio y

Diplomado de Seguridad de la Información 12

Diplomado de Seguridad de la Información 13

Diplomado de Seguridad de la Información 14

Diplomado de Seguridad de la Información 16

Diplomado de Seguridad de la Información 17

Diplomado de Seguridad de la Información 18

Diplomado de Seguridad de la Información 19

• Reporte de una auditoría TI

Diplomado de Seguridad de la Información 20

• A.- Definir los productos de la auditoría

Diplomado de Seguridad de la Información 21

• A.- ignorarla dado que una revisión de aplicaciones esta

Diplomado de Seguridad de la Información 24

Diplomado de Seguridad de la Información 25

Diplomado de Seguridad de la Información 26

Diplomado de Seguridad de la Información 27

Diplomado de Seguridad de la Información 30

Diplomado de Seguridad de la Información 31

Diplomado de Seguridad de la Información 32

Diplomado de Seguridad de la Información 33

Diplomado de Seguridad de la Información 35

Diplomado de Seguridad de la Información 36

• A.- evalúen las actividades del comité de supervisión de

Diplomado de Seguridad de la Información 37

• A.- Aprobación de las actividades del DBA

Diplomado de Seguridad de la Información 38

Diplomado de Seguridad de la Información 40

Diplomado de Seguridad de la Información 41

Diplomado de Seguridad de la Información 42

Diplomado de Seguridad de la Información 43

Diplomado de Seguridad de la Información 44

Diplomado de Seguridad de la Información 45

Diplomado de Seguridad de la Información 47

Diplomado de Seguridad de la Información 48

Diplomado de Seguridad de la Información 50

Diplomado de Seguridad de la Información 51

Diplomado de Seguridad de la Información 52

Diplomado de Seguridad de la Información 53

Diplomado de Seguridad de la Información 54

Planificación Descubrimiento Ataque

Diplomado de Seguridad de la Información 55

• A.- aceptación del usuario

Diplomado de Seguridad de la Información 57

Diplomado de Seguridad de la Información 58

• A.- Escaneo de los archivos adjuntos de correo

Diplomado de Seguridad de la Información 59

Diplomado de Seguridad de la Información 61

Diplomado de Seguridad de la Información 62

Diplomado de Seguridad de la Información 63

Diplomado de Seguridad de la Información 64

Diplomado de Seguridad de la Información 65

Diplomado de Seguridad de la Información 67

• Una organización puede tener varios BCP, que pueden

Diplomado de Seguridad de la Información 68

Diplomado de Seguridad de la Información 69