Seguridad y Auditoria

Informática

Ing. Renato Avalos Mendoza

Presentación

• Nombres y Apellidos
• Trabajo y posición actual
• ¿Sabes algo del curso?.
• Expectativas del curso
• Normas de convivencia en aula.
• Como te ves en 5 años
Objetivo del Curso

El objetivo del curso es el asegurar que el Auditor entienda el proceso de la auditoría

de sistemas, asimismo, entender de la importancia de la Seguridad de la Información
e Informática, en sus dimensiones de gestión y técnica.

El curso esta bajo el enfoque de CISA y la ISO 27001.

Temas a tratar

• Gestión de la función de auditoría de TI

• Estándares y directrices de aseguramiento y auditoria de TI
• Análisis de riesgos
• Controles internos
• Ejecución de una auditoria de TI
• Autoevaluación de control
• Cambios emergentes en el proceso de auditoría de TI
GESTION DE LA FUNCION DE AUDITORIA DE TI

Auditoria Interna de TI: Definición

• La Auditoría Interna de TI es una actividad independiente y objetiva de
aseguramiento y consulta.
• Su finalidad consiste en agregar valor y mejorar las operaciones de una
organización.
• Ayuda a la misma a cumplir sus objetivos mediante la aplicación de un enfoque
sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de
administración de riesgos, control y gobierno de TI.
GESTION DE LA FUNCION DE AUDITORIA DE TI

Objetivo de la Auditoria de TI:

Evaluar:
• La confiabilidad e integridad de la información financiera y operativa de apoyo al
proceso de toma de decisiones.
• La seguridad y protección de los activos de TI de la organización.
• El cumplimiento de políticas, planes, procedimientos, leyes, normas y contratos.
• La eficacia de TI y la utilización económica y eficiente de los recursos de TI
asociados.
GESTION DE LA FUNCION DE AUDITORIA DE TI

Alcance de las auditorias de TI:

Controles de Aplicaciones:
• Son controles específicos del flujo de transacciones de un sistema de aplicación
particular.
• Están diseñados para garantizar la autorización, exactitud y el procesamiento
completo de una transacción.
• Cubren las transacciones desde el ingreso, pasando por su procesamiento hasta la
salida de la información.
GESTION DE LA FUNCION DE AUDITORIA DE TI

Alcance de las auditorias de TI:

Controles Generales:
• Son controles diseñados para proveer un ambiente controlado en los procesos de
TI.
• Cubren el hardware, el software, los archivos, las redes y las instalaciones.
GESTION DE LA FUNCION DE AUDITORIA DE TI

Deficiencias de control en Sistemas de Información:

• El hecho de que los controles generales sean adecuados no garantiza que los
controles de aplicación serán también adecuados.
• Si los controles generales son deficientes, muy probablemente los controles de
aplicación serán también deficientes.
GESTION DE LA FUNCION DE AUDITORIA DE TI

Revisiones de Controles Generales:

• Administración y control de cambios

• Seguridad física
• Seguridad lógica
• Plan de Contingencia
• Procesamiento Distribuido
• Sistema operativo y software de administración de base de datos
GESTION DE LA FUNCION DE AUDITORIA DE TI

Revisiones de Controles Generales:

• Seguridad y administración de redes

• Seguridad y administración de las comunicaciones
• Apoyo de Procesamiento
• Computación de usuario final
• Metodología del desarrollo de sistemas
GESTION DE LA FUNCION DE AUDITORIA DE TI

Componentes a revisar:
• Procesos
• Servicios
• Puestos
• Funciones
• Recursos/Infraestructura
• Proyectos
• Contratos
ESTANDARES Y DIRECTRICES DE AUDITORIA DE TI

Directrices:
• Estatuto de auditoría de TI.
• Efecto de la participación en el proceso de desarrollo, adquisición, implementación o
mantenimiento en la independencia del Auditor de TI.
• Independencia y relaciones dentro de la organización.
• Consideraciones de auditoría con relación a la ocurrencia de irregularidades.
• Debido cuidado profesional.
• Conceptos de materialidad para Auditoría de Sistemas de Información.
• Planeamiento.
• Planificación de la auditoría de TI.
• Utilización del trabajo de otros auditores y expertos.
ESTANDARES Y DIRECTRICES DE AUDITORIA DE TI

Directrices:
• Utilización de la evaluación de riesgo en la planificación de auditoría.
• Efecto de terceras partes sobre los controles de TI de la organización.
• Documentación de auditoría.
• Revisión de sistemas de aplicación.
• Requerimientos de evidencia de auditoría.
• Muestreo de auditoría.
• Gobierno corporativo de los sistemas de información.
• Uso de las técnicas de auditoría asistida por computador.
• Estructura y contenido de informes.
ESTANDARES Y DIRECTRICES DE AUDITORIA DE TI

Marcos de Referencia de Control en TI:

• COBIT
• ITIL (Servicios Informáticos)
• ISO 20000 (Servicios Informáticos)
• ISO 31000 (Riesgos de TI)
• ISO 27001 (Seguridad de Información)
• ISO 22301 (Continuidad de Negocios)
ANÁLISIS DE RIESGOS

• Los datos y los vínculos de comunicación se han convertido en el principal activo

de muchas empresas.
• Todos los datos se transmiten electrónicamente.
• La protección de los datos “pre-ocupa” a la Dirección.
• La Gerencia dedica más tiempo a administrar los riesgos de pérdida de datos.
• La Prevención de Riesgos es la preocupación central; la auditoría interna juega un
papel clave.
• Propicia la aprobación e implementación de la auto-evaluación del control
ANÁLISIS DE RIESGOS

El riesgo es parte inherente del negocio y, dado que resulta impráctico y costoso
eliminar todos los riesgos, cada organización tiene un nivel de riesgo que acepta.
Al enfrentarse con el riesgo, las organizaciones tienen cuatro opciones estratégicas:

• Cesar la actividad que da origen al riesgo (Terminar).

• Transferir el riesgo a otra parte (Transferir).
• Tratar el riesgo con medidas y mecanismos de control apropiados (Tratar).
• Aceptar el riesgo (Tolerar).
ANÁLISIS DE RIESGOS

Fuente: IT Governance Institute

ANÁLISIS DE RIESGOS
ANÁLISIS DE RIESGOS

Acceso:
La información pública debe tener acceso de escritura restringido y el acceso de lectura abierto.
ANÁLISIS DE RIESGOS

Proceso básico de la Gestión de la Seguridad de la Información para:

• Relacionar Gastos e Inversiones
• Analizar Amenazas y Vulnerabilidades
• Identificar:
• ¿Qué debemos proteger?
• ¿De qué debemos protegernos?
• ¿Cuáles son los riesgos?
• Clasificados por nivel de gravedad
• ¿Cómo debemos protegernos?
Se usa como base para seleccionar controles de seguridad apropiados para:
• Responder de forma adecuada a las vulnerabilidades y posibles desastres
• Eliminar o minimizar la posibilidad de accidentes o a de actos intencionados
• Eliminar o minimizar los efectos de un desastre
ANÁLISIS DE RIESGOS
ANÁLISIS DE RIESGOS - FASES DEL ANÁLISIS DE RIESGOS

Identificación de activos
Todo elemento necesario para mantener las actividades de la organización
• Datos, hardware, personal, imagen de la organización
Evaluación de las Amenazas
Evento que puede afectar a los activos de la organización, poniendo en peligro su integridad
Las amenazas dependen del:
• Negocio de la organización, ubicación de la organización, tipo de sistema a proteger
Tipos de amenazas:
• Naturaleza, errores o accidentes, intencionales ( locales o remotas)
Identificar la causa de la amenaza}Identificar el activo afectado por la amenaza
Calcular la probabilidad de que ocurra la amenaza
Resultados:
• Lista de Amenazas
• Activos afectados
• Probabilidad de que ocurra
ANÁLISIS DE RIESGOS - FASES DEL ANÁLISIS DE RIESGOS

Evaluación de las Amenazas

ANÁLISIS DE RIESGOS - FASES DEL ANÁLISIS DE RIESGOS

Evaluación de Vulnerabilidades
• Ser susceptible de daño o perjuicio
• Agujero o debilidad en la organización
• Una vulnerabilidad , por sí misma, no causa daño
• El impacto es el resultado de la combinación de un activo vulnerable y una amenaza que se
materializa sobre el activo.
• El impacto se mide con una escala cuantitativa [Por ejemplo 1..5]
ANÁLISIS DE RIESGOS - FASES DEL ANÁLISIS DE RIESGOS

Evaluación de Vulnerabilidades
ANÁLISIS DE RIESGOS - FASES DEL ANÁLISIS DE RIESGOS

Evaluación del Riesgo

• Identificar y valorar el Riesgo
• Seleccionar los controles adecuados (Salvaguardas) para reducir los riesgos
• Los valores asignados a los activos, amenazas y vulnerabilidades se combinan para obtener el valor
del riesgo
• Riesgo = Frecuencia*Consecuencia
• Riesgo = Amenaza*Vulnerabilidad*Consecuencia
• Riesgo = Valor del activo*Probabilidad de Amenaza*Impacto
• Resultados
• Lista de riesgos para hacer frente a cada impacto
• Riesgos relacionados con las salvaguardas
ANÁLISIS DE RIESGOS - FASES DEL ANÁLISIS DE RIESGOS
ANÁLISIS DE RIESGOS - FASES DEL ANÁLISIS DE RIESGOS

• PROBABILIDAD Y CONSECUENCIAS DE INCIDENTES

ANÁLISIS DE RIESGOS - FASES DEL ANÁLISIS DE RIESGOS

EN RESUMEN
• Los pasos básicos para desarrollar un programa de administración de riesgos son:
• Establecer el contexto y propósito
• Identificar los activos
• Clasificar los activos
• Identificar las amenazas y las vulnerabilidades
• Determinar los riesgos
• Valuar los impactos
• Priorizar los riesgos
• Tratar los riesgos
• Dar formación a los usuarios
• Monitorear y revisar
• Comunicar y consultar
Preguntas…