Documentos de Académico
Documentos de Profesional
Documentos de Cultura
S2
Ing. Eddie Malca Vicente
La Auditoría
• Financieras. En estas Auditorias el Auditor forma una opinión si los estados financieros
(balance general, de una empresa reflejan la realidad financiera de la empresa.
Estos estándares no son los únicos. Una lista completa de los estándares de
Auditoría, los puedes encontrar en:
https://www.isaca.org/bookstore/audit-control-and-security-
essentials/witaf
Riesgos como factor clave
Suponga que se realiza una revisión y no encuentras situaciones de
riesgo. Es decir, haces la Auditoria y se “te escapan” estos puntos. Es
decir no encuentras las situaciones que originan los riesgos (que en
el ejemplo son muy evidentes). ¿Qué opinión te formarías? Se dice
que Auditor de Sistemas que no encuentra riesgos, no es Auditor de
Sistemas. Por eso es muy importante que aprendamos a identificar
los riesgos.
Y lo primero es que debes tener muy presente lo que es el riesgo.
Veamos la definición de la Norma ISO 13335. “El riesgo es la
probabilidad que una amenaza se aproveche de una vulnerabilidad y
nos genera un daño”.
Riesgos como factor clave
Aquí la amenaza es cualquier cosa que tenga el potencial de hacer
daño.
La vulnerabilidad es cualquier deficiencia que se tenga.
El daño es el impacto negativo que tenemos si la amenaza se
aprovecha de la(s) vulnerabilidad(es).
El daño pude ser económico, patrimonial, de imagen, etc.
Riesgos como factor clave
Volvamos a las tres situaciones identificadas del caso de un servidor.
Tenemos que:
• El Servidor no cuenta con Antivirus.
• La contraseña del super usuario de la Base de datos no ha sido
cambiada desde hace 3 años y
• Al Sistema Operativo nunca se le han instalado parches del
fabricante.
Riesgos como factor clave
Descompongamos la primera situación en función de la definición
del riesgo:
¿Cuál sería la amenaza? Es evidente que lo que nos puede hace daño
aquí es el malware.
¿Cuál sería la vulnerabilidad? La propia inexistencia del Antivirus es
la vulnerabilidad.
¿Cuál sería el daño? El ingreso de malware podría originar la
inutilización del servidor, el robo de información del servidor, entre
otros.
Riesgos como factor clave
La segunda situación:
¿Cuál sería la amenaza? Cualquier persona que tenga acceso al
servidor y que conozca o adivine la contraseña es considerada una
amenaza.
¿Cuál sería la vulnerabilidad? Mantener la misma contraseña es la
vulnerabilidad.
¿Cuál sería el daño? El robo o la modificación de la información
contenida en el servidor.
Riesgos como factor clave
La tercera situación:
¿Cuál sería la amenaza? El malware o los criminales informáticos son las
amenazas.
¿Cuál sería la vulnerabilidad? El no actualizar los parches del Sistema
Operativo
¿Cuál sería el daño? El robo o la modificación de la información contenida
en el servidor.
Como vez, en las 3 situaciones se encuentra la amenaza, la vulnerabilidad y
el daño.
Los Auditores de Sistemas se enfocan en identificar los riesgos.
Qué hacemos con el riesgo
Una vez que el riesgo ha sido identificado, el riesgo debe ser tratado.
El término “tratamiento del riesgo” quiere decir que hay que hacer
algo con ese riesgo.
El tratamiento del riesgo le corresponde al Auditado.
Qué hacemos con el riesgo
El auditado tiene 4 opciones para trata el riesgo:
Reducirlo. Cuando se decide reducir (o minimizar) el riesgo, se tiene
que hacer algo para que ese riesgo se reduzca.
Por ejemplo mantener actualizado un Sistema Operativo actualizado
con los parches que emite el fabricante.
Transferirlo. En algunas situaciones es posible transferir el riesgo a
un tercero. Por ejemplo tercerizar un proyecto de desarrollo de
software a un tercero, en lugar de hacerlo nosotros mismos. Otro
ejemplo podría ser contratar una póliza de seguros.
Qué hacemos con el riesgo
Aceptarlo. Aceptar un riesgo es lo mismo que no hacer nada.
Simplemente, se “le acepta”. Ejemplo de esto es seguir sin Antivirus
a pesar de que se encontró que un computador esta sin Antivirus.
Cesar la actividad que da origen al riesgo. A esta opción algunos
autores le llaman “eliminar” el riesgo. Por ejemplo, si no se puede
instalar un Antivirus (cosa poco probable) siempre queda la
alternativa de apagar el computador. Al apagar el computador, estoy
cesando la actividad que da origen al riesgo. Pero esta acción ha
tenido un costo muy alto. Si bien es cierto que “elimine” el riesgo de
infección, también inhabilite el uso del computado
Qué hacemos con el riesgo
Aceptarlo. Aceptar un riesgo es lo mismo que no hacer nada.
Simplemente, se “le acepta”. Ejemplo de esto es seguir sin Antivirus
a pesar de que se encontró que un computador esta sin Antivirus.
Cesar la actividad que da origen al riesgo. A esta opción algunos
autores le llaman “eliminar” el riesgo. Por ejemplo, si no se puede
instalar un Antivirus (cosa poco probable) siempre queda la
alternativa de apagar el computador. Al apagar el computador, estoy
cesando la actividad que da origen al riesgo. Pero esta acción ha
tenido un costo muy alto. Si bien es cierto que “elimine” el riesgo de
infección, también inhabilite el uso del computado
Controles
Cuando se decide reducir el riesgo, entonces se requiere de un
control que haga ese trabajo.
Un control en su término
más amplio es cualquier cosa que minimiza un riesgo. Por ejem.
escribir un procedimiento, implementar un frewall,
instalar un antivirus, ejecutar un respaldo (backup), etc.