Documentos de Académico
Documentos de Profesional
Documentos de Cultura
DE REDES
UNIDAD # 1 INTRODUCCIÓN DE AUDITORIA DE REDES
➢ Conceptos de Auditoria.
➢ Importancia del Control y Auditoria.
➢ Metodología.
➢ Normas , Estándares y Procedimientos de Auditoria.
➢ Seguridad de la Información.
➢ Estándar Internacional (ISO/IEC 27002)
AUDITORIA
AUDITORIA
Propósito
Seguridad de la Información
Propósito : Garantizar que los riesgos de seguridad de la información sean:
Conocidos
Asumidos
Gestionados
Y minimizados por la organización
Todo esto de una forma:
Documentada
Sistemática
Estructura
Repetible
Eficiente y adaptada a los cambios que se produzcan
Seguridad de la Información
Principios de Seguridad:
Confidencialidad
Integridad
Disponibilidad
Seguridad de la Información
Principios de Seguridad
Tecnología Equipos
Procesos
Personas
Seguridad de la Información
Razones:
El Sistema de Gestión de la Seguridad de la Información (SGSI)
ayuda a establecer políticas y procedimientos en relación a los
objetivos de negocio de la organización , con objeto de mantener
un nivel de exposición siempre menor al nivel de riesgos que la
propia organización ha decidido asumir.
AUDITORIA INTERNA
AUDITORIA EXTERNA
METODOLOGIA :
• Implementación de los
DO procesos
• Mantener
ACT y mejorar
SGSI – PLANIFICAR
Preparación
Asegurar el compromiso de la Dirección
Seleccionar y preparar a los miembros del diseño e
implementación
Recopilar información de seguridad.
Procedimientos:
Prevención
Detección
Recuperación
RIESGO
Puntaje total 31
Valoración del Riesgo
Identificación Análisis Prioridad Mitigación
Descripción
Tipo de Descripción del Impactos Probabilidad. Coste del Pérdida
riesgo Riesgo probables Impacto De producirse Impacto esperada Actividad Costo Tiempo
-Formación
Interna.
--
Adquisición
1. Código Malicioso
Sistema de de
2. Integridad del
Financiero en el antivirus. -
Financiero personal Alta 2 30,000 60,000 40,000 1 año
servidor de -
3. Operación no
producción Verificació
autorizada
n de los
controles
del
Firewall.
SGSI – HACER
➢ Definir plan de tratamiento de riesgos
➢ Implantar plan de tratamiento de riesgos
➢ Implementar los controles
➢ Formación y concienciación
➢ Operar el SGSI
TIPOS DE CONTROLES Y SUS EFECTOS
ATAQUE
CONTROL CORRECTIVO
AMENAZA • Decrece el Impacto
• Crea el Ataque
CONTROL PREVENTIVO
• Reduce el Impacto
• Protege la Vulnerabilidad
CONTROL DETECTIVO
• Disparadores del Control Preventivo
CONTROL DISUASIVO
• Reduce la probabilidad
SGSI- HACER
Garantizar una adecuada implementación de los
controles seleccionados y la correcta aplicación.
Criterios para analizar controles:
Ubicación
Efectividad
Eficiencia
Política
Implementación
SGSI –VERIFICAR
Ejecutar procedimientos de monitoreo y revisión para:
Detectar a tiempo los errores en los resultados.
Identificar las brechas de incidentes de seguridad.
Ayudar a la Dirección o Gerencia si las actividades desarrolladas
por las personas y dispositivos , garantizan la seguridad de la
información.
Detectar y prevenir eventos e incidentes de seguridad mediante
uso de indicadores.
Determinar si las acciones realizadas para resolver brecha de
seguridad fueron efectivas.
SGSI -VERIFICAR
Manual de Seguridad.
Procedimientos.
Instrucciones , check list , formularios.
Registros.
SGSI – Documentos Mínimos
Plan de tratamiento de Riesgos: Identifica las
acciones de la Dirección, los recursos,
responsabilidades y prioridades para gestionar los
riesgos.
Declaración de Aplicabilidad : Documento que
contiene objetivos de control y los controles
contemplados en el SGSI, basado en los resultados de
los procesos evaluaciones y tratamiento de riesgos.
Política y Objetivos de Seguridad: Documento de
contenido genérico que establece el compromiso de la
dirección y el enfoque de la organización.
SGSI – Documentos Mínimos
Procedimientos y mecanismos de control que soportan
al SGSI: Aquellos procedimientos que regulan el propio
funcionamiento del SGSI.
Procedimientos Documentados: Los necesarios para
asegurar la planificación, operación y control de los
procesos de seguridad de la información.
Registros: Documentos que proporcionan evidencias de la
conformidad con los requisitos.
SGSI – CONTROL DE LA DOCUMENTACIÓN
Aprobar documentos antes de su emisión
Revisar y actualizar documentos para renovar su
validez
Identificar los cambios y estado actual de revisión.
Garantizar documentos vigentes.
Prevenir el uso de documentos obsoletos.
Identificar documentos externos.
Identificar documentos que son retenidos con algún
propósito.
NORMAS , TÉCNICAS , ESTÁNDARES Y
PROCEDIMIENTOS DE AUDITORIA
El auditor desempeña sus labores mediante la aplicación
de una serie de conocimientos especializados.
a.Normas personales.
b.Normas de ejecución del trabajo.
c.Normas de información.
NORMAS DE AUDITORIA
Normas personales
Son cualidades que el auditor debe tener para ejercer una
auditoría, basados en un sus conocimientos profesionales así
como en un entrenamiento técnico, que le permita ser
imparcial a la hora de dar sus sugerencias.
Normas de información
Informe que el auditor debe entregar
ACTIVIDADES DE AUDITORIA
Inicio de la auditoria
Revisión de la documentación
Preparación de las actividades de la auditoria in situ
Realización de las actividades de auditoria in situ
Preparación, aprobación y distribución del informe de la
auditoria
Finalización de la auditoria
Realización de las actividades de seguimiento de una
auditoria.
Como Conducir una Auditoria Eficaz
Reunión de
planificación
previa a la
auditoria
Revisión de
Reunión con el
Revisión de los registros de
representante de
procesos procesos
la Dirección
importantes
Propósitos:
▪ Informar a los auditores de los procesos a ser auditados.
▪ Diseñar un plan de auditoria
▪ Desarrollar una lista de verificación o checklist
Preparación de las actividades de
auditoria in situ
Preparación del Plan de Auditoria
Para :
Proporcionar información al equipo auditor, al auditado
y al cliente.
Permitir la programación y coordinación de las
actividades de auditoria.
Asignación de las tareas al equipo
auditor
Papel y responsabilidad de :
Lider del equipo
Miembros del equipo
AUDITOR LIDER
Posee experiencia en auditorias
Responsable de :
Responsable de :
➢ Apoya al equipo auditor durante la auditoria
➢ Realizar toda la planificación asignada
➢ Documenta el 100% de la evidencia revisada
➢ En caso de existir no conformidades, estás deben estar
sustentadas en evidencias y criterios de auditoria.
➢ Entrega informe de auditoria al auditor líder
➢ Realiza actividades de seguimiento.
EXPERTO TÉCNICO
VENTAJAS:
▪ Despersonaliza la auditoria
▪ Administración de tiempo
▪ Uniformidad al proceso de auditoria
Auditoria in Situ
Reunión de apertura
Comunicación durante la auditoria
Papel y responsabilidades de los guías y observadores
Recopilación y verificación de la información
Generación de hallazgos
Conclusiones de auditoria
Reunión de Cierre
Reunión de apertura
Requiere la asistencia de :
➢ Equipo auditor
➢ Miembros del área auditada
➢ Representante de la gerencia
➢ Conducida por el auditor líder
Presentación del equipo
Revisión del itinerario
Método de auditoria
Alcance y canales de comunicación
Oportunidad para realizar preguntas
Recopilación y verificación de la
Información
Recopilación mediante a un muestreo apropiado y
verificar la información pertinente para los
objetivos , el alcance y los criterios de auditoria .
Solo la información que puede ser verificable
puede constituir en evidencia.
Registrar las evidencias de auditoria.
El Proceso de Auditoria
Reunir y seleccionar información : Fuentes de
información.
Verificación : Evidencia
Comparar con el criterio de la auditoria : Hallazgos. (Es
decir bajo que norma esta basado el criterio del auditor)
Revisión : Conclusiones de la auditoria.
Métodos para recopilar información
Entrevistas
Observación de actividades
Revisión de documentos
Técnicas de Auditoria.
▪ Entrevista
▪ Muestreo
▪ Rastreo
▪ Comprobación
▪ Listas de verificación
Técnicas de Auditoria.
Incluye :
1.Visión General del hallazgo
2.Descripción de la no conformidad
3.Ejemplo de evidencia objetiva
4.Resumen del requisito.
Ejemplo:
1
Se evidencia que la organización ha definido política de control de visitantes
mediante credenciales con número de identificación
2
Sin embargo se evidencia que tal política no se cumple cuando la visita olvida
devolver la credencial y regresa al día siguiente a continuar trabajando con la
misma credencial sin ser registrados en recepción.
3
Se evidencia que las credenciales corresponden la secuencia del día de ayer
(5/11/2017) con el número (5110) siendo que ingreso con la misma credencial el
(6/11/2017) , el cual debió ser (6110 hasta 6120).
4
Incumpliendo con el requisito de control de acceso , controladas por tarjetas , el
cual deben protegerse las áreas que contienen la información sensible de la
empresa
Reunión de Cierre de Auditoria
Objetivo y alcance.
Muestreo
Presentación de hallazgos
Detallar hallazgos con soporte de evidencia
Informe de auditoria y seguimiento
Agradecer las atenciones
Informe de Auditoria
▪ Alcance y Objetivo
▪ Itinerario de la auditoria
▪ Identificar la documentación en referencia
▪ Integrantes del equipo auditor
▪ Resumen de hallazgos
▪ Identificar las no conformidades
▪ Solicitud de acciones correctivas
▪ Detalle del cumplimiento
▪ Detalle de las acciones de seguimiento
▪ Conclusiones y Recomendaciones
No debe incluir en el informe
Opiniones subjetivas
Información Confidencial
Critica hacia individuos
Declaración ambiguas
Detalles triviales
Hallazgos que no haya mencionado en la reunión
de cierre
Finalización y Seguimiento
La auditoria finaliza cuando todas las actividades
descritas en el plan de auditoria se hayan
realizado y el informe de auditoria aprobado se
haya distribuido.
Actividades de seguimiento son según las
conclusiones ( acciones correctivas, preventivas o
de mejora).
Verificación de implementación de acciones y su
eficacia.
Atributos personales que debe tener un auditor
Ético : Imparcial , honesto y discreto
Mentalidad abierta: Dispuesto a considerar ideas o puntos
de vista alternativos.
Diplomático: Con tacto en las relaciones con las personas.
Observador : Activamente consciente y capaz de entender
las situaciones.
Versátil : Se adapta fácilmente a diferentes situaciones
Tenaz : Alcanza conclusiones oportunas basadas en el
análisis y razonamiento lógicos.
Seguro de si mismo : Actúa y funciona de forma
independiente a la vez que se relaciona eficazmente con
otros.
Conocimientos y habilidades
Aplicar principios y técnicas de auditoria
Planificar y organizar el trabajo eficazmente
Llevar
a cabo la auditoria dentro del horario
acordado.
Establecerprioridades y centrarse en los
asuntos de importancia.
PROCEDIMIENTOS
Obtener conocimientos del control interno.
Analizar las características del control interno.
Verificar los resultados de control interno.
Fundamentar conclusiones de la auditoría.
SISTEMA DE GESTIÓN SEGURIDAD DE LA
INFORMACIÓN
GENERALIDADES:
5.Aprobación de la Dirección.
4.2.1 ESTABLECER EL SGSI
C) Definir el enfoque organizacional hacia la valoración
del riesgo.
1) Identificar una metodología de valoración del riesgo
que sea adecuada al SGSI y a los requisitos de
reglamentarios, legales y de seguridad de
información del negocio, identificados.
2) Desarrollar criterios para la aceptación de riesgos e
identificar niveles aceptables. (Ver 5.1.1).
4.2.1 ESTABLECER EL SGSI
D) Identificar los Riesgos
1) Identificar los activos dentro del alcance del SGSI y los
propietarios de estos activos.
2) Identificar las amenazas de estos activos.
3) Identificar las vulnerabilidades que podrían ser
aprovechadas por las amenazas.
4) Identificar los impactos que la perdida de
confidencialidad, integridad y disponibilidad pueden
tener sobre los activos.
4.2.1 ESTABLECER EL SGSI
E) Análisis y Evaluación de los riesgos
1) Valorar el impacto de negocios que podría causar una
falta en la seguridad, sobre la organización, teniendo en
cuenta las consecuencias de la pérdida de
confidencialidad, integridad o disponibilidad de los
activos.
2) Valorar la posibilidad realista de que ocurra una falla en
la seguridad, considerando las amenazas,
vulnerabilidades ,impactos asociados con estos activos y
controles implementados adecuadamente.
3) Establecer los niveles de riesgos.
4) Determinar la aceptación del riesgo o la necesidad de su
tratamiento a partir de los criterios establecidos en el
numeral (4.2.1 c).
4.2.1 ESTABLECER EL SGSI
F) Identificar y evaluar las opciones para el tratamiento
de riesgos.
Las posibles acciones incluye:
1) Aplicar los controles apropiados.
2) Aceptar los riesgos con conocimiento y objetividad,
siempre y cuando satisfagan claramente la política y
los criterios de la organización para la aceptación de
riesgos (Ver 4.2.1 c).
3) Evitar riesgos.
4) Transferir a otras partes los riesgos asociados con el
negocio, por ejemplo : aseguradoras, proveedores
etc.
4.2.1 ESTABLECER EL SGSI
G) Seleccionar los objetivos de control y los controles
para el tratamiento de los riesgos.
Los objetivos de control y los controles para el
tratamiento de los riesgos.
Los requisitos identificados en el proceso de valoración
y tratamiento de riesgos. Esta selección debe tener en
cuenta los criterios para la aceptación de riesgos (Ver
4.2.1 c), al igual que los requisitos legales ,
reglamentarios y contractuales.
4.2.1 ESTABLECER EL SGSI
H) Obtener la aprobación de la dirección sobre
los riesgos residuales propuestos.
La organización debe:
a) Ejecutar procedimientos de seguimiento y revisión y
otros controles para :
1) Detectar rápidamente errores en los resultados del
procesamiento.
2) Identificar con prontitud los incidentes e intentos de
violación de la seguridad, tanto los que tuvieron éxito
como los que fracasaron.
3) Posibilitar que la dirección determine si las actividades
de seguridad delegadas a las personas o implementadas
mediante tecnología de la información se están
ejecutando en la forma esperada.
4.2.3 SEGUIMIENTO Y REVISIÓN DEL SGSI
La organización debe:
La organización debe: