Está en la página 1de 76

AUDITORIA AUDITORIA EN

INFORMATICA
AUDITORIA DE UN
SISTEMA DE
INFORMACION
La Auditora es un proceso
sistemtico de obtencin y
evaluacin objetiva de
evidencias respecto a
afirmaciones o aseveraciones
acerca de hechos y eventos
econmicos, para determinar
el grado de correspondencia
entre tales aseveraciones y los
criterios establecidos, y
comunicar los resultados a los
usuarios interesados.
Definicin de American
Accounting Association (AAA)
para varios tipos de auditora
incluyendo la auditora
interna, auditora externa y
auditora de computacin.

La auditora en informtica es
la revisin y la evaluacin de
los controles, sistemas,
procedimientos de
informtica; de los equipos de
cmputo, su
utilizacin, eficiencia y
seguridad, de la organizacin
que participan en el
procesamiento de la
informacin, a fin de que por
medio del sealamiento de
cursos alternativos se logre
una utilizacin ms eficiente y
segura de la informacin que
servir para una adecuada
toma de decisiones.
Toda la auditora que
comprenda la revisin y
evaluacin de todos los
aspectos ( cualquier
porcin ) de los sistemas
automatizados de
procesamiento de
informacin, incluyendo
los procesos no
automatizados
relacionados y las
interfaces entre ellos.
Definicin de Information
Systems Audit and control
Association ( ISACA)

La auditoria en informtica deber
comprender no slo la evaluacin de los
equipos de cmputo, de
un sistema o procedimiento especfico, sino
que adems habr de evaluar los sistemas de
informacin en general desde sus entradas,
procedimientos, controles, archivos, seguridad
y obtencin de informacin.


La auditora en informtica es de vital
importancia para el buen desempeo de los
sistemas de informacin, ya que proporciona
los controles necesarios para que los sistemas
sean confiables y con un buen nivel de
seguridad. Adems debe evaluar todo
(informtica, organizacin de centros de
Informacin, hardware y software).

Qu hace la AUDITORIA DE SISTEMA
DE INFORMACION ?

Es una funcin de la auditora que:

Evala y verifica los controles establecidos en las
actividades y recursos de cmputo de las empresas.

Asesora a la Administracin en asuntos de cmputo.

Promueve la automatizacin en las diferentes
modalidades de la auditora


Finalidad de la Auditora de Sistemas
Evaluar y verificar el control interno en todos los aspectos de los sistemas automatizados de
procesamiento de datos de la empresa: Administrativos , Tcnicos y Operativos

Verificar que los sistemas de informacin automatizados satisfaga los siete criterios de la informacin de
negocios requeridos por COBIT.
- Efectividad - Eficiencia
- Confidencialidad - Integridad
- Disponibilidad - Cumplimiento con leyes y Regulaciones
- Confiabilidad

Verificar que los controles utilizados en los sistemas de informacin protejan a las organizaciones contra
los riesgos que podran afectarlas a travs de sus recursos de cmputo.

Datos
Aplicaciones del Computadora
Tecnologa
Instalaciones de Cmputo
Las personas

La Auditora de Sistemas y los Riesgos
en las Empresas

La Auditora de Sistemas evala y verifica que existan controles apropiados
para proteger a las organizaciones contra eventos indeseados (RIESGOS)
que podran afectarlas a travs de sus recursos de cmputo
- Errores humanos
- Actos mal intencionados
- Decisiones errneas
- Prdidas de activo
- Encubrimientos de pasivos
- Desventajas ante la competencia
- sanciones legales
- Desastres naturales
- Prdida de credibilidad e imagen

Alcance del trabajo de la Auditora de
Sistemas:

las actividades de TI de la empresa
(administracin de los recursos de cmputo
de la organizacin)
Las aplicaciones en el computador en estado
de produccin o funcionamiento
El desarrollo de nuevas aplicaciones para el
computador
El soporte tcnico a otras actividades de la
auditora (financiera, operativa, etc.)

RESULTADOS DEL TRABAJO DE ASI

Tangibles:
Informes escritos con opiniones, observaciones y recomendaciones
dirigidos a:
Direccin de la Empresa
La Gerencia de Sistemas (Organizacin y Mtodos)
Las reas de negocio y de soporte administrativo que manejan
operaciones crticas de las empresas que se soportan en Tecnologa
de Informacin

Intangibles: (Valor Agregado)
El mejoramiento de la Seguridad en Informtica
El mejoramiento de la Cultura de Control en las Organizaciones

BENEFICIOS DE LA AUDITORA DE
SISTEMAS

Previene la ocurrencia de situaciones perjudiciales para la
organizacin (es un control preventivo)

Acta como mdico de los sistemas de informacin.
Revisa suficiencia de los controles existentes
Seala las reas de riesgos crticas que requieren ser
controladas
Promueve le mejoramiento de la cultura de control en las
organizaciones
Fomenta la conciencia de seguridad institucional
Fomenta la definicin de un lenguaje comn de seguridad

Genera actitud positiva hacia los controles en los
responsables del manejo de las operaciones de
la empresa para que asuman la responsabilidad
de:

Identificar a priori posibles riesgos innecesarios
en las operaciones del negocio
Efectuar ajustes al sistema de control interno
existente
Establecer que los controles sean intrnsecos a los
procedimientos manuales y automatizados.
(Autocontrol)

Promueve la calidad, seguridad y eficiencia en los sistemas de
informacin automatizados

Efecto Psicolgico de tener auditores de sistemas : el hecho de tener
auditora de sistemas estimula mayor diligencia del personal de
sistemas y de las reas de operacin
Formula recomendaciones constructivas : el auditor no se queda en el
mbito de la crtica, tambin propone alternativas de solucin a los
problemas que detecte.
Complementa el control que ejerce la Gerencia de Sistemas
Observa y detecta lo que el Gerente de Sistemas no puede ver
Ojos y odos de la Gerencia
Acta con independencia orgnica, mental y de criterio
Asesora a la Organizacin en asuntos de seguridad corporativa
Complementa el efecto de los controles ejercidos por los usuarios
internos y externos de los sistemas:
Acta como un control sobre los controles establecidos en la empresa
Tiene el poder de influir (es el poder detrs del trono)
Es parte integral del sistema de control interno de la empresa

Gestin de la funcin de Auditoria de
SI

La funcin de auditora debe ser gestionada y
conducida en una forma que asegure que las
diversas tareas realizadas y logradas por el
equipo de auditora cumplirn los objetivos de la
funcin de auditora, mientras se preserva la
independencia y competencia de la auditora.
Adems, gestionar la funcin de auditora debera
asegurar a la alta direccin las contribuciones al
valor agregado respecto a la eficiente gestin de
TI y al logro de los objetivos del negocio.


ORGANIZACIN DE LA FUNCIN DE AUDITORA DE SI

Los servicios de auditora de SI pueden ser provistos externamente o internamente.

El rol de la funcin interna de auditora de SI debera establecerse en un estatuto de
auditora aprobado por la alta direccin.
La auditora de SI puede ser parte de la auditora interna, funcionar como un grupo
independiente, o estar integrada dentro de una auditora financiera y operacional para
proveer garanta de control relacionado con TI a los auditores financieros o de la
gerencia; por lo tanto, el estatuto de auditora puede incluir la auditora de SI como
una funcin de apoyo de auditora.

Este estatuto debera establecer claramente la responsabilidad y los objetivos de la
gerencia para la funcin de auditora de SI y la delegacin de autoridad para la misma.
Este documento debera describir la autoridad, el alcance y las responsabilidades
generales de la funcin de auditora. El nivel ms alto de gestin y el comit de
auditora, si existe alguno, deberan aprobar este estatuto.

Una vez establecido, este estatuto debera modificarse slo si dicho cambio puede
realizarse y est completamente justificado.

Los estndares de auditora de SI de ISACA requieren que la
responsabilidad, autoridad y obligacin de rendir cuentas de la
funcin de auditora de SI estn debidamente documentadas en un
estatuto de auditora o en una carta de compromiso (SI Estatuto de
Auditora). Se debe notar que un estatuto de auditora es un
documento de alcance general que cubre toda la gama de
actividades de auditora en una entidad mientras que una carta de
compromiso est ms centrada en un ejercicio particular de
auditora que se busca que sea iniciado en una organizacin con un
objetivo especfico en mente.

Si los servicios de auditora de SI son provistos por una firma
externa, el alcance y los objetivos de estos servicios deben ser
documentados en un contrato formal o declaracin de trabajo entre
la organizacin contratante y el proveedor del servicio.

En cualquier caso, la funcin de auditora interna debe ser
independiente, y reportar a un comit de auditora, si existe alguno,
o al nivel ms alto de la gerencia, como por ejemplo : el consejo de
direccin.

GESTIN DE LOS RECURSOS DE AUDITORA DE SI


La tecnologa de SI est cambiando constantemente. Por lo tanto, es importante
que los auditores de SI mantengan su competencia por medio de la actualizacin
de sus habilidades actuales y que obtengan capacitacin sobre nuevas tcnicas de
auditora y reas de tecnologa. Los estndares de auditora de SI de ISACA
requieren que el auditor de SI sea tcnicamente competente (S4 Competencia
tcnica) y que posea las habilidades y el conocimiento necesarios para realizar el
trabajo de un auditor. Adems, el auditor de SI debe mantener su competencia
tcnica a travs de una educacin profesional continua. Se deben tomar en
consideracin las habilidades y los conocimientos cuando se planifiquen las
auditoras y se asigne personal para tareas especficas de auditora.

Preferentemente, se debera disear un plan anual detallado de capacitacin del
personal basado en la direccin de la organizacin, en trminos de tecnologa, y
aspectos relacionados con riesgos que necesiten considerarse. ste debera
revisarse peridicamente para asegurar que las necesidades de capacitacin estn
alineadas con la direccin que est tomando la organizacin de auditora.
Adicionalmente, la gerencia de auditora de SI tambin debe proporcionar los
recursos de TI necesarios para realizar auditoras de SI apropiadamente de
naturaleza altamente especializada (por ejemplo, herramientas, metodologa,
programas de trabajo).

PLANEACION DE LA AUDITORA DE SI

La planeacin debe ser a corto plazo y a largo plazo
Planeacin Anual
Asignaciones de Auditoria individual

El anlisis a problemas a corto largo plazo debe hacerse por lo menos una vez
al ao
Cada tarea individual de la auditoria debe ser planeada adecuadamente.
Considerar: Evaluacin de riesgos, privacidad y requerimientos
regulatorios para el enfoque general de la auditoria.
Considerar fechas lmites establecidas para la
implementacin/actualizacin de los sistemas, las tecnologas actuales y
futuras, requerimientos de los dueos del proceso de negocios y de las
limitaciones de recursos de SI.
Al planear una auditoria, el auditor de SI debe tener un entendimiento
general del ambiente a revisar.
Practicas de negocio
Funciones relativas al sujeto de la auditoria
Tipos de sistemas de informacin y la tecnologa que soportan la actividad.

PASOS PARA LA PLANEACION DE LA
AUDITORA DE SI

Lograr un entendimiento de la misin, los objeticos, el propsito y los
procesos del negocio, requerimientos de informacin y procesamiento.
Identificar contenidos especficos tales como polticas, estndares y
directrices requeridos, procedimientos y estructura de la organizacin.
Evaluar el anlisis de riesgo y todo anlisis de impacto sobre la privacidad
llevado a cabo por la organizacin.
Realizar un anlisis de riesgos.
Llevar a cabo una revisin de control interno.
Establecer el alcance y los objetivos de la auditoria.
Desarrollar el enfoque o la estrategia de auditora.
Asignar recursos humanos a la auditoria
Considerar la logstica del trabajo de la auditoria.

PASOS PARA LA COMPRENSION DEL
NEGOCIO


Recorrido de las instalaciones clave de la organizacin
Lectura de antecedentes incluyendo publicaciones de
la industria, informes anuales e informacin de anlisis
financieros independientes.
Revisin de planes estratgicos a largo plazo
Entrevistas a los agentes clave para entender
pormenores del negocio
Revisin de informes anteriores
Identificar las regulaciones especificables a TI
Identificar funciones de TI o actividades relacionadas
que han sido contratadas de forma externa.

EFECTO DE LEYES Y REGULACIONES
SOBRE LA PLANIFICACION DE TI

Toda organizacin debe cumplir con un numero de requerimientos externos
relacionados con las practicas y los controles de SI
Las regulaciones de negocio pueden impactar la forma en que los datos se
procesan, se transmiten y se almacenan.
Hay industrias que histricamente han tenido un marco regulatorio muy
estricto (industria bancaria, por ejemplo).
Existen dos reas principales de inters
Los requerimientos legales de la Auditoria de SI
Los requerimientos legales aplicables al auditado y sus sistemas.
Un ejemplo de prcticas solidas de control, es la Ley Sarbanes-Oxley (SOX)
de 2002.
Se espera que la organizacin tenga una funcin de cumplimiento legal en
la que el personal de Control de SI pueda confiar
La calidad de la informacin suministrada a los inversionistas se ha
convertido en un asunto de inters primordial en todo el mundo.

PASOS QUE SEGUIRI UN AUDITOR DE CONTROLES DE SI PARA DETERMINAR
UN NIVEL DE CUMPLIMIENTO DE UNA ORGANIZACIN CON LOS
REQUERIMIENTOS EXTERNOS:

Identificar los requerimientos gubernamentales u otros externos
relevantes que se refieren a:
Datos electrnicos, derechos de autor, comercio electrnico, firmas
digitales, etc.
Practicas y controles de sistemas computarizados
La manera en que se almacenan las computadoras, los programas y los
datos
La organizacin o las actividades de los servicios de informacin.
Documentar las leyes y regulaciones pertinentes
Determinar si la direccin de la organizacin y la funcin de SI han
tomado en consideracin los requerimientos relevantes.
Revisar los documentos internos de la funcin del SI que se ocupan
del cumplimiento de las leyes aplicables a la industria.
Determinar el cumplimiento con los procedimientos establecidos
que se ocupan de estos requerimientos.

ISACA
En los ltimos aos ha comenzado a ofrecerse en nuestro pas capacitacin
especfica en Auditora de Sistemas de Informacin:

Isaca (www.isaca.org) propone certificar Auditores en Sistemas de Informacin
(certificacin CISA), para ello se debe rendir un examen que habilita al
profesional para efectuar este tipo de trabajos.

ISACA comenz en 1967, cuando un pequeo grupo de personas con trabajos
similares -controles de auditora en los sistemas computarizados que se estaban
haciendo cada vez ms crticos para las operaciones de sus organizaciones
respectivas- se sentaron a discutir la necesidad de tener una fuente centralizada
de informacin y gua en dicho campo. En 1969, el grupo se formaliz,
incorporndose bajo el nombre de EDP Auditors Association (Asociacin de
Auditores de
Procesamiento Electrnico de Datos). En 1976 la asociacin form una fundacin
de educacin para llevar a cabo proyectos de investigacin de gran escala para
expandir los conocimientos y el valor del campo de gobernacin y control de TI.
....
En las tres dcadas transcurridas desde su creacin, ISACA se ha convertido en una
organizacin global que establece las pautas para los profesionales de
gobernacin, control, seguridad y auditora de informacin. Sus normas de
auditora

y control de SI son respetadas por profesionales de todo el mundo. Sus
investigaciones resaltan temas profesionales que desafan a sus constituyentes. Su
certificacin Certified Information Systems Auditor (Auditor Certificado de Sistemas
de Informacin, o CISA) es reconocida en forma global y ha sido obtenida por ms
de 44.000 profesionales.

Su nueva certificacin Certified Information Security Manager (Gerente Certificado
de Seguridad de Informacin, o CISM) se concentra exclusivamente en el sector de
gerencia de seguridad de la informacin. Publica un peridico tcnico lder en el
campo de control de la informacin, el Information Systems Control Journal
(Peridico de Control de Sistemas de Informacin).

Organiza una serie de conferencias internacionales que se concentran en tpicos
tcnicos y administrativos pertinentes a las profesiones de gobernacin de TI y
aseguracin, control, seguridad de SI. Juntos, ISACA y su Instituto de Gobernacin
de TI (IT Governance Institute) asociado lideran la comunidad de control de
tecnologa de la informacin y sirven a sus practicantes brindando los elementos
que necesitan los profesionales de TI en un entorno mundial en cambio
permanente.

Honduras posee un Captulo Local.


Principales pruebas y herramientas para
efectuar una auditora informtica

En la realizacin de una auditora informtica el auditor puede realizar las siguientes pruebas:

Pruebas sustantivas: Verifican el grado de confiabilidad del SI del organismo. Se suelen obtener mediante
observacin, clculos, muestreos, entrevistas, tcnicas de examen analtico, revisiones y conciliaciones.
Verifican asimismo la exactitud, integridad y validez de la informacin.

Pruebas de cumplimiento: Verifican el grado de cumplimiento de lo revelado mediante el anlisis de la
muestra. Proporciona evidencias de que los controles claves existen y que son aplicables efectiva y
uniformemente.

Las principales herramientas de las que dispone un auditor informtico son:
Observacin
Realizacin de cuestionarios
Entrevistas a auditados y no auditados
Muestreo estadstico
Flujogramas
Listas de chequeo
Mapas conceptuales


24
Informacin a Proteger
Cual es la informacin ms valiosa que
manejamos?

La informacin asociado a nuestros clientes.
La informacin asociado a nuestras ventas.
La informacin asociada a nuestro personal.
La informacin asociada a nuestros productos.
La informacin asociada a nuestras operaciones.
La Informacin

La informacin es un activo que, como otros activos importantes del
negocio, tiene valor para la organizacin y requiere en
consecuencia una proteccin adecuada. ISO/IEC 17799
EJEMPLOS DE INFORMACIN
Correos electrnicos
Bases de datos
Hojas de calculo
Pagina Web
Imgenes
Faxes
Contratos
Presentaciones
Etc.

La Seguridad
Es difcil de medir, la mayor parte del tiempo omos de ella cuando solo cuando falla
La medicin de los resultados es clave para justificar la inversin ante la alta gerencia

La Seguridad es una sensacin y una realidad. Sentirse seguro no es realmente estar
protegido.

El concepto de seguridad es altamente subjetivo, por tanto cada uno determina su nivel de
riesgo y lo que est dispuesto a dar por las medidas que tome.

No hay un nivel correcto de seguridad, existe un juicio personal sobre el nivel de riesgo
aceptable y lo que constituye una amenaza

La Real Academia de la Lengua la define asi:
SEGURIDAD: Cualidad de seguro
SEGURO: libre y exento de todo peligro, dao o riesgo
Cierto, indubitable y en cierta manera infalible No sospechoso

Objetivo de
la Seguridad de la Informacin

El objetivo de la seguridad de la informacin es
proteger adecuadamente este activo para
asegurar la continuidad del negocio,
minimizar los daos a la organizacin y
maximizar el retorno de las inversiones y las
oportunidades de negocio y Mantener la
competitividad, la rentabilidad, los recursos
generales, el cumplimiento de las leyes y la
imagen comercial
29
Seguridad de la Informacin ?
La seguridad de la informacin se caracteriza aqu como la
preservacin de:

su confidencialidad, asegurando que slo quienes estn autorizados pueden acceder a la
informacin;

su integridad, asegurando que la informacin y sus mtodos de proceso son exactos y
completos.

su disponibilidad, asegurando que los usuarios autorizados tienen acceso a la informacin y a
sus activos asociados cuando lo requieran.

Todo esto, segn el nivel requerido para los objetivos de negocio de
la empresa.
Por qu es necesaria

Gran variedad de Riesgos y Amenazas:

Fraudes, espionaje, sabotaje, vandalismo, incendio,
inundacin, Hacking, virus, denegacin de servicio, etc.
Provenientes de mltiples fuentes.

Mayor vulnerabilidad a las amenazas por la
dependencia de los sistemas y servicios de
informacin interconectados.

La mayora de los sistemas de informacin no han sido
diseados para ser seguros.
Qu sucede si falla?

Prdidas o falsos datos financieros
Prdida de negocios, clientes y cuota de mercado
Responsabilidad legal denuncias, litigios,
multas, etc.
Dao a la imagen de la empresa
Interrupcin de las operaciones
Mayores costos de operacin
Costo de recuperacin para volver a la situacin
inicial
Sistema de Gestin de Seguridad
de Informacin
36
Normas Internacionalmente
reconocidas
Reconocimiento internacional
37
Normas aplicables
Entre los distintos organismos relacionados comercial y/o
institucionalmente con los temas de Seguridad de la Informacin,
podemos encontrar los siguientes:

ISACA: COBIT
British Standards Institute: BSI
International Standards Organization: Normas ISO

Departamento de Defensa de USA: Orange Book / Common Criteria
ITSEC Information Technology Security Evaluation Criteria: White
Book
Sarbanes Oxley Act, HIPAA

38
Cmo establecer los requisitos?
Es esencial que la Organizacin identifique sus requisitos de seguridad.

Existen tres fuentes principales.

La primer fuente procede de la valoracin de los riesgos de la Organizacin.
Con ella:
- Se identifican las amenazas a los activos,
- Se evala la vulnerabilidad y la probabilidad de su ocurrencia.
- Se estima su posible impacto.
La segunda fuente es el conjunto de requisitos legales, estatutarios,
regulatorios y contractuales que debe satisfacer:
- la Organizacin,
- sus socios comerciales,
- los contratistas
- los proveedores de servicios.

La tercera fuente est formada por los principios, objetivos y requisitos que la
Organizacin ha desarrollado para apoyar sus operaciones.

Las empresas debern establecer, mantener y documentar un
sistema de gestin de la seguridad de la informacin (SGSI).

Metodologa de la ISO/IEC 27001

Normativa SBS
Un SGSI se define como la parte del sistema de gestin global,
basada en una orientacin a riesgo de negocio, para
establecer, implementar, operar, monitorear y mejorar la
seguridad de la informacin.

Incluye
Estructura, polticas, procesos, responsabilidades, practicas,
procedimientos y recursos.

Qu es un SGSI?
Reduccin de Riesgos
Ahorro econmico
Calidad a la seguridad
Cumplimiento legal
Competitividad en el mercado

Beneficios de un SGSI
El diseo y la implantacin de un SGSI se encuentran
influenciados por las necesidades, los objetivos, los requisitos
de seguridad, los procesos, los empleados, el tamao, los
sistemas de soporte y la estructura de la organizacin.
Naturaleza de un SGSI
Sistema de Seguridad que refleje los objetivos de la empresa
Estrategia de implantacin alineado con la cultura
organizacional
Apoyo y compromiso de la Alta Gerencia
Un claro entendimiento de los requerimientos de seguridad
Comunicacin eficaz de los temas de seguridad
Distribucin de guas sobre polticas y estndares de
seguridad
Instruccin y entrenamiento apropiados
Un sistema de medicin para analizar la aplicabilidad del
Sistema de Seguridad
Factores crticos de xito
La Seguridad de la Informacin
es un proceso de gestin, NO
un
proceso tecnolgico.
La direccin debe suministrar evidencias de su compromiso para crear,
implementar, operar, chequear, revisar, mantener, y mejorar el SGSI,
a travs de las siguientes acciones:

Formulando la poltica del SGSI
Velando por el establecimiento de los objetivos y planes del
SGSI
Estableciendo los roles y responsabilidades en materia de
seguridad de la informacin
Comunicando a la organizacin la importancia de cumplir los
objetivos y la poltica de seguridad de la informacin, sus
responsabilidades legales y la necesidad de la mejora continua
Responsabilidad de la Direccin
La direccin debe suministrar evidencias de su compromiso para crear,
implementar, operar, supervisar, revisar, mantener, y mejorar el
SGSI, a travs de las siguientes acciones:

Proporcionando recursos suficientes para crear, implementar,
operar, supervisar, revisar, mantener, y mejorar el SGSI
Participando en la decisin de los criterios de aceptacin de
riesgos y los niveles aceptables de riesgos
Velando por que se realicen las auditorias internas del SGSI
Dirigiendo las revisiones del SGSI
Responsabilidad de la Direccin
La organizacin debe determinar y proporcionar los recursos necesarios para:
establecer, implementar, operar, monitorear, revisar, mantener y
mejorar un SGSI;
asegurar que los procedimientos de seguridad de la informacin
respalden los requerimientos comerciales;
identificar y tratar los requerimientos legales y reguladores y las
obligaciones de seguridad contractuales;
mantener una seguridad adecuada mediante la correcta aplicacin de
todos los controles implementados;
llevar a cabo revisiones cuando sean necesarias, y reaccionar
apropiadamente ante los resultados de estas revisiones;
donde se requiera, mejorar la efectividad del SGSI.
Provisin de Recursos
Capacitacin, conocimiento y capacidad
Se debe determinar los perfiles requeridos del personal al que se
le asigna responsabilidades en el SGSI y diagnosticar sus
necesidades de entrenamiento.
Capacitar y seleccionar al personal para satisfacer los perfiles
requeridos.
Efectuar una evaluacin de la eficacia del entrenamiento efectuado.
Mantener expedientes del personal, donde se detallen:
educacin recibida,
capacitacin realizada,
capacidades desarrolladas,
experiencias profesionales y
calificaciones obtenidas.

Fuente: Oficina Nacional de Gobierno Electrnico e Informtico
Presidencia del Consejo de Ministros

51
(Planificar /Hacer /Verificar /Actuar)
Modelo utilizado para establecer, implementar, monitorear y mejorar el
SGSI.

Planificar
Verificar
Hacer
Actuar
Partes
Interesadas
Implementar y
operar el SGSI
Monitorear
el SGSI
Mantener y
Mejorar el SGSI
Establecer
el SGSI
Partes
Interesadas
Requisitos y
expectativas
Seguridad
Gestionada
52
(Planificar /Hacer /Verificar /Actuar)
El SGSI adopta el siguiente modelo:
PHVA
Planificar
Verificar
Hacer
Actuar
Definir la poltica de seguridad
Establecer el alcance del SGSI
Realizar los anlisis de riesgos
Seleccionar los controles
Implantar el plan de gestin de riesgos
Implantar el SGSI
Implantar los controles.
Implantar indicadores.
Revisiones del SGSI por parte de
la Direccin.
Realizar auditoras internas del SGSI
Adoptar acciones correctivas
Adoptar acciones preventivas
Modelo PDCA
Establecer la poltica de seguridad, objetivos, metas, procesos y procedimientos relevantes
para manejar riesgos y mejorar la seguridad de la informacin para generar resultados de
acuerdo con una poltica y objetivos marco de la organizacin.

Definir el alcance del SGSI a la luz de la organizacin.

Definir la Poltica de Seguridad.

Aplicar un enfoque sistmico para evaluar el riesgo.
No se establece una metodologa a seguir.
Identificar y evaluar opciones para tratar el riesgo
Mitigar, eliminar, transferir, aceptar

Seleccionar objetivos de Control y controles a implementar (Mitigar).
A partir de los controles definidos por la ISO/IEC 17799

Establecer enunciado de aplicabilidad

Planificar (crear)/ (plan)

55
Implementar y operar (Do)/ (Hacer)
Implementar y operar la poltica de seguridad, controles, procesos y procedimientos.

Implementar plan de tratamiento de riesgos.
Transferir, eliminar, aceptar

Implementar los controles seleccionados.
Mitigar

Aceptar riesgo residual.
Firma de la alta direccin para riesgos que superan el nivel definido.
Implementar medidas para evaluar la eficacia de los controles

Gestionar operaciones y recursos.

Implementar programas de Capacitacin y concientizacin.

Implementar procedimientos y controles de deteccin y respuesta a incidentes.

56
Monitoreo y Revisin (Check)/ (Chequear)
Evaluar y medir la performance de los procesos contra la poltica de seguridad, los objetivos y
experiencia practica y reportar los resultados a la direccin para su revisin.
Revisar el nivel de riesgo residual aceptable, considerando:
Cambios en la organizacin.
Cambios en la tecnologas.
Cambios en los objetivos del negocio.
Cambios en las amenazas.
Cambios en las condiciones externas (ej. Regulaciones, leyes).
Realizar auditorias internas.
Realizar revisiones por parte de la direccin del SGSI.
Se debe establecer y ejecutar procedimientos de monitoreo para:
Detectar errores.
Identificar ataques a la seguridad fallidos y exitosos.
Brindar a la gerencia indicadores para determinar la adecuacin de los controles y el
logro de los objetivos de seguridad.
Determinar las acciones realizadas para resolver brechas a la seguridad.

Mantener registros de las acciones y eventos que pueden impactar al SGSI.

Realizar revisiones regulares a la eficiencia del SGSI.

57
Mantenimiento y mejora (Act)/ (Actuar)
Tomar acciones correctivas y preventivas, basadas en los resultados de la revisin de la
direccin, para lograr la mejora continua del SGSI.

Medir el desempeo del SGSI.
Identificar mejoras en el SGSI a fin de implementarlas.
Tomar las apropiadas acciones a implementar en el ciclo
en cuestin (preventivas y correctivas).

Comunicar los resultados y las acciones a emprender, y
consultar con todas las partes involucradas.
Revisar el SGSI donde sea necesario implementando las
acciones seleccionadas.
Consiste en llevar el SGSI a la excelencia en el tiempo.

El alcance del SGSI
La poltica de seguridad
La descripcin de la metodologa de evaluacin del riesgo.
El reporte de evaluacin del riesgo.
Los objetivos de control y los controles.
El plan de tratamiento del riesgo.
La declaracin de aplicabilidad.
Los procedimientos necesarios para la organizacin, a fin de
asegurar la planeacin, la operacin y el control efectivos de
sus procesos de seguridad de la informacin.
Los registros requeridos por el SGSI.


Documentar
59
MANUAL DE
SEGURIDAD

Contenido de los documentos
Describe el sistema de gestin de la seguridad
PROCEDIMIENTOS
DOCUMENTADOS EXIGIDOS
POR LA NORMA
Describe los procesos y las actividades
REGISTROS
Son evidencias objetivas de la ejecucin
de procesos, actividades o tareas
OTROS DOCUMENTOS DEL SGSI
(INSTRUCCIONES DE TRABAJO, FORMULARIOS,
ESPECIFICACIONES Y OTROS)
Describe tareas y requisitos
Documentacin del SGSI
Planificar el SGSI
La norma establece requisitos para Establecer,
Implementar y Documentar un SGSI.

1. Definir el alcance del SGSI
2. Definir la poltica de seguridad
3. Gestin del Riesgo
4. Seleccionar controles de seguridad
5. Aprobar el riesgo residual
6. Confeccionar una declaracin de aplicabilidad
Planificar el SGSI
Definir el alcance y los lmites del SGSI en funcin de las
caractersticas del negocio, la organizacin, localizacin,
activos, tecnologa e incluyendo los detalles de, y la
justificacin de cualquier exclusin del alcance.

El SGSI no tiene por qu abarcar toda la organizacin sino parte
de sus servicios o procesos).

En el alcance se definirn todas las rea, procesos, subprocesos
o sistemas que sern considerados dentro del SGSI.

Alcance del SGSI
Proporcionar a la gerencia la direccin y soporte para la
seguridad de la informacin en concordancia con los
requerimientos comerciales y las leyes y regulaciones
relevantes.
La gerencia debe aprobar la poltica, y asegurarse de que
todos los empleados la han recibido y entienden su efecto en
sus tareas cotidianas
La poltica de seguridad es un documento muy general, una
especie de "declaracin de intenciones" de la Direccin, por lo
que no pasar de dos o tres pginas.

Poltica de seguridad
La poltica debera reflejar cuestiones como:
Por qu la informacin es importante y estratgica para la
Organizacin?
Qu son los requisitos legales y de negocio para
la seguridad de la informacin?
Cules son las obligaciones contractuales
relativas a procesos de negocio, clientes,
empleados, etc.?
Qu pasos debe tomar la organizacin para
garantizar la seguridad de la informacin
Poltica de seguridad
Objetivos de seguridad
Evaluacin y Anlisis de Riesgos para implementar un
sistema de seguridad de la informacin

Es una consideracin sistemtica:
Se estima el impacto potencial de una falla de seguridad
en los negocios y sus posibles consecuencias de
prdida de la confidencialidad, integridad o
disponibilidad

Se evala la probabilidad de ocurrencia de dicha falla
tomando en cuenta las amenazas, vulnerabilidades y
controles implementados.

Establecimiento de PRIORIDADES y ACCIONES
En base a que se seleccionan e Implementan los Controles

Deben tenerse en cuenta en funcin del costo Vs la
reduccin de los riesgos a un nivel aceptable y de las
prdidas que podran producirse

Los controles que se consideran esenciales para una
organizacin, desde el punto de vista legal
comprenden:
Proteccin de datos y confidencialidad de la informacin
personal.
Proteccin de registros y documentos de la organizacin
Derechos de propiedad intelectual
Los controles considerados como prctica recomendada
de uso frecuente en la implementacin de la seguridad
de la informacin comprenden:

Documentacin de la poltica de seguridad de la informacin
Asignacin de responsabilidades en materia de seguridad de la
informacin
Instruccin y entrenamiento en materia de seguridad de la
informacin
Comunicacin de incidentes relativos a la seguridad
Administracin de la continuidad de la empresa
En base a que se seleccionan e Implementan los Controles

La estructura organizativa debera consistir en un Comit de
Seguridad dirigido por un miembro de la direccin y que
incluyera representantes de reas de negocio ms
importantes y del departamento de tecnologa:
Revisin y aprobacin de la poltica de seguridad
Supervisin y control de los cambios significativos en la
proteccin de activos
Revisin y seguimiento de incidencias
Aprobacin de iniciativas en materia de seguridad
Estructura organizativa de seguridad
El Responsable de Seguridad de la Organizacin debera ser
una parte fundamental del comit y coordinar los esfuerzos
de seguridad de la Organizacin. El Responsable de Seguridad
en funcin de la magnitud de la compaa debera formar y
coordinar equipos de:
Respuesta ante incidencias
Mantenimiento de seguridad
Formacin en seguridad
Recuperacin de desastres
Propietarios de la Poltica de Seguridad
Responsable de seguridad
Administracin de cuentas de usuarios
Deteccin y prevencin de intrusos
Antivirus
Infraestructura de llave publica
Capas de Socket Segura (SSL)
Conexin nica "Single Sign on- SSO"
Biometra
Cifrado
Cumplimiento de privacidad
Acceso remoto: (LogMein, Team Viewer, etc.)
Cortafuegos

PRINCIPALES TECNOLOGAS REFERENTES A LA
SEGURIDAD DE LA INFORMACIN



Administracin de cuentas de usuarios
Deteccin y prevencin de intrusos
Antivirus
Infraestructura de llave publica
Capas de Socket Segura (SSL)
Cumplimiento de privacidad
Acceso remoto: (LogMein, Team Viewer, etc.)

Firma digital
Informtica Forense.
Recuperacin de datos.
Tecnologas de monitoreo

REALIDAD EN LAS ORGANIZACIONES

Un rea de TI que tiene un desempeo inadecuado, tiene un inadecuado
nivel de seguridad.

Siempre existe un riesgo que debe ser aceptado.

Si existe la probabilidad de un evento, Suceder!!!

Existe un balance entre la solucin de Seguridad, Inversin y Riesgo
Aceptado.

74
Password cracking
Man in the middle
Exploits
Denegacin de servicio
Escalamiento de privilegios
Hacking de Centrales Telefnicas
Keylogging Port scanning
Instalaciones default
Puertos vulnerables abiertos
Servicios de log inexistentes o que no son chequeados
Desactualizacin
Backups inexistentes
ltimos parches no instalados
Amenazas
Violacin de la privacidad de los empleados
Fraudes informticos
Destruccin de equipamiento
75
Captura de PC desde el exterior
Violacin de contraseas
Interrupcin de los servicios
Intercepcin y modificacin y violacin de e-mails
Virus
Mails annimos con agresiones
Incumplimiento de leyes y regulaciones
Robo o extravo de notebooks, palms
empleados deshonestos
Robo de informacin
Destruccin de soportes documentales
Acceso clandestino a redes
Intercepcin de comunicaciones voz y
wireless
Programas bomba, troyanos
Acceso indebido a documentos impresos
Propiedad de la informacin
Agujeros de seguridad de redes conectadas
Falsificacin de informacin
para terceros
Indisponibilidad de informacin clave
Spamming
Ingeniera social
Ms Amenazas!!
76
Vulnerabilidades Comunes
Inadecuado compromiso de la direccin.
Personal inadecuadamente capacitado y concientizado.
Inadecuada asignacin de responsabilidades.
Ausencia de polticas/ procedimientos.
Ausencia de controles
(fsicos/lgicos)
(disuasivos/preventivos/detectivos/correctivos)

Ausencia de reportes de incidentes y vulnerabilidades.
Inadecuado seguimiento y monitoreo de los controles.