JORNADA NACIONAL DE

SEGURIDAD INFORMÁTICA
2004
ACIS – UNIVERSIDAD CATÓLICA

Modelos de Control, Seguridad y

Auditoría: Herramientas para
profesionales en Seguridad
Informática
Junio 24 de 2004 – Bogotá
Jorge Hernández Cordóba
Fernando Ferrer Olivaes
 Agenda

01 Introducción
02 Modelos
03 Conclusiones
04 Bibliografía

2 Universidad Católica
 Definiciones de Auditoría... 01

“Revisión independiente de alguna o algunas

actividades, funciones específicas, resultados u
operaciones de una entidad administrativa,
realizada por un profesional de la Auditoría, con el
propósito de evaluar su correcta realización y con
base en este análisis poder emitir una opinión
autorizada sobre la razonabilidad de sus resultados
y el cumplimiento de sus operaciones.”

3 Universidad Católica
 Otra definición

Auditoría interna es una actividad

independiente y objetiva de
aseguramiento y consulta, concebida
para agregar valor y mejorar las
operaciones de una organización. Ayuda
a una organización a cumplir sus
objetivos aportando un enfoque
sistemático y disciplinado para evaluar y
mejorar la eficacia de los procesos de
gestión de riesgos, control y gobierno

4 Universidad Católica
 Auditoría de Sistemas de Información

El propósito fundamental es evaluar el

uso adecuado de los sistemas para el
correcto ingreso de los datos, el
procesamiento adecuado de la
información y la emisión oportuna de sus
resultados en la institución, incluyendo la
evaluación en el cumplimiento de las
funciones, actividades y operaciones de
funcionarios, empleados y usuarios
involucrados con los servicios que
proporcionan los sistemas
computacionales a la empresa”
5 Universidad Católica
 Control: Base para el desarrollo de la
Auditoría

El control es una de las fases del proceso administrativo, le

corresponde:
• comparar los resultados obtenidos contra los resultados
determinados en el proceso de planeación de la estrategia
organizacional y de sus actividades tácticas y operativas con
el fin de
• determinar el nivel de cumplimiento y
• ajustar los diferentes parámetros y características de los
procesos mediante los cuales se busca el cumplimiento de
los objetivos organizacionales.

6 Universidad Católica
 Concepto de Control

Cualquier forma de control está basada en el

uso de un lazo de retroalimentación
(feedback) mediante el cual se compara la
salida (output) del proceso o sistema
controlado contra valores de referencia, de
modo que al presentarse desviaciones, por
exceso o por defecto, se produce una señal
de “corrección” que debe ser alimentada al
proceso para corregir las desviaciones
observadas en la salida.

7 Universidad Católica
 Concepto de control

entrada
salida

proceso

Valor de
referencia

Muestra de
Lazo de La salida
retroalimentación

8 Universidad Católica
 Esquemas metodológicos tradicionales de
la Auditoría

 Auditoria de cumplimiento – un enfoque reactivo

 auditoria del Cumplimiento de un estándar
 Auditoría de Cumplimiento de una “mejor práctica”
 Auditoria del Cumplimiento de la opinión del auditor
 Auditoria del desarrollo de sistemas – un enfoque
proactivo
 Aseguramiento interno – un enfoque coactivo

9 Universidad Católica
 Modelos de Control 02

Orientados a:
 Control gerencial
 Control Informático
 Apoyar los controles anteriores

10 Universidad Católica
 Modelos de Control 02
Control Gerencial - Gobierno Corporativo

Control Interno Apoyo

Tecnología Informática

Seguridad Informática

11 Universidad Católica
 Modelos de Control y Alineamiento 02
Control Gerencial - Gobierno Corporativo
(OCDE, Basel II, Sarbanes-Oxley, HIPAA, PIPEDA, GLBA, …)

Control Interno Apoyo

(COSO, CoCo, Cadbury, …) Risk Management
[AS/NZS:4360/1999,
MAGERIT, MGs]
Tecnología Informática
(Gobierno de TI, COBIT, Net Centric, Control-Self Assessment
CMM/SW, CMM-I, MAGERIT…)
Project Management
Seguridad Informática
Quality Assurance
(Gobierno de Seguridad, ISO-17799,
BS-7799-2, NIST, Octave, …)
…

12 Universidad Católica
 Modelos de Control Gerencial -
Corporate Governance

Necesidad de establecer un Sistema de

Control Interno

OCDE (Organización para la cooperación y el desarrollo

económicos)
 Principios para mantener la confianza de los
inversionistas y atraer capitales estables y a largo
plazo en países en vía de desarrollo

Sarbanes Oxley
 Exactitud y transparencia de la información financiera
para empresas que cotizan en Bolsa

13 Universidad Católica
 Modelos de Control Gerencial
Control Interno

Especificación de un Sistema de Control

Interno

Definición
Proceso, llevado a cabo por la Junta Directiva, la dirección
u otro personal de la entidad, y el resto del personal,
diseñado para proveer seguridad razonable sobre el logro
de los siguientes tipos de objetivo:
o Efectividad y eficiencia de las operaciones
o Confiabilidad de la información financiera
o Cumplimiento de leyes y regulaciones
o Salvaguarda de activos

14 Universidad Católica
 COSO
Componentes

MONITOREO

ACTIVIDADES DE CONTROL

INFORMACIÓN Y
COMUNICACIÓN VALORACIÓN DE RIESGOS

AMBIENTE DE CONTROL

15 Universidad Católica
 Control Interno
Ambiente de Control

• Integridad y valores éticos

• Incentivos y tentaciones
• Guía de comportamiento moral
• Acuerdos de competencias
• Comité de auditoría
• Filosofía de administración
• Estructura organizacional
• Asignación de autoridad y responsabilidad
• Políticas y prácticas de recursos humanos

16 Universidad Católica
 Coco: Esquema

Una persona ejecuta una tarea guiada por el entendimiento de:

Objetivo
Entorno

Compromiso
Seguimiento y
aprendizaje
Capacidad
Acción

17 Universidad Católica
 Modelos Informáticos
Tecnología Informática

 Objetivos
 Recursos
Ambiente Informático
 Procesos
 Objetivos de Control

18 Universidad Católica
 Objetivos

Se refiere a la información que es

relevante para el negocio y que debe ser
Efectividad entregada de manera correcta, oportuna,
consistente y usable.

Se refiere a la provisión de información a

Eficiencia través del óptimo (más productivo y
económico) uso de los recursos.

Relativa a la protección de la
Confidencialidad información sensitiva de su revelación
no autorizada.

Se refiere a la exactitud y completitud de

la información, así como su validez, en
Integridad concordancia con los valores y
expectativas del negocio.
19 Universidad Católica
 Objetivos

Se refiere a la que la información debe

estar disponible cuando es requerida por
Disponibilidad los procesos del negocio ahora y en el
futuro. Involucra la salvaguarda de los
recursos y sus capacidades asociadas.

Se refiere a cumplir con aquellas leyes,

regulaciones y acuerdos contractuales, a
Cumplimiento los que están sujetos los procesos del
negocio.

Se refiere a la provisión de la
información apropiada a la alta gerencia,
Confiabilidad para operar la entidad y para ejercer sus
responsabilidades finacieras y de
cumplir con los reportes de su gestión.
20 Universidad Católica
 Recursos
Microcomputador o terminal
==========================
Seguridad de la Aplicaciones en funcionamiento
información (1),(2),(3),(4),(8),(10),(11)

Seguridad física

(1) Sistemas Operacionales

Equipo central
=========================
Operación del sistema
(1),(2),(6),(7),(8),(9)
Sistema de comunicaciones
(8),(11)
21
(2) Software de Seguridad
(3) Sistemas Manejadores de Bases de Datos
y Diccionarios de Datos
(4) Monitores de Teleprocesamiento
(5) Ayudas para el desarrollo de programas
(6) Control del Cambio y Administración de
librerías
(7) Editores en línea
(8) Software de Telecomunicaciones
(9) Sistema de soporte a operaciones
(10) Sistemas de oficina
(11) Intercambio electrónico de datos
Red local
===============
(1),(2),(3),(4),(5),(6),
(7),(8),(9),(10),(11)
Universidad Católica
 Procesos

Planeación y Definir un plan estratégico de TI

Organización Definir la arquitectura de información
Determinar la dirección tecnológica
Definir la organización y relaciones de TI
Manejo de la inversión en TI
Comunicación de directrices Gerenciales
Administración del Recurso Humano
Asegurar el cumplir requerimientos externos
Evaluación de Riesgos
Administración de Proyectos
Administración de Calidad

Adquisición e Identificación de soluciones

Implementación Adquisición y mantenimiento de SW aplicativo
Adquisición y mantenimiento de arquitectura TI
Desarrollo y mantenimiento de Procedimientos de TI
Instalación y Acreditación de sistemas
Administración de Cambios

22 Universidad Católica
 Procesos

Servicios y Definición del nivel de servicio

Soporte Administración del servicio de terceros
Administración de la capacidad y el desempeño
Asegurar el servicio continuo
Garantizar la seguridad del sistema
Identificación y asignación de costos
Capacitación de usuarios
Soporte a los clientes de TI
Administración de la configuración
Administración de problemas e incidentes
Administración de datos
Administración de Instalaciones
Administración de Operaciones
Seguimiento
Seguimiento de los procesos
Evaluar lo adecuado del control Interno
Obtener aseguramiento independiente
Proveer una auditoría independiente

23 Universidad Católica
 Objetivos de Control

• “Una declaración de resultado deseado o propósito a ser

alcanzado por medio de la implementación de
procedimientos de control en una actividad Particular de TI”
• 318 objetivos de control (de 3 a 30 objetivos por cada uno de
los procesos)
• 2.3 Contratos con Terceros
Con respecto a las relaciones con los proveedores de servicios
como terceras partes, la Gerencia deberá asegurar que los acuerdos
de seguridad (por ejemplo, los acuerdos de no - revelación) sean
identificados, declarados explícitamente y acordados, que éstos
concuerden con los estándares de negocios universales y estén en
línea con los requerimientos legales y regulatorios, incluyendo
obligaciones.

24 Universidad Católica
 Modelos Informáticos
Seguridad Informática

• Fundamentos de Seguridad Informática

• Elementos de un Framework de Seguridad

• Técnicas

25 Universidad Católica
 Fundamentos de Seguridad Informática
NIST – Common Criteria

Confidencialidad
Riesgo
Amenaza
Integridad Disponibilidad Vulnerabilidad
…

Auditabilidad
Identificación
Autenticación

26 Universidad Católica
 Elementos de un Framework de Seguridad
ISO 17799 - Areas principales

Organización de la
Política de Seguridad
Seguridad

Control y clasificación
Seguridad del personal
de activos

Administración de las
Seguridad física y ambiental comunicaciones y
operaciones

Desarrollo y
Control de acceso mantenimiento de
sistemas

Administración de la
Cumplimiento
continuidad del negocio

27 Universidad Católica
 Técnicas

 Valoración de Riesgos
 Riesgo = Vulnerabilidad x Amenaza x Valor del Activo
 Riesgo = Impacto x Probabildad

 Identificación de Activos
 Identificación de Inventarios
 Clasificación de Datos
 Documentación de Hardware
http://net-services.ufl.edu/security/policy/workshops/documentation-workshop.ppt
 Valoración de Vulnerabilidades
http://csrc.nist.gov/publications/nistpubs/800-55/sp800-55.pdf

28 Universidad Católica
 Modelos de Apoyo

• Risk Management
• Control-Self Asessment
• Project Management
• …

29 Universidad Católica
 Conclusiones 03

Modelos, Modelos, Modelos ….

Actualización – Investigación

30 Universidad Católica
 Bibliografía 04

Universidad Católica de Colombia

Facultad de PostGrados
Bogotá

Proyecto Estado del Arte de la Auditoría de Sistemas

31 Universidad Católica
 PREGUNTAS?

32 Universidad Católica
 Muchas gracias por su
atención

33 Universidad Católica