Está en la página 1de 52

Auditora de sistemas

Objetivos
La materia tiene como objetivo transmitir bases conceptuales y metodolgicas efectuadas por especialistas o Auditores Informticos con el propsito de: Entender a la tecnologa como la herramienta para apoyar el cumplimiento de los objetivos y metas de la organizacin. Colaborar en el cumplimiento de los procesos de planeacin, desarrollo, mantenimiento y operacin de los sistemas procesados por computador. Evaluar la satisfaccin de los usuarios, las medidas de seguridad existente y la exactitud y razonabilidad de los datos procesados.

Metas y beneficios
Buscar mejor relacin costo beneficio de los sistemas automatizados de la organizacin Incrementar la satisfaccin de los usuarios al utilizar los sistemas de informacin, sin perjuicio ni riesgo para los objetivos de la organizacin. Asegurar una mayor integridad, confiabilidad y confidencialidad de la informacin mediante la recomendacin de seguridades y controles. Establecer situacin actual de la gestin de los activos informticos y las actividades y esfuerzos necesarios para lograr los objetivos propuestos. Evaluacin seguridad personal, datos, hardware, software e instalaciones. Apoyo de gestin informtica para los objetivos de la organizacin Minimizar existencia de riesgos o mitigarlos en la gestin de TI Decisiones de inversin Capacitacin y educacin sobre controles en los SI

Agenda

1. Gestin de TI en la organizacin 2. Modelos de Madurez-Utilz. TI 3. Seguridad: concepto integral

6. ITIL 7. COSO
8. COBIT

4. La auditora de sistemas

9. Un enfoque prctico 10. Conclusiones y Recom.

5. Req. de la ley Sarbanes Oxley

Agenda

1. Gestin de TI en la organizacin 2. Modelos de Madurez-Utilz. TI 3. Seguridad: concepto integral

6. ITIL 7. COSO
8. COBIT

4. La auditora de sistemas

9. Un enfoque prctico 10. Conclusiones y Recom.

5. Req. de la ley Sarbanes Oxley

Modelo de gestin de la organizacin centrado en el cliente


Tecnologa de Informacin

Recurso Humano

Foco en el cliente:
Text Estrategia

Modelo de gestin de la organizacin centrado en el cliente


Tecnologa de Informacin

Recurso Humano

Foco en el cliente:
Text Estrategia

MG-CCL: Estrategia
La estrategia de una organizacin es propia y nace de su situacin, objetivos y visin, que permiten hacer el plan para llegar en un tiempo determinado al lugar que NECESITAN estar y DESEAN estar en un tiempo determinado. En un mismo sector industrial o de servicios las estrategias son diferentes de pendiendo del enfoque al cliente que tengan las organizaciones. Imagine los siguientes sectores:
Bancario: banca de segundo piso vs banca de primer piso; banca corporativa vs banca masiva Servicio de comida: restaurantes vs comida rpida, cattering

Trabajo en clase:
Describa la estrategia que puede percibir en el funcionamiento del negocio de una organizacin que se discuta en el grupo. Presente una pgina a papel con las caractersticas que pueden ser: enfoque al cliente, proveedores, publicidad, logstica, coordinacin de equipo gerencial.

Modelo de gestin de la organizacin centrado en el cliente


Tecnologa de Informacin

Recurso Humano

Foco en el cliente:
Text Estrategia

MG-CCL: Recurso Humano


El recurso humano planificado, buscado y contratado debe guardar estrecha relacin con la estrategia y con la tecnologa a utilizar. Imagine los siguientes sectores:
Bancario: banca de segundo piso vs banca de primer piso; banca corporativa vs banca masiva Servicio de comida: restaurantes vs comida rpida, cattering.

Trabajo en clase N01:


Describa los perfiles para 2 cargos claves y representativos de la organizacin que analiz en el punto anterior.

Modelo de gestin de la organizacin centrado en el cliente


Tecnologa de Informacin

Recurso Humano

Foco en el cliente:
Text Estrategia

MG-CCL: Tecnologa
La tecnologa que se utilizar deber guardar perfecta relacin con los elementos anteriores. Dependiendo de las definiciones anteriores las definiciiones derivadas para tecnologa cumplirn con caractersticas necesarias y deseables. Imagine los siguientes sectores:
Bancario: banca de segundo piso vs banca de primer piso; banca corporativa vs banca masiva Servicio de comida: restaurantes vs comida rpida, cattering. Atencin de personas de tercera edad

Trabajo en clase N02:


Describa la tecnologa, tecnologa de informacin, que se acople a las definiciones de la organizacin seleccionada en los anteriores puntos.

Modelo de gestin de la organizacin centrado en el cliente


Dependiendo de los fines se inicia con cualquiera de las reas; sta marcarn qu y cmo construir las definiciones de las otras Tecnologa reas siguientes. Por ejemplo: de Informacin Se puede partir de las personas y alrededor de ello construir las definiciones de la tecnologa y la estrategia Se puede partir de la tecnologa y alrededor de ello seleccionar las personas y la estrategia Recurso Humano Se puede partir de la estrategia y alrededor de ello seleccionar Foco en el el RR. HH.. Independientemente de ello,cliente: La mayor probabilidad de que la operacin del negocio marche bien est en que exista la coherencia suficiente y necesaria entre estas tres reas. Text La inconsistencia entre estas definiciones trae problemas en la Estrategia operacin del negocio.

Desarrollo y operacin de software


El software (sistemas de informacin de la organizacin que gestionan el kernel del negocio o reas crticas) inicia como un servicio, con diferentes niveles de intensidad en el despliegue del mismo. La intensidad depende de:
El nivel de automatizacin Facilidad de uso de operar la solucin Procesos bien armados y especificados en la nueva solucin Personal que pueda adaptar el nuevo esquema Inters por la nueva solucin Comprometimiento de la alta Gerencia por la nueva solucin

El software es perfectible. Cada vez es posible desplegar mejores versiones ms: completas, sencillas, giles, intuitivas, fciles de utilizar.

Fases de gestin de los sistemas de informacin


Construccin / Seleccin Implantacin Garanta

Sistema de Informacin
Anlisis, Diseo, construccin y pruebas

Sistema de Informacin

Sistema de Informacin

Capacitacin, parametrizacin, puesta en marcha

Contra errores

Operacin y Soporte

Sistema de Informacin

Afinamiento del Software

Desarrollo nuevos proyectos

Soporte a usuario Respaldos, Soporte procesos centrales

Mejoras funcionales Aumentos modulares Nuevas funciones

De otros proyectos esratgicos de la organizacin

Acciones de ejeucin
Acciones:

Planificar

Desplegar

Construir

Operar

Arquitectura de una solucin SW


Minera de datos BSC Balanced Score Card Sistemas Expertos / Redes Neuronales Sistemas Gerenciales [ndices e Indicadores]

Sistema Transaccional Sistemas de informacin del Negocio: logsitica,

Mensajera

Colaboracin

Conectividad Remota

Impresin

Admin. de Actualizaciones

Config. de Clientes

Servicios de Antivirus

Respaldo y Recuperacin

Administracin y Seguridad

Infraestructura Central

Trabajo de clase N03


Identificar en el esquema la infraestructura de su organizacin

Ejemplo de un marco de operaciones de tecnologa de informacin


Las Funciones de Gestin de Servicios (SMFs) proveen una gua operacional para las tecnologas Microsoft empleadas en ambientes de computacin para aplicaciones de IT. Los SMFs son una parte medular de la disciplina Microsoft Operations Framework (MOF), la cual provee una gua que permite a las organizaciones a conseguir confiabilidad de sistemas de misin crtica, as como disponibilidad, soportabilidad y manejabilidad de soluciones de IT.

Beneficios administracin adecuada


Aumentar la disponibilidad
Mejores herramientas Redundancia de dispositivos Hardware robusto

Mejorar la seguridad
Prcticas probadas de la industria Metodologa

Aumentar la productividad de usuarios


Mejores servicios Mejores herramientas Mejor servicios al cliente interno y externo

PROYECCION SOFTWARE

S. GERENCIAL PARA TOMA DE DESICIONES

Data Ware House Datamart x departamento Desarrollo WEB Wireless

Sistema Transaccional

Agenda

1. Gestin de TI en la organizacin 2. Niveles de Madurez de Utilz. TI 3. Seguridad: concepto integral

6. ITIL 7. COSO
8. COBIT

4. La auditora de sistemas

9. Un enfoque prctico 10. Conclusiones y Recom.

5. Req. de la ley Sarbanes Oxley

Niveles de madurez
La tecnologa puede ser utilizada en la empresa de muchas maneras Dependiendo de como se lo hace se obtienen beneficios: Orden Facilidades Mejores tiempos de respuesta en operaciones y procesos Creacin de ventajas competitivas Creacin de barreras de entrada a los negocios Exclusividad en el servicio Creacin de mercados cautivos

Primer Nivel de madurez:


La tecnologa es utilizada para incorporar ordenamiento en los procesos. Los balances de la organizacin estn ordenados La informacin luce mejor organizada Presenta una imagen de control Ofertas de la organizacin tienen mejor presentacin

Segundo Nivel de madurez:


La tecnologa es utilizada para mejorar los procesos: en tiempo y calidad. El tiempo requerido para enviar un pedido se reduce considerablemente: de horas a minutos

Tercer Nivel de madurez:


La tecnologa es utilizada para creacin de productos y servicios de la organizacin mejorar los procesos: en tiempo y calidad. Sector Bancario: productos de capitalizacin diaria Casinos en Lnea: productos de juegos para todo el mundo Libreras: amplian su mercado a nivel mundial

Agenda

1. Gestin de TI en la organizacin 2. Modelos de Madurez-Utilz. TI 3. Seguridad: concepto integral

6. ITIL 7. COSO
8. COBIT

4. La auditora de sistemas

9. Un enfoque prctico 10. Conclusiones y Recom.

5. Req. de la ley Sarbanes Oxley

Seguridad un concepto integral


La seguridad no puede ser completa si no se la entiende como un concepto integral de las capas: Fsica Lgico Procedimientos administrativos

Seguridad un concepto integral


Se recomienda realizar el control de la seguridad siguiendo el ciclo estndar de control de la calidad que es: Planning, Doing, Checking, Action.

Planning

ACTUAR

PLANIFICAR

Action

GS
Checking

Doing

VERIFICAR

HACER

Seguridad un concepto integral


Si desea tener una destacable gestin de la seguridad de la informacin, debe saber que es un proceso que tendr una serie de pasos para ser realizados de forma metdica, documentada y siempre con el conocimiento claro de hacia donde ir. Las dificultades pueden radicar en cuanto a que la flexibilidad y la seguiridad son dos objetivos contrapuestos. Para continuar con este proceso se recomienda: Conocer las mejores prcticas existentes en el mercado sobre la gestin de la seguridad de la informacin. Decidir un esquema factible para la organizacin (seleccin e implementacin) Conseguir el patrocinio de la alta gerencia: lanzamiento del proyecto y asignacin de recursos. Difundir el sistema de gestin de seguridad de la informacin: se pretende que todos los miembros de la organizacin tengan un entendimiento claro sobre lo que es y lo que se pretende. Ejecutar el ciclo de control de calidad: P, D, C, A

Normas de seguridad
Al igual que otros estndares ISO, tambin se ha preocupado de establecer normar para gestionar la seguridad. La familia de normas que trata sobre la seguridad de informacin, dentro de ISO, corresponde a las 27.000. Estas normas ISO se basaron en otros estndares reconocidos a nivel mudial y publicados por la BSI (British Standards Institution) [reemplazo del estndar britnico BS7799-2]. La certificacin de ISO 27K es reconocida a nivel mudial. Son orientadas para todo tipo de organizaciones, sea pblica o privadas, industrial, financiera, servicios e incluso ONGs. No estn dirigidas a un tipo especfico de organizacin. Son adaptables y aplicables a cualquier clase de negocio Son una familia de normas que van de la 27.000 27.012 / 27.031 27.034 / 27.799

SGSI (sistema de gestin de seguridad de informacin)


Fte: Deloitte Es una decisin estratgica del negocio y no solo del gerente de seguridad. L a implementacn depender del tamao, necesaidades, objetivos de la organizacin

Anlisis del Riesgo


Fte: Deloitte La norma trae un mtodo para identificar y evaluar los riesgos sobre los activos de informacin. Los pasos a seguir son los descritos en el grfico

Luego de identificar y priorizarlos, se debe determinar y evaluar opciones para tratarlos con:
Implementar controles Aceptar riesgos que cumplan con polticas y criterios para el efecto Evitar o eliminar los riesgos Tranferir los riesgos a otras unidades

Resumen de Objetivos y controles de la norma


Fte: Deloitte

Agenda

1. Gestin de TI en la organizacin 2. Modelos de Madurez-Utilz. TI 3. Seguridad: concepto integral

6. ITIL 7. COSO
8. COBIT

4. La auditora de sistemas

9. Un enfoque prctico 10. Conclusiones y Recom.

5. Req. de la ley Sarbanes Oxley

Justificativos para la Auditora


Aumento considerable e injustificado del gasto en TI (departamento de procesamiento de datos PAD) Desconocimiento en el nivel directivo de la situacin informtica de la empresa. Falta total o parcial de seguridades lgicas y fsicas que garanticen la integridad del personal, equipos e informacin. Descubrimiento de fraudes efectuados con el computador Falta de una planificacin informtica Organizacin que no funciona correctamente, falta de polticas, objetivos, normas, metodologa, asignacin de tareas y adecuada administracin del Recurso Humano Descontento general de los usuarios por incumplimiento de plazos y mala calidad de los resultados Falta de documentacin o documentacin incompleta de sistemas que revela la dificultad de efectuar el mantenimiento de los sistemas en produccin

Auditora de Sistemas - controles

Correctivos

Tipos:
Preventivos

Detectivos Text

Auditora de Sistemas - controles

Correctivos

Tipos:
Preventivos

Detectivos Text

Controles preventivos
Reducen la frecuencia con que ocurren las causas del riesgo, permitiendo cierto margen de violaciones . Ejemplos: Letrero "No fumar" para salvaguardar las instalaciones Sistemas de claves de acceso: cambios peridicos de contraseas Utilizacin de identificacin para reas restringidas Letreros de no comer o tomar bebidas junto al computador.

Auditora de Sistemas - controles

Correctivos

Tipos:
Preventivos

Detectivos Text

Controles detectivos
No evitan que ocurran las causas del riesgo sino que los detecta luego de ocurridos. Son los ms importantes para el auditor. En cierta forma sirven para evaluar la eficiencia de los controles preventivos. Ejemplo: Archivos y procesos que sirvan como pistas de auditora Procedimientos de validacin

Auditora de Sistemas - controles

Correctivos

Tipos:
Preventivos

Detectivos Text

Controles correctivos
Ayudan a la investigacin y correccin de las causas del riesgo. La correccin adecuada puede resultar difcil e ineficiente, siendo necesaria la implantacin de controles detectivos sobre los controles correctivos, debido a que la correccin de errores es en si una actividad altamente propensa a errores.

Controles fsicos y lgicos (1/3)


Autenticidad Permiten verificar la identidad Passwords Firmas digitales Exactitud Aseguran la coherencia de los datos Validacin de campos Validacin de excesos Totalidad Evitan la omisin de registros as como garantizan la conclusin de un proceso de envio Conteo de regitros Cifras de control Redundancia Evitan la duplicidad de datos Cancelacin de lotes Verificacin de secuencias

Controles fsicos y lgicos (2/2)


Privacidad Aseguran la proteccin de los datos Compactacin Encriptacin Existencia Aseguran la disponibilidad de los datos Bitcora de estados Mantenimiento de activos Proteccin de Activos Destruccin o corrupcin de informacin o del hardware Extintores Passwords Efectividad Aseguran el logro de los objetivos Encuestas de satisfaccin Medicin de niveles de servicio Eficiencia Aseguran el uso ptimo de los recursos Programas monitores Anlisis costo-beneficio

Ambientes
Los sistemas de informacin, de acuerdo a su etapa de desarrollo y produccin estn en 3 tipos de ambientes: Ambiente de Produccin: en donde los sistemas reciben los datos y generan la informacin de consumo para la organizacin y organismos de control. Este ambiente de produccin est constituido por Hardware, Software (de base y sistemas de informacin) y recursos humanos que los opera Ambiente de Desarrollo: donde se construyen los requerimeintos nuevos o se corrigen los errores del software que est en funcionamiento Ambiente de Pruebas: Donde se prueba el software previo a subirlo a produccin. El ambiente de desarrollo y pruebas, tambin puede ser uno solo si no se tiene todos los recursos.

F R A M E W O R K

Cliente

SQL Server Cuenca


Active Directory

Dispositivo

Servidor I U n k n o Conexin w I n U n k n COM DB o I w U n n k n Factur I o acinU w nn k n o RRHH w n

Internet

Servidor

Servidor de Seguridad

Servidor Compo nentes

I U n k In Abastecim o U ientos nw kn n Invent o arios w n

I U n k n Tesorer o a w n

SQL Server Guarumales

CCG DataWare Housing


DataWare Housing
iMac

Unix I U n k n Generaciones o I U DM w n nk n Generaciones o Cubo w n

Browser

Cliente Interno

Objeto

Diseo lgico

Diseo fsico

Distribucin de servicios

Ejemplos de polticas de seguridad


Definicin de Polticas de Seguridad de Cuentas Se configurar la poltica de seguridad de Cuentas y Contraseas con los siguientes parmetros: Password History: Minimum Password Age: Maximum Password Age: Longitud: Complejidad: Bloqueo de cuentas: Desbloqueo automtico: 3 10 das 90 das 6 caracteres Si despus de 5 intentos fallidos 20 minutos

Se tomar en cuenta las siguientes directrices para la generacin y manejo de cuentas de usuario y contraseas: Los nombres de usuario y contraseas deben almacenarse de manera encriptada. El administrador de la red es el encargado de asignar las palabras claves para el acceso a los servicios de la red, por primera vez. No se permiten cuentas annimas, por defecto o cuentas sin contrasea. Todas las contraseas de usuarios deben cambiarse al menos cada tres meses. No se deben transmitir contraseas por medios electrnicos, por ejemplo, va email. No deben ser palabras del diccionario ingls o espaol. Las palabras clave no deben ser nombres de personas, familiares, animales, sitios, hardware, software, etc. Definicin de polticas de Grupo Los siguientes parmetros sern configurados en la poltica de grupo por defecto para los usuarios y computadores de HidroPaute: Polticas de Computador Habilitar auditoras en el file system (file Server. Recomendacin: comprar herramienta para revisar y reportear de pcs y servidores) Renobrar la cuenta de invitado y deshabilitarla Renombrar la cuenta de Administrador No muestre el ltimo nombre de usuario al iniciar sesin Mostrar un banner de advertencia al iniciar sesin (despus) Habilitar Windows Update y apuntar a servidor WSUS interno

Ejemplos de polticas de seguridad


Politicas de Usuario Configurar parmetros de Proxy por usuario Definir www.miempresa.com como Home page Prohibir acceso al Panel de Control Remover Agregar/Quitar Programas Ocultar Agregar/Quitar Componentes de Windows Definicin del Papel Tapiz Remover opcin de Pantalla en Panel de Control Ocultar el tab de Escritorio Evitar cambiar el Papel Tapiz Ocultar el tab de Configuracin Ocultar el tab de Apariencia y Temas Ocultar del tab de Protector de Pantalla Definicin del Protector de Pantalla Prevenir aadir de impresoras Prevenir eliminar impresoras Prohibir acceso a configuracin de la red LAN Prohibir habilitar o deshabilitar conexiones de LAN Prohibir herramientas de edicin del Registry Definir aplicaciones que no podrn ser ejecutadas en Windows Ocultar los siguientes applets del Panel de Control: Agregar Hardware Asistente para configuracin de red Cuentas de Usuario Dispositivos de Juego Dispositivos de Sonido y Audio Mouse Opciones de Energa Pantalla Sistema