• Like
  • Save
Clase 3   metodologías de control interno, seguridad y auditoría
Upcoming SlideShare
Loading in...5
×
 

Clase 3 metodologías de control interno, seguridad y auditoría

on

  • 974 views

 

Statistics

Views

Total Views
974
Views on SlideShare
974
Embed Views
0

Actions

Likes
2
Downloads
25
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Clase 3   metodologías de control interno, seguridad y auditoría Clase 3 metodologías de control interno, seguridad y auditoría Presentation Transcript

    • Los recursos son los activos a proteger del sistema informático de laorganización.Existen diferentes tipos de recursos:• Hardware (HW) : Servidores, estaciones de trabajo, equipos,etc.• Software (SW): Sistemas operativos, herramientas ofimáticas,herramientas de gestión, etc.• Elementos de comunicaciones: Dispositivos de conectividad,switches, routers, etc.• Información que se almacena, procesa y distribuye.• Locales y oficinas donde se ubican los recursos físicos y desdelos que acceden los usuarios finales.• Personas que utilizan los equipos.• Imagen y reputación de la organización.Recursos del sistema
    • Método y MetodologíaTérmino SignificadoMétodo Modo ordenado y sistemático deproceder para llegar a un resultadoo fin determinadoMeto-dologíaConjunto de métodos que sesiguen en una disciplinacientífica o en un estudio quepermiten abordarlo de formaorganizada
    • La proliferación demetodologías en elmundo de la auditoría ycontrol interno empezóen los 80,paralelamente alnacimiento ycomercialización dedeterminadasherramientasmetodológicas (SWanálisis de riesgo)El uso de métodos deauditoría es casiparalelo al nacimientode la informática
    • Qué es la seguridad de losSistemas de Información? Una de las disciplinas informáticas donde eshabitual el uso de las tecnologías es la seguridadde los Sistemas de Información (SI)• Doctrina que tratalos riesgosinformáticosSeguridadde los SI
    • Relación de seguridad de SI conla auditoríaLa auditoría es una de lasfiguras involucradas en elproceso de (*)protección ypreservación de lainformación y de susmedios de procesoEl nivel de seguridadinformática es un objetivoa evaluar. Estádirectamente relacionadocon la calidad y eficacia deacciones y medidasdestinadas a *
    • Calidad y eficacia de las mismas es el objetivo a evaluar paraidentificar los puntos débiles y poder mejorarlos*Preservando la entidad con contramedidasDebemos protegernos de los riesgosInformática crea riesgosRelación de seguridad de SI conla auditoría* Esta es una de las funciones de los auditores informáticos
    • Cualquier contramedida nacede la composición de factores:NormasOrganización(Personas)MetodologíasObjetivos de ControlProcedimientos de ControlTecnología de seguridadHerramientas
    • Pirámide de contramedidas:Normas Deben definir de forma clara y precisa todo lo quedebe existir y cumplirse: Estándares (patrón uniforme) Políticas (traza con que se conduce un asunto o seemplean los medios para alcanzar un findeterminado) Marco jurídico Normas de la empresa Experiencia Práctica profesionalNo es frecuente que lanormativa sea el únicocontrol de un riesgo
    • Pirámide de contramedidas:Organización Son personas con : Funciones específicas Actuaciones concretas Procedimientos definidos metodológicamente yaprobados por la dirección de la empresa Este es el aspecto más importanteSe pueden establecer controles sin alguno delos demás aspectos, pero no sin personas.Son éstas las que realizan los procedimientosy desarrollan los planes (Seguridad,Contingencia, Auditoría, etc.)
    • Pirámide de contramedidas:MetodologíasSon necesarias para realizar cualquierproyecto propuesto de manera ordenada yeficaz
    • Pirámide de contramedidas:Objetivos de ControlObjetivos a cumplir en el control de losprocesos• Este es el concepto más importante después de laORGANIZACIONDe un planteamiento correcto de losobjetivos saldrán procedimientoseficaces y realistas
    • Pirámide de contramedidas:Procedimientos de ControlSon los procedimientosoperativos de las distintasáreas de la empresaobtenidos con unametodología apropiada,para la consecución de unoo varios objetivos decontrolDeben estar documentadosy aprobados por laDirección
    • Pirámide de contramedidas:Tecnología de Seguridad Son todos de HW o SW que a controlar un riesgoinformático: Cifradores Autentificadores Equipos de tolerancia a fallos Herramientas de control, etc.
    • Pirámide de contramedidas:Herramientas de ControlElementos de SW que permiten definir uno ovarios procedimientos de control para cumplir:NormativaObjetivode Control
    • Pirámide de contramedidas:ConclusionesTodos losfactores estánrelacionadosentre sí y lacalidad de c/uestárelacionadocon la de losdemásCuando seevalúa el nivelde Seguridadde Sistemasse estáevaluandotoda lapirámide y seplantea unPlan deSeguridad,que mejoretodos losfactoresAl finalizar elplan se habráconseguidouna situaciónnueva, dondeel nivel decontrolgeneral seasuperior
    • Plan de SeguridadEstrategia planificada deacciones y proyectos quelleven a un sistema deinformación y a suscentros de proceso de unsituación inicialdeterminada a unasituación mejorada
    • Organización de la seguridad desistemas en las organizaciones• Seguridad corporativa• Control interno• Depto. de Informática• Dirección del plan de seguridadComité deSeguridad• Controles generales informáticosControlinformático• Plan Auditor• DictámenesAuditoríaInformática
    • Metodologías de evaluación desistemasSon todas lasmetodologíasnecesarias pararealizar un plan deseguridad y auditoríainformáticas.Son de 2 tipos:• Auditoría informática• Análisis de Riesgos
    • Metodologías de evaluación desistemas•Identifica el nivel de“exposición” por falta decontrolesAuditoríainformática•Facilita la “evaluación”de los riesgos•Recomienda accionescosto-beneficiosasAnálisis deriesgos
    • Definiciones clavesTérmino DefiniciónAmenaza Persona/cosa vista como fuente de peligro o catástrofe.Ej.: inundación, incendio, robo de datos, sabotaje,aplicaciones mal diseñadas, falta de procedimientos deemergencia, etc.Vulnerabi-lidadSituación creada por falta de uno o varios controles,con lo que la AMENAZA pudiera acaecer y afectar elentorno informático. Ej.: falta de control de: accesológico/versiones, falta de cifrado en telecomunicaciones,etc.Riesgo Probabilidad de que una AMENAZA llegue a acaecer porla existencia de una VULNERABILIDADExposicióno ImpactoEvaluación del efecto del RIESGO. El impacto es lamedición y valoración del daño que podría producir a laorganización un incidente de seguridad
    • Clasificación de las Amenazas Existen dos maneras de estudiar las amenazasatendiendo bien a la clasificación de las mismas o a laintencionalidad de ellas. Clasificación principal de las amenazas: Amenazas naturales: Inundación, incendio, tormentas,etc. Amenazas de agentes externos: Virus informáticos,sabotajes terroristas, disturbios, etc. Amenazas de agentes internos: Empleados descuidadoscon poca formación o descontentos, error en el uso deherramientas/uso del sistema, etc.
    • A qué están ligadas lasVulnerabilidades? Las vulnerabilidades pueden estar ligadas a losiguiente: Aspectos organizativos. Factor humano. Equipos, programas, locales, condiciones ambientalesen las que esta el sistema.
    • Valoración del Impacto Para una correcta valoración del impacto esaconsejable tener en cuenta tanto los dañostangibles, cómo los daños intangibles (incluida lainformación). Para ello es necesario reunirse con losresponsables de departamentos y evaluar el gradode impacto que podría tener en su ámbito detrabajo. Existe una escala cuantitativa/cualitativa paramedir el impacto del daño:
    • Defensas, salvaguardas omedidas de seguridadUna defensa, salvaguarda o medida de seguridad es cualquier medioempleado para eliminar o reducir un riesgo.Su objetivo es reducir las vulnerabilidades de los activos, la probabilidadde ocurrencia de las amenazas o el nivel de impacto en la organización.Medidas de seguridad activa: utilizada para anular o reducir el riesgo de unaamenaza.Medidas de seguridad pasiva: empleada para reducir el impacto cuando se produzcaun incidente de seguridad.Defensas físicas: implican el control de acceso físico a los recursos y las condicionesambientales en que tienen que ser utilizados.Defensas lógicas: se encuentran relacionadas con la protección conseguida mediantedistintas herramientas y técnicas informáticas.Nivel de riesgo residual: se obtiene tras un nuevo proceso de evaluación de riesgosteniendo en cuenta que los recursos ya se encuentran protegidos por las medias deseguridad seleccionadas.
    • Que podemos hacer respecto alos riesgos… Evitarlo, ej. No construir un centro donde haypeligros de inundaciones Transferirlo, ej. Uso de un centro de procesa-miento de datos contratado Reducirlo, ej. sistemas de detección y extinción deincendios Asumirlo : es lo que se hace si no se controla elriesgo en absolutoPara los 3 primeros, se actúa y se establecen controles ocontramedidas
    • Propósito de las metodologíasEstablecer y mejorar unentramado decontramedidas quegaranticen que laprobabilidad de que lasamenazas sematerialicen en hechos(por falta de control) sealo más baja posible o almenos quede reducidade una forma razonableen costo-beneficio
    • Tipos de Metodologías Todas la metodologías existentes desarrolladas yutilizadas en la auditoría y el control interno sepueden agrupar en 2 grandes familias: Cuantitativas > basadas en un modelo matemáticonumérico que ayuda a la realización del trabajo Cualitativas > basadas en el criterio y raciociniohumano capaz de: Definir un proceso de trabajo Seleccionar en base a la experiencia acumulada
    • Metodologías CuantitativasDiseñadas para producir una lista de riesgos que pueden compararseentre sí con facilidad por tener asignados unos valores numéricosHay varios coeficientes que son usados para el juego de simulación quepermite elegir entre varias contramedidas en el análisis de riesgoInconvenientes de estas metodologías:Debilidad de los datos, de la probabilidad de ocurrencia, por los pocosregistros de incidentes y la poca significación de los mismos a nivel mundialImposibilidad/dificultad de evaluar económicamente todos los impactos quepueden acaecerVentaja: Poder usar un modelo matemático para el análisis
    • MetodologíasCualitativas/SubjetivasBasadas en métodosestadísticos y lógicaborrosaPrecisan un profesionalexperimentadoRequieren menosrecurso humano/tiempoque las metodologíascuantitativas
    • Metodologías más comunesAnálisis de riesgos odiagnósticos de seguridadPlan de contingenciaAuditoría de controlesgenerales
    • Comparación entre ambos tiposde metodologías (PROS)CUANTITATIVA CUALITATIVA• Enfoca pensamientosmediantes el uso denúmeros• Facilita la comparaciónde vulnerabilidades muydistintas• Proporciona una cifrajustificante para cadacontramedida• Enfoca lo amplio que sedesee• Plan de trabajo flexible yreactivo• Se concentra en laidentificación de eventos• Incluye factoresintangibles
    • Comparación entre ambos tiposde metodologías (CONTRAS)CUANTITATIVA CUALITATIVA• Estimación de probabilidadde estadísticas fiablesinexistentes• Estimación de las pérdidaspotenciales sólo sí sonvalores cuantificables• Metodologías estándares• Difíciles de mantener omodificar• Dependencia de unprofesional• Depende fuertemente de lahabilidad y calidad delpersonal involucrado• Pueden excluir riesgossignificantes desconocidos• Identificación de eventosreales más claros al no tenerque aplicarlesprobabilidades complejas decalcular• Dependencia de unprofesional
    • Funcionamiento de SW deanálisis de riesgoCreación de los informesSimulaciones (análisis “Que pasa si…”)Identificar las contramedidas y el costeCalcular el impactoIdentificar los riesgosCuestionario
    • Principales métodos de análisisy gestión de riesgos CRAMM (CCTA Risk Analysis and ManagementMethod) PRIMA (Prevención de Riesgos Informáticos conMetodología Abierta) MELISA MAGERIT OCTAVE
    • Existen metodologías que versan sobre el proceso necesariopara obtener dicho plan
    • Plan de contingenciaEl auditor debe conocerperfectamente los conceptos deun plan de contingencia parapoder auditarloEs una estrategia planificadaconstituida por un conjunto derecursos de respaldo, unaorganización de emergencia yunos procedimientos deactuación, encaminada aconseguir una restauraciónprogresiva y ágil de los serviciosde negocio afectados por unaparalización total o parcial dela capacidad operativa de laempresa
    • Fases de un planAnálisis yDiseño• Estudio de la problemática, las necesidadesde recursos, alternativas de respaldo y seanaliza el coste/beneficio de las mismasDesarrollo delplan• Desarrollo de la estrategia, implantándosehasta el final de todas las accionesprevistasPruebas yMantenimiento• En esta fase se definen las pruebas, suscaracterísticas, sus ciclos y se realiza la1era prueba como comprobación de todo eltrabajo realizado y mentalizar al personalimplicado
    • Fases de análisis y diseño En la forma de desarrollar esta fase se diferencianlas dos familias metodológicas:Risk Analisys se basa en el estudio de los posibles riesgos desdeel punto de vista de probabilidad de que los mismossucedanBusinessImpactSe basa en el estudio del impacto (pérdidaeconómica o de imagen) que ocasiona la falta dealgún recurso de los que soporta la actividad delnegocio
    • Metodologías aplicables a laauditoría informática Se encuentran 2 familias: Auditorías de controles generales (Compañíasauditoras profesionales que son una homologación delas mismas a nivel internacional) Auditorías de los auditores internos
    • El plan auditor informático Es el esquema metodológico del auditor informático. Las partes de un plan auditor informático deben ser almenos las siguientes: Funciones Procedimientos para las distintas áreas de auditoría Tipos de auditorías que realiza Sistema de evaluación y los distintos aspectos queevalúa Nivel de exposición Seguimiento de las acciones correctoras Plan quinquenal Plan de trabajo anual