Clase 3 metodologías de control interno, seguridad y auditoría

2,716 views

Published on

Published in: Education
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
2,716
On SlideShare
0
From Embeds
0
Number of Embeds
7
Actions
Shares
0
Downloads
94
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Clase 3 metodologías de control interno, seguridad y auditoría

  1. 1. Los recursos son los activos a proteger del sistema informático de laorganización.Existen diferentes tipos de recursos:• Hardware (HW) : Servidores, estaciones de trabajo, equipos,etc.• Software (SW): Sistemas operativos, herramientas ofimáticas,herramientas de gestión, etc.• Elementos de comunicaciones: Dispositivos de conectividad,switches, routers, etc.• Información que se almacena, procesa y distribuye.• Locales y oficinas donde se ubican los recursos físicos y desdelos que acceden los usuarios finales.• Personas que utilizan los equipos.• Imagen y reputación de la organización.Recursos del sistema
  2. 2. Método y MetodologíaTérmino SignificadoMétodo Modo ordenado y sistemático deproceder para llegar a un resultadoo fin determinadoMeto-dologíaConjunto de métodos que sesiguen en una disciplinacientífica o en un estudio quepermiten abordarlo de formaorganizada
  3. 3. La proliferación demetodologías en elmundo de la auditoría ycontrol interno empezóen los 80,paralelamente alnacimiento ycomercialización dedeterminadasherramientasmetodológicas (SWanálisis de riesgo)El uso de métodos deauditoría es casiparalelo al nacimientode la informática
  4. 4. Qué es la seguridad de losSistemas de Información? Una de las disciplinas informáticas donde eshabitual el uso de las tecnologías es la seguridadde los Sistemas de Información (SI)• Doctrina que tratalos riesgosinformáticosSeguridadde los SI
  5. 5. Relación de seguridad de SI conla auditoríaLa auditoría es una de lasfiguras involucradas en elproceso de (*)protección ypreservación de lainformación y de susmedios de procesoEl nivel de seguridadinformática es un objetivoa evaluar. Estádirectamente relacionadocon la calidad y eficacia deacciones y medidasdestinadas a *
  6. 6. Calidad y eficacia de las mismas es el objetivo a evaluar paraidentificar los puntos débiles y poder mejorarlos*Preservando la entidad con contramedidasDebemos protegernos de los riesgosInformática crea riesgosRelación de seguridad de SI conla auditoría* Esta es una de las funciones de los auditores informáticos
  7. 7. Cualquier contramedida nacede la composición de factores:NormasOrganización(Personas)MetodologíasObjetivos de ControlProcedimientos de ControlTecnología de seguridadHerramientas
  8. 8. Pirámide de contramedidas:Normas Deben definir de forma clara y precisa todo lo quedebe existir y cumplirse: Estándares (patrón uniforme) Políticas (traza con que se conduce un asunto o seemplean los medios para alcanzar un findeterminado) Marco jurídico Normas de la empresa Experiencia Práctica profesionalNo es frecuente que lanormativa sea el únicocontrol de un riesgo
  9. 9. Pirámide de contramedidas:Organización Son personas con : Funciones específicas Actuaciones concretas Procedimientos definidos metodológicamente yaprobados por la dirección de la empresa Este es el aspecto más importanteSe pueden establecer controles sin alguno delos demás aspectos, pero no sin personas.Son éstas las que realizan los procedimientosy desarrollan los planes (Seguridad,Contingencia, Auditoría, etc.)
  10. 10. Pirámide de contramedidas:MetodologíasSon necesarias para realizar cualquierproyecto propuesto de manera ordenada yeficaz
  11. 11. Pirámide de contramedidas:Objetivos de ControlObjetivos a cumplir en el control de losprocesos• Este es el concepto más importante después de laORGANIZACIONDe un planteamiento correcto de losobjetivos saldrán procedimientoseficaces y realistas
  12. 12. Pirámide de contramedidas:Procedimientos de ControlSon los procedimientosoperativos de las distintasáreas de la empresaobtenidos con unametodología apropiada,para la consecución de unoo varios objetivos decontrolDeben estar documentadosy aprobados por laDirección
  13. 13. Pirámide de contramedidas:Tecnología de Seguridad Son todos de HW o SW que a controlar un riesgoinformático: Cifradores Autentificadores Equipos de tolerancia a fallos Herramientas de control, etc.
  14. 14. Pirámide de contramedidas:Herramientas de ControlElementos de SW que permiten definir uno ovarios procedimientos de control para cumplir:NormativaObjetivode Control
  15. 15. Pirámide de contramedidas:ConclusionesTodos losfactores estánrelacionadosentre sí y lacalidad de c/uestárelacionadocon la de losdemásCuando seevalúa el nivelde Seguridadde Sistemasse estáevaluandotoda lapirámide y seplantea unPlan deSeguridad,que mejoretodos losfactoresAl finalizar elplan se habráconseguidouna situaciónnueva, dondeel nivel decontrolgeneral seasuperior
  16. 16. Plan de SeguridadEstrategia planificada deacciones y proyectos quelleven a un sistema deinformación y a suscentros de proceso de unsituación inicialdeterminada a unasituación mejorada
  17. 17. Organización de la seguridad desistemas en las organizaciones• Seguridad corporativa• Control interno• Depto. de Informática• Dirección del plan de seguridadComité deSeguridad• Controles generales informáticosControlinformático• Plan Auditor• DictámenesAuditoríaInformática
  18. 18. Metodologías de evaluación desistemasSon todas lasmetodologíasnecesarias pararealizar un plan deseguridad y auditoríainformáticas.Son de 2 tipos:• Auditoría informática• Análisis de Riesgos
  19. 19. Metodologías de evaluación desistemas•Identifica el nivel de“exposición” por falta decontrolesAuditoríainformática•Facilita la “evaluación”de los riesgos•Recomienda accionescosto-beneficiosasAnálisis deriesgos
  20. 20. Definiciones clavesTérmino DefiniciónAmenaza Persona/cosa vista como fuente de peligro o catástrofe.Ej.: inundación, incendio, robo de datos, sabotaje,aplicaciones mal diseñadas, falta de procedimientos deemergencia, etc.Vulnerabi-lidadSituación creada por falta de uno o varios controles,con lo que la AMENAZA pudiera acaecer y afectar elentorno informático. Ej.: falta de control de: accesológico/versiones, falta de cifrado en telecomunicaciones,etc.Riesgo Probabilidad de que una AMENAZA llegue a acaecer porla existencia de una VULNERABILIDADExposicióno ImpactoEvaluación del efecto del RIESGO. El impacto es lamedición y valoración del daño que podría producir a laorganización un incidente de seguridad
  21. 21. Clasificación de las Amenazas Existen dos maneras de estudiar las amenazasatendiendo bien a la clasificación de las mismas o a laintencionalidad de ellas. Clasificación principal de las amenazas: Amenazas naturales: Inundación, incendio, tormentas,etc. Amenazas de agentes externos: Virus informáticos,sabotajes terroristas, disturbios, etc. Amenazas de agentes internos: Empleados descuidadoscon poca formación o descontentos, error en el uso deherramientas/uso del sistema, etc.
  22. 22. A qué están ligadas lasVulnerabilidades? Las vulnerabilidades pueden estar ligadas a losiguiente: Aspectos organizativos. Factor humano. Equipos, programas, locales, condiciones ambientalesen las que esta el sistema.
  23. 23. Valoración del Impacto Para una correcta valoración del impacto esaconsejable tener en cuenta tanto los dañostangibles, cómo los daños intangibles (incluida lainformación). Para ello es necesario reunirse con losresponsables de departamentos y evaluar el gradode impacto que podría tener en su ámbito detrabajo. Existe una escala cuantitativa/cualitativa paramedir el impacto del daño:
  24. 24. Defensas, salvaguardas omedidas de seguridadUna defensa, salvaguarda o medida de seguridad es cualquier medioempleado para eliminar o reducir un riesgo.Su objetivo es reducir las vulnerabilidades de los activos, la probabilidadde ocurrencia de las amenazas o el nivel de impacto en la organización.Medidas de seguridad activa: utilizada para anular o reducir el riesgo de unaamenaza.Medidas de seguridad pasiva: empleada para reducir el impacto cuando se produzcaun incidente de seguridad.Defensas físicas: implican el control de acceso físico a los recursos y las condicionesambientales en que tienen que ser utilizados.Defensas lógicas: se encuentran relacionadas con la protección conseguida mediantedistintas herramientas y técnicas informáticas.Nivel de riesgo residual: se obtiene tras un nuevo proceso de evaluación de riesgosteniendo en cuenta que los recursos ya se encuentran protegidos por las medias deseguridad seleccionadas.
  25. 25. Que podemos hacer respecto alos riesgos… Evitarlo, ej. No construir un centro donde haypeligros de inundaciones Transferirlo, ej. Uso de un centro de procesa-miento de datos contratado Reducirlo, ej. sistemas de detección y extinción deincendios Asumirlo : es lo que se hace si no se controla elriesgo en absolutoPara los 3 primeros, se actúa y se establecen controles ocontramedidas
  26. 26. Propósito de las metodologíasEstablecer y mejorar unentramado decontramedidas quegaranticen que laprobabilidad de que lasamenazas sematerialicen en hechos(por falta de control) sealo más baja posible o almenos quede reducidade una forma razonableen costo-beneficio
  27. 27. Tipos de Metodologías Todas la metodologías existentes desarrolladas yutilizadas en la auditoría y el control interno sepueden agrupar en 2 grandes familias: Cuantitativas > basadas en un modelo matemáticonumérico que ayuda a la realización del trabajo Cualitativas > basadas en el criterio y raciociniohumano capaz de: Definir un proceso de trabajo Seleccionar en base a la experiencia acumulada
  28. 28. Metodologías CuantitativasDiseñadas para producir una lista de riesgos que pueden compararseentre sí con facilidad por tener asignados unos valores numéricosHay varios coeficientes que son usados para el juego de simulación quepermite elegir entre varias contramedidas en el análisis de riesgoInconvenientes de estas metodologías:Debilidad de los datos, de la probabilidad de ocurrencia, por los pocosregistros de incidentes y la poca significación de los mismos a nivel mundialImposibilidad/dificultad de evaluar económicamente todos los impactos quepueden acaecerVentaja: Poder usar un modelo matemático para el análisis
  29. 29. MetodologíasCualitativas/SubjetivasBasadas en métodosestadísticos y lógicaborrosaPrecisan un profesionalexperimentadoRequieren menosrecurso humano/tiempoque las metodologíascuantitativas
  30. 30. Metodologías más comunesAnálisis de riesgos odiagnósticos de seguridadPlan de contingenciaAuditoría de controlesgenerales
  31. 31. Comparación entre ambos tiposde metodologías (PROS)CUANTITATIVA CUALITATIVA• Enfoca pensamientosmediantes el uso denúmeros• Facilita la comparaciónde vulnerabilidades muydistintas• Proporciona una cifrajustificante para cadacontramedida• Enfoca lo amplio que sedesee• Plan de trabajo flexible yreactivo• Se concentra en laidentificación de eventos• Incluye factoresintangibles
  32. 32. Comparación entre ambos tiposde metodologías (CONTRAS)CUANTITATIVA CUALITATIVA• Estimación de probabilidadde estadísticas fiablesinexistentes• Estimación de las pérdidaspotenciales sólo sí sonvalores cuantificables• Metodologías estándares• Difíciles de mantener omodificar• Dependencia de unprofesional• Depende fuertemente de lahabilidad y calidad delpersonal involucrado• Pueden excluir riesgossignificantes desconocidos• Identificación de eventosreales más claros al no tenerque aplicarlesprobabilidades complejas decalcular• Dependencia de unprofesional
  33. 33. Funcionamiento de SW deanálisis de riesgoCreación de los informesSimulaciones (análisis “Que pasa si…”)Identificar las contramedidas y el costeCalcular el impactoIdentificar los riesgosCuestionario
  34. 34. Principales métodos de análisisy gestión de riesgos CRAMM (CCTA Risk Analysis and ManagementMethod) PRIMA (Prevención de Riesgos Informáticos conMetodología Abierta) MELISA MAGERIT OCTAVE
  35. 35. Existen metodologías que versan sobre el proceso necesariopara obtener dicho plan
  36. 36. Plan de contingenciaEl auditor debe conocerperfectamente los conceptos deun plan de contingencia parapoder auditarloEs una estrategia planificadaconstituida por un conjunto derecursos de respaldo, unaorganización de emergencia yunos procedimientos deactuación, encaminada aconseguir una restauraciónprogresiva y ágil de los serviciosde negocio afectados por unaparalización total o parcial dela capacidad operativa de laempresa
  37. 37. Fases de un planAnálisis yDiseño• Estudio de la problemática, las necesidadesde recursos, alternativas de respaldo y seanaliza el coste/beneficio de las mismasDesarrollo delplan• Desarrollo de la estrategia, implantándosehasta el final de todas las accionesprevistasPruebas yMantenimiento• En esta fase se definen las pruebas, suscaracterísticas, sus ciclos y se realiza la1era prueba como comprobación de todo eltrabajo realizado y mentalizar al personalimplicado
  38. 38. Fases de análisis y diseño En la forma de desarrollar esta fase se diferencianlas dos familias metodológicas:Risk Analisys se basa en el estudio de los posibles riesgos desdeel punto de vista de probabilidad de que los mismossucedanBusinessImpactSe basa en el estudio del impacto (pérdidaeconómica o de imagen) que ocasiona la falta dealgún recurso de los que soporta la actividad delnegocio
  39. 39. Metodologías aplicables a laauditoría informática Se encuentran 2 familias: Auditorías de controles generales (Compañíasauditoras profesionales que son una homologación delas mismas a nivel internacional) Auditorías de los auditores internos
  40. 40. El plan auditor informático Es el esquema metodológico del auditor informático. Las partes de un plan auditor informático deben ser almenos las siguientes: Funciones Procedimientos para las distintas áreas de auditoría Tipos de auditorías que realiza Sistema de evaluación y los distintos aspectos queevalúa Nivel de exposición Seguimiento de las acciones correctoras Plan quinquenal Plan de trabajo anual

×