Los recursos son los activos a proteger del sistema informático de la organización, incluyendo hardware, software, elementos de comunicaciones, información almacenada, locales, personas y la imagen de la organización.
Clase 3 metodologías de control interno, seguridad y auditoría
1.
2. Los recursos son los activos a proteger del sistema informático de la
organización.
Existen diferentes tipos de recursos:
• Hardware (HW) : Servidores, estaciones de trabajo, equipos,
etc.
• Software (SW): Sistemas operativos, herramientas ofimáticas,
herramientas de gestión, etc.
• Elementos de comunicaciones: Dispositivos de conectividad,
switches, routers, etc.
• Información que se almacena, procesa y distribuye.
• Locales y oficinas donde se ubican los recursos físicos y desde
los que acceden los usuarios finales.
• Personas que utilizan los equipos.
• Imagen y reputación de la organización.
Recursos del sistema
3. Método y Metodología
Término Significado
Método Modo ordenado y sistemático de
proceder para llegar a un resultado
o fin determinado
Meto-
dología
Conjunto de métodos que se
siguen en una disciplina
científica o en un estudio que
permiten abordarlo de forma
organizada
4. La proliferación de
metodologías en el
mundo de la auditoría y
control interno empezó
en los 80,
paralelamente al
nacimiento y
comercialización de
determinadas
herramientas
metodológicas (SW
análisis de riesgo)
El uso de métodos de
auditoría es casi
paralelo al nacimiento
de la informática
5. Qué es la seguridad de los
Sistemas de Información?
Una de las disciplinas informáticas donde es
habitual el uso de las tecnologías es la seguridad
de los Sistemas de Información (SI)
• Doctrina que trata
los riesgos
informáticos
Seguridad
de los SI
6. Relación de seguridad de SI con
la auditoría
La auditoría es una de las
figuras involucradas en el
proceso de (*)protección y
preservación de la
información y de sus
medios de proceso
El nivel de seguridad
informática es un objetivo
a evaluar. Está
directamente relacionado
con la calidad y eficacia de
acciones y medidas
destinadas a *
7. Calidad y eficacia de las mismas es el objetivo a evaluar para
identificar los puntos débiles y poder mejorarlos*
Preservando la entidad con contramedidas
Debemos protegernos de los riesgos
Informática crea riesgos
Relación de seguridad de SI con
la auditoría
* Esta es una de las funciones de los auditores informáticos
8. Cualquier contramedida nace
de la composición de factores:
Normas
Organización
(Personas)
Metodologías
Objetivos de Control
Procedimientos de Control
Tecnología de seguridad
Herramientas
9. Pirámide de contramedidas:
Normas
Deben definir de forma clara y precisa todo lo que
debe existir y cumplirse:
Estándares (patrón uniforme)
Políticas (traza con que se conduce un asunto o se
emplean los medios para alcanzar un fin
determinado)
Marco jurídico
Normas de la empresa
Experiencia
Práctica profesional
No es frecuente que la
normativa sea el único
control de un riesgo
10. Pirámide de contramedidas:
Organización
Son personas con :
Funciones específicas
Actuaciones concretas
Procedimientos definidos metodológicamente y
aprobados por la dirección de la empresa
Este es el aspecto más importante
Se pueden establecer controles sin alguno de
los demás aspectos, pero no sin personas.
Son éstas las que realizan los procedimientos
y desarrollan los planes (Seguridad,
Contingencia, Auditoría, etc.)
12. Pirámide de contramedidas:
Objetivos de Control
Objetivos a cumplir en el control de los
procesos
• Este es el concepto más importante después de la
ORGANIZACION
De un planteamiento correcto de los
objetivos saldrán procedimientos
eficaces y realistas
13. Pirámide de contramedidas:
Procedimientos de Control
Son los procedimientos
operativos de las distintas
áreas de la empresa
obtenidos con una
metodología apropiada,
para la consecución de uno
o varios objetivos de
control
Deben estar documentados
y aprobados por la
Dirección
14. Pirámide de contramedidas:
Tecnología de Seguridad
Son todos de HW o SW que a controlar un riesgo
informático:
Cifradores
Autentificadores
Equipos de tolerancia a fallos
Herramientas de control, etc.
15. Pirámide de contramedidas:
Herramientas de Control
Elementos de SW que permiten definir uno o
varios procedimientos de control para cumplir:
Normativa
Objetivo
de Control
16. Pirámide de contramedidas:
Conclusiones
Todos los
factores están
relacionados
entre sí y la
calidad de c/u
está
relacionado
con la de los
demás
Cuando se
evalúa el nivel
de Seguridad
de Sistemas
se está
evaluando
toda la
pirámide y se
plantea un
Plan de
Seguridad,
que mejore
todos los
factores
Al finalizar el
plan se habrá
conseguido
una situación
nueva, donde
el nivel de
control
general sea
superior
17. Plan de Seguridad
Estrategia planificada de
acciones y proyectos que
lleven a un sistema de
información y a sus
centros de proceso de un
situación inicial
determinada a una
situación mejorada
18. Organización de la seguridad de
sistemas en las organizaciones
• Seguridad corporativa
• Control interno
• Depto. de Informática
• Dirección del plan de seguridad
Comité de
Seguridad
• Controles generales informáticos
Control
informático
• Plan Auditor
• Dictámenes
Auditoría
Informática
19. Metodologías de evaluación de
sistemas
Son todas las
metodologías
necesarias para
realizar un plan de
seguridad y auditoría
informáticas.
Son de 2 tipos:
• Auditoría informática
• Análisis de Riesgos
20. Metodologías de evaluación de
sistemas
•Identifica el nivel de
“exposición” por falta de
controles
Auditoría
informática
•Facilita la “evaluación”
de los riesgos
•Recomienda acciones
costo-beneficiosas
Análisis de
riesgos
21. Definiciones claves
Término Definición
Amenaza Persona/cosa vista como fuente de peligro o catástrofe.
Ej.: inundación, incendio, robo de datos, sabotaje,
aplicaciones mal diseñadas, falta de procedimientos de
emergencia, etc.
Vulnerabi-
lidad
Situación creada por falta de uno o varios controles,
con lo que la AMENAZA pudiera acaecer y afectar el
entorno informático. Ej.: falta de control de: acceso
lógico/versiones, falta de cifrado en telecomunicaciones,
etc.
Riesgo Probabilidad de que una AMENAZA llegue a acaecer por
la existencia de una VULNERABILIDAD
Exposición
o Impacto
Evaluación del efecto del RIESGO. El impacto es la
medición y valoración del daño que podría producir a la
organización un incidente de seguridad
22. Clasificación de las Amenazas
Existen dos maneras de estudiar las amenazas
atendiendo bien a la clasificación de las mismas o a la
intencionalidad de ellas.
Clasificación principal de las amenazas:
Amenazas naturales: Inundación, incendio, tormentas,
etc.
Amenazas de agentes externos: Virus informáticos,
sabotajes terroristas, disturbios, etc.
Amenazas de agentes internos: Empleados descuidados
con poca formación o descontentos, error en el uso de
herramientas/uso del sistema, etc.
23. A qué están ligadas las
Vulnerabilidades?
Las vulnerabilidades pueden estar ligadas a lo
siguiente:
Aspectos organizativos.
Factor humano.
Equipos, programas, locales, condiciones ambientales
en las que esta el sistema.
24. Valoración del Impacto
Para una correcta valoración del impacto es
aconsejable tener en cuenta tanto los daños
tangibles, cómo los daños intangibles (incluida la
información). Para ello es necesario reunirse con los
responsables de departamentos y evaluar el grado
de impacto que podría tener en su ámbito de
trabajo.
Existe una escala cuantitativa/cualitativa para
medir el impacto del daño:
25.
26. Defensas, salvaguardas o
medidas de seguridad
Una defensa, salvaguarda o medida de seguridad es cualquier medio
empleado para eliminar o reducir un riesgo.
Su objetivo es reducir las vulnerabilidades de los activos, la probabilidad
de ocurrencia de las amenazas o el nivel de impacto en la organización.
Medidas de seguridad activa: utilizada para anular o reducir el riesgo de una
amenaza.
Medidas de seguridad pasiva: empleada para reducir el impacto cuando se produzca
un incidente de seguridad.
Defensas físicas: implican el control de acceso físico a los recursos y las condiciones
ambientales en que tienen que ser utilizados.
Defensas lógicas: se encuentran relacionadas con la protección conseguida mediante
distintas herramientas y técnicas informáticas.
Nivel de riesgo residual: se obtiene tras un nuevo proceso de evaluación de riesgos
teniendo en cuenta que los recursos ya se encuentran protegidos por las medias de
seguridad seleccionadas.
27. Que podemos hacer respecto a
los riesgos…
Evitarlo, ej. No construir un centro donde hay
peligros de inundaciones
Transferirlo, ej. Uso de un centro de procesa-
miento de datos contratado
Reducirlo, ej. sistemas de detección y extinción de
incendios
Asumirlo : es lo que se hace si no se controla el
riesgo en absoluto
Para los 3 primeros, se actúa y se establecen controles o
contramedidas
28.
29.
30. Propósito de las metodologías
Establecer y mejorar un
entramado de
contramedidas que
garanticen que la
probabilidad de que las
amenazas se
materialicen en hechos
(por falta de control) sea
lo más baja posible o al
menos quede reducida
de una forma razonable
en costo-beneficio
31. Tipos de Metodologías
Todas la metodologías existentes desarrolladas y
utilizadas en la auditoría y el control interno se
pueden agrupar en 2 grandes familias:
Cuantitativas > basadas en un modelo matemático
numérico que ayuda a la realización del trabajo
Cualitativas > basadas en el criterio y raciocinio
humano capaz de:
Definir un proceso de trabajo
Seleccionar en base a la experiencia acumulada
32. Metodologías Cuantitativas
Diseñadas para producir una lista de riesgos que pueden compararse
entre sí con facilidad por tener asignados unos valores numéricos
Hay varios coeficientes que son usados para el juego de simulación que
permite elegir entre varias contramedidas en el análisis de riesgo
Inconvenientes de estas metodologías:
Debilidad de los datos, de la probabilidad de ocurrencia, por los pocos
registros de incidentes y la poca significación de los mismos a nivel mundial
Imposibilidad/dificultad de evaluar económicamente todos los impactos que
pueden acaecer
Ventaja: Poder usar un modelo matemático para el análisis
35. Comparación entre ambos tipos
de metodologías (PROS)
CUANTITATIVA CUALITATIVA
• Enfoca pensamientos
mediantes el uso de
números
• Facilita la comparación
de vulnerabilidades muy
distintas
• Proporciona una cifra
justificante para cada
contramedida
• Enfoca lo amplio que se
desee
• Plan de trabajo flexible y
reactivo
• Se concentra en la
identificación de eventos
• Incluye factores
intangibles
36. Comparación entre ambos tipos
de metodologías (CONTRAS)
CUANTITATIVA CUALITATIVA
• Estimación de probabilidad
de estadísticas fiables
inexistentes
• Estimación de las pérdidas
potenciales sólo sí son
valores cuantificables
• Metodologías estándares
• Difíciles de mantener o
modificar
• Dependencia de un
profesional
• Depende fuertemente de la
habilidad y calidad del
personal involucrado
• Pueden excluir riesgos
significantes desconocidos
• Identificación de eventos
reales más claros al no tener
que aplicarles
probabilidades complejas de
calcular
• Dependencia de un
profesional
37. Funcionamiento de SW de
análisis de riesgo
Creación de los informes
Simulaciones (análisis “Que pasa si…”)
Identificar las contramedidas y el coste
Calcular el impacto
Identificar los riesgos
Cuestionario
38. Principales métodos de análisis
y gestión de riesgos
CRAMM (CCTA Risk Analysis and Management
Method)
PRIMA (Prevención de Riesgos Informáticos con
Metodología Abierta)
MELISA
MAGERIT
OCTAVE
40. Plan de contingencia
El auditor debe conocer
perfectamente los conceptos de
un plan de contingencia para
poder auditarlo
Es una estrategia planificada
constituida por un conjunto de
recursos de respaldo, una
organización de emergencia y
unos procedimientos de
actuación, encaminada a
conseguir una restauración
progresiva y ágil de los servicios
de negocio afectados por una
paralización total o parcial de
la capacidad operativa de la
empresa
41. Fases de un plan
Análisis y
Diseño
• Estudio de la problemática, las necesidades
de recursos, alternativas de respaldo y se
analiza el coste/beneficio de las mismas
Desarrollo del
plan
• Desarrollo de la estrategia, implantándose
hasta el final de todas las acciones
previstas
Pruebas y
Mantenimiento
• En esta fase se definen las pruebas, sus
características, sus ciclos y se realiza la
1era prueba como comprobación de todo el
trabajo realizado y mentalizar al personal
implicado
42. Fases de análisis y diseño
En la forma de desarrollar esta fase se diferencian
las dos familias metodológicas:
Risk Analisys se basa en el estudio de los posibles riesgos desde
el punto de vista de probabilidad de que los mismos
sucedan
Business
Impact
Se basa en el estudio del impacto (pérdida
económica o de imagen) que ocasiona la falta de
algún recurso de los que soporta la actividad del
negocio
43. Metodologías aplicables a la
auditoría informática
Se encuentran 2 familias:
Auditorías de controles generales (Compañías
auditoras profesionales que son una homologación de
las mismas a nivel internacional)
Auditorías de los auditores internos
44. El plan auditor informático
Es el esquema metodológico del auditor informático.
Las partes de un plan auditor informático deben ser al
menos las siguientes:
Funciones
Procedimientos para las distintas áreas de auditoría
Tipos de auditorías que realiza
Sistema de evaluación y los distintos aspectos que
evalúa
Nivel de exposición
Seguimiento de las acciones correctoras
Plan quinquenal
Plan de trabajo anual