You are on page 1of 27

Jornadas

sobre Supervisin electrnica y Tecnologa

Casos Prc*cos de Auditora y


Seguridad Inform*ca
Ing. Lilia Liu, CFE, CRISC, COBIT 5
Centro de Formacin de la AECID en
La An@ga, Guatemala

17 de noviembre de 2015

Contenido (1/2)
Auditora Inform*ca:

1. Concepto de auditora inform*ca.
2. Estndares internacionales en auditora inform*ca.
3. Tipos de auditora inform*ca.
4. Cmo implementamos la auditora inform*ca.
5. Factores limitantes en una auditora inform*ca.
6. Ejemplos de auditora inform*ca:
a. Controles generales
b. Infraestructura tecnolgica
c. Sistemas opera*vos
d. Base de datos
e. Aplicaciones en Produccin

Contenido (2/2)
Seguridad Inform*ca:

1. Concepto de seguridad inform*ca.
2. Estndares internacionales en seguridad inform*ca.
3. Cmo implementamos la seguridad inform*ca.
4. Pol*ca de seguridad inform*ca.
5. Caso prc*co de seguridad inform*ca.

Auditora Inform*ca

Concepto de Auditora
Inform*ca
Es el proceso de revisin o vericacin de todo el entorno inform*co
con la nalidad de prevenir un riesgo en la organizacin.


Las auditoras inform*cas son u*lizados como:
1. Apoyo a las auditoras nancieras
2. Cumplimiento a regulaciones y norma*vas
3. Medida de prevencin ante cualquier riesgo potencial
4. Anlisis de desempeo de la funcin de tecnologa
5. Puntos de oportunidad de mejoras.

Estndares internacionales en
auditora inform*ca
El marco de referencia para la realizacin de las auditoras

inform*cas es el

Existen otros estndares internacionales:
Sarbanes Oxley

Tipos de Auditora Inform*ca


1.
2.
3.
4.
5.
6.
7.
8.
9.

Controles generales > Diagns*co


Base de datos: Oracle, SAP, SQL
Sistema Opera*vo: Windows, Linux, Unix, OS/400
Aplicaciones en produccin o en desarrollo
Migracin de aplicaciones
Migracin de base de datos
Cambios de infraestructura tecnolgica
Ac*vos tecnolgicos: hardware y socware
Redes y Comunicaciones

Tipos de Auditora Inform*ca


10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.

Seguridad inform*ca
Pruebas de vulnerabilidad interna y externa
Administracin de proyectos tecnolgicos
Acuerdos de niveles de servicio (SLA)
Pruebas de validacin
Centros de datos
Implementacin de nuevo sistema
Con*ngencia y Recuperacin de Desastres
Con*nuidad de negocios
Ciberseguridad
Y Otros ms

Si*o web de
ISACA es una organizacin lder en seguridad y control de entornos
inform*cos, con liales en cerca de 100 pases y de inters para
profesionales de Ciencias Econmicas, Inform*ca e Ingeniera.

Atravs de su Centro de Conocimiento (Knowledge Center) posee la
gua necesaria para poder realizar auditoras inform*cas especcas.

www.isaca.org

Cmo implementamos la
Auditora Inform*ca?
Mediante un proceso de planicacin ordenado y programado:
1.
2.
3.
4.
5.
6.
7.
8.
9.

Denir el alcance y el obje*vo de la auditora


Denir los sponsor (promotores)
Denir la metodologa de trabajo
Denir los recursos requeridos: personal, nanciero,
herramientas.
Denir el *empo requerido para su realizacin
Elaboracin de cronograma de auditora
Elaboracin de entrevistas, trabajo de campo, papeles
de trabajo
Elaboracin de un informe preliminar y discusin con
las reas auditadas.
Presentacin ejecu*va: comit de auditora o reunin
con direc*vos.

Herramientas de apoyo que se u*lizan


en las auditoras inform*cas

Qu es lo ms valioso de una Auditora


Inform*ca?
El Informe de Auditora donde:

1. Iden*que claramente los riesgos potenciales a los cuales la
organizacin se expone
2. Mejorar el ambiente de control
3. Tener recomendaciones y un plan de accin para cada
recomendacin
4. Tener un plan de seguimiento y su monitoreo constante
5. Reejar el compromiso de la Alta gerencia y de la Junta
Direc*va

Factores limitantes en una


Auditora Inform*ca
1. Des*nar un presupuesto limitado.
2. Poco conocimiento del personal de auditora sobre lo que se
desea auditar.
3. Falta de herramientas tecnolgicas para poder apoyar la
ges*n de auditora.
4. Manejo inapropiado de la metodologa de trabajo.
5. Falta de compromiso de los promotores, alta gerencia o cuerpo
direc*vo.
Estos puntos puede hacer que fracase
la Auditora Inform;ca

Ejemplo de una Auditora Inform*ca de


Controles Generales
1. Alcance: realizacin de un diagns*co general de todo el entorno tecnolgico de
la organizacin, incluyendo los servicios tercerizados.
2. Obje*vo principal: evaluacin de los controles existentes e iden*car los puntos
de mejora para minimizar su exposicin al riesgo.
3. Metodologa a u*lizar: COBIT 5
4. Equipo de trabajo:
a. Lder del proyecto (denir un resumen breve de su experiencia)
b. 2 auditores (denir un resumen breve de su experiencia)
5. Herramientas a u*lizar:
a. IDEA
b. TEAM MATE
6. Tiempo de duracin de la auditora (cronograma): fecha es*mada de inicio y
fecha de nalizacin.
7. Lista de requerimientos de las reas a auditar.
8. Encuesta a usuarios automa*zado.
9. Entrevista a personal de Tecnologa y usuarios claves.
10.Modelo a presentar.

Ejemplo de una Auditora Inform*ca de


Infraestructura Tecnolgica
1. Alcance: Efectuar una revisin de toda la infraestructura tecnolgica existente en
la organizacin.
2. Obje*vo principal: evaluar los controles existentes en la administracin de los
ac*vos tecnolgicos.
3. Metodologa a u*lizar: COBIT 5
4. Equipo de trabajo.
5. Herramientas a u*lizar:
a. Solar Winds
b. Belarc Advisor
6. Tiempo de duracin de la auditora (cronograma)
7. Listado de los ac*vos: hardware y socware
8. Servidores principales
9. Descrip*vo de las redes LAN y WAN
10.Esquemas de replicacin de datos
11.Arquitectura de base de datos
12.Arquitectura de los sistemas de seguridad

Seguridad Inform*ca

Hoy en da las empresas requieren de acciones ms concretas para


contrarrestar el caos generado como consecuencia de la adopcin
de estas nuevas tecnologas:

1. Planeamiento estratgico de IT
2. Ges*n del cambio y de la innovacin
3. IT como Broker
4. Crear dashboard de ges*n
5. Una ocina de ges*n de IT (PMO)
6. ITIL

Concepto de Seguridad
Inform*ca
Es el conjunto de normas, procedimientos y
herramientas que *enen como obje*vo
garan*zar:

1. La disponibilidad,
2. La integridad,
3. La condencialidad y
4. Buen uso de la informacin que reside en
un sistema inform*co.

proporciona recomendaciones de las mejores prc*cas en la

ISO 27002 ges*n de la seguridad de la informacin a todos los interesados


y responsables en iniciar, implantar o mantener sistemas de
ges*n de seguridad de la informacin.

ISO/IEC 27003
Gua para la implementacin de un Sistema de Ges;n de Seguridad de la
Informacin.
La norma *ene el siguiente contenido:
1. Alcance.
2. Referencias Norma*vas.
3. Trminos y Deniciones.
4. Estructura de esta Norma.
5. Obtencin de la aprobacin de la alta direccin para iniciar un SGSI.
6. Denicin del alcance del SGSI, lmites y pol*cas.
7. Evaluacin de requerimientos de seguridad de la informacin.
8. Evaluacin de Riesgos y Plan de tratamiento de riesgos.
9. Diseo del SGSI.

Anexo A: lista de chequeo para la implementacin de un SGSI.
Anexo B: Roles y responsabilidades en seguridad de la informacin
Anexo C: Informacin sobre auditoras internas.
Anexo D: Estructura de las pol*cas de seguridad.
Anexo E: Monitoreo y seguimiento del SGSI.

ISO/IEC 27003
EN EL SIGUIENTE LINK ENCONTRAR UN EJEMPLO DE UNA GUA PARA GESTIONAR
LA SEGURIDAD DE LOS SISTEMAS DE INFORMACIN (SGSI)
LA GUA TCNICA COLOMBIANA PARA EL SGSI

h@p://;enda.icontec.org/brief/GTC-ISO-IEC27003.pdf

COBIT 5 for Informa*on Security


El COBIT 5 brinda una gua bsica para denir, operar y monitorear un
sistema para la ges*n de la seguridad, como son:

APO13 Ges*n de la seguridad (treceavo proceso del dominio Alineacin,
Planeacin y Organizacin)
DSS04 Ges*n de la con*nuidad (cuarto proceso del dominio Entrega,
Soporte y Servicio)
DSS05 Ges*n de servicios de seguridad (quinto proceso del mismo
dominio)

Cmo implementamos la
Seguridad Inform*ca?
1.
2.
3.
4.
5.
6.
7.
8.

Elaborar un Plan de Seguridad Inform*ca


Tener un presupuesto para este tema
Establecer una Pol*ca de Seguridad Inform*ca
Proteger los equipos port*les y de escritorio
Mantener los programas actualizados
Sistemas de monitoreo: de correo, de la red interna, WIFI
Establecer conexiones seguras con los clientes
Mantener los datos a salvo (copias de seguridad, cifrado de datos, sistemas
UPS)
9. Proteccin de los disposi*vos mviles.
10.Plan de capacitacin con*nua en materia de seguridad para el personal.
11.Revisin del Plan de seguridad.

Pol*ca de Seguridad Inform*ca


Deber abarcar:

1. Alcance de la pol*ca, incluyendo sistemas y personal sobre el cual se aplica.
2. Obje;vos de la pol*ca y descripcin clara de los elementos involucrados en su denicin.
3. Responsabilidad de cada uno de los servicios, recurso y responsables en todos los niveles
de la organizacin.
4. Responsabilidades de los usuarios con respecto a la informacin que generan y a la que
*enen acceso.
5. Requerimientos mnimos para la conguracin de la seguridad de los sistemas al alcance
de la pol*ca.
6. Denicin de violaciones y las consecuencias del no cumplimiento de la pol*ca.
7. Por otra parte, la pol*ca debe especicar la autoridad que debe hacer que las cosas
ocurran, el rango de los correc*vos y sus actuaciones que permitan dar indicaciones sobre
la clase de sanciones que se puedan imponer. Pero, no debe especicar con exac*tud qu
pasara o cundo algo suceder; ya que no es una sentencia obligatoria de la ley.
8. Explicaciones comprensibles (libre de tecnicismos y trminos legales pero sin sacricar su
precisin) sobre el porque de las decisiones tomadas.
9. Finalmente, como documento dinmico de la organizacin, deben seguir un proceso de
actualizacin peridica sujeto a los cambios organizacionales relevantes: crecimiento de
la planta de personal, cambio en la infraestructura computacional, alta y rotacin de
personal, desarrollo de nuevos servicios, cambio o diversicacin de negocios, etc.

Caso Prc*co de
Seguridad Inform*ca
hvp://sisbib.unmsm.edu.pe/bibvirtual/tesis/Basic/cordova_rn/contenido.htm

You might also like