You are on page 1of 33

JORNADA NACIONAL DE

SEGURIDAD INFORMTICA
2004
ACIS UNIVERSIDAD CATLICA

Modelos de Control, Seguridad y


Auditora: Herramientas para
profesionales en Seguridad
Informtica
Junio 24 de 2004 Bogot
Jorge Hernndez Cordba
Fernando Ferrer Olivaes

Agenda

01 Introduccin
02 Modelos
03 Conclusiones
04 Bibliografa

Universidad Catlica

Definiciones de Auditora...

01

Revisin independiente de alguna o


algunas actividades, funciones especficas,
resultados u operaciones de una entidad
administrativa, realizada por un
profesional de la Auditora, con el
propsito de evaluar su correcta
realizacin y con base en este anlisis
poder emitir una opinin autorizada sobre
la razonabilidad de sus resultados y el
cumplimiento de sus operaciones.

Universidad Catlica

Otra definicin

Auditorainternaesunaactividad
independienteyobjetivade
aseguramientoyconsulta,concebida
paraagregarvalorymejorarlas
operacionesdeunaorganizacin.Ayuda
aunaorganizacinacumplirsus
objetivosaportandounenfoque
sistemticoydisciplinadoparaevaluary
mejorarlaeficaciadelosprocesosde
gestinderiesgos,controlygobierno

Universidad Catlica

Auditora de Sistemas de Informacin

El propsito fundamental es evaluar el uso


adecuado de los sistemas para el correcto
ingreso de los datos, el procesamiento
adecuado de la informacin y la emisin
oportuna de sus resultados en la
institucin, incluyendo la evaluacin en el
cumplimiento de las funciones, actividades
y operaciones de funcionarios, empleados
y usuarios involucrados con los servicios
que proporcionan los sistemas
computacionales a la empresa

Universidad Catlica

Control: Base para el desarrollo de la


Auditora

El control es una de las fases del proceso administrativo, le


corresponde:

comparar los resultados obtenidos contra los resultados


determinados en el proceso de planeacin de la estrategia
organizacional y de sus actividades tcticas y operativas con
el fin de

determinar el nivel de cumplimiento y


ajustar los diferentes parmetros y caractersticas de los
procesos mediante los cuales se busca el cumplimiento de
los objetivos organizacionales.

Universidad Catlica

Concepto de Control

Cualquier forma de control est basada en el


uso de un lazo de retroalimentacin
(feedback) mediante el cual se compara la
salida (output) del proceso o sistema
controlado contra valores de referencia, de
modo que al presentarse desviaciones, por
exceso o por defecto, se produce una seal
de correccin que debe ser alimentada al
proceso para corregir las desviaciones
observadas en la salida.

Universidad Catlica

Concepto de control

entrada

salida
proceso

Valor de
referencia

Lazo de
retroalimentacin

Muestra de
La salida

Universidad Catlica

Esquemas metodolgicos tradicionales de


la Auditora

Auditoria de cumplimiento un enfoque reactivo


auditoria del Cumplimiento de un estndar
Auditora de Cumplimiento de una mejor prctica
Auditoria del Cumplimiento de la opinindelauditor
Auditoria del desarrollo de sistemas un enfoque
proactivo
Aseguramiento interno un enfoque coactivo

Universidad Catlica

Modelos de Control

02

Orientados a:
Control gerencial
Control Informtico
Apoyar los controles anteriores

10

Universidad Catlica

Modelos de Control

02

Control Gerencial - Gobierno Corporativo

Control Interno

Apoyo

Tecnologa Informtica

Seguridad Informtica

11

Universidad Catlica

Modelos de Control y Alineamiento

02

Control Gerencial - Gobierno Corporativo


(OCDE, Basel II, Sarbanes-Oxley, HIPAA, PIPEDA, GLBA, )

Control Interno
(COSO, CoCo, Cadbury, )

Apoyo
Risk Management
[AS/NZS:4360/1999,
MAGERIT, MGs]

Tecnologa Informtica
(Gobierno de TI, COBIT, Net Centric,Control-Self Assessment
CMM/SW, CMM-I, MAGERIT)
Project Management
Seguridad Informtica
(Gobierno de Seguridad, ISO-17799,
BS-7799-2, NIST, Octave, )
12

Quality Assurance

Universidad Catlica

Modelos de Control Gerencial Corporate Governance


Necesidad de establecer un Sistema de Control
Interno
OCDE (Organizacin para la cooperacin y el desarrollo
econmicos)
Principios para mantener la confianza de los
inversionistas y atraer capitales estables y a largo
plazo en pases en va de desarrollo

Sarbanes Oxley
Exactitud y transparencia de la informacin financiera
para empresas que cotizan en Bolsa

13

Universidad Catlica

Modelos de Control Gerencial


Control Interno
Especificacin de un Sistema de Control
Interno
Definicin
Proceso, llevado a cabo por la Junta Directiva, la direccin
u otro personal de la entidad, y el resto del personal,
personal
diseado para proveer seguridad razonable sobre el logro
de los siguientes tipos de objetivo:

14

Efectividad y eficiencia de las operaciones

Confiabilidad de la informacin financiera

Cumplimiento de leyes y regulaciones

Salvaguarda de activos

Universidad Catlica

COSO
Componentes

INFORMACIN Y
COMUNICACIN

MONITOREO

15

ACTIVIDADES DE CONTROL
VALORACIN DE RIESGOS
AMBIENTE DE CONTROL

Universidad Catlica

Control Interno
Ambiente de Control
Integridad y valores ticos
Incentivos y tentaciones
Gua de comportamiento moral
Acuerdos de competencias
Comit de auditora
Filosofa de administracin
Estructura organizacional
Asignacin de autoridad y responsabilidad
Polticas y prcticas de recursos humanos
16

Universidad Catlica

Coco: Esquema
Una persona ejecuta una tarea guiada por el entendimiento de:

Objetivo
Entorno
Compromiso

Seguimiento y
aprendizaje
Capacidad
Accin
17

Universidad Catlica

Modelos Informticos
Tecnologa Informtica

Objetivos
Recursos
Procesos

Ambiente Informtico

Objetivos de Control

18

Universidad Catlica

Objetivos

Efectividad

Se refiere a la informacin que es


relevante para el negocio y que debe ser
entregada de manera correcta, oportuna,
consistente y usable.

Eficiencia

Se refiere a la provisin de informacin a


travs del ptimo (ms productivo y
econmico) uso de los recursos.

Confidencialidad

Relativa a la proteccin de la
informacin sensitiva de su revelacin
no autorizada.

Integridad

Se refiere a la exactitud y completitud de


la informacin, as como su validez, en
concordancia con los valores y
expectativas del negocio.

19

Universidad Catlica

Objetivos

Disponibilidad

Se refiere a la que la informacin debe


estar disponible cuando es requerida por
los procesos del negocio ahora y en el
futuro. Involucra la salvaguarda de los
recursos y sus capacidades asociadas.

Cumplimiento

Se refiere a cumplir con aquellas leyes,


regulaciones y acuerdos contractuales, a
los que estn sujetos los procesos del
negocio.

Confiabilidad

Se refiere a la provisin de la
informacin apropiada a la alta gerencia,
para operar la entidad y para ejercer sus
responsabilidades finacieras y de
cumplir con los reportes de su gestin.

20

Universidad Catlica

Recursos
Seguridad de la
informacin

Microcomputador o terminal
==========================
Aplicaciones en funcionamiento
(1),(2),(3),(4),(8),(10),(11)

Seguridad fsica

(1) Sistemas Operacionales


(2) Software de Seguridad
(3) Sistemas Manejadores de Bases de Datos
y Diccionarios de Datos

Equipo central
=========================
Operacin del sistema
(1),(2),(6),(7),(8),(9)

(4) Monitores de Teleprocesamiento


(5) Ayudas para el desarrollo de programas
(6) Control del Cambio y Administracin de
libreras
(7) Editores en lnea
(8) Software de Telecomunicaciones
(9) Sistema de soporte a operaciones
(10) Sistemas de oficina

Sistema de comunicaciones
(8),(11)

21

Red local
===============
(1),(2),(3),(4),(5),(6),
(7),(8),(9),(10),(11)

(11) Intercambio electrnico de datos

Universidad Catlica

Procesos

Planeacin y
Organizacin

Adquisicin e
Implementacin

22

Definir un plan estratgico de TI


Definir la arquitectura de informacin
Determinar la direccin tecnolgica
Definir la organizacin y relaciones de TI
Manejo de la inversin en TI
Comunicacin de directrices Gerenciales
Administracin del Recurso Humano
Asegurar el cumplir requerimientos externos
Evaluacin de Riesgos
Administracin de Proyectos
Administracin de Calidad
Identificacin de soluciones
Adquisicin y mantenimiento de SW aplicativo
Adquisicin y mantenimiento de arquitectura TI
Desarrollo y mantenimiento de Procedimientos de TI
Instalacin y Acreditacin de sistemas
Administracin de Cambios
Universidad Catlica

Procesos

Servicios y
Soporte

Seguimiento

Definicin del nivel de servicio


Administracin del servicio de terceros
Administracin de la capacidad y el desempeo
Asegurar el servicio continuo
Garantizar la seguridad del sistema
Identificacin y asignacin de costos
Capacitacin de usuarios
Soporte a los clientes de TI
Administracin de la configuracin
Administracin de problemas e incidentes
Administracin de datos
Administracin de Instalaciones
Administracin de Operaciones
Seguimiento de los procesos
Evaluar lo adecuado del control Interno
Obtener aseguramiento independiente
Proveer una auditora independiente

23

Universidad Catlica

Objetivos de Control

Una declaracin de resultado deseado o propsito a ser


alcanzado por medio de la implementacin de
procedimientos de control en una actividad Particular de TI

318 objetivos de control (de 3 a 30 objetivos por cada uno de


los procesos)

2.3 Contratos con Terceros


Con respecto a las relaciones con los proveedores de servicios
como terceras partes, la Gerencia deber asegurar que los acuerdos
de seguridad (por ejemplo, los acuerdos de no - revelacin) sean
identificados, declarados explcitamente y acordados, que stos
concuerden con los estndares de negocios universales y estn en
lnea con los requerimientos legales y regulatorios, incluyendo
obligaciones.

24

Universidad Catlica

Modelos Informticos
Seguridad Informtica

Fundamentos de Seguridad Informtica


Elementos de un Framework de Seguridad
Tcnicas

25

Universidad Catlica

Fundamentos de Seguridad Informtica


NIST Common Criteria

Confidencialidad
Integridad Disponibilidad

Riesgo
Amenaza
Vulnerabilidad

Auditabilidad
Identificacin
Autenticacin
26

Universidad Catlica

Elementos de un Framework de Seguridad


ISO 17799 - Areas principales

27

Poltica de Seguridad

Organizacin de la
Seguridad

Control y clasificacin
de activos

Seguridad del personal

Seguridad fsica y ambiental

Administracin de las
comunicaciones y
operaciones

Control de acceso

Desarrollo y
mantenimiento de
sistemas

Administracin de la
continuidad del negocio

Cumplimiento

Universidad Catlica

Tcnicas

ValoracindeRiesgos
Riesgo=VulnerabilidadxAmenazaxValordelActivo
Riesgo=ImpactoxProbabildad

IdentificacindeActivos
IdentificacindeInventarios
ClasificacindeDatos
DocumentacindeHardware
http://net-services.ufl.edu/security/policy/workshops/documentation-workshop.ppt

ValoracindeVulnerabilidades
http://csrc.nist.gov/publications/nistpubs/800-55/sp800-55.pdf

28

Universidad Catlica

Modelos de Apoyo

Risk Management
Control-Self Asessment
Project Management

29

Universidad Catlica

Conclusiones

03

Modelos, Modelos, Modelos .


Actualizacin Investigacin

30

Universidad Catlica

Bibliografa

04

Universidad Catlica de Colombia


Facultad de PostGrados
Bogot
Proyecto Estado del Arte de la Auditora de Sistemas

31

Universidad Catlica

PREGUNTAS?

32

Universidad Catlica

Muchas gracias por su


atencin

33

Universidad Catlica

You might also like