Date post: | 29-Jun-2015 |
Category: |
Education |
Upload: | manuel-mujica |
View: | 4,873 times |
Download: | 0 times |
DESARROLLO DE UNA HERRAMIENTA DE AUDITORIA DE SEGURIDAD DE LA INFORMACIÓN APLICADA A LA GESTIÓN
DE CONTINUIDAD DEL NEGOCIO
Ing. Maria Elena Sierralta M.
…..Preparemonos para lo peor, pero esperemos que suceda lo mejor……
Sin Autor
….La Imaginación es más importante que el conocimiento…
Albert Einsten
CONTENIDO
• Planteamiento del problema
• Objetivos de la investigación
• Marco Teórico
• Marco Metodológico
• Propuesta del estudio
• Conclusiones y Recomendaciones
PLANTEAMIENTO DEL PROBLEMA
Fallas o incidentes de seguridad
Afectan los procesos críticos del negocio
Clientes
Retrasos en la entrega del informe
Incremento en las hH trabajadas
Firma de Auditores
CONTENIDO
• Planteamiento del problema
• Objetivos de la investigación
• Marco Teórico
• Marco Metodológico
• Propuesta del estudio
• Conclusiones y Recomendaciones
OBJETIVOS DE LA INVESTIGACIÓN
• Desarrollar una herramientade auditoría de seguridad dela información aplicada a lagestión de continuidad denegocio en la firma deauditores MGI P&P asociados.
Objetivo General
• Diagnosticar la necesidad de una herramienta de auditoría de seguridad de la información aplicada a la gestión de continuidad de negocio en la firma de auditores MGI P&P asociados.
• Determinar la factibilidad operativa, técnica, yeconómica de desarrollar una herramienta deauditoría de seguridad de la información aplicadaa la gestión de continuidad de negocio en la firmade auditores MGI P&P asociados.
• Diseñar una herramienta de auditorias deseguridad de la información aplicada a la gestiónde continuidad de negocio en la firma de auditoresMGI P&P asociados.
Objetivos Específicos
CONTENIDO
• Planteamiento del problema
• Objetivos de la investigación
• Marco Teórico
• Marco Metodológico
• Propuesta del estudio
• Conclusiones y Recomendaciones
MARCO TEORICO
ANTECEDENTES DE LA INVESTIGACIÓN
• PINO, DEL (2007)
•“Diseño de un plan de continuidad de negocios para Zapasol S.A.”
• Universidad Politécnica de Madrid.
• LEÓN (2007)
•“Diseño de un Plan de contingencia para el archivo de la Universidad de la Salle de Bogotá“.
• BATTAGLINI (2007)
• “Desarrollo de una metodología de evaluación para centro de cómputo y centro de telecomunicación” . Universidad Simón Bolívar de Caracas.
• SANCHEZ (2004)
• “Metodología para la evaluación y mejora de la aplicación de los ocho principios de gestión de la calidad (serie de normas 9000:2000)”
• Universidad Católica Andrés Bello de Caracas.
1
2
3
4
MARCO TEORICO
BASES TEÓRICAS
AUDITORIA SEGURIDAD DE LA INFORMACIÓN
GESTION CONTINUIDAD NEGOCIO
INTRODUCCIÓN SEGURIDAD
INFORMACIÓN
1
SEGURIDAD INFORMACIÓN
2
AUDITORIA SEGURIDAD DE
LA INFORMACIÓN
3
GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO
4
ESTÁNDARES DE SEGURIDAD DE
LA INFORMACIÓN
5
NORMA ISO/IEC 27001: 2005 Y 27002: 2005
6
OBJETIVOS DE CONTROL PARA
INFORMACIÓN Y TECNOLOGÍA
RELACIONADA
7
2.- Maiwald 2003
3-Rivas 1998, Del Peso 2003
4-Harrys, Devlin y Robey
5-Universidad Nacional de Colombia
7-www.isaca.org
MARCO TEORICO
COBIT
PLANEAR Y ORGANIZAR
ADQUIRIR E IMPLANTAR
ENTREGAR Y DAR SOPORTE
MONITOREAR Y EVALUAR
MARCO TEORICO
COBIT
PLANERAR Y ORGANIZAR
ADQUIRIR E IMPLANTAR
ENTREGAR Y DAR SOPORTE
MONITOREAR Y EVALUAR
1. DEFINIR Y ADMINISTRAR NIVELES DESERVICIOS
2. ADMINISTRAR SERVICIOS DE TERCEROS3. ADMINISTRAR DESEMPEÑO Y
CAPACIDAD4. GARANTIZAR LA CONTINUIDAD DEL
SERVICIO5. GARANTIZAR LA SEGURIDAD DE LOS
SISTEMAS6. IDENTIFICAR Y ASIGNAR COSTOS7. EDUCAR Y ENTRENAR A LOS USUARIOS8. ADMINISTRAR LA MESA DE SERVICIO Y
LOS INCIDENTES9. ADMINISTRAR LA CONFIGURACIÓN10.ADMINISTRAR LOS PROBLEMAS11.ADMINISTRAR LOS DATOS12.ADMINISTRAR EL AMBIENTE FÍSICO13.ADMINISTRAR LAS OPERACIONES
3
MARCO TEORICO
• NO EXISTEN PROCESOS ESTÁNDAR
• ENFOQUE ADHOC1-INICIAL
•EXISTEN PROCEDIMIENTOS
•NO HAY ENTRENAMIENTO O COMUNICACIÓN FORMAL DE LOS PROCEDIMIENTOS
2-REPETIBLE
•EXISTE ENTRENAMIENTO DE LOS PROCEDIMIENTOS
•NO SE DETECTAN DESVIACIONES EN LOS PROCEDIMIENTOS3-DEFINIDO
•SE PUEDE MONITOREAR LOS PROCEDIMIENTOS
•MEJORA CONTINUA DE LOS PROCESOS4-ADMINISTRADO
•MEJOR PRÁCTICA DE LOS PROCESOS
•BENCHMARKING CON OTRAS EMPRESAS5-OPTIMIZADO
MODELO DE MADUREZ COBIT
MARCO TEORICO
ISO 27001:2005
DESCRIPCIÓN DE PUNTOS DE CONTROL DETALLESEvaluación de riesgo
Probabilidad o Frecuencia de ocurrencia Definir en base a una escala cuantitativa o cualitativa (nulo, leve,medio y catastrófico) la probabilidad o frecuencia de ocurrenciadel riesgo.
Impacto Evaluar los impactos de interrupción del negocio tomando encuenta los siguientes factores: a) Económicos, b)En clientes ysuministradores, c) En imagen y credibilidad, d) Incumplimientode obligaciones legales, e) Incumplimiento de normativa, f)Ambiental y g) Operacional
Controles de prevención y mitigación Definir los procedimientos relacionados a la evaluación de cadauno de los riesgos que permitan establecer controles deprevención para disminuir el impacto causado por cada uno deellos.
MARCO TEORICO
ISO 27001:2005
DESCRIPCIÓN DE PUNTOS DE CONTROL DETALLES
Identificación de los activos involucradosen los procesos críticos de negocio
InformaciónBase de datos, documentación de sistemas, manuales deusuarios, procedimientos y soportes de operación, planes decontinuidad de negocio, trazas de auditoría, y archivos deinformación (reportes, listados, expedientes).
Software Aplicativos, sistemas de información, sistema operativo,herramientas de seguridad y programas de desarrollo.
Activos físicos Computadoras, portátiles, equipos de comunicaciones, UPS, cintasde respaldos, muebles, aire acondicionado, y luces deemergencia.
CONTENIDO
• Planteamiento del problema
• Objetivos de la investigación
• Marco Teórico
• Marco Metodológico
• Propuesta del estudio
• Conclusiones y Recomendaciones
MARCO METODOLÓGICO
• PROYECTO FACTIBLE (*)NATURALEZA DE LA
INVESTIGACIÓN
• DIAGNÓSTICO
• FACTIBILIDAD
• DISEÑO DEL PROYECTO
DISEÑO DE LA INVESTIGACIÓN
1
2
(*)Universidad Centro Occidental Lisandro Alvarado
MARCO METODOLÓGICO
FASE I. DIAGNÓSTICO
POBLACIÓN Y MUESTRA
TÉCNICAS RECOLECCIÓN
DE DATOS
TÉCNICAS DE ANÁLISIS DE
DATOS
MARCO METODOLÓGICO
FASE I. DIAGNÓSTICO
POBLACIÓN Y MUESTRA
TÉCNICAS RECOLECCIÓN
DE DATOS
TÉCNICAS DE ANÁLISIS DE
DATOS
16 CLIENTES2 TRABAJADORES DE LA FIRMA
Vit (2005)
Naghi(2000)
MARCO METODOLÓGICO
FASE I. DIAGNÓSTICO
POBLACIÓN Y MUESTRA
TÉCNICAS RECOLECCIÓN
DE DATOS
TÉCNICAS DE ANÁLISIS DE
DATOS
CUESTIONARIOENTREVISTAOBSERVACIÓN DIRECTA
Sabino (1992)
MARCO METODOLÓGICO
FASE I. DIAGNÓSTICO
POBLACIÓN Y MUESTRA
TÉCNICAS RECOLECCIÓN
DE DATOS
TÉCNICAS DE ANÁLISIS DE
DATOS
RECURSOS DE ESTADÍSTICA DESCRIPTIVA
Farci y Ruiz (2007)
MARCO METODOLÓGICO
FASE II. FACTIBILIDAD
OPERATIVA TÉCNICA ECONÓMICA
Muñoz(2002)
MARCO METODOLÓGICO
FASE III. DISEÑO DEL PROYECTO
DETERMINACIÓN REQUERIMIENTOS
DEL SISTEMA
DISEÑO DEL SISTEMA
DESARROLLO DEL
SOFTWARE
PRUEBA DEL
SISTEMA
I MPLANTACIÓN DEL SISTEMA
3 4 5
IDENTIFICACIÓN DE PROBLEMAS Y
OBJETIVOS
1
DETERMINACION DEL
REQUERIMIENTO
62
Kendall y Kendall(2005)
CONTENIDO
• Planteamiento del problema
• Objetivos de la investigación
• Marco Teórico
• Marco Metodológico
• Propuesta del estudio
• Conclusiones y Recomendaciones
PROPUESTA DEL ESTUDIO
FASE I: DIAGNÓSTICO
VALIDEZ Y CONFIABILIDAD DEL INSTRUMENTOInstrumento de fuerte confiabilidad (0,81 coeficiente alpha de cronbach)
TÉCNICA DE ANÁLISIS Y PRESENTACIÓN DE RESULTADOSAplicación de la entrevista a cliente y al Auditor General de la FirmaAplicación del cuestionario a clientes de la Firma de AuditoresObservación directa de la investigadora
PROPUESTA DEL ESTUDIO
FASE I: DIAGNÓSTICO
RESULTADOS DE LA ENTREVISTA
Entre las debilidades encontradas en la firma de auditores, se menciona el procesamientomanual de la información para la generación de los informes, la falta de documentaciónen el proceso de gestión de continuidad del negocio de todos los puntos de controldefinidos en los estándares de seguridad de la información, y la existencia de variosprogramas de auditorias adaptados a cada cliente.
En las debilidades encontradas en los clientes, se observó la incompleta documentaciónde los procesos de gestión de continuidad de negocio adaptado a los estándaresinternacionales de seguridad de la información, la falta de un plan de actuación en casode incendio, y la Inexistencia de planes de pruebas para responder a contingencias.
PROPUESTA DEL ESTUDIO
FASE I: DIAGNÓSTICO
RESULTADOS DEL CUESTIONARIO- VARIABLE REQUERIMIENTO DEL CLIENTE
El 70% de los clientes encuestados, tienen un requerimiento de optimización de losprocesos de gestión de continuidad del negocio en base a lo recomendado por estándaresinternacionales de seguridad de la información, que permitan garantizar la disminución delos riesgos para responder oportunamente ante una contingencia, incidente de seguridad,terremotos e incendio.
PROPUESTA DEL ESTUDIO
FASE I: DIAGNÓSTICO
RESULTADOS DEL CUESTIONARIO- VARIABLE SATISFACCIÓN DEL CLIENTE
El 70% de los clientes encuestados, no están satisfechos con la gestión de continuidad denegocio, ni con los resultados obtenidos a partir de la documentación, y además, lasauditorias realizadas a dicho proceso no garantizan una adecuada gestión, adaptada a losestándares de seguridad de la información.
PROPUESTA DEL ESTUDIO
FASE I: DIAGNÓSTICO
OBSERVACIÓN DIRECTA
Existen clientes que tienen documentado el proceso de gestión de continuidad de negocio,pero que no están adaptado a lo recomendado por estándares de seguridad de lainformación.
También existe clientes que no tienen documentado el proceso de gestión de continuidad delnegocio
Existe evidencia en las organizaciones auditadas, que no se realizan pruebas totales de losprocesos, instalaciones y personas, no existen planes de actuación en caso de incendios yterremotos, desconocimiento de las mejoras en los tiempos de respuestas antecontingencias, y las recomendaciones realizadas por auditoría no ayudan al desarrollocompleto del plan .
PROPUESTA DEL ESTUDIO
FASE I: DIAGNÓSTICO
OBSERVACIÓN DIRECTA
En cuanto al procedimiento de auditoría de seguridad de la información, de la firma deauditores P&P asociados, se elabora un programa de auditoría para cada cliente, y lageneración de los informes de auditoría se realiza en forma manual, el cual se presenta unasemana después de la visita al cliente, lo que trae retrasos en la entrega, hecho corroborableen la entrevista realizada al Auditor General de la firma
PROPUESTA DEL ESTUDIO
FASE II: FACTIBILIDAD OPERATIVA
Cambio y optimización del procedimiento de auditoría de seguridad de la informaciónaplicado a la gestión de continuidad de negocio.
Nuevo programa de auditoría con todos los puntos de control recomendado por el estándarde seguridad de la información ISO 27001.
Reuniones con el socio de la firma, para presentar el procedimiento y el nuevo programa deauditoría de seguridad de la información aplicado a la gestión de continuidad de negocio.
Aprobación por el socio de la firma, del procedimiento y nuevo programa de auditoría deseguridad de la información aplicado a la gestión de continuidad de negocio.
Prueba del programa de auditoría de seguridad de la información aplicado a la gestión decontinuidad del negocio, tomando como muestra uno de los clientes de la firma de auditoresP&P asociados .
PROPUESTA DEL ESTUDIO
FASE II: FACTIBILIDAD TÉCNICA
Los conocimientos, habilidades y experiencias que se requieren para la realizacióndel proyecto en estudio están relacionados con los temas de auditorias deseguridad de la información aplicadas a la gestión de continuidad de negocio y conlas normas internacionales de seguridad de la información, ISO 27001, 27002 yCOBIT
Los requerimientos tecnológicos como el hardware y el software necesario para larealización del proyecto
PROPUESTA DEL ESTUDIO
FASE II: FACTIBILIDAD ECONÓMICA
Costos del diseño: involucró el costo de las horas hombres utilizadas para eldiseño de la herramienta, lo que generó un total de tres mil ciento sesenta yocho (3.168) BsF.
Costos de desarrollo: involucró el costo de las horas hombres utilizadas para eldesarrollo de la herramienta, lo que generó un total de cinco mil doscientosochentas (5.280) BsF.
Costo de Instalación: involucró el costo de las horas hombres utilizadas para lainstalación de la herramienta, lo que generó un total de cien (100) BsF.
TOTAL = 8.548 BsF.
PROPUESTA DEL ESTUDIO
FASE III: DISEÑO DEL PROYECTO
1. IDENTIFICACIÓN DEL PROBLEMA Y OBJETIVOS
Fallas o incidentes de seguridad en las organizaciones
Retrasos en la entrega del informe de auditoría aplicado a la gestión de continuidad del negocio
PROPUESTA DEL ESTUDIO
FASE III: DISEÑO DEL PROYECTO
2. DETERMINACIÓN DEL REQUERIMIENTO
Un programa de auditoría puede ser aplicado a todos los clientes.Se puede mejorar los tiempos de entrega del informe a través de unaherramienta automatizada.Realizar un modelo de los posibles escenarios de debilidades delcliente basado en los estándares internacionales de seguridad de lainformación.La revisión de informe de auditoría por parte del Auditor General, se
puede realizar una sola vez.
PROPUESTA DEL ESTUDIO
FASE III: DISEÑO DEL PROYECTO
3. DISEÑO DE SISTEMA
Entradas y salidas del sistemaComponentes del hardware y softwarePersonalBase de DatosDiagrama Entidad RelaciónDiseño de PantallasProcedimiento optimizado de auditoría de seguridad de la
información para la gestión de continuidad del negocio.
PROPUESTA DEL ESTUDIO
FASE III: DISEÑO DEL PROYECTOProcedimiento Auditoria Gestión Continuidad Negocio
1. REALIZAR PLAN
DE AUDITORIA
2. APROBARPLAN DE
AUDITORIA
3. REALIZAR PROGRAMA DE
AUDITORIA
4. RECIBIR LISTA DE
REQUERIMIENTO
5. APLICAR PROGRAMA DE
AUDITORIA
6. ANALIZAR INFORMACIÓN
7. REALIZAR INFORME DE AUDITORIA
8. REVISAR INFORME
AUDITORIA
9. ENVIAR INFORME A LA GERENCIA TI
10. RECIBIR INFORME DE LA
GERENCIA TI
11.PRESENTAR INFORME A LA
DIRECCIÓN
PROPUESTA DEL ESTUDIO
FASE III: DISEÑO DEL PROYECTOProcedimiento Auditoria Gestión Continuidad Negocio
1. REALIZAR PLAN
DE AUDITORIA
2. APROBARPLAN DE
AUDITORIA
3. REALIZAR PROGRAMA DE
AUDITORIA
4. RECIBIR LISTA DE
REQUERIMIENTO
5. APLICAR PROGRAMA DE
AUDITORIA
6. ANALIZAR INFORMACIÓN
7. REALIZAR INFORME DE AUDITORIA
8. REVISAR INFORME
AUDITORIA
9. ENVIAR INFORME A LA GERENCIA TI
10. RECIBIR INFORME DE LA
GERENCIA TI
11.PRESENTAR INFORME A LA
DIRECCIÓN
MEJORA PROPUESTA
PROPUESTA DEL ESTUDIO
FASE III: DISEÑO DEL PROYECTOProcedimiento Auditoria Gestión Continuidad Negocio
1. REALIZAR PLAN
DE AUDITORIA
2. APROBARPLAN DE
AUDITORIA
3. RECIBIR LISTA DE
REQUERIMIENTO
4. APLICAR HERRAMIENTA DE
AUDITORIA
5. GENERAR INFORME
6. ENVIAR INFORME A LA GERENCIA TI
7. RECIBIR INFORME DE LA
GERENCIA TI
8. .PRESENTAR INFORME A LA
DIRECCIÓN
MEJORA PROPUESTA
PROPUESTA DEL ESTUDIO
FASE III: DISEÑO DEL PROYECTO
4. DESARROLLO DE SISTEMASistema realizado en Visual Foxpro
5. PRUEBA DEL SISTEMASe realizó pruebas siguiendo la experiencia de la investigadora en las auditorías realizadas a los clientes.
6. IMPLANTACIÓN DEL SISTEMASe realizó la instalación del sistema
DESARROLLO DE UNA HERRAMIENTA DE AUDITORIA DE SEGURIDAD DE LA INFORMACIÓN APLICADA A LA GESTIÓN
DE CONTINUIDAD DEL NEGOCIO
Ing. Maria Elena Sierralta M.
PRESENTACIÓN DEL SISTEMA DE AUDITORÍA
DE SEGURIDAD DE LA INFORMACIÓN
APLICADO A LA GESTIÓN DE CONTINUIDAD DEL NEGOCIO
CONTENIDO
• Planteamiento del problema
• Objetivos de la investigación
• Marco Teórico
• Marco Metodológico
• Propuesta del estudio
• Conclusiones y Recomendaciones
CONCLUSIONES Y RECOMENDACIONES
Las mejoras a nivel de cliente se reflejan en la documentación uoptimización del proceso de gestión de continuidad de negocio en lasorganizaciones, en base a lo recomendado por estándares internacionales deseguridad de la información
Por otra parte, las mejoras a nivel de los procesos de auditoría de seguridadde la información aplicado a la gestión de continuidad del negocio, sereflejan en el procesamiento automático de la información durante laauditoría, garantizando la entrega rápida y oportuna del informe a losclientes de la firma.
Dicho procesamiento automático reflejó una mejora de reducción del 96%del tiempo, en la generación del informe de auditoría.
CONCLUSIONES
CONCLUSIONES Y RECOMENDACIONES
Realizar charlas frecuentes a los clientes de la firma sobre los puntos decontrol que deben incluirse en la documentación del proceso de gestión decontinuidad del negocio.
Realizar una presentación formal a los clientes de la firma, de la herramientade auditoría de seguridad de la información aplicada a la gestión decontinuidad de negocio
Aplicar la herramienta de auditoría, a todos los clientes de la firma y mostrarlos resultados a través del informe de auditoría generado por dichaherramienta.
RECOMENDACIONES
DESARROLLO DE UNA HERRAMIENTA DE AUDITORIA DE SEGURIDAD DE LA INFORMACIÓN APLICADA A LA GESTIÓN
DE CONTINUIDAD DEL NEGOCIO
Ing. Maria Elena Sierralta M.
…..AGRADECIDA POR EL APOYO Y LAS ENSEÑANZAS…..