Casos Prác*cos de Auditoría y Seguridad Informá*ca
Jornadas sobre Supervisión electrónica y Tecnología
Centro de Formación de la AECID en La An@güa, Guatemala
17 de noviembre de 2015
Ing. Lilia Liu, CFE, CRISC, COBIT 5
Contenido (1/2) Auditoría Informá*ca: 1. Concepto de auditoría informá*ca. 2. Estándares internacionales en auditoría informá*ca. 3. Tipos de auditoría informá*ca. 4. Cómo implementamos la auditoría informá*ca. 5. Factores limitantes en una auditoría informá*ca. 6. Ejemplos de auditoría informá*ca:
a. Controles generales b. Infraestructura tecnológica c. Sistemas opera*vos d. Base de datos e. Aplicaciones en Producción
Contenido (2/2) Seguridad Informá*ca: 1. Concepto de seguridad informá*ca. 2. Estándares internacionales en seguridad informá*ca. 3. Cómo implementamos la seguridad informá*ca. 4. Polí*ca de seguridad informá*ca. 5. Caso prác*co de seguridad informá*ca.
Concepto de Auditoría Informá*ca
Es el proceso de revisión o verificación de todo el entorno informá*co con la finalidad de prevenir un riesgo en la organización. Las auditorías informá*cas son u*lizados como: 1. Apoyo a las auditorías financieras 2. Cumplimiento a regulaciones y norma*vas 3. Medida de prevención ante cualquier riesgo potencial 4. Análisis de desempeño de la función de tecnología 5. Puntos de oportunidad de mejoras.
Estándares internacionales en auditoría informá*ca
El marco de referencia para la realización de las auditorías informá*cas es el Existen otros estándares internacionales:
Sarbanes Oxley
Tipos de Auditoría Informá*ca
1. Controles generales –> Diagnós*co 2. Base de datos: Oracle, SAP, SQL 3. Sistema Opera*vo: Windows, Linux, Unix, OS/400 4. Aplicaciones en producción o en desarrollo 5. Migración de aplicaciones 6. Migración de base de datos 7. Cambios de infraestructura tecnológica 8. Ac*vos tecnológicos: hardware y socware 9. Redes y Comunicaciones
Tipos de Auditoría Informá*ca 10. Seguridad informá*ca 11. Pruebas de vulnerabilidad interna y externa 12. Administración de proyectos tecnológicos 13. Acuerdos de niveles de servicio (SLA) 14. Pruebas de validación 15. Centros de datos 16. Implementación de nuevo sistema 17. Con*ngencia y Recuperación de Desastres 18. Con*nuidad de negocios 19. Ciberseguridad 20. Y Otros más…
Si*o web de
ISACA es una organización líder en seguridad y control de entornos informá*cos, con filiales en cerca de 100 países y de interés para profesionales de Ciencias Económicas, Informá*ca e Ingeniería.
Através de su Centro de Conocimiento (Knowledge Center) posee la guía necesaria para poder realizar auditorías informá*cas específicas.
www.isaca.org
¿Cómo implementamos la Auditoría Informá*ca?
Mediante un proceso de planificación ordenado y programado:
1. Definir el alcance y el obje*vo de la auditoría 2. Definir los sponsor (promotores) 3. Definir la metodología de trabajo 4. Definir los recursos requeridos: personal, financiero,
herramientas. 5. Definir el *empo requerido para su realización 6. Elaboración de cronograma de auditoría 7. Elaboración de entrevistas, trabajo de campo, papeles
de trabajo 8. Elaboración de un informe preliminar y discusión con
las áreas auditadas. 9. Presentación ejecu*va: comité de auditoría o reunión
con direc*vos.
¿Qué es lo más valioso de una Auditoría Informá*ca?
El Informe de Auditoría donde: 1. Iden*fique claramente los riesgos potenciales a los cuales la
organización se expone 2. Mejorar el ambiente de control 3. Tener recomendaciones y un plan de acción para cada
recomendación 4. Tener un plan de seguimiento y su monitoreo constante 5. Reflejar el compromiso de la Alta gerencia y de la Junta
Direc*va
Factores limitantes en una Auditoría Informá*ca
1. Des*nar un presupuesto limitado. 2. Poco conocimiento del personal de auditoría sobre lo que se
desea auditar. 3. Falta de herramientas tecnológicas para poder apoyar la
ges*ón de auditoría. 4. Manejo inapropiado de la metodología de trabajo. 5. Falta de compromiso de los promotores, alta gerencia o cuerpo
direc*vo.
Estos puntos puede hacer que fracase la Auditoría Informá;ca…
Ejemplo de una Auditoría Informá*ca de Controles Generales
1. Alcance: realización de un diagnós*co general de todo el entorno tecnológico de la organización, incluyendo los servicios tercerizados.
2. Obje*vo principal: evaluación de los controles existentes e iden*ficar los puntos de mejora para minimizar su exposición al riesgo.
3. Metodología a u*lizar: COBIT 5 4. Equipo de trabajo:
a. Líder del proyecto (definir un resumen breve de su experiencia) b. 2 auditores (definir un resumen breve de su experiencia)
5. Herramientas a u*lizar: a. IDEA b. TEAM MATE
6. Tiempo de duración de la auditoría (cronograma): fecha es*mada de inicio y fecha de finalización.
7. Lista de requerimientos de las áreas a auditar. 8. Encuesta a usuarios automa*zado. 9. Entrevista a personal de Tecnología y usuarios claves. 10. Modelo a presentar.
Ejemplo de una Auditoría Informá*ca de Infraestructura Tecnológica
1. Alcance: Efectuar una revisión de toda la infraestructura tecnológica existente en la organización.
2. Obje*vo principal: evaluar los controles existentes en la administración de los ac*vos tecnológicos.
3. Metodología a u*lizar: COBIT 5 4. Equipo de trabajo. 5. Herramientas a u*lizar:
a. Solar Winds b. Belarc Advisor
6. Tiempo de duración de la auditoría (cronograma) 7. Listado de los ac*vos: hardware y socware 8. Servidores principales 9. Descrip*vo de las redes LAN y WAN 10. Esquemas de replicación de datos 11. Arquitectura de base de datos 12. Arquitectura de los sistemas de seguridad
Hoy en día las empresas requieren de acciones más concretas para contrarrestar el caos generado como consecuencia de la adopción de estas nuevas tecnologías: 1. Planeamiento estratégico de IT 2. Ges*ón del cambio y de la innovación 3. IT como Broker 4. Crear dashboard de ges*ón 5. Una oficina de ges*ón de IT (PMO) 6. ITIL
Concepto de Seguridad Informá*ca
Es el conjunto de normas, procedimientos y herramientas que *enen como obje*vo garan*zar: 1. La disponibilidad, 2. La integridad, 3. La confidencialidad y 4. Buen uso de la información que reside en
un sistema informá*co.
proporciona recomendaciones de las mejores prác*cas en la ges*ón de la seguridad de la información a todos los interesados y responsables en iniciar, implantar o mantener sistemas de ges*ón de seguridad de la información.
ISO 27002
ISO/IEC 27003 Guía para la implementación de un Sistema de Ges;ón de Seguridad de la Información.
La norma *ene el siguiente contenido: 1. Alcance. 2. Referencias Norma*vas. 3. Términos y Definiciones. 4. Estructura de esta Norma. 5. Obtención de la aprobación de la alta dirección para iniciar un SGSI. 6. Definición del alcance del SGSI, límites y polí*cas. 7. Evaluación de requerimientos de seguridad de la información. 8. Evaluación de Riesgos y Plan de tratamiento de riesgos. 9. Diseño del SGSI. Anexo A: lista de chequeo para la implementación de un SGSI. Anexo B: Roles y responsabilidades en seguridad de la información Anexo C: Información sobre auditorías internas. Anexo D: Estructura de las polí*cas de seguridad. Anexo E: Monitoreo y seguimiento del SGSI.
ISO/IEC 27003
h@p://;enda.icontec.org/brief/GTC-‐ISO-‐IEC27003.pdf
EN EL SIGUIENTE LINK ENCONTRARÁ UN EJEMPLO DE UNA GUÍA PARA GESTIONAR LA SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN (SGSI)
LA GUÍA TÉCNICA COLOMBIANA PARA EL SGSI
COBIT 5 for Informa*on Security
El COBIT 5 brinda una guía básica para definir, operar y monitorear un sistema para la ges*ón de la seguridad, como son: APO13 Ges*ón de la seguridad (treceavo proceso del dominio Alineación, Planeación y Organización) DSS04 Ges*ón de la con*nuidad (cuarto proceso del dominio Entrega, Soporte y Servicio) DSS05 Ges*ón de servicios de seguridad (quinto proceso del mismo dominio)
¿Cómo implementamos la Seguridad Informá*ca?
1. Elaborar un Plan de Seguridad Informá*ca 2. Tener un presupuesto para este tema 3. Establecer una Polí*ca de Seguridad Informá*ca 4. Proteger los equipos portá*les y de escritorio 5. Mantener los programas actualizados 6. Sistemas de monitoreo: de correo, de la red interna, WIFI 7. Establecer conexiones seguras con los clientes 8. Mantener los datos a salvo (copias de seguridad, cifrado de datos, sistemas
UPS) 9. Protección de los disposi*vos móviles. 10. Plan de capacitación con*nua en materia de seguridad para el personal. 11. Revisión del Plan de seguridad.
Polí*ca de Seguridad Informá*ca Deberá abarcar: 1. Alcance de la polí*ca, incluyendo sistemas y personal sobre el cual se aplica. 2. Obje;vos de la polí*ca y descripción clara de los elementos involucrados en su definición. 3. Responsabilidad de cada uno de los servicios, recurso y responsables en todos los niveles
de la organización. 4. Responsabilidades de los usuarios con respecto a la información que generan y a la que
*enen acceso. 5. Requerimientos mínimos para la configuración de la seguridad de los sistemas al alcance
de la polí*ca. 6. Definición de violaciones y las consecuencias del no cumplimiento de la polí*ca. 7. Por otra parte, la polí*ca debe especificar la autoridad que debe hacer que las cosas
ocurran, el rango de los correc*vos y sus actuaciones que permitan dar indicaciones sobre la clase de sanciones que se puedan imponer. Pero, no debe especificar con exac*tud qué pasara o cuándo algo sucederá; ya que no es una sentencia obligatoria de la ley.
8. Explicaciones comprensibles (libre de tecnicismos y términos legales pero sin sacrificar su precisión) sobre el porque de las decisiones tomadas.
9. Finalmente, como documento dinámico de la organización, deben seguir un proceso de actualización periódica sujeto a los cambios organizacionales relevantes: crecimiento de la planta de personal, cambio en la infraestructura computacional, alta y rotación de personal, desarrollo de nuevos servicios, cambio o diversificación de negocios, etc.