POLITICAS DE SEGURIDAD Y AUDITORIA FORENSE JUAN PABLO NIETO JARAMILLO DOCENTE: INGENIERO CARLOS HERNAN GOMEZ ASIGNATURA: AUDITORIA INFORMATICA

Transcripción

1 POLITICAS DE SEGURIDAD Y AUDITORIA FORENSE JUAN PABLO NIETO JARAMILLO DOCENTE: INGENIERO CARLOS HERNAN GOMEZ ASIGNATURA: AUDITORIA INFORMATICA INGENIERIA EN SISTEMAS Y COMPUTACION FACULTAD DE INGENIERIA UNIVERSIDAD DE CALDAS MANIZALES

2 Contenido INTRODUCCION... 3 DEFINICIÓN DE TÉRMINOS... 4 Mejor practica... 4 Procedimiento... 4 Guía... 4 Estándar... 4 ELEMENTOS DE UNA POLÍTICA DE SEGURIDAD... 5 ETAPAS DE DESARROLLO... 6 Etapa 1 Creación... 7 Etapa 1 Revisión... 7 Etapa 3 Aprobación... 7 Etapa 4 Difundir la política... 8 Etapa 5 Cumplimiento... 8 Etapa 6 Excepciones... 8 Etapa 7 Concienciación... 8 Etapa 8 Monitoreo... 9 Etapa 9 Garantía de cumplimiento... 9 Etapa 10 Mantenimiento... 9 Etapa 11 Retiro PRÁCTICAS RECOMENDADAS PARA ESCRIBIR UNA POLÍTICA AUDITORIA FORENSE Objetivo de la auditoria forense GUÍA DE AUDITORIA Programa de auditoria Fase 1: Planeación Fase 2: Ejecución Fase 3: Comunicación de resultados Fase 4: Seguimiento Guía auditoria Políticas de seguridad Guía auditoria forense... 15

3 INTRODUCCION Se entiende como una política de seguridad informática a la forma de comunicación con los usuarios, ya que las mismas establecen un canal formal de actuación del personal, en relación con los recursos y servicios informáticos de la organización. No se puede considerar que una política de seguridad informática es una descripción técnica de mecanismos, ni una expresión legal que involucre sanciones a conductas de los empleados, es más bien una descripción de los que deseamos proteger y él por qué de ello, pues cada política de seguridad es una invitación a cada uno de sus miembros a reconocer la información como uno de sus principales activos así como, un motor de intercambio y desarrollo en el ámbito de sus negocios. Por tal razón, las políticas de seguridad deben concluir en una posición consciente y vigilante del personal por el uso y limitaciones de los recursos y servicios informáticos. Las políticas se elaboran con el fin de que tengan aplicación a largo plazo y guíen el desarrollo de reglas y criterios más específicos, que aborden situaciones concretas. Las políticas son desplegadas y soportadas por estándares, mejores prácticas, procedimientos y guías.

4 DEFINICIÓN DE TÉRMINOS Mejor practica Es una regla de seguridad específica a una plataforma que es aceptada a través de la industria al proporcionar el enfoque más efectivo a una implementación de seguridad concreta. Las mejores prácticas son establecidas para asegurar que las características de seguridad de sistemas utilizados con regularidad estén configurados y administrados de manera uniforme, garantizando un nivel consistente de seguridad a través de la organización. Procedimiento Los procedimientos definen específicamente cómo las políticas, estándares, mejores prácticas y guías serán implementados en una situación dada. Los procedimientos son dependientes de la tecnología o de los procesos y se refieren a plataformas, aplicaciones o procesos específicos. Son utilizados para delinear los pasos que deben ser seguidos por una dependencia para implementar la seguridad relacionada a dicho proceso o sistema específico. Generalmente los procedimientos son desarrollados, implementados y supervisados por el dueño del proceso o del sistema. Los procedimientos seguirán las políticas de la organización, los estándares, las mejores prácticas y las guías tan cerca como les sea posible, y a la vez se ajustarán a los requerimientos procedimentales o técnicos establecidos dentro de la dependencia donde ellos se aplican. Guía Una guía es una declaración general utilizada para recomendar o sugerir un enfoque para implementar políticas, estándares y buenas prácticas. Las guías son, esencialmente, recomendaciones que deben considerarse al implementar la seguridad. Aunque no son obligatorias, serán seguidas a menos que existan argumentos documentados y aprobados para no hacerlo. Estándar Regla que especifica una acción o respuesta que se debe seguir a una situación dada. Los estándares son orientaciones obligatorias que buscan hacer cumplir las políticas.

5 Los estándares sirven como especificaciones para la implementación de las políticas: son diseñados para promover la implementación de las políticas de alto nivel de la organización antes que crear nuevas políticas. ELEMENTOS DE UNA POLÍTICA DE SEGURIDAD Las Políticas de Seguridad Informática deben considerar principalmente los siguientes elementos: - Alcance de las políticas, incluyendo facilidades, sistemas y personal sobre la cual aplica. - Objetivos de la política y descripción clara de los elementos involucrados en su definición. - Responsabilidades por cada uno de los servicios y recursos informáticos aplicado a todos los niveles de la organización. - Requerimientos mínimos para configuración de la seguridad de los sistemas que abarca el alcance de la política. - Definición de violaciones y sanciones por no cumplir con las políticas. - Responsabilidades de los usuarios con respecto a la información a la que tiene acceso. Las políticas de seguridad informática, también deben ofrecer explicaciones comprensibles sobre por qué deben tomarse ciertas decisiones y explicar la importancia de los recursos. Igualmente, deberán establecer las expectativas de la organización en relación con la seguridad y especificar la autoridad responsable de aplicar los correctivos o sanciones. Otro punto importante, es que las políticas de seguridad deben redactarse en un lenguaje sencillo y entendible, libre de tecnicismos y términos ambiguos que impidan una comprensión clara de las mismas, sacrificar su precisión. Las políticas de seguridad, deben seguir un proceso de actualización periódica sujeto a los cambios organizacionales relevantes, como son: el aumento de personal, cambios en la infraestructura computacional, alta rotación de personal, desarrollo de nuevos servicios, regionalización de la empresa, cambio o diversificación del área de negocio, etc.

6 ETAPAS DE DESARROLLO Una Política de Seguridad presenta un nivel alto de definición de pautas pautas en cuanto a la seguridad de la información, información, las etapas de desarrollo se presentan en la siguiente imagen: Son 11 etapas que se deben realizar. Estas 11 etapas están agrupadas en 4 fases. 1. Fase de desarrollo:: Durante esta fase la política es creada, creada, revisada y aprobada. 2. Fase de implementación: implementación: En esta fase la política es comunicada y acatada (o no cumplida por alguna excepción). 3. Fase de mantenimiento: Los usuarios deben ser conscientes de la importancia de la política, su cumplimiento debe ser ser monitoreado, se debe garantizar su cumplimiento y se le debe dar mantenimiento (actualizarla). 4. Fase de eliminación: La política se retira cuando no se requiera más.

7 Etapa 1 Creación La primer medida que toma en la fase de desarrollo de una política es la planificación, la investigación y la redacción de la política o, tomado todo junto, la creación. La creación de una política implica identificar por qué se necesita la política; determinar el alcance y la aplicabilidad de la política, los roles y las responsabilidades inherentes a la aplicación de la política y garantizar la factibilidad de su implementación. La creación de una política también incluye la investigación para determinar los requerimientos organizacionales para desarrollar las políticas (es decir, que autoridades deben aprobarla, con quién se debe coordinar el desarrollo y estándares del formato de redacción), y la investigación de las mejores prácticas en la industria para su aplicabilidad a las necesidades organizacionales actuales. De esta etapa se tendrá como resultado la documentación de la política de acuerdo con los procedimientos y estándares de la universidad, al igual que la coordinación con entidades internas y externas que la política afectará, para obtener información y su aceptación. Etapa 2 Revisión La segunda etapa corresponde a la fase de desarrollo del ciclo de vida. Una vez la documentación de la política ha sido creada y la coordinación inicial ha sido iniciada, esta debe ser remitida a un grupo (o un individuo) independiente para su evaluación antes de su aprobación final. Hay varios beneficios de la revisión independiente: una política más viable a través del escrutinio de individuos que tienen una perspectiva diferente o más vasta que la persona que redactó la política; apoyo más amplio para la política a través de un incremento en el número de involucrados; aumento de credibilidad en la política gracias a la información recibida de diferentes especialistas del grupo de revisión. Propio de esta etapa es la presentación de la política a los revisores, ya sea de manera formal o informal, exponiendo cualquier punto que puede ser importante para la revisión, explicando su objetivo, el contexto y los beneficios potenciales de la política y justificando por qué es necesaria. Como parte de esta función, se espera que el creador de la política recopile los comentarios y las recomendaciones para realizar cambios en la política y efectuar todos los ajustes y las revisiones necesarias para obtener una versión final de la política lista para la aprobación por las directivas. Etapa 3 Aprobación Es la parte final de la fase de desarrollo. El objetivo de esta etapa es obtener el apoyo de la administración, a través de la firma de una persona ubicada en una posición de autoridad. La aprobación permite iniciar la implementación de la política. Requiere que el proponente de la política haga una selección adecuada de la autoridad de aprobación,

8 que coordine con dicho funcionario, presente las recomendaciones emitidas durante la etapa de revisión y haga el esfuerzo para que sea aceptada por la administración. Puede ocurrir que por incertidumbre de la autoridad de aprobación sea necesaria una aprobación temporal. Etapa 4 Difundir la política Es la primera parte de la fase de implementación. La comunicación de la política es la primera etapa que se realiza en esta fase. La política debe ser inicialmente difundida a quienes sean afectados directamente por la política (contratistas, proveedores, usuarios de cierto servicio, etc.). Esta etapa implica determinar el alcance y el método inicial de distribución de la política. Debe planificarse esta etapa con el fin de determinar los recursos necesarios y el enfoque que debe ser seguido para mejorar la visibilidad de la política. Etapa 5 Cumplimiento La etapa de cumplimiento incluye actividades relacionadas con la ejecución de la política. Implica trabajar con otras personas de la organización para interpretar cuál es la mejor manera de implementar la política en diversas situaciones y oficinas; asegurando que la política es entendida por aquellos que requieren implementarla, monitorearla, hacerle seguimiento, reportar regularmente su cumplimiento y medir el impacto inmediato de la política en las actividades operativas. Dentro de estas actividades está la elaboración de informes a la administración del estado de la implementación de la política. Etapa 6 Excepciones Debido a problemas de coordinación, falta de personal y otros requerimientos operacionales, no todas las políticas pueden ser cumplidas de la manera que se pensó al comienzo. Por esto, cuando los casos lo ameriten, es probable que se requieran excepciones a la política para permitir a ciertas oficinas o personas el no cumplimiento de la política. Debe establecerse un proceso para garantizar que las solicitudes de excepciones son registradas, seguidas, evaluadas, enviadas para aprobación o desaprobación, documentadas y vigiladas a través del periodo de tiempo establecido para la excepción. El proceso también debe permitir excepciones permanentes a la política al igual que la no aplicación temporal por circunstancias de corta duración. Etapa 7 Concienciación La etapa de concienciación de la fase de mantenimiento comprende los esfuerzos continuos realizados para garantizar que las personas están consientes de la política y buscan facilitar su cumplimiento. Esto es hecho al definir las necesidades de

9 concienciación de los diversos grupos de audiencia dentro de la organización (directivos, jefes de dependencias, usuarios, etc.); en relación con la adherencia a la política, determinar los métodos de concienciación más efectivos para cada grupo de audiencia (es decir, reuniones informativas, cursos de entrenamiento, mensajes de correo, etcétera); y desarrollo y difusión de material de concienciación (presentaciones, afiches, circulares, etc.). La etapa de concienciación también incluye esfuerzos para integrar el cumplimiento de la política y retroalimentación sobre el control realizado para su cumplimiento. Etapa 8 Monitoreo Durante la fase de mantenimiento, la etapa de monitoreo es realizada para seguir y reportar la efectividad de los esfuerzos en el cumplimiento de la política. Esta información se obtiene de la observación de empleados y los cargos de supervisión, mediante auditorias formales, evaluaciones, inspecciones, revisiones y análisis de los reportes de contravenciones y de las actividades realizadas en respuesta a los incidentes. Esta etapa incluye actividades continuas para monitorear el cumplimiento o no de la política a través de métodos formales e informales y el reporte de las deficiencias encontradas a las autoridades apropiadas. Etapa 9 Garantía de cumplimiento La etapa de garantía de cumplimiento de las políticas incluye las respuestas de la administración a actos u omisiones que tengan como resultado contravenciones de la política con el fin de prevenir que sigan ocurriendo. Esto significa que una vez una contravención sea identificada, la acción correctiva debe ser determinada y aplicada a los procesos (revisión del proceso y mejoramiento), a la tecnología (actualización) y a las personas (acción disciplinaria) involucrados en la contravención con el fin de reducir la probabilidad de que vuelva a ocurrir. Etapa 10 Mantenimiento La etapa de mantenimiento está relacionada con el proceso de garantizar la vigencia y la integridad de la política. Esto incluye hacer seguimiento a las tendencias de cambios (cambios en la tecnología, en los procesos, en las personas, en la organización, en el enfoque del negocio, etc.) que puede afectar la política; recomendando y coordinando modificaciones resultado de estos cambios, documentándolos en la política y registrando las actividades de cambio. Esta etapa también garantiza la disponibilidad continuada de la política para todas las partes afectadas por ella, al igual que el mantenimiento de la integridad de la política a través de un control de versiones efectivo. Cuando se requieran cambios a la política, las etapas realizadas antes deben

10 ser re-visitadas, en particular las etapas de revisión, aprobación, comunicación y garantía de cumplimiento. Etapa 11 Retiro Cuando un política ha cumplido con su finalidad y no es necesaria (por ejemplo, la empresa cambió la tecnología a la cual aplicaba o se creó una nueva política que la reemplazó) entonces debe ser retirada. La etapa de retiro corresponde a la fase de eliminación del ciclo de vida de la política, y es la etapa final del ciclo. Esta función implica retirar una política superflua del inventario de políticas activas para evitar confusión, archivarla para futuras referencias y documentar la información sobre la decisión de retirar la política (es decir, la justificación, quién autorizó, la fecha, etcétera).

11 PRÁCTICAS RECOMENDADAS PARA ESCRIBIR UNA POLÍTICA Sin importar que una política se enuncie formal o informalmente, esta debe incluir 12 tópicos: 1. La declaración de la política (cuál es la posición de la administración o qué es lo que se desea regular). 2. Nombre y cargo de quien autoriza o aprueba la política. 3. Nombre de la dependencia, del grupo o de la persona que es el autor o el proponente de la política. 4. Debe especificarse quién debe acatar la política (es decir, a quién está dirigida) y quién es el responsable de garantizar su cumplimiento. 5. Indicadores para saber si se cumple o no la política. 6. Referencias a otras políticas y regulaciones en las cuales se soporta o con las cuales tiene relación. 7. Enunciar el proceso para solicitar excepciones. 8. Describir los pasos para solicitar cambios o actualizaciones a la política. 9. Explicar qué acciones se seguirán en caso de contravenir la política. 10. Fecha a partir de la cual tiene vigencia la política. 11. Fecha cuando se revisará la conveniencia y la obsolescencia de la política. 12. Incluir la dirección de correo electrónico, la página web y el teléfono de la persona o personas que se pueden contactar en caso de preguntas o sugerencias.

12 AUDITORIA FORENSE La auditoria forense procede dentro del contexto de un conflicto real o de una acción legal con una pérdida financiera significativa, donde el auditor forense ofrece sus servicios basados en la aplicación del conocimiento relacionado con los dominios de lo contable (como información financiera, contabilidad, finanzas, auditoría y control) y del conocimiento relacionado con Investigación financiera, cuantificación de pérdidas y ciertos aspectos de ley. Un compromiso de auditoría forense involucra por lo menos: análisis, cuantificación de pérdidas, investigaciones, recolección de evidencia, mediación, arbitramento y testimonio como un testigo experto. Cuando se actúa en calidad de auditores forenses dentro de una investigación, se pone en práctica toda la experiencia en contabilidad, auditoria e investigación. Como también la capacidad del auditor para transmitir información financiera en forma clara y concisa ante un tribunal. Los auditores forenses están entrenados para investigar más allá de las cifras presentadas y manejar la realidad comercial del momento. La auditoría forense es una alternativa porque permite que un experto emita ante los jueces conceptos y opiniones de valor técnico, que le permiten a la justicia actuar con mayor certeza, especialmente en lo relativo a la vigilancia de la gestión fiscal. Objetivo de la auditoria forense Los principales objetivos de la Auditoría Forense son los siguientes: - Luchar contra la corrupción y el fraude, para el cumplimiento de este objetivo busca identificar a los supuestos responsables de cada acción a efectos de informar a las entidades competentes las violaciones detectadas. - Evitar la impunidad, para ello proporciona los medios técnicos validos que faciliten a la justicia actuar con mayor certeza, especialmente en estos tiempos en los cuales el crimen organizado utiliza medios más sofisticados para lavar dinero, financiar operaciones ilícitas y ocultar diversos delitos. - Disuadir, en los individuos, las prácticas deshonestas, promoviendo la responsabilidad y transparencia en los negocios. - Credibilidad de los funcionarios e instituciones públicas, al exigir a los funcionarios corruptos la rendición de cuentas ante una autoridad superior, de los fondos y bienes del Estado que se encuentran a su cargo.

13 GUÍA DE AUDITORIA Programa de auditoria Fase 1: Planeación Con esta auditoría se quiere verificar la suficiencia y cumplimiento de los controles establecidos en las políticas de seguridad y controles financieros de la empresa Auditextiles. Se pretende alcanzar los siguientes objetivos: - Identificar las áreas de riesgo en la empresa. - Comunicar a la alta gerencia la existencia de riesgos. - Recomendar procedimientos para la mitigación de los riesgos. Fase 2: Ejecución Para el cumplimiento del procedimiento de auditoría se utilizaran las siguientes técnicas y herramientas: - Lista de verificación - Cuestionario Fase 3: Comunicación de resultados Se elaborara el informe de auditoría, el cual será comunicado a los directivos de la compañía con el fin de llegar a un acuerdo para alcanzar los objetivos propuestos. Fase 4: Seguimiento Después de la entrega del informe final de auditoría, se procederá a realizar un seguimiento periódico cada tres (3) meses para verificar el cumplimiento y suficiencia de los controles internos en la compañía. CH AUDITORIA CONSULTORES EMPRESA: AUDITEXTILES REFERENCIA Políticas de seguridad Actividad a ser evaluada Verificar el establecimiento, cumplimiento y control de políticas Procedimiento Conocer el entorno de la entidad y verificar que los procesos y reportes Herramientas a utilizar Listas de verificación, cuestionarios. Observacio nes

14 Auditoria Forense de seguridad de la empresa Auditextiles Verificar el funcionamiento interno del área financiera de la empresa Auditextiles coincidan con la realidad, y con los parámetros legales. Solicitar información referente a reportes y los extractos financieros, facturas, ingresos, egresos, nominas, y revisar regularidad y transparencia en los mismos. Listas de verificación, cuestionarios. Guía auditoria Políticas de seguridad Listas de verificación Nro. Pregunta Si NO N/A 1 Se tiene conciencia de la importancia de implementar políticas de seguridad en la organización? 2 Existe un documento donde se establezcan las políticas de seguridad que debe seguir la compañía? 3 Las políticas de seguridad existentes están basadas en algún estándar internacional? 4 En las políticas de seguridad se reconocen los riesgos que rodean la organización? 5 En las políticas de seguridad se definen roles y responsabilidades para los procesos del negocio? 6 En las políticas de seguridad se clasifica el nivel de los riesgos existentes? 7 En las políticas de seguridad se definen procedimientos para la seguridad de la información? 8 En las políticas de seguridad se definen procedimientos para la seguridad de los recursos humanos? 9 Hay cámaras de seguridad conectadas a las autoridades públicas (policía, seguridad privada)? Preguntas abiertas Quién es el encargado de revisar permisos y políticas de seguridad para la gestión de los datos?

15 Qué procesos, procedimientos o medidas son tomados en caso de detectar un fraude en la organización? Se garantiza la confidencialidad de los datos en la organización? Cómo? Cuentan con procedimientos y políticas de seguridad definidas dentro de la gerencia de sistemas? Manejan altos niveles de seguridad para evitar el riesgo de fraude (vulnerabilidad) en la organización? Cuáles? Cuentan en la organización con un alto personal calificado para realizar con éxito una auditoría interna, en caso de necesitarlo en un momento dado? Cómo identifican indicadores de fraude en su organización? Qué piensa de la seguridad en el manejo de la información proporcionada por el sistema que utiliza? Nula Riesgosa Satisfactoria Excelente Lo desconoce Por qué? Guía auditoria forense Listas de verificación Nro. Pregunta Si NO N/A 1 Se presentan reportes financieros con un periodo de tiempo definido? 2 Existe documentación que soporte todos los movimientos financieros? 3 Se lleva un control estricto de viáticos y auxilios concedidos? 4 A parte del área de contabilidad y el área de gerencia, alguien más tiene acceso a la información financiera? 5 Se cuenta con sistemas de información que almacenen información financiera y reportes de la

16 empresa? Preguntas abiertas Cuántas personas están a cargo del área de contabilidad? Se realizan auditorías internas, a los reportes financieros? Cada cuanto tiempo? Qué acciones se toman con los documentos y reportes antiguos? Cómo se controlan los documentos de facturación, reportes ingresos, egresos, internos y externos? Hay alguien que revise y apruebe los documentos de facturación? Quién? Qué técnicas o metodologías, se utilizan para e el control de reportes en el área financiera? Cuál es el proceso a seguir en la aprobación de cualquier presupuesto? Con que frecuencia se presentan irregularidades en el cuadre de presupuesto? Cómo se otorgan las bonificaciones, y de acuerdo a que criterios? Se hacen cambios sobre las políticas financieras y de contabilidad? La empresa ha incursionado en mercados diferentes a los que suele dedicarse? Cómo han sido los ingresos recaudados en esta nueva actividad? Existen retrasos en el pago de nóminas, o inconformidades (reclamos) por parte de los empleados? Actualmente la empresa cuenta con créditos con alguna entidad? Existen posibilidades de crédito interno para los empleados? Bajo qué políticas se otorgan estos préstamos?