Auditoría y Seguridad Informática

Transcripción

1 UNIVERSIDAD AUSTRAL DE CHILE Facultad De Ciencias Económicas Y Administrativas Instituto De Administración Escuela De Auditoría Auditoría y Seguridad Informática Autor: Hardy Muñoz O. Junio 2014, Valdivia 2

2 I. Introducción En el mundo globalizado que vivimos actualmente, se ha vuelto cada vez más necesario mantener la privacidad, seguridad, integridad y confidencialidad de un componente fundamental para las empresas y sociedad en general. Esto alude a la Información, la cual constituye el activo más importante de una organización y/o persona particular. Y es por este motivo que es de vital importancia protegerla ante posibles o potenciales amenazas de personas que ingresen sin acceso autorizado provocando grandes daños como por ejemplo: Instalación de Virus, Robo de información, Plagio, Manipulación indebida de la Información, Alteración e incluso tomar el control absoluto del servidor, entre otras. Cada vez son más los medios a través de los cuales podemos acceder a nuestros Sistemas de Información y paralelamente por cada medio de acceso tenemos una potencial amenaza. Es por esto que se debe proteger la información incluso cuando ésta se encuentre almacenada en la nube (Cloud Computing), ya que se debe ir supervisando su estado de seguridad continuamente porque no está ajena a que un atacante o persona mal intencionada ingrese e infecte la web. Debido a esto nace la necesidad e importancia de mantener la privacidad y seguridad de nuestra información. En respuesta a esto se creó la Auditoría y Seguridad Informática de la Información, que nos permitirá saber periódicamente manteniendo controlado el estado de seguridad de nuestros sistemas de Información. Cabe destacar que NO cualquier profesional puede realizar una auditoría de Seguridad Informática, ya que deben ser profesionales certificados por medio de la ISACA, la cual establece como prerrequisito tener el Título de Contador Auditor o Ingeniero Informático. 3

3 II. Qué es Seguridad Informática? Primero que todo, se entiende como seguridad informática a la disciplina encargada de proteger la privacidad e integridad de toda la información que es almacenada en un sistema informático ya sean hardware, software y recursos humanos. La seguridad Informática nace principalmente en respuesta de las crecientes amenazas a la información que se pueden observar hoy en día, éstas amenazas ya sean por medio de programas instalados en el ordenador o también en su mayoría desde el acceso remoto vía web. En resumen, La seguridad informática la podríamos definir como el conjunto de hardware, software y procedimientos establecidos para asegurar que: Personas no autorizadas no accedan a lo que no deberían ver. Personas autorizadas no ponen en peligro el sistema y los datos. III. Qué es Auditoría Informática? Auditoría Informática es un proceso llevado a cabo especialmente por profesionales altamente capacitados y certificados por ISACA en temas sistemas de información. Este proceso consiste en: El análisis de la eficiencia de los Sistemas Informáticos. La verificación del cumplimiento de la Normativa en este ámbito. La revisión de la eficaz gestión de los recursos informáticos. Además permite detectar de forma sistemática el uso de los recursos y los flujos de información dentro de una organización, determinando qué información es crítica para el cumplimiento de su misión y objetivos. La Auditoría informática tiene 2 tipos, las cuales son: 1.1 AUDITORIA INTERNA: Es aquella que se hace adentro de la empresa; sin contratar a personas de afuera. 1.2 AUDITORIA EXTERNA: como su nombre lo dice es aquella en la cual la empresa contrata a personas de afuera para que haga la auditoria en su empresa. 4

4 IV. Qué es Auditoría de Seguridad Informática? 4.1 DEFINICIÓN: Una auditoría de seguridad informática o auditoría de seguridad de sistemas de información (SI) es el estudio que comprende el análisis y gestión de sistemas llevado a cabo por profesionales certificados ante el ISACA para identificar, enumerar y posteriormente describir las diversas vulnerabilidades que pudieran presentarse en una revisión exhaustiva de toda la información que es almacenada en un sistema informático ya sean hardware, software y recursos humanos. Una vez obtenidos los resultados, se detallan, archivan y reportan a los responsables quienes deberán establecer medidas preventivas de refuerzo y/o corrección siguiendo siempre un proceso secuencial que permita a los administradores mejorar la seguridad de sus sistemas aprendiendo de los errores cometidos con anterioridad. Las auditorías de seguridad de SI permiten conocer en el momento de su realización cuál es la situación exacta de sus activos de información en cuanto a protección, control y medidas de seguridad. Cabe destacar que NO cualquier profesional puede realizar una auditoría de Seguridad Informática, ya que deben ser profesionales certificados por medio de la ISACA, la cual establece como prerrequisito tener el Título de Contador Auditor o Ingeniero Informático. 4.2 METODOLOGÍA DE DESARROLLO DE UNA AUDITORÍA INFORMÁTICA 1 Al igual que en la auditoría de cuentas, tenemos que distinguir 3 fases: Planificación, Ejecución/Supervisión y Conclusiones. Fase 1: Planificación En esta fase el auditor debe fijar con claridad: Finalidad de la Auditoría, destinatario de las conclusiones, documentación a entregar y fechas clave. Alcance del Trabajo (sistemas, procesos, aplicativos y áreas a revisar, localidades que hay que visitar, etc). Es importante fijar qué queda fuera de la Auditoría, para no crear falsas expectativas. Información y documentación previa a solicitar: informes de auditoría previos, organigrama funcional y departamental, esquema de arquitecturas, procesos o interfaces, etc). 1 Metodología obtenida en 5

5 Programas de trabajo detallados y estándares que se van a seguir (internos de la Sociedad, COBIT, ISO, etc). Equipo de trabajo y reparto de los programas entre los mismos, con fechas de ejecución de cada apartado o área. Identificación de interlocutores (administradores de bases de datos, responsable de seguridad, etc). Identificación de Herramientas tecnológicas para hacer el trabajo. Fase 2: Ejecución En esta fase se realizan todos los procedimientos detallados en los programas de la fase anterior para obtener las evidencias del desarrollo del trabajo. Estas evidencias se obtienen a través de: Estudio de procesos concretos (documentación, flujogramas, verificaciones in situ con el usuario final del proceso, etc). Entrevistas y análisis de la documentación obtenida en las mismas (procedimientos escritos, manuales, configuraciones de máquina, parametrizaciones, etc). Pruebas de cumplimiento de procedimientos (con muestreos). Verificaciones físicas (p.ej: visita al centro de proceso de datos). Revisión de contratos de prestaciones de servicios y Acuerdos de nivel de servicio (SLA). Fase 3: Conclusiones El output de esta fase suele ser un Informe de Auditoría, de Recomendaciones o de Resultados que, una vez discutido con los afectados, es elevado a Definitivo. En dicho Informe, aparte del Alcance del trabajo realizado y de los Procedimientos que se han seguido, se suele incluir un Informe Ejecutivo y una relación detallada de las Recomendaciones de Mejora por área analizada, con los siguientes parámetros y Plan de Acción: Riesgo asociado Prioridad Dificultad de Implantación Área afectada y comentarios de dicha área al punto de mejora Fecha prevista de solución Persona/departamento responsable de la implantación 1 Metodología obtenida en 6

6 4.3 BENEFICIOS: Entre los beneficios de realizar una Auditoría de Seguridad Informática cabe destacar lo siguiente: Mejora la imagen pública. Confianza en los usuarios sobre la seguridad y control de los servicios de TI. Optimiza las relaciones internas y del clima de trabajo. Disminuye los costos de la mala calidad (reprocesos, rechazos, reclamos, entre otros). Genera un balance de los riesgos en TI. Realiza un control de la inversión en un entorno de TI, a menudo impredecible. Además, la auditoría informática sirve para mejorar el desempeño en la empresa, en relación a: Fiabilidad Eficacia Rentabilidad Seguridad Privacidad 7

7 V. Asociación de Auditoría y Control de Sistemas de Información (ISACA) ISACA es el acrónimo de Information Systems Audit and Control Association (Asociación de Auditoría y Control de Sistemas de Información); una asociación internacional que apoya y patrocina el desarrollo de metodologías y certificaciones para la realización de actividades auditoría y control en sistemas de información. Origen En 1969 un pequeño grupo de auditores que estaban trabajando con controles en sistemas de información en Estados Unidos fundaron la EDPAA (Electronic Data Processing Auditors Association). Pero en 1993, dado que los controles de los sistemas y tecnologías de la información y comunicación son comunes a otras disciplinas fuera de la auditoría, se cambió el nombre y esta organización pasó a llamarse ISACA. Con más de integrantes en 180 países, ISACA ( ayuda a empresas y líderes en Tecnologías de Información a construir confianza y maximizar el valor de la información y de los sistemas de información. ISACA es una fuente confiable de conocimiento, estándares, comunidad, y desarrollo de carrera para los profesionales en gobierno, privacidad, riesgos, seguridad, aseguramiento y auditoría de sistemas. 5.1 CERTIFICADOS QUE SE PUEDEN OBTENER EN ISACA ISACA ofrece cuatro certificaciones, las cuales son reconocidas a nivel mundial para los profesionales de Auditoría, Seguridad, Gobierno y Riesgo de TI. Estas certificaciones son: - Auditor de Sistemas de Información / Certified Information Systems Auditor (CISA ). - Administrador de la Seguridad de Información/ Certified Information Security Manager (CISM ). - Gobernabilidad de TI de las empresas / Certified in the Governance of Enterprise IT (CGEIT ). - Sistemas de Información de Riesgos y Control / Certified in Risk and Information Systems Control (CRISC ). Para esto ISACA lleva a cabo exámenes de certificación dos veces al año, en junio y diciembre y los requisitos para certificarte son los siguientes: Aprobar el examen Experiencia relevante (5 o más años de experiencia en el área de interés) Apegarte al código de ética ISACA. Apegarte al programa de educación profesional continua. Cumplimiento con los estándares de ISACA. 8

8 Breve descripción de certificaciones otorgadas por ISACA CISA CISM CGEIT CRISC La designación CISA es La certificación CISM Acredita una amplia La certificación CRISC una certificación está enfocada en la variedad de está diseñada para reconocida gestión, promueve profesionales por aquellas personas globalmente para prácticas su conocimiento y expertas en gestión de profesionales en Internacionales de aplicación de riesgo de tecnología y auditoría, control, seguridad y reconoce prácticas y principios negocio, así como aseguramiento y seguridad de SI. a la persona que de gobierno de TI de el diseño, la administra, diseña, la empresa. implementación, supervisa y evalúa la el monitoreo y el seguridad de la mantenimiento información de una del control de SI. empresa. 5.2 CÓMO INSCRIBIRSE PARA EL EXAMEN? Puede inscribirse para un examen de ISACA por medio de inscripción en línea o por formulario de inscripción impresa. Para presentar su inscripción en línea por medio del sitio web de ISACA, visite Para inscribirse por medio del formulario de inscripción impreso, complete el formulario de inscripción impreso suministrado en y envíelo por fax o por correo a ISACA junto con su información de pago. El costo para rendir los exámenes de certificación son los siguientes: Inscripción Examen Miembro de ISACA No miembro de ISACA Inscripción Temprana US $420 US $600 Inscripción plazo final US $470 US $650 9

9 VI. Principales Estándares de Seguridad Informática Nacionales e Internacionales 6.1 Estándares Internacionales: ISO/IEC 27000: Son estándares de seguridad publicados por la Organización Internacional para la Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC). La serie contiene las mejores prácticas recomendadas en seguridad de la información para desarrollar, implementar y mantener especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI). La mayoría de estas normas se encuentran en preparación, e incluyen: - ISO/IEC 27001: La ISO es la Norma que permite el aseguramiento, la confidencialidad e integridad de los datos y de la información, así como de los sistemas que la procesan. La gestión de la seguridad en la información se complementa con las buenas prácticas o controles establecidos en ISO ISO/IEC 27002: Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Este estándar internacional va orientado a la seguridad de la información en las empresas u organizaciones, de modo que las probabilidades de ser afectados por robo, daño o pérdida de información se minimicen al máximo. 10

10 6.2 Estándares Nacionales: En cuanto al ámbito nacional, existe la ley , la cual se refiere a los delitos informáticos. Ley N : Esta ley tipifica figuras penales a la informática. Consta de cuatro artículos, los cuales se especifican a continuación: - Artículo 1 : El que maliciosamente, destruya o inutilice un sistema de tratamiento de información o sus partes o componentes, o impida, obstaculice o modifique su funcionamiento, sufrirá la pena de presidio menor en su grado medio a máximo. - Artículo 2 : El que con el ánimo de apoderarse, usar o conocer indebidamente de la información contenida en un sistema de tratamiento de la misma, lo intercepte, interfiera o acceda a él, será castigado con presidio menor en su grado mínimo a medio. - Artículo 3 : El que maliciosamente altere, dañe o destruya los datos contenidos en un sistema de tratamiento de información, será castigado con presidio menor en su grado medio. - Artículo 4 : El que maliciosamente revele o difunda los datos contenidos en un sistema de información, sufrirá la pena de presidio menor en su grado medio. Si quien incurre en estas conductas es el responsable del sistema de información, la pena se aumentará en un grado. 11

11 VII. Relación entre Auditoría y Seguridad informática (COBIT) 7.1. AUDITORÍA DE SISTEMAS DE INFORMACIÓN Y SEGURIDAD INFORMÁTICA La información es uno de los activos más importantes de cualquier organización. Es por esto, que al optimizar el tiempo y trabajo potenciando el uso de la tecnología importantes ventajas competitivas y oportunidades. Sin embargo, si no se gestiona correctamente el uso de la tecnología, estas oportunidades se pueden transformar en amenazas para la compañía. Desde evaluar si las inversiones tecnológicas aportan lo esperado a la organización, hasta la revisión de las medidas de seguridad implantadas, o un análisis del grado de adecuación a la legislación vigente, son aspectos importantes que toda organización tiene que tener presente COBIT El significado de COBIT proviene del inglés Control Objectives for Information and related Technology, que significa Objetivos de Control para la Información y Tecnologías relacionadas. COBIT es un conjunto de buenas prácticas para el manejo de información creada por la Asociación de Auditoría y Control de Sistemas de Información (ISACA en inglés) y el Instituto de Administración de las Tecnologías de la Información (ITGI en inglés). COBIT permite que las tecnologías de la información y relacionadas se gobiernen y administren de una manera holística a nivel de toda la Organización, incluyendo el alcance completo de todas las áreas de responsabilidad funcionales y de negocios, considerando los intereses relacionados con la TI de las partes interesadas internas y externas. Es un modelo de evaluación y monitoreo que se enfoca en el control de negocios y la seguridad de las TI, y que abarca controles específicos de TI desde una perspectiva de negocios. Su misión es investigar, desarrollar, publicar y promocionar un conjunto de objetivos de control generalmente aceptados de las tecnologías de información que sean autorizados, actualizados e internacionales para el uso de los gestores de un negocio y los auditores. 12

12 VIII. Conclusiones La Seguridad Informática No es un producto, es un proceso que hay que mantener y cuidar a lo largo del tiempo. Mientras que una Auditoría de Seguridad Informática le dará el conocimiento suficiente para poder tomar decisiones respecto a la seguridad informática de sus sistemas. Hoy en día hay que tener muy presente que para las empresas, la información representa y constituye el activo más valioso de la organización, por lo que es necesario mantenerla muy protegida tomando las medidas necesarias para combatir las amenazas. Una de las medidas que se pueden tomar es teniendo copias de seguridad de la información, claro que siempre se debe tener el debido cuidado brindando una seguridad de alto nivel. Además, es importante estar consciente que toda organización está compuesta por personas, las cuales deben ir capacitándose continuamente al ritmo de las tecnologías de la información y comunicación. En consecuencia, se puede deducir que hoy en día el concepto de la experiencia de los trabajadores ha cambiado y no depende de la cantidad de años de trabajo, sino del nivel de competencias que posea en una determinada área, lo cual se obtendrá por medio de un aprendizaje continuo. La seguridad no funciona si no se aplica un modelo. El principal valor de COBIT es precisamente la gran diversidad de modelos y estándares a nivel global, resultado del trabajo de un gran grupo de practicantes de diversas regiones geográficas, quienes analizan y desarrollan un paraguas general que abarca estándares específicos para seguridad, riesgos, etc. Para finalizar, la Auditoría de Sistemas de Información representa una muy buena alternativa para los profesionales tanto de Auditoría como de Ingenieros Informáticos. Ambos están igualmente capacitados para ejercer esta profesión; Sin embargo los Ingenieros Informáticos tienen una base bastante más sólida en Sistemas de Información que los Auditores, mientras que los Auditores tienen mayor conocimiento en cuanto al proceso de la Auditoría como tal. Por lo que al trabajar en conjunto se obtendrían muy buenos resultados, ya que se complementan y pueden hacer un muy buen equipo de trabajo. Con respecto a la actividad, ésta representa una muy buena alternativa en cuanto a términos monetarios y además porque da la posibilidad de modificar el destino de sus carreras, especializándose en diferentes ámbitos de las tecnologías de Información. 13

13 IX. BIBLIOGRAFÍA _exp_SPA_1113.pdf