CAPITULO Nº 03 MET E O T DOLOG O ÍA Í S S D E C O C NT N R T OL INT N E T RNO,, S E S GURIDA D D Y Y AUDIT I O T RÍA Í I NFO F RMÁT Á I T CA C

Transcripción

1 CAPITULO Nº 03 METODOLOGÍAS DE CONTROL INTERNO, SEGURIDAD Y AUDITORÍA INFORMÁTICA

2 3.1. INTRODUCCIÓN A LAS METODOLOGÍAS Metodología: Conjunto de métodos que se siguen en una investigación científica o en una exposición doctrinal. Las Metodologías usadas por un profesional dicen mucho de su forma de entender su trabajo y están directamente relacionadas con su experiencia profesional acumulada como parte del comportamiento humano de acierto/error. La metodología es necesaria para que un equipo de profesionales alcance un resultado homogéneo tal como si lo hiciera una solo, por lo que resulta habitual el uso de metodologías en las empresas auditoras/consultoras.

3 3.1. INTRODUCCIÓN A LAS METODOLOGÍAS Seguridad de los Sistemas de Información: es la doctrina que trata de los riesgos informáticos o creados por la informática. La informática crea unos riesgos informáticos de los que hay que proteger y preservar a la entidad con un entramado de contramedidas, y la calidad y la eficacia de las mismas. Para explicar este aspecto diremos que cualquier contramedida nace de la composición de varios factores expresados en el siguiente grafico:

4 3.1. INTRODUCCIÓN A LAS METODOLOGÍAS NORMAS ORGANIZACION METODOLOGÍA OBJETIVOS DE CONTROL PROCESAMIENTO TECNOLOGIAS DE SEGURIDAD HERRAMIENTAS DE CONTROL NORMATIVA, debe definir todo lo que debe existir y ser cumplido tanto desde el punto de vista conceptual, cómo práctico. ORGANIZACIÓN, es la que integran personas con funciones específicas y con actuaciones concretas; éste es el aspecto más importante, dado que in él, nada es posible. METODOLOGÍAS, son necesarias para desarrollar cualquier proyecto que nos propongamos de manera ordenada y eficaz.

5 3.1. INTRODUCCIÓN A LAS METODOLOGÍAS NORMAS ORGANIZACION METODOLOGÍA OBJETIVOS DE CONTROL PROCESAMIENTO TECNOLOGIAS DE SEGURIDAD HERRAMIENTAS DE CONTROL OBJETIVOS DE CONTROL, son los objetivos a cumplir en el control de procesos, este es el segundo más importante. PROCESAMIENTO, son los procedimientos operativos de las distintas áreas de la empresa, la tendencia habitual de los informáticos es la de dar más peso a las herramientas que al control o contramedida, pero no debemos olvidar que: UNA HERRAMIENTA NUNCA ES UNA SOLUCION SINO UNA AYUDA PARA CONSEGUIR UN CONTROL MEJOR

6 3.1. INTRODUCCIÓN A LAS METODOLOGÍAS NORMAS ORGANIZACION METODOLOGÍA OBJETIVOS DE CONTROL PROCESAMIENTO TECNOLOGIAS DE SEGURIDAD HERRAMIENTAS DE CONTROL TECNOLOGÍAS DE SEGURIDAD, es donde están todos los elementos ya sean Hardware o software, que ayudan a controlar un riesgo informático. LAS HERRAMIENTAS DE CONTROL, son elementos software que permiten definir uno o varios procedimientos de control para cumplir una normativa y un objetivo de control

7 3.1. INTRODUCCIÓN A LAS METODOLOGÍAS Plan de Seguridad: es una estrategia planificada de acciones y productos que lleven a un sistemas de información y sus centros de proceso de una situación inicial determinada a una situación mejorada. en el siguiente grafico se observará la tendencia actual en la organización de la seguridad de sistemas en la empresa. Organización Interna de la Seguridad Informática Comité de Seguridad de la Información Seguridad corporativa Control Interno Dpto. de Informática Dpto. de Usuarios Dirección del plan de seguridad Auditoria Informática Plan Auditor Control Informático Responsable de Ficheros

8 3.2 Metodologías de Evaluación de Sistemas Conceptos Fundamentales Análisis de Riesgos Auditoria Informática

9 3.2.1 Conceptos Fundamentales Definiciones para profundizar las metodologías Amenaza Vulnerabilidad Riesgo Exposición o Impacto

10 3.2.1 Conceptos Fundamentales Todos los riesgos que se presentan podemos: Evitarlos Transferirlos Reducirlos Asumirlos

11 3.2.2 Tipos de Metodologías Metodologías cuantitativas Basadas en un modelo matemático numérico que ayuda a la realización de trabajo.

12 Metodologías Cualitativas/Subjetivas Basadas en métodos estadísticos y raciocinio humano. Precisan de la involucración de un profesional experimentado. Pero requieren menos recursos humanos que las metodologías cuantitativas. P R O S C O N T R A S CUANTITATIVA Enfoca pensamientos mediante el uso de números. Facilita la comparación de vulnerabilidades muy distintas. Proporciona una cifra justificante para cada copntramedida Estimación de probabilidad depende de estadísticas fiables inexistentes. Estimación de las perdidas potenciales solo si son valores cuantificables. Metodologías estándares. Difíciles de mantener o modificar. Dependencia de un profesional. CUALITATIVA / SUBJETIVA Enfoca lo amplio que se desee. Plan de trabajo flexible y reactivo. Se concentra en la identificación de eventos. Incluye lectores intangibles. Dependencia fuertemente de la habilidad y calidad del personal involucrado. Puede excluir riesgos significantes desconocidos (depende de la capacidad del profesional para usar el check-list/guía). Identificación de eventos reales más claros al no tener que aplicarles probabilidades complejas de calcular. Dependencia de un profesional.

13 3.2.1 Metodologías más comunes Metodologías de Análisis de Riesgos Funcionamiento Esquemático básico de cualquier paquete Cuestionario Etapa 1 Identificar los riesgos Etapa 2 Calcular el impacto Etapa 3 Identificar las contramedidas y el coste Etapa 4 Simulaciones Creación de los informes Etapa 5 Etapa 6

14 3.2.1 Metodologías más comunes Metodologías de Análisis de Riesgos De forma genérica las metodologías existentes se diferencian en: Si son cuantitativas o cualitativas, o sea si para el Qué pasa sí? utilizan un modelo matemático o algun sistema cercano a la elección subjetiva. Y además se diferencian en el propio sistema de simulación.

15 Tipos de metodologías de análisis de riesgo Metodologías cuantitativas : se considera la frecuencia, esta basada en las diferentes bitácoras, logs y reportes de incidentes. El impacto se determina en forma cuantitativa (valores Económicos). Lo ideal es poder expresar el impacto en términos económicos. Basadas en FIPS 65 Método de IBM : basado en técnica de DELPHI = consenso de expertos para determinar los costos. RISKCALC BDSS Metodologías cualitativas: LAVA: Los Alamos Vulnerability/ Risk Assessment RISKPAC MARION CRAMM Probabilidad de ocurrencia No se tiene en cuenta la frecuencia para valorar los riesgos. La tabla muestra un claro ejemplo donde se emplea una matriz impacto/posibilidad de ocurrencia de una amenaza para determinar el nivel de riesgo que se tiene. "Aquí el riesgo indica las pérdidas ante la posibilidad de presentarse la amenaza A =riesgos que requieren pronta atención, B =no es prioritario la toma de medidas

16 Tipos de metodologías de análisis de riesgo Marion-Francia Método de evaluación que ofrece dos productos: Marion AP+ Marion RSX Sistemas individuales Sistemas distribuidos Método cuantitativo basado en una encuesta anual al CLUSIF(base de Incidentes francesa) * No contempla probabilidades. * Contempla esperanzas matemáticas (aprox. numéricas)

17 Tipos de metodologías de análisis de riesgo Marion Comprende seis etapas: 1. Identificar los incidentes e impactos sobre el SI. 2. Decidir la perdida máxima aceptable y por lo tanto los incidentes a cubrir. 3. Estimar la calidad de medidas de seguridad existentes (a partir de una lista cuestionario), identificando vulnerabilidades y contra-medidas a implementar. 4. Identificar los factores financieros que dificulten la implementación de las contra-medidas. 5. Producir una lista priorizada de contra-medidas 6. Desarrollar un plan de acción. Presenta resultados en forma gráfica, tabular y provee un gestionador del proyecto de seguridad.

18 Tipos de metodologías de análisis de riesgo Marion Utiliza cuestionarios para valorar la seguridad (SI=4,NO=0,No_aplicable=3). Parámetros correlacionados (representan graf. Distintas soluciones de contramedidas) en cada uno de los factores(27 en 6 categorías) categoría de factores 1. Seguridad informática general 2. Factores socioeconómicos 3. Concienciación sobre la seguridad de soft 4. Concienciación sobre la seguridad de materiales. 5. Seguridad en explotación. 6. Seguridad en desarrollo.

19 Tipos de metodologías de análisis de riesgo Marion Valores de ponderación para diferentes sectores (ejemplos): Sector CATEGORÍA 1 Establecimientos financieros bancos Agricultura 2 Energía Construcción Metalúrgica 3 Transporte Comercio Hospedaje

20 Tipos de metodologías de análisis de riesgo Marion El análisis de riesgo lo hace bajo 10 áreas problemas: Riesgos materiales Sabotajes físicos Averías Comunicaciones. Errores de desarrollo Errores de explotación Fraude Robo de información Robo de software Problemas de personal.

21 Tipos de metodologías de análisis de riesgo Marion

22 Tipos de metodologías de análisis de riesgo Marion Nota: - Las pérdidas posibles no deben nunca sobrepasar el VALOR DE RIESGO MAXIMO ADMISIBLE Valor dado por un estudio del banco de Francia para las distintas áreas sectoriales

23 Tipos de metodologías de análisis de riesgo RISCKPAC Metodología aplicada en Herramientas de software Profile Analysis Corporation con DATAPRO(1994) enfoque cualitativa subjetiva resultados exportables a procesadores de texto BD. Hojas de cálculo sistemas gráficos

24 Tipos de metodologías de análisis de riesgo RISCKPAC Calcula para cada aplicación un factor de riesgo: 1= nominal,..., 5 = catastrofe. Facilidades Del sistema estructurada como cuestionario en 3 niveles Entorno Procesador Aplicaciones Hardware Amb. Físico Comunicación acceso divididos en 26 categorías de Riesgo en cada nivel Riesgos relacionados Integridad, fraude Lógica de control De acceso

25 Tipos de metodologías de análisis de riesgo CRAMM-Reino Unido Desarrollado en por BIS y CCTA(Central Computer& Telecomunication Agency Risk Analisis & Management Method, England) Implantado en mas de 750 Org. En europa Metodología cualitativa y permite hacer análisis (que pasa si?) PRIMA (Prevención de Riesgos Informáticos con Metodología Abierta) metodología española(1990) enfoque subjetivo Características Cubrir necesidades de los proyectos de un plan de seguridad Adaptable Cuestionarios para identificar fallas de controles Proporciona un sistema de ayuda Informes finales Lista de ayuda y cuestionarios son abiertos

26 Tipos de metodologías de análisis de riesgo Toma de acción Identificación de debilidades Amenazas Vulnerabilidades Ponderación Análisis del impacto Y riesgo Definición de contramedidas Prioridad Costo Dificultad duración valoración de contramedidas Preparación del Plan de acción Riesgos Plan de acción Plan de proyectos Informe final Fases de la metodología PRIMA