Casos Prác*cos de Auditoría y Seguridad Informá*ca

Transcripción

1 Jornadas sobre Supervisión electrónica y Tecnología Casos Prác*cos de Auditoría y Seguridad Informá*ca Ing. Lilia Liu, CFE, CRISC, COBIT 5 Centro de Formación de la AECID en La An@güa, Guatemala 17 de noviembre de 2015

2 Auditoría Informá*ca: Contenido (1/2) 1. Concepto de auditoría informá*ca. 2. Estándares internacionales en auditoría informá*ca. 3. Tipos de auditoría informá*ca. 4. Cómo implementamos la auditoría informá*ca. 5. Factores limitantes en una auditoría informá*ca. 6. Ejemplos de auditoría informá*ca: a. Controles generales b. Infraestructura tecnológica c. Sistemas opera*vos d. Base de datos e. Aplicaciones en Producción

3 Contenido (2/2) Seguridad Informá*ca: 1. Concepto de seguridad informá*ca. 2. Estándares internacionales en seguridad informá*ca. 3. Cómo implementamos la seguridad informá*ca. 4. Polí*ca de seguridad informá*ca. 5. Caso prác*co de seguridad informá*ca.

4 Auditoría Informá*ca

5 Concepto de Auditoría Informá*ca Es el proceso de revisión o verificación de todo el entorno informá*co con la finalidad de prevenir un riesgo en la organización. Las auditorías informá*cas son u*lizados como: 1. Apoyo a las auditorías financieras 2. Cumplimiento a regulaciones y norma*vas 3. Medida de prevención ante cualquier riesgo potencial 4. Análisis de desempeño de la función de tecnología 5. Puntos de oportunidad de mejoras.

6 Estándares internacionales en auditoría informá*ca El marco de referencia para la realización de las auditorías informá*cas es el Existen otros estándares internacionales: Sarbanes Oxley

7 Tipos de Auditoría Informá*ca Controles generales > Diagnós*co Base de datos: Oracle, SAP, SQL Sistema Opera*vo: Windows, Linux, Unix, OS/400 Aplicaciones en producción o en desarrollo Migración de aplicaciones Migración de base de datos Cambios de infraestructura tecnológica Ac*vos tecnológicos: hardware y socware Redes y Comunicaciones

8 Tipos de Auditoría Informá*ca 10. Seguridad informá*ca 11. Pruebas de vulnerabilidad interna y externa 12. Administración de proyectos tecnológicos 13. Acuerdos de niveles de servicio (SLA) 14. Pruebas de validación 15. Centros de datos 16. Implementación de nuevo sistema 17. Con*ngencia y Recuperación de Desastres 18. Con*nuidad de negocios 19. Ciberseguridad 20. Y Otros más

9 Si*o web de ISACA es una organización líder en seguridad y control de entornos informá*cos, con filiales en cerca de 100 países y de interés para profesionales de Ciencias Económicas, Informá*ca e Ingeniería. Através de su Centro de Conocimiento (Knowledge Center) posee la guía necesaria para poder realizar auditorías informá*cas específicas.

10 Cómo implementamos la Auditoría Informá*ca? Mediante un proceso de planificación ordenado y programado: 1. Definir el alcance y el obje*vo de la auditoría 2. Definir los sponsor (promotores) 3. Definir la metodología de trabajo 4. Definir los recursos requeridos: personal, financiero, herramientas. 5. Definir el *empo requerido para su realización 6. Elaboración de cronograma de auditoría 7. Elaboración de entrevistas, trabajo de campo, papeles de trabajo 8. Elaboración de un informe preliminar y discusión con las áreas auditadas. 9. Presentación ejecu*va: comité de auditoría o reunión con direc*vos.

11 Herramientas de apoyo que se u*lizan en las auditorías informá*cas

12 Qué es lo más valioso de una Auditoría El Informe de Auditoría donde: Informá*ca? 1. Iden*fique claramente los riesgos potenciales a los cuales la organización se expone 2. Mejorar el ambiente de control 3. Tener recomendaciones y un plan de acción para cada recomendación 4. Tener un plan de seguimiento y su monitoreo constante 5. Reflejar el compromiso de la Alta gerencia y de la Junta Direc*va

13 Factores limitantes en una Auditoría Informá*ca 1. Des*nar un presupuesto limitado. 2. Poco conocimiento del personal de auditoría sobre lo que se desea auditar. 3. Falta de herramientas tecnológicas para poder apoyar la ges*ón de auditoría. 4. Manejo inapropiado de la metodología de trabajo. 5. Falta de compromiso de los promotores, alta gerencia o cuerpo direc*vo. Estos puntos puede hacer que fracase la Auditoría Informá;ca

14 Ejemplo de una Auditoría Informá*ca de Controles Generales 1. Alcance: realización de un diagnós*co general de todo el entorno tecnológico de la organización, incluyendo los servicios tercerizados. 2. Obje*vo principal: evaluación de los controles existentes e iden*ficar los puntos de mejora para minimizar su exposición al riesgo. 3. Metodología a u*lizar: COBIT 5 4. Equipo de trabajo: a. Líder del proyecto (definir un resumen breve de su experiencia) b. 2 auditores (definir un resumen breve de su experiencia) 5. Herramientas a u*lizar: a. IDEA b. TEAM MATE 6. Tiempo de duración de la auditoría (cronograma): fecha es*mada de inicio y fecha de finalización. 7. Lista de requerimientos de las áreas a auditar. 8. Encuesta a usuarios automa*zado. 9. Entrevista a personal de Tecnología y usuarios claves. 10. Modelo a presentar.

15 Ejemplo de una Auditoría Informá*ca de Infraestructura Tecnológica 1. Alcance: Efectuar una revisión de toda la infraestructura tecnológica existente en la organización. 2. Obje*vo principal: evaluar los controles existentes en la administración de los ac*vos tecnológicos. 3. Metodología a u*lizar: COBIT 5 4. Equipo de trabajo. 5. Herramientas a u*lizar: a. Solar Winds b. Belarc Advisor 6. Tiempo de duración de la auditoría (cronograma) 7. Listado de los ac*vos: hardware y socware 8. Servidores principales 9. Descrip*vo de las redes LAN y WAN 10. Esquemas de replicación de datos 11. Arquitectura de base de datos 12. Arquitectura de los sistemas de seguridad

16 Seguridad Informá*ca

17

18 Hoy en día las empresas requieren de acciones más concretas para contrarrestar el caos generado como consecuencia de la adopción de estas nuevas tecnologías: 1. Planeamiento estratégico de IT 2. Ges*ón del cambio y de la innovación 3. IT como Broker 4. Crear dashboard de ges*ón 5. Una oficina de ges*ón de IT (PMO) 6. ITIL

19 Concepto de Seguridad Informá*ca Es el conjunto de normas, procedimientos y herramientas que *enen como obje*vo garan*zar: 1. La disponibilidad, 2. La integridad, 3. La confidencialidad y 4. Buen uso de la información que reside en un sistema informá*co.

20 ISO proporciona recomendaciones de las mejores prác*cas en la ges*ón de la seguridad de la información a todos los interesados y responsables en iniciar, implantar o mantener sistemas de ges*ón de seguridad de la información.

21 ISO/IEC Guía para la implementación de un Sistema de Ges;ón de Seguridad de la Información. La norma *ene el siguiente contenido: 1. Alcance. 2. Referencias Norma*vas. 3. Términos y Definiciones. 4. Estructura de esta Norma. 5. Obtención de la aprobación de la alta dirección para iniciar un SGSI. 6. Definición del alcance del SGSI, límites y polí*cas. 7. Evaluación de requerimientos de seguridad de la información. 8. Evaluación de Riesgos y Plan de tratamiento de riesgos. 9. Diseño del SGSI. Anexo A: lista de chequeo para la implementación de un SGSI. Anexo B: Roles y responsabilidades en seguridad de la información Anexo C: Información sobre auditorías internas. Anexo D: Estructura de las polí*cas de seguridad. Anexo E: Monitoreo y seguimiento del SGSI.

22 ISO/IEC EN EL SIGUIENTE LINK ENCONTRARÁ UN EJEMPLO DE UNA GUÍA PARA GESTIONAR LA SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN (SGSI) LA GUÍA TÉCNICA COLOMBIANA PARA EL SGSI ISO- IEC27003.pdf

23 COBIT 5 for Informa*on Security El COBIT 5 brinda una guía básica para definir, operar y monitorear un sistema para la ges*ón de la seguridad, como son: APO13 Ges*ón de la seguridad (treceavo proceso del dominio Alineación, Planeación y Organización) DSS04 Ges*ón de la con*nuidad (cuarto proceso del dominio Entrega, Soporte y Servicio) DSS05 Ges*ón de servicios de seguridad (quinto proceso del mismo dominio)

24

25 Cómo implementamos la Seguridad Informá*ca? 1. Elaborar un Plan de Seguridad Informá*ca 2. Tener un presupuesto para este tema 3. Establecer una Polí*ca de Seguridad Informá*ca 4. Proteger los equipos portá*les y de escritorio 5. Mantener los programas actualizados 6. Sistemas de monitoreo: de correo, de la red interna, WIFI 7. Establecer conexiones seguras con los clientes 8. Mantener los datos a salvo (copias de seguridad, cifrado de datos, sistemas UPS) 9. Protección de los disposi*vos móviles. 10. Plan de capacitación con*nua en materia de seguridad para el personal. 11. Revisión del Plan de seguridad.

26 Deberá abarcar: Polí*ca de Seguridad Informá*ca 1. Alcance de la polí*ca, incluyendo sistemas y personal sobre el cual se aplica. 2. Obje;vos de la polí*ca y descripción clara de los elementos involucrados en su definición. 3. Responsabilidad de cada uno de los servicios, recurso y responsables en todos los niveles de la organización. 4. Responsabilidades de los usuarios con respecto a la información que generan y a la que *enen acceso. 5. Requerimientos mínimos para la configuración de la seguridad de los sistemas al alcance de la polí*ca. 6. Definición de violaciones y las consecuencias del no cumplimiento de la polí*ca. 7. Por otra parte, la polí*ca debe especificar la autoridad que debe hacer que las cosas ocurran, el rango de los correc*vos y sus actuaciones que permitan dar indicaciones sobre la clase de sanciones que se puedan imponer. Pero, no debe especificar con exac*tud qué pasara o cuándo algo sucederá; ya que no es una sentencia obligatoria de la ley. 8. Explicaciones comprensibles (libre de tecnicismos y términos legales pero sin sacrificar su precisión) sobre el porque de las decisiones tomadas. 9. Finalmente, como documento dinámico de la organización, deben seguir un proceso de actualización periódica sujeto a los cambios organizacionales relevantes: crecimiento de la planta de personal, cambio en la infraestructura computacional, alta y rotación de personal, desarrollo de nuevos servicios, cambio o diversificación de negocios, etc.

27 Caso Prác*co de Seguridad Informá*ca hvp://sisbib.unmsm.edu.pe/bibvirtual/tesis/basic/cordova_rn/contenido.htm