Ing. Nicolás Serrano

Transcripción

1 Ing. Nicolás Serrano

2 Detalles del trabajo Problema Objetivos Antecedentes en la FIng Temas tratados Estado del arte Caso de estudio Conclusiones

3 Tesis de Grado Junio a Diciembre del 2012 Estudiante: Nicolás Serrano Tutor: Cristina Mayr Tribunal: María Eugenia Corti Daniel Meerhoff Sebastián Pizard Centro de estudios: Universidad de la República Facultad de Ingeniería Instituto de Computación

4 La operativa de las organizaciones es soportada por la Tecnología. Además, la información es un activo fundamental (bien intangible con el cual la empresa obtiene un beneficio). Es sumamente importante administrar y brindar la seguridad adecuada de los sistemas, infraestructura, procesos, políticas, etc. de TI dentro de éstas. Los Bancos tienen un rol muy importante en la sociedad. Estas instituciones requieren que su soporte tecnológico reciba la auditoría adecuada, para evaluar su eficacia, eficiencia, seguridad, gestión, etc.

5 Auditoría de TI Gobierno de TI Estado del arte Control Interno de TI Seguridad Informática Riesgo de TI Luego de realizar un estudio de estos conceptos, aplicarlos a organizaciones del tipo bancario.

6 No son temas que se tengan mucho en cuenta a nivel de grado. Se focaliza en otros temas. Sin antecedente estrechamente relacionado con la temática en tesis de grado o trabajos similares. No fue un proyecto de grado fácilmente aceptado en un principio. De igual manera, no existen grupos de trabajo o investigación dedicados plenamente a estos temas. Pero a nivel de posgrado, existen materias más relacionadas y se desarrollan tesis de maestría cercanas en la temática.

7 Administración del riesgo de TI Basado en la NIST SP Identificación, evaluación y priorización de vulnerabilidades y amenazas. Medidas para evitar, mitigar o reducir su impacto. Adm. del Riesgo de TI integrado al ciclo de vida de los sistemas. Gestión de la Seguridad de la Información Basado en la familia ISO/IEC Confidencialidad Integridad Disponibilidad. SGSI PDCA. Buenas prácticas Auditoría de un SGSI Gobierno.

8 Control Interno de TI Qué es el Control Interno Controles Preventivos Evitar eventos Controles Detectivos Registrar eventos Controles Reactivos Mec. sistemático para detectar y corregir Cobit 4.1 COBIT 5 Más allá de que haya cambiado su alcance Gobierno de TI Qué es el Gobierno de TI Objetivos Alineación Valor Monitoreo - Etc Decisiones Principios Arq Estrategias Inver. ISO/IEC y MITSloan

9 Auditoría Misión: Realizar una revisión independiente y especializada de las tareas, áreas o funciones de una institución, con el fin de emitir un reporte sobre la eficacia y eficiencia de sus operaciones y resultados. Interna/Externa Financiera, Fiscal, Operativa, etc

10 Metodología de la Auditoría de TI Planeación Trabajo de campo y documentación Detección y validación de problemas Desarrollo de soluciones Redacción y emisión del reporte de auditoría Seguimiento de los problemas Valor aportado al Banco

11 Focos en la auditoría de TI: Seguridad de la información Infraestructura de red CPD y recuperación de desastres Estructura, operativa y administración de TI Aplicaciones

12 Principales estándares y frameworks utilizados: ISO/IEC ISO/IEC ISO/IEC ISO/IEC SP CobiT 4.1 COBIT 5 TIA 942 ISO/IEC

13 Entidades financieras: Casas de Cambio Consorcios Casas Financie -ras Seguros Bancos IFEs Mercado de Valores Adm. de Crédito Cooperativas AFAPs

14 Aspectos tecnológicos claves: Core del Negocio Base de Datos Redes de Comunicaciones Centro de Procesamiento de Datos Seguridad Informática y de la Información Continuidad del Negocio Gestión y Gobierno de TI Plan Estratégico Políticas y Procedimientos Riesgo y Control Interno de TI Servicios Tercerizados

15 Normativa: AGESIC Normas técnicas Políticas - Guías - Directrices Marco legal Artículos - Leyes - Decretos - Etc. BCU Comunicaciones 2008/ /069 Circulares RNRCSF (recopilación de normas de regulación y control del sistema financiero) Estándares mínimos de gestión Tareas del Directorio - Tareas de la Alta Gerencia Tareas para mitigar el Riesgo Operacional - Estándares de TI

16 Metodología: 1. Planeación Objetivos y alcance de la Auditoría. Planificación. Evaluación de riesgos. Entrevistas iniciales. 2. Trabajo de Campo Análisis de datos. Entrevistas. Documentación de hallazgos. Cumplimiento de los objetivos previamente fijados. 3. Detección de Problemas Analizar hallazgos. Validación de estos. Medición de su importancia.

17 Metodología: 4. Desarrollo de Soluciones Evaluar en conjunto con auditado las mejores soluciones para los problemas. Validar estos planes de acción. 5. Reporte de Auditoría Redacción del informe final. Entrega a las personas adecuadas. 6. Seguimiento Seguimiento periódico de las debilidades/planes de acción.

18 Auditoría de aplicaciones Rastros de auditoría en el core bancario y toda aplicación sensible. Seguirle el rastro a las transacciones en caso de algún problema. También para estudiar posibles intentos de fraudes o ataques a los sistemas, etc. En caso de tercerizar el desarrollo de los sistemas, se debería exigirle al proveedor que implemente esta funcionalidad en la aplicación. Auditoría de la estructura, operativa y administración de TI Organización de TI claramente definida en el banco, con sus responsabilidades y obligaciones bien marcadas. TI debe ocupar el lugar indicado dentro del Banco, ni muy abajo ni muy arriba en el organigrama, para evitar casos de falta de poder que le impidan tomar decisiones, o casos de demasiado poder en donde TI obstruya al corriente funcionamiento del negocio. Dentro de la organización de TI, se debería velar por una adecuada segregación de funciones.

19 Auditoría de la infraestructura de red Adecuados controles de seguridad y auditoría en el acceso remoto a la red del banco (desde distintas sucursales, o incluso desde casas matrices en el extranjero). Auditoría del centro de procesamiento de datos y recuperación de desastres En caso de utilizarse un sitio de contingencia, el auditor debería visitarlo y asegurarse que cuenta con las medidas de seguridad adecuada para permitir la reanudación y continuidad de las operaciones del banco. Además, ya que generalmente estos sitios son compartidos con otras empresas, es necesario que el auditor evalúe las garantías de seguridad, confidencialidad y disponibilidad que le ofrece este sitio. Auditoría de la seguridad de la información Existen mecanismos de reporte ante cualquier situación problemática, incidente, debilidad o malfuncionamiento; por los cuales los empleados puedan reportar al responsable de Seguridad de la Información del Banco.

20 Auditoría sobre los otros conceptos vistos Administración del Riesgo de TI Existencia de algún procedimiento o metodología de Administración del Riesgo de TI. Evaluar uso de SP Gestión de la Seguridad de la Información Se podría utilizar la ISO , o , dependiendo de si se tiene o no, un SGSI. Control Interno de TI Para seguir un marco de trabajo estructurado, lo más recomendable en la práctica, sería utilizar el modelo de Control Interno COSO, y para bajar a nivel de TI, usar CobiT 4.1 o COBIT 5. Gobierno de TI Evaluar las responsabilidades y decisiones claves del Gobierno de TI. Se puede utilizar como marco la ISO

21 Instituciones: GAO IEEE ISACA ISF ISO ITGI NIST Sandia SANS TIA

22 Conclusiones del trabajo: El presente trabajo buscó explorar nuevos conocimientos en el campo de la ingeniería en computación y en la tecnología, para luego aplicarlos en un caso de estudio lo más real posible. Las organizaciones grandes y complejas (como los bancos), necesitan ser auditados. Mantener su operativa confiable, segura y eficiente. Es recomendable que estas instituciones se apoyen en estándares, metodologías y frameworks conocidos y ampliamente aplicados. Relacionado a la Fing: Generar conciencia sobre estos temas en la FIng. Más temas en las materias actuales, y más materias relacionadas (a nivel de grado). Posibilidad de estructurar perfiles.

23 Preguntas?

24 Ing. Nicolás Serrano