Beruflich Dokumente
Kultur Dokumente
Tecnologa en Sistemas
Cesar Ruiz
Auditoria en Sistema
Introduccin. Etapas en el diseo de polticas. Mercadeo del proyecto. Inventario y calificacin. Determinacin de los Objetivos. Anlisis y amenazas.
Definicin
Es una funcin de la auditoria que: Evala (determina),verifica (evidencias) y disea los controles en las actividades y recursos de cmputo de las empresas. Promueve la automatizacin de las diferentes modalidades de la auditoria. La verificacin de controles en el procesamiento de la informacin, desarrollo de sistemas e instalacin con el objetivo de evaluar su efectividad y presentar recomendaciones a la Gerencia. La actividad dirigida a verificar y juzgar informacin. El examen y evaluacin de los procesos del rea de Procesamiento automtico de Datos (PAD) y de la utilizacin de los recursos que en ellos intervienen, para llegar a establecer el grado de eficiencia, efectividad y economa de los sistemas computarizados en una empresa y presentar conclusiones y recomendaciones encaminadas a corregir las deficiencias existentes y mejorarlas.
Objetivos
1.
Riesgos Fsicos Organizacin y Personal Planes de Respaldo Hardware Sistema Operativo Software Aplicativo Archivos Entrada de Datos Procesamiento Archivos Salidas Utilitarios
2.
3.
Objetivos
3.
Solicitudes Anlisis de factibilidad Etapas de la metodologa adoptada Seguridad Perfiles de Usuarios Seguridad fsica Utilizacin Respaldo
4.
5.
Diseo de Controles
1. 2.
3.
4.
5.
Identificacin de riesgos Mtodos ms usados: Seleccin de riesgos crticos" La eficiencia global de un sistema es inversamente proporcional a la cantidad de controles existentes en el". Se disean controles para los riesgos ms importantes. Evaluar las implicaciones de costos, eficiencia, etc., si se decide controlar La administracin decide: Asume el riesgo o controla la operacin Se disea los controles detallados para aquellos riesgos que se decide controlar
Diseo de Controles
Anlisis de efectividad de controles 7. Anlisis de eficiencia 8. Seleccin de controles. 9. Definir el punto ms adecuado de implantacin. La bsqueda del autocontrol, exige que los controles se involucren lo mas naturalmente posible dentro de los procesos. Deben ser procedimientos que interfieran lo menos posible en las normales actividades, de hecho, se deben convertir en formas de actuar. 10. Disear un procedimiento detallado de ejecucin del control 11. Documentacin. Garantizan el mantenimiento permanente de los controles implantados
6.
Polticas de Seguridad
Es un conjunto de reglas que definen la manera en que una organizacin maneja, administra, protege y asigna recursos para alcanzar el nivel de seguridad definido como objetivo. Para que sirven?
Definen decisiones relativas sobre los objetivos de la seguridad de la informacin. Describe claramente de que deseamos protegernos. Fortalece el eslabn mas dbil de la cadena de seguridad de la informacin
A todo el personal que labora en la organizacin y se deben apegar a estas. Cada uno de los empleados es responsable de su cumplimiento.
Confidencialidad. Integridad. Disponibilidad. Proteger la informacin de los sistemas de una manera adecuada. La administracin requiere que la informacin contenida sea integra y pueda tener la certeza para la toma de decisiones.
Etapas
Etapas
Mercadeo. Inventario y calificacin. Objetivos. Anlisis de Riesgos. Polticas de Seguridad. Plan de Implementacin. Plan de Auditoria. RetroAlimentacin.
Etapas - Mercadeo
Vender un nuevo proyecto nunca es fcil y mas si se trata de asuntos relacionados con la seguridad en sistemas, donde muchos consideran que no tienen riesgos o no son de su inters y piensan que las Polticas de Seguridad basta con copiarlas de otras instalaciones o usar el sentido comn para expedir un recetario de normas. Se pueden usar diferentes estrategias para involucrar a la alta gerencia en el proyecto, sin la participacin de la cual jams se lograr llevarlo al punto que se requiere. Esta etapa enfrenta el poco inters de las altas directivas de la empresa, el desconocimiento de la importancia de la seguridad informtica y el exceso de tecnicismo de los expertos en seguridad. Para facilitar el trabajo de concientizacin es bueno apoyarse en casos de fallos de seguridad ocurridos en negocios similares y los efectos generados; hacer notar la responsabilidad que cabe a las empresas que no han realizado los esfuerzos necesarios para minimizar los riesgos y que debido a ello pueden infringir normas legales o afectar a otros; tambin se puede evaluar la razn costo/beneficio de las medidas tendientes a enfrentar con seriedad los aspectos relativos a seguridad y que no hacerlo podra llevar a graves problemas de imagen y prestigio de la organizacin
Inventario de Recursos Informticos. Inventario de Servicios Ofrecidos. Calificacin del Grado de Importancia
Etapas Objetivos
Estn asociados a los objetivos de la Seguridad Informtica, orientados a proteger la organizacin contra amenazas que atenten contra:
1. 2. 3. 4.
La continuidad de las operaciones. La confidencialidad y privacidad informacin manejada. La confiabilidad y exactitud el sistema. La seguridad fsica.
de
la
Etapas Amenazas
La metodologa de Anlisis de Riesgos, desagrega la situacin de riesgo evaluada en Escenarios de Riesgos. A partir de esto se procede a:
1. 2. 3. 4. 5.
Elegir un Escenario de Riesgo E.R. Determinar las Actividades Sujetas a Control (A.S.C.) asociadas al E.R. Elegir una A.S.C. Identificar amenazas relacionadas a la A.S.C. elegida. Tomar una amenaza.
Etapas Amenazas
6. 7. 8. 9.
Preseleccionar la mezcla de controles para proteger la instalacin contra la amenaza elegida Repetir los pasos 3 a 6. Escoger otro E.R. hasta que se hayan agotado y repetir desde paso 2. Seleccionar los controles a recomendar.
Etapas Amenazas
Puede ser dispendioso este mtodo si se posee una infraestructura muy grande. Los formatos de calificacin recogen la informacin de cada recurso, la importancia relativa que tiene, los tipos de usuarios asociados a situaciones indeseables, las posibles amenazas y las medidas a implantar para proteger suficientemente los activos contra esos riesgos. Se debe recurrir a la opinin de expertos y a las vivencias de los usuarios del sistema, para recolectar informacin de los probables riesgos y los efectos a que estn expuestos los procesos.
Seguido a los pasos previos y con los conocimientos ganados se procede a la construccin del documento formal que incluir diversos elementos. (Proposicin, Componentes, Participacin y caractersticas de una buena P.S)
La Poltica de Seguridad tiene dos propsitos centrales: Informar a todos los usuarios sobre las obligaciones que deben asumir respecto a la seguridad asociada a los recursos de tecnologa de Informacin T.I y dar las guas para actuar ante posibles amenazas y problemas presentados. Para que pueda convertirse en esa lnea gua, es necesario involucrar a los diferentes sectores en la organizacin: Alta gerencia, responsables de T.I., los encargados de seguridad, los auditores, gerentes de las dependencias y representantes de los usuarios.
El documento formal debe definir elementos asociados la adquisicin de hardware, software y contratacin de servicios externos teniendo presente los aspectos referentes a seguridad (outsourcing, mantenimiento a hardware y/o software, desarrollo de aplicaciones, administracin de proyectos, etc.); las disposiciones sobre privacidad y control de acceso incluidas las polticas de autenticacin; las responsabilidades asociadas a las mtodos de actuacin y el manejo de incidentes.
Etapas Implementacin
Plan de Auditoria: Todo el medio cambiante y en especial en los cambios de las nuevas tecnologas informticas y de comunicacin, nos pueden llevar a nuevos riesgos y debe actuarse proactivamente para lograr los sistemas auto controlados que tanto se pregonan. La labor de auditoria entendida como la evaluacin y anlisis de esa realidad, en forma critica, objetiva e independiente, con el objeto de evaluar el grado de proteccin que presenta una instalacin ante las amenazas a que est expuesta; es parte importante del diseo e implantacin de Polticas de Seguridad. No basta con disear buenas polticas es necesario llevarlas a la prctica en forma correcta y garantizar que se adecuan a nuevas condiciones. Retroalimentacin La implementacin de Polticas de Seguridad, genera diferentes situaciones en los negocios lo que obliga al mantenimiento constante. Todo nuevo cambio debe iniciarse con un nuevo anlisis de riesgos en el sistema de gestin o detectarlos en la labor de auditoria.