Auditoria en Sistemas

Tecnologa en Sistemas
Cesar Ruiz

Auditoria en Sistema

Definicin. Objetivos. Diseo de Controles. Polticas de Seguridad.

Introduccin. Etapas en el diseo de polticas. Mercadeo del proyecto. Inventario y calificacin. Determinacin de los Objetivos. Anlisis y amenazas.

Definicin

Es una funcin de la auditoria que: Evala (determina),verifica (evidencias) y disea los controles en las actividades y recursos de cmputo de las empresas. Promueve la automatizacin de las diferentes modalidades de la auditoria. La verificacin de controles en el procesamiento de la informacin, desarrollo de sistemas e instalacin con el objetivo de evaluar su efectividad y presentar recomendaciones a la Gerencia. La actividad dirigida a verificar y juzgar informacin. El examen y evaluacin de los procesos del rea de Procesamiento automtico de Datos (PAD) y de la utilizacin de los recursos que en ellos intervienen, para llegar a establecer el grado de eficiencia, efectividad y economa de los sistemas computarizados en una empresa y presentar conclusiones y recomendaciones encaminadas a corregir las deficiencias existentes y mejorarlas.

Objetivos
1.

Auditoria a la Seguridad en el Centro de Cmputo

Riesgos Fsicos Organizacin y Personal Planes de Respaldo Hardware Sistema Operativo Software Aplicativo Archivos Entrada de Datos Procesamiento Archivos Salidas Utilitarios

2.

Auditoria hacia el futuro

3.

Auditoria a las Aplicaciones en Funcionamiento

Objetivos
3.

Auditoria al Desarrollo y/o modificaciones a las aplicaciones

Solicitudes Anlisis de factibilidad Etapas de la metodologa adoptada Seguridad Perfiles de Usuarios Seguridad fsica Utilizacin Respaldo

4.

Auditoria al Ambiente de Redes

5.

Auditoria al ambiente de Microcomputadores

Diseo de Controles
1. 2.

3.

4.
5.

Identificacin de riesgos Mtodos ms usados: Seleccin de riesgos crticos" La eficiencia global de un sistema es inversamente proporcional a la cantidad de controles existentes en el". Se disean controles para los riesgos ms importantes. Evaluar las implicaciones de costos, eficiencia, etc., si se decide controlar La administracin decide: Asume el riesgo o controla la operacin Se disea los controles detallados para aquellos riesgos que se decide controlar

Diseo de Controles
Anlisis de efectividad de controles 7. Anlisis de eficiencia 8. Seleccin de controles. 9. Definir el punto ms adecuado de implantacin. La bsqueda del autocontrol, exige que los controles se involucren lo mas naturalmente posible dentro de los procesos. Deben ser procedimientos que interfieran lo menos posible en las normales actividades, de hecho, se deben convertir en formas de actuar. 10. Disear un procedimiento detallado de ejecucin del control 11. Documentacin. Garantizan el mantenimiento permanente de los controles implantados
6.

Polticas de Seguridad

Es un conjunto de reglas que definen la manera en que una organizacin maneja, administra, protege y asigna recursos para alcanzar el nivel de seguridad definido como objetivo. Para que sirven?

Definen decisiones relativas sobre los objetivos de la seguridad de la informacin. Describe claramente de que deseamos protegernos. Fortalece el eslabn mas dbil de la cadena de seguridad de la informacin

A Quienes Van Dirigidas

A todo el personal que labora en la organizacin y se deben apegar a estas. Cada uno de los empleados es responsable de su cumplimiento.

Objetivos de la seguridad informtica

Confidencialidad. Integridad. Disponibilidad. Proteger la informacin de los sistemas de una manera adecuada. La administracin requiere que la informacin contenida sea integra y pueda tener la certeza para la toma de decisiones.

Etapas

Etapas

Mercadeo. Inventario y calificacin. Objetivos. Anlisis de Riesgos. Polticas de Seguridad. Plan de Implementacin. Plan de Auditoria. RetroAlimentacin.

Etapas - Mercadeo

Vender un nuevo proyecto nunca es fcil y mas si se trata de asuntos relacionados con la seguridad en sistemas, donde muchos consideran que no tienen riesgos o no son de su inters y piensan que las Polticas de Seguridad basta con copiarlas de otras instalaciones o usar el sentido comn para expedir un recetario de normas. Se pueden usar diferentes estrategias para involucrar a la alta gerencia en el proyecto, sin la participacin de la cual jams se lograr llevarlo al punto que se requiere. Esta etapa enfrenta el poco inters de las altas directivas de la empresa, el desconocimiento de la importancia de la seguridad informtica y el exceso de tecnicismo de los expertos en seguridad. Para facilitar el trabajo de concientizacin es bueno apoyarse en casos de fallos de seguridad ocurridos en negocios similares y los efectos generados; hacer notar la responsabilidad que cabe a las empresas que no han realizado los esfuerzos necesarios para minimizar los riesgos y que debido a ello pueden infringir normas legales o afectar a otros; tambin se puede evaluar la razn costo/beneficio de las medidas tendientes a enfrentar con seriedad los aspectos relativos a seguridad y que no hacerlo podra llevar a graves problemas de imagen y prestigio de la organizacin

Etapas Inventario y Clasificacin

Para saber que hay que proteger es necesario hacer un juicioso inventario de recursos informticos (hardware, software y liveware), y de los servicios ofrecidos, donde se determine la importancia para la organizacin y el grado de criticidad de cada uno. Elementos de esta Etapa:

Inventario de Recursos Informticos. Inventario de Servicios Ofrecidos. Calificacin del Grado de Importancia

Etapas Objetivos

Estn asociados a los objetivos de la Seguridad Informtica, orientados a proteger la organizacin contra amenazas que atenten contra:
1. 2. 3. 4.

La continuidad de las operaciones. La confidencialidad y privacidad informacin manejada. La confiabilidad y exactitud el sistema. La seguridad fsica.

de

la

Etapas Amenazas

En esta etapa se debe realizar lo siguiente:

Anlisis de Riesgo Formatos de Calificacin Expertos y/o Usuarios.

La metodologa de Anlisis de Riesgos, desagrega la situacin de riesgo evaluada en Escenarios de Riesgos. A partir de esto se procede a:
1. 2. 3. 4. 5.

Elegir un Escenario de Riesgo E.R. Determinar las Actividades Sujetas a Control (A.S.C.) asociadas al E.R. Elegir una A.S.C. Identificar amenazas relacionadas a la A.S.C. elegida. Tomar una amenaza.

Etapas Amenazas
6. 7. 8. 9.

Preseleccionar la mezcla de controles para proteger la instalacin contra la amenaza elegida Repetir los pasos 3 a 6. Escoger otro E.R. hasta que se hayan agotado y repetir desde paso 2. Seleccionar los controles a recomendar.

Etapas Amenazas

Puede ser dispendioso este mtodo si se posee una infraestructura muy grande. Los formatos de calificacin recogen la informacin de cada recurso, la importancia relativa que tiene, los tipos de usuarios asociados a situaciones indeseables, las posibles amenazas y las medidas a implantar para proteger suficientemente los activos contra esos riesgos. Se debe recurrir a la opinin de expertos y a las vivencias de los usuarios del sistema, para recolectar informacin de los probables riesgos y los efectos a que estn expuestos los procesos.

Etapas Poltica de Seguridad

Seguido a los pasos previos y con los conocimientos ganados se procede a la construccin del documento formal que incluir diversos elementos. (Proposicin, Componentes, Participacin y caractersticas de una buena P.S)

La Poltica de Seguridad tiene dos propsitos centrales: Informar a todos los usuarios sobre las obligaciones que deben asumir respecto a la seguridad asociada a los recursos de tecnologa de Informacin T.I y dar las guas para actuar ante posibles amenazas y problemas presentados. Para que pueda convertirse en esa lnea gua, es necesario involucrar a los diferentes sectores en la organizacin: Alta gerencia, responsables de T.I., los encargados de seguridad, los auditores, gerentes de las dependencias y representantes de los usuarios.

Etapas Poltica de Seguridad

El documento formal debe definir elementos asociados la adquisicin de hardware, software y contratacin de servicios externos teniendo presente los aspectos referentes a seguridad (outsourcing, mantenimiento a hardware y/o software, desarrollo de aplicaciones, administracin de proyectos, etc.); las disposiciones sobre privacidad y control de acceso incluidas las polticas de autenticacin; las responsabilidades asociadas a las mtodos de actuacin y el manejo de incidentes.

Etapas Implementacin

Terminado el diseo, se procede a la fase de construccin realizando las siguientes tareas.

Estudio de Soluciones. Estudio de Viabilidad. Seleccin de Herramientas. Asignacin de Recursos.

Etapas Plan de Auditoria y Retroalimentacin

Plan de Auditoria: Todo el medio cambiante y en especial en los cambios de las nuevas tecnologas informticas y de comunicacin, nos pueden llevar a nuevos riesgos y debe actuarse proactivamente para lograr los sistemas auto controlados que tanto se pregonan. La labor de auditoria entendida como la evaluacin y anlisis de esa realidad, en forma critica, objetiva e independiente, con el objeto de evaluar el grado de proteccin que presenta una instalacin ante las amenazas a que est expuesta; es parte importante del diseo e implantacin de Polticas de Seguridad. No basta con disear buenas polticas es necesario llevarlas a la prctica en forma correcta y garantizar que se adecuan a nuevas condiciones. Retroalimentacin La implementacin de Polticas de Seguridad, genera diferentes situaciones en los negocios lo que obliga al mantenimiento constante. Todo nuevo cambio debe iniciarse con un nuevo anlisis de riesgos en el sistema de gestin o detectarlos en la labor de auditoria.