Beruflich Dokumente
Kultur Dokumente
Contenido
Conceptos Bsicos de Auditora Informtica Justificacin Objetivos
Ejemplos
Muoz (2002,34)
Justificacin
Aumento de la vulnerabilidad
Recursos TICs
Aumento de la productividad
La productividad de cualquier organizacin depende del funcionamiento ininterrumpido de los sistemas TIC, transformando a todo el entorno en un proceso crtico adicional (Rodrguez, 2006:3).
Evidencias 1 2 3 El crecimiento del acceso a Internet y de usuarios conectados incrementa la posibilidad de concrecin de amenazas informticas. Crecimiento de la informacin disponible de empresas y sus empleados en redes sociales Ingeniera Social. Mensajes de e-mail que contienen attachments que explotan vulnerabilidades en las aplicaciones instaladas por los usuarios.
4
5 6
Evidencias 8 9 10 En el 2010 hubo 286 millones de nuevas ciberamenazas. Junto con las redes sociales otra rea de peligro en el espacio mvil (Smartphones). Ciberguerras? A lo largo de 2009, diferentes gobiernos de todo el mundo, como Estados Unidos, UK o Espaa, han mostrado la preocupacin que tienen ante ataques que puedan afectar a la economa del pas o incluso a otras reas, tales como las denominadas infraestructuras crticas. Tambin este ao 2009 vimos un ataque lanzado a diferentes pginas web de Estados Unidos y Corea del Sur.
Previsin de tendencias de amenazas informticas para 2010 Fuente: www.cxocommunity.com
11
Cuidar a las empresas en esos momentos no es labor fcil. Los ataques son incesantes (al menos 10,000 amenazas circulan en la red cada minuto), y cada ao causan prdidas por ms de 650,000 millones de dlares, dice el grupo Crime-Research.org.
El cibercrimen acecha a las empresas. Fuente. www.cnnexpansion.com
Se requiere contar con una efectiva administracin de los RIESGOS asociados con las TIC
Riesgo Informtico
La Organizacin Internacional de Normalizacin (ISO) define riesgo tecnolgico (Guas para la Gestin de la Seguridad) como: La probabilidad de que una amenaza se materialice de acuerdo al nivel de vulnerabilidad existente de un activo, generando un impacto especfico, el cual puede estar representado por prdidas y daos.
SENA, LEONARDO Y SIMN M. TENZER. 2004. Introduccin al Riesgo Informtico. Ctedra de Introduccin a la Computacin. Facultad de Ciencias Econmicas y Administracin. Universidad de la Repblica de Uruguay. Fuente: http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf
Amenaza
Acciones que pueden ocasionar consecuencias negativas en la plataforma informtica disponible: fallas, ingresos no autorizados a las reas de computo, virus, uso inadecuado de activos informticos, desastres ambientales (terremotos, inundaciones), incendios, accesos ilegales a los sistemas, fallas elctricas. Pueden ser de tipo lgico o fsico.
SENA, LEONARDO Y SIMN M. TENZER. 2004. Introduccin al Riesgo Informtico. Ctedra de Introduccin a la Computacin. Facultad de Ciencias Econmicas y Administracin. Universidad de la Repblica de Uruguay. Fuente: http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf
Vulnerabilidad
Condiciones inherentes a los activos o presentes en su entorno que facilitan que las amenazas se materialicen. Se manifiestan como debilidades o carencias: falta de conocimiento del usuario, tecnologa inadecuada, fallas en la transmisin, inexistencia de antivirus, entre otros.
SENA, LEONARDO Y SIMN M. TENZER. 2004. Introduccin al Riesgo Informtico. Ctedra de Introduccin a la Computacin. Facultad de Ciencias Econmicas y Administracin. Universidad de la Repblica de Uruguay. Fuente: http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf
Impacto
Consecuencias de la ocurrencia de las distintas amenazas: financieras o no financieras. Perdida de dinero, deterioro de la imagen de la empresa, reduccin de eficiencia, fallas operativas a corto o largo plazo, prdida de vidas humanas, etc.
SENA, LEONARDO Y SIMN M. TENZER. 2004. Introduccin al Riesgo Informtico. Ctedra de Introduccin a la Computacin. Facultad de Ciencias Econmicas y Administracin. Universidad de la Repblica de Uruguay. Fuente: http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf
Administracin de Riesgos
Luego de efectuar el anlisis de riesgo-impacto, el ciclo de administracin de riesgo finaliza con la determinacin de las acciones a seguir respecto:
Controlar el riesgo fortaleciendo los controles existentes o agregar nuevos controles. Eliminar el riesgo. Compartir el riesgo mediante acuerdos contractuales traspasando el riesgo a un tercero (Ejemplo: seguro, outsourcing de informtica). Aceptar el riesgo, determinando el nivel de exposicin.
SENA, LEONARDO Y SIMN M. TENZER. 2004. Introduccin al Riesgo Informtico. Ctedra de Introduccin a la Computacin. Facultad de Ciencias Econmicas y Administracin. Universidad de la Repblica de Uruguay. Fuente: http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf
Cualquier actividad o accin realizada manual y/o automticamente para prevenir, corregir errores o irregularidades que puedan afectar el funcionamiento de un sistema para conseguir sus objetivos.
Bajo Nivel de Vulnerabilidad? Dao a los equipos, datos o informacin Concrecin de la Amenaza Agente Amenazante
Hacker Cracker Espionaje Industrial Criminales Profesionales Usuarios (Daos intencionales o no) Objetivos: Desafo, ganancia financiera/poltica, dao
Disuasivos
Tratar de evitar el Cuando fallan los hecho preventivos para tratar de conocer cuanto antes el evento
Plataforma Informtica
Operatividad
sistema de gestin de COSO (Committee of Sponsoring seguridad de la informacin Organizations of the Treadway para su proteccin.
Commission, EEUU 1992). ITIL (Information Technology Infrastructure Library, Inglaterra 1990). ISO/IEC 17799:2000 (International Organization for Standardization/International Electrotechnical Commission, Inglaterra 2000). Modelo de evaluacin del Objectives for COBIT (Control Marco referencial que evala control interno en los Information and el Related Technology IT, proceso de gestin de los sistemas, funciones, EEUU 1998). Servicios de tecnologa de
informacin y de la infraestructura tecnologa.
NEGOCIO
Requerimientos Informacin Los Objetivos de Control COBIT Herramientas para ayudar a brindan asignar buenas prcticas a travs de un marco de responsabilidades, medir el desempeo, llevar TICS Vs. PROCESOS trabajo de benchmarks dominios y procesos, y presenta las a cabo () Las directrices actividades en una estructura manejable y ayudan a brindar respuestas a preguntas de la lgica. Representan consenso de expertos . administracin: Quel tan lejos podemos llegar Enfocadas fuertemente el costo control y menos Medidos para controlar la TI?, yen el justifica el por Ayudan en la ejecucin. optimizar beneficio ? Cules son los ia ndicadores de las un inversiones facilitadas por la son TI, asegurarn la Auditados buen desempeo? Cules las prcticas a travs entrega del servicio una medida administrativas clave y a brindarn aplicar? Qu hacen de contra la cual medimos juzgar cuando las cosas no otros? Cmo y comparamos ? (IT vayan bien (IT Governance Instituye, Ejecutados a 2006). Governance Institute, 2006).
travs de
Controlados por
Objetivos de Control
Indicadores de Desempeo
Indicadores Meta
Metas de Actividades
Modelo de Madurez
Directrices de Auditora
Traduccin
La madurez creciente y la consecuente aceptacin de marcos de trabajo respetados tales como COBIT, ITIL, ISO 17799, ISO 9001, entre otros.
La necesidad de las empresas de valorar su desempeo en comparacin con estndares generalmente aceptados y con respecto a su competencia (Benchmarking)
Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados. DOMINIO 1
PLANEAR Y ORGANIZAR
Estrategias y tcticas. Identificar la manera en que TI pueda contribuir de la mejor manera al logro de los objetivos del negocio. La visin estratgica requiere ser planeada, comunicada y administrada. Implementar una estructura organizacional y una estructura tecnolgica apropiada.
Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados.
PLANEAR Y ORGANIZAR Cubre los siguientes cuestionamientos tpicos de la gerencia: Estn alineadas las estrategias de TI y del negocio? La empresa est alcanzando un uso ptimo de sus recursos?
Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados. DOMINIO 2
ADQUIRIR E IMPLEMENTAR Para llevar a cabo la estrategia de TI, las soluciones de TI necesitan la implementacin e integracin en los procesos del negocio.
Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados.
ADQUIRIR E IMPLEMENTAR Adems para garantizar que las soluciones sigan cubre los siguientes cuestionamientos de la gerencia: Los nuevos proyectos generan soluciones que satisfagan las necesidades?
las
operaciones
Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados. DOMINIO 3
ENTREGAR Y DAR SOPORTE Este dominio cubre la entrega en s de los servicios requeridos, lo que incluye la prestacin del servicio, la administracin de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administracin de los datos y de las instalaciones operacionales.
Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados. DOMINIO 3
ENTREGAR Y DAR SOPORTE Aclara las siguientes preguntas de la gerencia: Se estn entregando los servicios de TI de acuerdo con las prioridades del negocio? Estn optimizados los costos de TI? Es capaz la fuerza de trabajo de utilizar los sistemas de TI de manera productiva y segura? Estn implantadas de forma adecuada la confidencialidad, la integridad y la disponibilidad?
Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados. DOMINIO 4
MONITOREAR Y EVALUAR Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad y cumplimiento de los requerimientos de control. Este dominio abarca la administracin del desempeo, el monitoreo del control interno, el cumplimiento regulatorio y la aplicacin del gobierno.
Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados.
MONITOREAR Y EVALUAR Abarca las siguientes preguntas de la gerencia: Se mide el desempeo de TI para detectar los problemas antes de que sea demasiado tarde? La Gerencia garantiza que los controles internos son efectivos y eficientes? Puede vincularse el desempeo de lo que TI ha realizado con las metas del negocio? Se miden y reportan los riesgos, el control, el cumplimiento y el desempeo?
Objetivos de Control
AI1 Identificar soluciones automatizadas AI1.1 Definicin y mantenimiento de los requerimientos tcnicos y funcionales del negocio.
Identificar, dar prioridades, especificar y acordar los requerimientos de negocio funcionales y tcnicos. Definir los criterios de aceptacin de los requerimientos. Estas iniciativas deben incluir todos los cambios requeridos dada la naturaleza del negocio, de los procesos, de las aptitudes y habilidades del personal, su estructura organizacional y la tecnologa de apoyo. Establecer procesos para garantizar y administrar la integridad, exactitud y la validez de los requerimientos del negocio, como base para el control de la adquisicin y el desarrollo continuo de sistemas.
Modelo de Madurez
Escala de medicin creciente a partir de 0 (No existente) hasta 5 (Optimizado) para la evaluacin de los procesos a partir de los objetivos de control (IT Governance Institute, 2006).
No Existente Inicial Repetible Definido Administrado Optimizado
Norma COBIT
COBIT es la fusin entre prcticas de informtica (ITIL, ISO/IEC 17799) y prcticas de control (COSO), las cuales plantean tres tipos de requerimientos de negocio para la informacin:
Terminologa COBIT
Efectividad: Se refiere a que la informacin relevante sea pertinente para el proceso del negocio, as como la entrega oportuna sea correcta, consistente y de manera utilizable ante terceros, para poder cumplir con parte del requerimiento fiduciario.
Eficiencia: Siguiendo los requerimientos del negocio de la informacin, en cuanto a calidadcosto, la eficiencia viene dada a travs de la utilizacin ptima (ms productiva y econmica) de recursos.
Terminologa COBIT
Confidencialidad: Se refiere a la proteccin de informacin sensible contra divulgacin no autorizada. Cumple con el principio de calidad. Integridad: Para el requerimiento de seguridad, la integridad es la precisin y suficiencia de la informacin, as como a su validez de acuerdo con los valores y expectativas del negocio. Disponibilidad: Se trata de la oportunidad de entrega de la informacin cuando sta sea requerida por el proceso de negocio ahora y en el futuro. Tambin se refiere a la salvaguarda de los recursos necesarios y capacidades asociadas.
Terminologa COBIT
Cumplimiento: Se refiere al cumplimiento de aquellas leyes, regulaciones y acuerdos contractuales a los que el proceso de negocios est sujeto, por ejemplo, criterios de negocio impuestos externamente. Confiabilidad de la informacin: Es la provisin de informacin apropiada para la administracin con el fin de operar la entidad y para ejercer sus responsabilidades de reportes financieros y de cumplimiento.
Bibliografa Referencial
AUDITORIA DE SISTEMAS DE BARCELONA CONSULTORES (2004). Auditoria de Sistemas. Home page URL: http://www.auditoriasistemas.com (Consulta: Noviembre 2006). ECHENIQUE GARCA, JOS (2001). Auditora en Informtica. 2da Edicin. McGraw Hill. Mxico. INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION (1998). COBIT, marco referencial, objetivos de control para la informacin y tecnologa afines. 2da Edicin. MUOZ RAZO, CARLOS. 2002. Auditora en Sistemas Computacionales. Pearson-Prentice Hall. Mxico. RODRGUEZ R., FERNANDO (2006). Auditora Informtica en la Administracin: un reto para los profesionales TIC. Tecnimap. Comunicacin No. 043. Espaa. PIATTINI, MARIO Y EMILIO DEL PESO (1998). Auditora en Informtica. Un enfoque prctico. Editorial RAMA. Espaa. RUIZ GONZLEZ, FRANCISCO (1999). Planificacin y Gestin de Sistemas de Informacin. 2da. Edicin. COBIT-Universidad de Castilla. Espaa.
SYMANTEC ENTERPRISE SECURITY (2010). Symantec Internet Security Threat Report. Trends for 2009. Vol XV. USA. Fuente: www.symantec.com
VEGA, JAIME (2003). Auditora de sistemas. Seccin 9. Captulo 53. Enciclopedia de Auditora. Editorial Ocano Centrum. Espaa.