Cap.
3 - Piattini
AUDITORIA EN TICs
METODOLOGIAS DE CONTROL
INTERNO, SEGURIDAD Y AUDITORIA
INFORMATICA
�Cap. 3 - Piattini
METODO
RAE.
Modo de decir o hacer con orden una cosa
METODOLOGIA
Conjunto de METODOS que se siguen en una
investigacin cientfica o en una exposicin
doctrinal
�Cap. 3 - Piattini
FACTORES COMPONENTES
DE CONTRAMEDIDA
�Cap. 3 - Piattini
PLAN DE SEGURIDAD
ESTRATEGIA PLANIFICADA DE ACCIONES Y PRODUCTOS
QUE LLEVEN A UN SISTEMA DE INFORMACION Y SUS
CENTROS DE PROCESOS A UNA SITUACION INICIAL
DETERMINADA A UNA SITUACION MEJORADA.
Mejora Continua
�Cap. 3 - Piattini
ORGANIZACIN INTERNA DE LA SEGURIDAD INFORMATICA
COMIT DE SEGURIDAD DE LA
INFORMACION
Seguridad corporativa
Control Interno
Dpto. de Informtica
Dpto. de Usuarios
Direccin del Plan de Seguridad
AUDITORIA INFORMATICA
PLAN AUDITOR
DICTAMENES DE AUDITORIA
CONTROL INFORMATICO
* RESPONSABLES DE
FICHEROS
* CONTROLES
GENERALES
INFORMATICOS
�METODOLOGIAS DE EVALUACION DE SISTEMAS
ANALISIS DE
RIESGOS
AUDITORIA
ANALISIS DE
INFORMATICA
RIESGOS
Identifica solo el NIVEL de exposicin
por la falta de controles
Cap. 3 - Piattini
�METODOLOGIAS DE EVALUACION DE SISTEMAS
ANALISIS DE
RIESGOS
AUDITORIA
ANALISIS DE
INFORMATICA
RIESGOS
Facilita la EVALUACION de los riesgos
y recomienda acciones en base al
COSTO BENEFICIO.
Cap. 3 - Piattini
�METODOLOGIAS DE EVALUACION DE SISTEMAS
COSTOS
CONTROLES
Cap. 3 - Piattini
�METODOLOGIAS DE EVALUACION DE SISTEMAS
ANALISIS DE
RIESGOS
Cap. 3 - Piattini
AUDITORIA
ANALISIS DE
INFORMATICA
RIESGOS
Una (s) persona(s) o cosa
vista como posible fuente de
peligro o catstrofe.
AMENAZA
Inundacin
Incendio
Robo de datos
Sabotaje
Implicaciones con la ley
Aplicaciones mal diseadas
Gastos sin control
�METODOLOGIAS DE EVALUACION DE SISTEMAS
ANALISIS DE
RIESGOS
Cap. 3 - Piattini
AUDITORIA
ANALISIS DE
INFORMATICA
RIESGOS
Situacin presentada por
ausencia de control.
vulnerabilidad
Falta de control de acceso
lgico
Falta de control de versiones
Falta de control de soportes
magnticos
�METODOLOGIAS DE EVALUACION DE SISTEMAS
ANALISIS DE
RIESGOS
RIESGO
Riesgo es la probabilidad de
que ocurra algo con
consecuencias negativas.
Cap. 3 - Piattini
AUDITORIA
ANALISIS DE
INFORMATICA
RIESGOS
Probabilidad de ocurrencia
causada por una
vulnerabilidad
Ej.
Los datos estadsticos de
cada evento de una base de
datos de incidentes
�METODOLOGIAS DE EVALUACION DE SISTEMAS
ANALISIS DE
RIESGOS
EXPOSICION
O
IMPACTO
Cap. 3 - Piattini
AUDITORIA
ANALISIS DE
INFORMATICA
RIESGOS
Resultante o efecto del
riesgo.
En trminos econmicos
Vidas humanas
Imagen
Honor
Defensa Nacional
�Cap. 3 - Piattini
METODOLOGIAS DE EVALUACION DE SISTEMAS
ANALISIS DE
RIESGOS
AMENAZA
VULNERABILIDAD
ANALISIS DE
RIESGOS
AUDITORIA
INFORMATICA
RIESGO
EXPOSICION
O IMPACTO
�World Trade Center
11 set. 2001
Cap. 3 - Piattini
�El RIESGO Se puede;
Evitar
Transferir
Reducir
Asumir
Cap. 3 - Piattini
�TIPOS DE METODOLOGIAS
CUANTITATIVAS
MODELOS MATEMATICOS
ALE. - ROI (SIMULACION)
CUALITATIVAS
CRITERIO Y RACIOCINIO HUMANO
Cap. 3 - Piattini
�METODOLOGIAS
CUALITATIVAS - SUBJETIVAS
Cap. 3 - Piattini
METODOS
ESTADISTICOS Y LOGICA
BORROSA
CUANTITATIVA
PROS
Enfoca pensamientos mediante
el uso de nmeros .
Facilita la comparacin de
vulnerabilidades muy distintas .
Proporciona una cifra justificante
para cada contramedida
CONTRAS
Estimacin de probabilidad
depende de estadsticas fiables
inexistentes.
Estimacin de las perdidas
potenciales solo si son valores
cuantificables.
Metodologas estndares.
Difciles de mantener o
modificar.
Dependencia de un profesional.
CUALITATIVA . SUBJETIVA
Enfoca lo amplio que se desee
Plan de trabajo flexible y reactivo.
Se concentra en la identificacin de
eventos.
Incluye factores intangibles
Depende fuertemente de la habilidad y
calidad del personal involucrado.
Puede excluir riesgos significantes
desconocidos .
Identificacin de eventos reales mas
claros al no tener que aplicarles
probabilidades complejas de calcular..
Dependencia de un profesional
COMPARACION ENTRE METODOLOGIAS CUANTITATIVAS Y CUALITATIVAS
�METODOLOGIAS DE ANALISIS DE RIESGOS
Cap. 3 - Piattini
Esquema bsico de una metodologa de anlisis de riesgo
CUESTIONARIO
ETAPA 1
IDENTIFICAR LOS
RIESGOS
ETAPA 2
CALCULAR EL
IMPACTO
ETAPA 3
IDENTIFICAR LAS
CONTRAMEDIDAS Y
EL COSTO
ETAPA 4
SIMULACIONES
ETAPA 5
CREACION DE LOS
INFORMES
ETAPA 6
QUE
PASA
SI ..
?????
??
�Cap. 3 - Piattini
QUE
PASA SI
..
???????
PAQUETES PARA ANALISIS
DE RIESGOS
ANALIZY
BDSS
BIS
RISK ASSESOR
BUDDY
SYSTEM
COBRA
CRAMM
AP+
RISKPAC
�PRIMA
PREVENCION DE RIESGOS INFORMATICOS CON
METODOLOGIA ABIERTA
Check List
Toma de Datos
-PONDERACION
- VALORACION ECONOMICA
IDENTIFICACION
DE DEBILIDADES
Cap. 3 - Piattini
- AMENAZAS
- VULNERABILIDADES
ANALISIS DEL
IMPACTO Y
RIESGOS
DEFINICION DE
CONTRAMEDIDAS
-PRIORIDAD
- DURACION
- COSTO ECONOMICO
- DIFICULTAD
VALORACION DE LAS
CONTRAMEDIDAS
REALIZACION DEL PLAN DE
ACCIONES Y PROYECTOS
-DEBILIDADES
-RIESGOS
-PLAN DE ACCIONES
-PLAN DE PROYECTOS
INFORME FINAL
JUEGOS
DE
ENSAYO
�PLAN DE CONTINGENCIAS
Cap. 3 - Piattini
ESTRATEGIA PLANIFICADA CONSTITUIDA POR;
Un conjunto de recursos de respaldo, una organizacin
de emergencia y unos procedimientos de actuacin
encaminada a conseguir una restauracin progresiva y
gil de los servicios del negocio afectados por una
paralizacin total o parcial de la capacidad operativa de
la empresa.
World Trade Center
11 set. 2001
�PLAN DE CONTINGENCIAS
Cap. 3 - Piattini
�PLAN DE CONTINGENCIAS
Cap. 3 - Piattini
BUSINESS IMPACT
1. Identificacin de servicios finales.
2. Anlisis del impacto. Se evalan los
daos econmicos y de imagen y
otros aspectos no econmicos.
3. Seleccin de los servicios crticos.
4. Determinacin de recursos de
soporte.
5. Identificacin de alternativas para
entornos.
6. Seleccin de Alternativas.
7. Diseo de estrategias globales de
respaldo.
8. Seleccin de la estrategia global de
respaldo.
�PLAN DE CONTINGENCIAS
BD relacional.
Modulo para DATA ENTRY
Modulo de Consultas.
Proceso de textos.
Generador de informes
Help on line.
Hoja de calculo.
Gestor de proyectos.
Generacin de grficos.
Cap. 3 - Piattini
�LAS METODOLOGIAS DE AUDITORIA
INFORMATICA
Cap. 3 - Piattini
�LAS METODOLOGIAS DE AUDITORIA
INFORMATICA
EL PLAN
AUDITOR
INFORMATICO
Esquema metodolgico del AI.
PARTES.
FUNCIONES.
PROCEDIMIENTOS.
TIPOS DE AUDITORIAS.
SISTMA DE EVALUACION.
NIVEL DE EXPOSICION.
LISTA DE DISTRIBUCION DE INFORMES.
SEGUIMIENTO DE LAS ACCIONES CORRECTORAS.
PLAN QUINQUENAL.
PLAN DE TRABAJO ANUAL
Cap. 3 - Piattini
�LAS METODOLOGIAS DE AUDITORIA
INFORMATICA
CONTROL INTERNO INFORMATICO .
METODOS Y PROCEDIMIENTOS.
HERRAMIENTAS DE CONTROL.
LA FUNCION DE CONTROL
Cap. 3 - Piattini
�LAS METODOLOGIAS DE AUDITORIA
INFORMATICA
Cap. 3 - Piattini
LA AUDITORIA INFORMATICA
Funcin de vigilancia y evaluacin mediante dictmenes, y todas sus metodologas van
encaminadas a esta funcin.
Evalan eficiencia, costo y seguridad. RIESGOS INFORMATICOS. Confidencialidad. Integridad.
Disponibilidad.
Actan segn el PLAN AUDITOR.
Utilizan metodologas de evaluacin del tipo cualitativo con la caracterstica de las PRUEBAS DE
AUDITORIA.
Utilizan PLANES QUINQUENALES.
Sistema de evaluacin por repeticin de la auditoria por nivel de exposicin del rea auditada y el
resultado de la ultima auditoria de esta rea.
La funcin de soporte informtico de todos los auditores . (opcional).
�LAS METODOLOGIAS DE AUDITORIA
INFORMATICA
CONTROL INTERNO INFORMATICO
Cap. 3 - Piattini
(1)
Definicin de propietarios y perfiles segn CLASIFICACION DE LA INFORMACION.
.Administracin delegada en control dual de la seguridad lgica.
Responsable del desarrollo y actualizacin del plan de contingencias , Manuales de procedimientos
y plan de seguridad.
Promover el PLAN DE SEGURIDAD INFORMATICA al comit de seguridad.
Dictar normas de seguridad Informtica.
Definir los procedimientos de control.
Control del entorno de desarrollo.
�LAS METODOLOGIAS DE AUDITORIA
INFORMATICA
CONTROL INTERNO INFORMATICO
Cap. 3 - Piattini
(2)
Control de soportes magnticos segn la clasificacin de la informacin. Control de soporte fsicos.
LISTADOS.
Control de Informacin comprometida o sensible.
Control de microinformtica y usuarios.
Control de calidad de software.
Control de calidad del servicio informtico..
Control de costos.
Responsable del Dpto. Control de licencias y relaciones contractuales con terceros.
�LAS METODOLOGIAS DE AUDITORIA
INFORMATICA
CONTROL INTERNO INFORMATICO
Cap. 3 - Piattini
(3)
Control y manejo de claves de cifrado.
Relaciones externas con entidades relacionadas con la seguridad de la informacin.
Definicin de requerimientos de seguridad en proyectos nuevos.
Vigilancia del cumplimiento de las normas y controles.
Control de cambios y versiones.
Control de pasos de aplicaciones a explotacin.
�LAS METODOLOGIAS DE AUDITORIA
INFORMATICA
CONTROL INTERNO INFORMATICO
(4)
Control de medidas de seguridad Fsica o corporativa en la informtica.
Responsable de datos personales (LOPD) y cdigo penal.
Otros controles que sean asignados.
Cap. 3 - Piattini
�LAS METODOLOGIAS DE AUDITORIA
INFORMATICA
CONTROL INTERNO INFORMATICO
ANALISIS DE
RIESGOS
Cap. 3 - Piattini
(5)
CONTRAMEDIDA
Estndares
ANALISIS DE
RIESGOS
CLASIFICACION DE
LA INFORMACION
CONTRAMEDIDA
2
Tecnologa
OBJETIVOS DE
CONTROL 1
CONTRAMEDIDA
OBJETIVOS DE
CONTROL 2
Estndares.
ISO, CISA, ITSEC
PLAN DE
ACCIONES
�LAS METODOLOGIAS DE AUDITORIA
INFORMATICA
Cap. 3 - Piattini
Metodologas de clasificacin de la informacin y de obtencin de los
procedimientos de control
CLASIFICACION DE LA INFORMACION
SI IDENTIFICAMOS DISTINTOS NIVELES DE
CONTRAMEDIDAS PARA DISTINTAS ENTIDADES
DE INFORMACION CON DISTINTO NIVEL DE
CRITICIDAD, ESTAREMOS OPTIMIZANDO LA
EFICIENCIA DE LAS CONTRAMEDIDAS Y
REDUCIENDO LOS COSTOS DE LAS MISMAS
�LAS METODOLOGIAS DE AUDITORIA
INFORMATICA
Cap. 3 - Piattini
CONTROL INTERNO INFORMATICO
ENTIDAD DE LA INFORMACION
PANTALLA
JERARQUIAS DE LA
INFORMACION SEGN LA
METODOLOGIA PRIMA.
PREVENCION DE
RIESGOS CON
METODOLOGIA
ABIERTA
LISTADOS
ESTRATEGICA
RESTRINGIDA
USO INTERNO
GENERAL
�LAS METODOLOGIAS DE AUDITORIA
INFORMATICA
Cap. 3 - Piattini
CONTROL INTERNO INFORMATICO
METODOLOGIA DE CLASIFICACION DE LA INFORMACION
PASOS.
1. IDENTIFICACION DE LA INFORMACION.
2. INVENTARIO DE ENTIDADES DE INFORMACION
RESIDENTES Y OPERATIVAS.
3. IDENTIFICACION DE PROPIETARIOS.
4. DEFINICION DE JERARQUIAS DE INFORMACION.
5. DEFINICION DE LA MATRIZ DE CLASIFICACION.
6. REALIZACION DEL PLAN DE ACCIONES.
7. IMPLANTACION Y MANTENIMIENTO.
�LAS METODOLOGIAS DE AUDITORIA
INFORMATICA
Cap. 3 - Piattini
CONTROL INTERNO INFORMATICO
METODOLOGIA PARA LA OBTENCION DE LOS PROCEDIMIENTOS DE CONTROL (1)
FASE I Definicin de los objetivos de
control.
Tareas.
1.
Anlisis de la Empresa.
2. Recopilacin de estndares.
3. Definicin de los objetivos de control.
�LAS METODOLOGIAS DE AUDITORIA
INFORMATICA
Cap. 3 - Piattini
CONTROL INTERNO INFORMATICO
METODOLOGIA PARA LA OBTENCION DE LOS PROCEDIMIENTOS DE CONTROL (2)
FASE II Definicin de los controles.
Tareas.
1.
Definicin de controles.
2. Definicin de necesidades tecnolgicas.
3. Definicin de los procedimientos de control.
4. Definicin de recursos humanos.
�LAS METODOLOGIAS DE AUDITORIA
INFORMATICA
Cap. 3 - Piattini
CONTROL INTERNO INFORMATICO
METODOLOGIA PARA LA OBTENCION DE LOS PROCEDIMIENTOS DE CONTROL (3)
FASE III Implantacin de los controles.
Resultados.
1.
Procedimientos de control de la actividad informtica.
(CII).
2. Procedimientos de distintas reas usuarias de la
informtica. Mejoradas.
3. Procedimientos de reas informticas. Mejoradas.
4. Procedimientos de control DUAL entre control interno
informtica y el rea de informtica, los usuarios
informticos, y el rea de control no informtico.
�LAS METODOLOGIAS DE AUDITORIA
INFORMATICA
Cap. 3 - Piattini
LAS HERRAMIENTAS DE CONTROL
Software que permiten definir
procedimientos de control para cumplir
una normativa y un objetivo de control.
Ejem.
Seguridad lgica del sistema.
Seguridad lgica para entornos
distribuidos.
Control de accesos fsicos.
Control de copias.
Gestin de soportes magnticos.
Gestin y control de impresin y envi
por red.
Control de proyectos.
Control de versiones.
Control y gestin de incidencias
�LAS METODOLOGIAS DE AUDITORIA
INFORMATICA
OBJETIVOS DE CONTROL DE ACCESO LOGICO (1).
SEGREGACION DE FUNCIONES.
Entre Usuarios de sistema
Productores de software.
Jefe de proyecto.
Desarrolladores.
Administrador de seguridad lgica.
Etc.
Cap. 3 - Piattini
�LAS METODOLOGIAS DE AUDITORIA
INFORMATICA
OBJETIVOS DE CONTROL DE ACCESO LOGICO (2).
INTEGRIDAD DE LOGs.
No debe ser posible desactivarlos por ningn perfil.
No podr desactivarse a voluntad.
FACILMENTE LEGIBLES .
CONTROL INFORMATICO
Cap. 3 - Piattini
�LAS METODOLOGIAS DE AUDITORIA
INFORMATICA
Cap. 3 - Piattini
OBJETIVOS DE CONTROL DE ACCESO LOGICO (3).
GESTION CENTRALIZADA DE SEGURIDAD.
CONTRASEA UNICA EN LA RED Y APLICATIVOS (SINGLE SING-ON)
DEBE OBLIGAR AL USUARIO A CAMBIAR LA CONTRAEA, COMO
GARANTIA AUTENTICIDAD. (Cambiado por el usuario).
Auto Logout. Por tiempo inactivo.
�LAS METODOLOGIAS DE AUDITORIA
INFORMATICA
Cap. 3 - Piattini
CONTROL INTERNO INFORMATICO
Caso esquema centralizado Migracin ENTORNO DISTRIBUIDOS (1)
CAOS EN LA SEGURIDAD
LOGICA
Est controlada la seguridad lgica?
Se cumple el marco jurdico?
Cmo abordar el problema?
Ver muchos productos y escoger uno?
Sera lo mejor?
�LAS METODOLOGIAS DE AUDITORIA
INFORMATICA
Cap. 3 - Piattini
Caso esquema centralizado Migracin ENTORNO DISTRIBUIDOS (2)
CAOS EN LA
SEGURIDAD
LOGICA
SOLUCION!!
ANALISIS DE PLATAFORMAS.
CATALOGO DE REQUERIMIENTOS PREVIOS
DE IMPLEMENTACION
ANALISIS DE APLICACIONES
INVENTARIO DE FUNCIONALIDADES Y
PROPIETARIOS
ADMINISTRACION DE LA SEGURIDAD
Gestin y administracin de la
seguridad.
SINGLE SIGN ON
Funcionalidades de la red.
Seguridades.
�LAS METODOLOGIAS DE AUDITORIA
INFORMATICA
Cap. 3 - Piattini
Caso esquema centralizado Migracin ENTORNO DISTRIBUIDOS (3)
CAOS EN LA
SEGURIDAD
LOGICA
ADQUISICION
INSTALACION E IMPLANTACION
FORMACION.
MANUALES DE PROCEDIMIENTOS DE
CONTROL.
