Casos prácticos de Auditoría y Seguridad Informática
Transcripción
Casos prácticos de Auditoría y Seguridad Informática
Jornadas sobre Supervisión electrónica y Tecnología Casos Prác*cos de Auditoría y Seguridad Informá*ca Ing. Lilia Liu, CFE, CRISC, COBIT 5 Centro de Formación de la AECID en La An@güa, Guatemala 17 de noviembre de 2015 Contenido (1/2) Auditoría Informá*ca: 1. Concepto de auditoría informá*ca. 2. Estándares internacionales en auditoría informá*ca. 3. Tipos de auditoría informá*ca. 4. Cómo implementamos la auditoría informá*ca. 5. Factores limitantes en una auditoría informá*ca. 6. Ejemplos de auditoría informá*ca: a. Controles generales b. Infraestructura tecnológica c. Sistemas opera*vos d. Base de datos e. Aplicaciones en Producción Contenido (2/2) Seguridad Informá*ca: 1. Concepto de seguridad informá*ca. 2. Estándares internacionales en seguridad informá*ca. 3. Cómo implementamos la seguridad informá*ca. 4. Polí*ca de seguridad informá*ca. 5. Caso prác*co de seguridad informá*ca. Auditoría Informá*ca Concepto de Auditoría Informá*ca Es el proceso de revisión o verificación de todo el entorno informá*co con la finalidad de prevenir un riesgo en la organización. Las auditorías informá*cas son u*lizados como: 1. Apoyo a las auditorías financieras 2. Cumplimiento a regulaciones y norma*vas 3. Medida de prevención ante cualquier riesgo potencial 4. Análisis de desempeño de la función de tecnología 5. Puntos de oportunidad de mejoras. Estándares internacionales en auditoría informá*ca El marco de referencia para la realización de las auditorías informá*cas es el Existen otros estándares internacionales: Sarbanes Oxley Tipos de Auditoría Informá*ca 1. 2. 3. 4. 5. 6. 7. 8. 9. Controles generales –> Diagnós*co Base de datos: Oracle, SAP, SQL Sistema Opera*vo: Windows, Linux, Unix, OS/400 Aplicaciones en producción o en desarrollo Migración de aplicaciones Migración de base de datos Cambios de infraestructura tecnológica Ac*vos tecnológicos: hardware y socware Redes y Comunicaciones Tipos de Auditoría Informá*ca 10. 11. 12. 13. 14. 15. 16. 17. 18. 19. 20. Seguridad informá*ca Pruebas de vulnerabilidad interna y externa Administración de proyectos tecnológicos Acuerdos de niveles de servicio (SLA) Pruebas de validación Centros de datos Implementación de nuevo sistema Con*ngencia y Recuperación de Desastres Con*nuidad de negocios Ciberseguridad Y Otros más… Si*o web de ISACA es una organización líder en seguridad y control de entornos informá*cos, con filiales en cerca de 100 países y de interés para profesionales de Ciencias Económicas, Informá*ca e Ingeniería. Através de su Centro de Conocimiento (Knowledge Center) posee la guía necesaria para poder realizar auditorías informá*cas específicas. www.isaca.org ¿Cómo implementamos la Auditoría Informá*ca? Mediante un proceso de planificación ordenado y programado: 1. 2. 3. 4. 5. 6. 7. 8. 9. Definir el alcance y el obje*vo de la auditoría Definir los sponsor (promotores) Definir la metodología de trabajo Definir los recursos requeridos: personal, financiero, herramientas. Definir el *empo requerido para su realización Elaboración de cronograma de auditoría Elaboración de entrevistas, trabajo de campo, papeles de trabajo Elaboración de un informe preliminar y discusión con las áreas auditadas. Presentación ejecu*va: comité de auditoría o reunión con direc*vos. Herramientas de apoyo que se u*lizan en las auditorías informá*cas ¿Qué es lo más valioso de una Auditoría Informá*ca? El Informe de Auditoría donde: 1. Iden*fique claramente los riesgos potenciales a los cuales la organización se expone 2. Mejorar el ambiente de control 3. Tener recomendaciones y un plan de acción para cada recomendación 4. Tener un plan de seguimiento y su monitoreo constante 5. Reflejar el compromiso de la Alta gerencia y de la Junta Direc*va Factores limitantes en una Auditoría Informá*ca 1. Des*nar un presupuesto limitado. 2. Poco conocimiento del personal de auditoría sobre lo que se desea auditar. 3. Falta de herramientas tecnológicas para poder apoyar la ges*ón de auditoría. 4. Manejo inapropiado de la metodología de trabajo. 5. Falta de compromiso de los promotores, alta gerencia o cuerpo direc*vo. Estos puntos puede hacer que fracase la Auditoría Informá;ca… Ejemplo de una Auditoría Informá*ca de Controles Generales 1. Alcance: realización de un diagnós*co general de todo el entorno tecnológico de la organización, incluyendo los servicios tercerizados. 2. Obje*vo principal: evaluación de los controles existentes e iden*ficar los puntos de mejora para minimizar su exposición al riesgo. 3. Metodología a u*lizar: COBIT 5 4. Equipo de trabajo: a. Líder del proyecto (definir un resumen breve de su experiencia) b. 2 auditores (definir un resumen breve de su experiencia) 5. Herramientas a u*lizar: a. IDEA b. TEAM MATE 6. Tiempo de duración de la auditoría (cronograma): fecha es*mada de inicio y fecha de finalización. 7. Lista de requerimientos de las áreas a auditar. 8. Encuesta a usuarios automa*zado. 9. Entrevista a personal de Tecnología y usuarios claves. 10. Modelo a presentar. Ejemplo de una Auditoría Informá*ca de Infraestructura Tecnológica 1. Alcance: Efectuar una revisión de toda la infraestructura tecnológica existente en la organización. 2. Obje*vo principal: evaluar los controles existentes en la administración de los ac*vos tecnológicos. 3. Metodología a u*lizar: COBIT 5 4. Equipo de trabajo. 5. Herramientas a u*lizar: a. Solar Winds b. Belarc Advisor 6. Tiempo de duración de la auditoría (cronograma) 7. Listado de los ac*vos: hardware y socware 8. Servidores principales 9. Descrip*vo de las redes LAN y WAN 10. Esquemas de replicación de datos 11. Arquitectura de base de datos 12. Arquitectura de los sistemas de seguridad Seguridad Informá*ca Hoy en día las empresas requieren de acciones más concretas para contrarrestar el caos generado como consecuencia de la adopción de estas nuevas tecnologías: 1. Planeamiento estratégico de IT 2. Ges*ón del cambio y de la innovación 3. IT como Broker 4. Crear dashboard de ges*ón 5. Una oficina de ges*ón de IT (PMO) 6. ITIL Concepto de Seguridad Informá*ca Es el conjunto de normas, procedimientos y herramientas que *enen como obje*vo garan*zar: 1. La disponibilidad, 2. La integridad, 3. La confidencialidad y 4. Buen uso de la información que reside en un sistema informá*co. proporciona recomendaciones de las mejores prác*cas en la ISO 27002 ges*ón de la seguridad de la información a todos los interesados y responsables en iniciar, implantar o mantener sistemas de ges*ón de seguridad de la información. ISO/IEC 27003 Guía para la implementación de un Sistema de Ges;ón de Seguridad de la Información. La norma *ene el siguiente contenido: 1. Alcance. 2. Referencias Norma*vas. 3. Términos y Definiciones. 4. Estructura de esta Norma. 5. Obtención de la aprobación de la alta dirección para iniciar un SGSI. 6. Definición del alcance del SGSI, límites y polí*cas. 7. Evaluación de requerimientos de seguridad de la información. 8. Evaluación de Riesgos y Plan de tratamiento de riesgos. 9. Diseño del SGSI. Anexo A: lista de chequeo para la implementación de un SGSI. Anexo B: Roles y responsabilidades en seguridad de la información Anexo C: Información sobre auditorías internas. Anexo D: Estructura de las polí*cas de seguridad. Anexo E: Monitoreo y seguimiento del SGSI. ISO/IEC 27003 EN EL SIGUIENTE LINK ENCONTRARÁ UN EJEMPLO DE UNA GUÍA PARA GESTIONAR LA SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN (SGSI) LA GUÍA TÉCNICA COLOMBIANA PARA EL SGSI h@p://;enda.icontec.org/brief/GTC-‐ISO-‐IEC27003.pdf COBIT 5 for Informa*on Security El COBIT 5 brinda una guía básica para definir, operar y monitorear un sistema para la ges*ón de la seguridad, como son: APO13 Ges*ón de la seguridad (treceavo proceso del dominio Alineación, Planeación y Organización) DSS04 Ges*ón de la con*nuidad (cuarto proceso del dominio Entrega, Soporte y Servicio) DSS05 Ges*ón de servicios de seguridad (quinto proceso del mismo dominio) ¿Cómo implementamos la Seguridad Informá*ca? 1. 2. 3. 4. 5. 6. 7. 8. Elaborar un Plan de Seguridad Informá*ca Tener un presupuesto para este tema Establecer una Polí*ca de Seguridad Informá*ca Proteger los equipos portá*les y de escritorio Mantener los programas actualizados Sistemas de monitoreo: de correo, de la red interna, WIFI Establecer conexiones seguras con los clientes Mantener los datos a salvo (copias de seguridad, cifrado de datos, sistemas UPS) 9. Protección de los disposi*vos móviles. 10. Plan de capacitación con*nua en materia de seguridad para el personal. 11. Revisión del Plan de seguridad. Polí*ca de Seguridad Informá*ca Deberá abarcar: 1. Alcance de la polí*ca, incluyendo sistemas y personal sobre el cual se aplica. 2. Obje;vos de la polí*ca y descripción clara de los elementos involucrados en su definición. 3. Responsabilidad de cada uno de los servicios, recurso y responsables en todos los niveles de la organización. 4. Responsabilidades de los usuarios con respecto a la información que generan y a la que *enen acceso. 5. Requerimientos mínimos para la configuración de la seguridad de los sistemas al alcance de la polí*ca. 6. Definición de violaciones y las consecuencias del no cumplimiento de la polí*ca. 7. Por otra parte, la polí*ca debe especificar la autoridad que debe hacer que las cosas ocurran, el rango de los correc*vos y sus actuaciones que permitan dar indicaciones sobre la clase de sanciones que se puedan imponer. Pero, no debe especificar con exac*tud qué pasara o cuándo algo sucederá; ya que no es una sentencia obligatoria de la ley. 8. Explicaciones comprensibles (libre de tecnicismos y términos legales pero sin sacrificar su precisión) sobre el porque de las decisiones tomadas. 9. Finalmente, como documento dinámico de la organización, deben seguir un proceso de actualización periódica sujeto a los cambios organizacionales relevantes: crecimiento de la planta de personal, cambio en la infraestructura computacional, alta y rotación de personal, desarrollo de nuevos servicios, cambio o diversificación de negocios, etc. Caso Prác*co de Seguridad Informá*ca hvp://sisbib.unmsm.edu.pe/bibvirtual/tesis/Basic/cordova_rn/contenido.htm