Casos prácticos de Auditoría y Seguridad Informática

Comentarios

Transcripción

Casos prácticos de Auditoría y Seguridad Informática
Jornadas sobre Supervisión electrónica y Tecnología Casos Prác*cos de Auditoría y Seguridad Informá*ca Ing. Lilia Liu, CFE, CRISC, COBIT 5 Centro de Formación de la AECID en La [email protected]üa, Guatemala 17 de noviembre de 2015 Contenido (1/2) Auditoría Informá*ca: 1.  Concepto de auditoría informá*ca. 2.  Estándares internacionales en auditoría informá*ca. 3.  Tipos de auditoría informá*ca. 4.  Cómo implementamos la auditoría informá*ca. 5.  Factores limitantes en una auditoría informá*ca. 6.  Ejemplos de auditoría informá*ca: a.  Controles generales b.  Infraestructura tecnológica c.  Sistemas opera*vos d.  Base de datos e.  Aplicaciones en Producción Contenido (2/2) Seguridad Informá*ca: 1.  Concepto de seguridad informá*ca. 2.  Estándares internacionales en seguridad informá*ca. 3.  Cómo implementamos la seguridad informá*ca. 4.  Polí*ca de seguridad informá*ca. 5.  Caso prác*co de seguridad informá*ca. Auditoría Informá*ca Concepto de Auditoría Informá*ca Es el proceso de revisión o verificación de todo el entorno informá*co con la finalidad de prevenir un riesgo en la organización. Las auditorías informá*cas son u*lizados como: 1.  Apoyo a las auditorías financieras 2.  Cumplimiento a regulaciones y norma*vas 3.  Medida de prevención ante cualquier riesgo potencial 4.  Análisis de desempeño de la función de tecnología 5.  Puntos de oportunidad de mejoras. Estándares internacionales en auditoría informá*ca El marco de referencia para la realización de las auditorías informá*cas es el Existen otros estándares internacionales: Sarbanes Oxley Tipos de Auditoría Informá*ca 1. 
2. 
3. 
4. 
5. 
6. 
7. 
8. 
9. 
Controles generales –> Diagnós*co Base de datos: Oracle, SAP, SQL Sistema Opera*vo: Windows, Linux, Unix, OS/400 Aplicaciones en producción o en desarrollo Migración de aplicaciones Migración de base de datos Cambios de infraestructura tecnológica Ac*vos tecnológicos: hardware y socware Redes y Comunicaciones Tipos de Auditoría Informá*ca 10. 
11. 
12. 
13. 
14. 
15. 
16. 
17. 
18. 
19. 
20. 
Seguridad informá*ca Pruebas de vulnerabilidad interna y externa Administración de proyectos tecnológicos Acuerdos de niveles de servicio (SLA) Pruebas de validación Centros de datos Implementación de nuevo sistema Con*ngencia y Recuperación de Desastres Con*nuidad de negocios Ciberseguridad Y Otros más… Si*o web de ISACA es una organización líder en seguridad y control de entornos informá*cos, con filiales en cerca de 100 países y de interés para profesionales de Ciencias Económicas, Informá*ca e Ingeniería. Através de su Centro de Conocimiento (Knowledge Center) posee la guía necesaria para poder realizar auditorías informá*cas específicas. www.isaca.org ¿Cómo implementamos la Auditoría Informá*ca? Mediante un proceso de planificación ordenado y programado: 1. 
2. 
3. 
4. 
5. 
6. 
7. 
8. 
9. 
Definir el alcance y el obje*vo de la auditoría Definir los sponsor (promotores) Definir la metodología de trabajo Definir los recursos requeridos: personal, financiero, herramientas. Definir el *empo requerido para su realización Elaboración de cronograma de auditoría Elaboración de entrevistas, trabajo de campo, papeles de trabajo Elaboración de un informe preliminar y discusión con las áreas auditadas. Presentación ejecu*va: comité de auditoría o reunión con direc*vos. Herramientas de apoyo que se u*lizan en las auditorías informá*cas ¿Qué es lo más valioso de una Auditoría Informá*ca? El Informe de Auditoría donde: 1.  Iden*fique claramente los riesgos potenciales a los cuales la organización se expone 2.  Mejorar el ambiente de control 3.  Tener recomendaciones y un plan de acción para cada recomendación 4.  Tener un plan de seguimiento y su monitoreo constante 5.  Reflejar el compromiso de la Alta gerencia y de la Junta Direc*va Factores limitantes en una Auditoría Informá*ca 1.  Des*nar un presupuesto limitado. 2.  Poco conocimiento del personal de auditoría sobre lo que se desea auditar. 3.  Falta de herramientas tecnológicas para poder apoyar la ges*ón de auditoría. 4.  Manejo inapropiado de la metodología de trabajo. 5.  Falta de compromiso de los promotores, alta gerencia o cuerpo direc*vo. Estos puntos puede hacer que fracase la Auditoría Informá;ca… Ejemplo de una Auditoría Informá*ca de Controles Generales 1.  Alcance: realización de un diagnós*co general de todo el entorno tecnológico de la organización, incluyendo los servicios tercerizados. 2.  Obje*vo principal: evaluación de los controles existentes e iden*ficar los puntos de mejora para minimizar su exposición al riesgo. 3.  Metodología a u*lizar: COBIT 5 4.  Equipo de trabajo: a.  Líder del proyecto (definir un resumen breve de su experiencia) b.  2 auditores (definir un resumen breve de su experiencia) 5.  Herramientas a u*lizar: a.  IDEA b.  TEAM MATE 6.  Tiempo de duración de la auditoría (cronograma): fecha es*mada de inicio y fecha de finalización. 7.  Lista de requerimientos de las áreas a auditar. 8.  Encuesta a usuarios automa*zado. 9.  Entrevista a personal de Tecnología y usuarios claves. 10. Modelo a presentar. Ejemplo de una Auditoría Informá*ca de Infraestructura Tecnológica 1.  Alcance: Efectuar una revisión de toda la infraestructura tecnológica existente en la organización. 2.  Obje*vo principal: evaluar los controles existentes en la administración de los ac*vos tecnológicos. 3.  Metodología a u*lizar: COBIT 5 4.  Equipo de trabajo. 5.  Herramientas a u*lizar: a.  Solar Winds b.  Belarc Advisor 6.  Tiempo de duración de la auditoría (cronograma) 7.  Listado de los ac*vos: hardware y socware 8.  Servidores principales 9.  Descrip*vo de las redes LAN y WAN 10. Esquemas de replicación de datos 11. Arquitectura de base de datos 12. Arquitectura de los sistemas de seguridad Seguridad Informá*ca Hoy en día las empresas requieren de acciones más concretas para contrarrestar el caos generado como consecuencia de la adopción de estas nuevas tecnologías: 1.  Planeamiento estratégico de IT 2.  Ges*ón del cambio y de la innovación 3.  IT como Broker 4.  Crear dashboard de ges*ón 5.  Una oficina de ges*ón de IT (PMO) 6.  ITIL Concepto de Seguridad Informá*ca Es el conjunto de normas, procedimientos y herramientas que *enen como obje*vo garan*zar: 1.  La disponibilidad, 2.  La integridad, 3.  La confidencialidad y 4.  Buen uso de la información que reside en un sistema informá*co. proporciona recomendaciones de las mejores prác*cas en la ISO 27002 ges*ón de la seguridad de la información a todos los interesados y responsables en iniciar, implantar o mantener sistemas de ges*ón de seguridad de la información. ISO/IEC 27003 Guía para la implementación de un Sistema de Ges;ón de Seguridad de la Información. La norma *ene el siguiente contenido: 1.  Alcance. 2.  Referencias Norma*vas. 3.  Términos y Definiciones. 4.  Estructura de esta Norma. 5.  Obtención de la aprobación de la alta dirección para iniciar un SGSI. 6.  Definición del alcance del SGSI, límites y polí*cas. 7.  Evaluación de requerimientos de seguridad de la información. 8.  Evaluación de Riesgos y Plan de tratamiento de riesgos. 9.  Diseño del SGSI. Anexo A: lista de chequeo para la implementación de un SGSI. Anexo B: Roles y responsabilidades en seguridad de la información Anexo C: Información sobre auditorías internas. Anexo D: Estructura de las polí*cas de seguridad. Anexo E: Monitoreo y seguimiento del SGSI. ISO/IEC 27003 EN EL SIGUIENTE LINK ENCONTRARÁ UN EJEMPLO DE UNA GUÍA PARA GESTIONAR LA SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN (SGSI) LA GUÍA TÉCNICA COLOMBIANA PARA EL SGSI [email protected]://;enda.icontec.org/brief/GTC-­‐ISO-­‐IEC27003.pdf COBIT 5 for Informa*on Security El COBIT 5 brinda una guía básica para definir, operar y monitorear un sistema para la ges*ón de la seguridad, como son: APO13 Ges*ón de la seguridad (treceavo proceso del dominio Alineación, Planeación y Organización) DSS04 Ges*ón de la con*nuidad (cuarto proceso del dominio Entrega, Soporte y Servicio) DSS05 Ges*ón de servicios de seguridad (quinto proceso del mismo dominio) ¿Cómo implementamos la Seguridad Informá*ca? 1. 
2. 
3. 
4. 
5. 
6. 
7. 
8. 
Elaborar un Plan de Seguridad Informá*ca Tener un presupuesto para este tema Establecer una Polí*ca de Seguridad Informá*ca Proteger los equipos portá*les y de escritorio Mantener los programas actualizados Sistemas de monitoreo: de correo, de la red interna, WIFI Establecer conexiones seguras con los clientes Mantener los datos a salvo (copias de seguridad, cifrado de datos, sistemas UPS) 9.  Protección de los disposi*vos móviles. 10. Plan de capacitación con*nua en materia de seguridad para el personal. 11. Revisión del Plan de seguridad. Polí*ca de Seguridad Informá*ca Deberá abarcar: 1.  Alcance de la polí*ca, incluyendo sistemas y personal sobre el cual se aplica. 2.  Obje;vos de la polí*ca y descripción clara de los elementos involucrados en su definición. 3.  Responsabilidad de cada uno de los servicios, recurso y responsables en todos los niveles de la organización. 4.  Responsabilidades de los usuarios con respecto a la información que generan y a la que *enen acceso. 5.  Requerimientos mínimos para la configuración de la seguridad de los sistemas al alcance de la polí*ca. 6.  Definición de violaciones y las consecuencias del no cumplimiento de la polí*ca. 7.  Por otra parte, la polí*ca debe especificar la autoridad que debe hacer que las cosas ocurran, el rango de los correc*vos y sus actuaciones que permitan dar indicaciones sobre la clase de sanciones que se puedan imponer. Pero, no debe especificar con exac*tud qué pasara o cuándo algo sucederá; ya que no es una sentencia obligatoria de la ley. 8.  Explicaciones comprensibles (libre de tecnicismos y términos legales pero sin sacrificar su precisión) sobre el porque de las decisiones tomadas. 9.  Finalmente, como documento dinámico de la organización, deben seguir un proceso de actualización periódica sujeto a los cambios organizacionales relevantes: crecimiento de la planta de personal, cambio en la infraestructura computacional, alta y rotación de personal, desarrollo de nuevos servicios, cambio o diversificación de negocios, etc. Caso Prác*co de Seguridad Informá*ca hvp://sisbib.unmsm.edu.pe/bibvirtual/tesis/Basic/cordova_rn/contenido.htm 

Documentos relacionados