La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Jorge Hernández Cordóba Fernando Ferrer Olivaes

Publicada porRolando Baltodano Modificado hace 10 años

Presentaciones similares

Presentación del tema: "Jorge Hernández Cordóba Fernando Ferrer Olivaes"— Transcripción de la presentación:

1 Jorge Hernández Cordóba Fernando Ferrer Olivaes
JORNADA NACIONAL DE SEGURIDAD INFORMÁTICA 2004 ACIS – UNIVERSIDAD CATÓLICA Modelos de Control, Seguridad y Auditoría: Herramientas para profesionales en Seguridad Informática Junio 24 de 2004 – Bogotá Jorge Hernández Cordóba Fernando Ferrer Olivaes

2 Agenda 01 Introducción 02 Modelos 03 Conclusiones 04 Bibliografía
Universidad Católica

3 Definiciones de Auditoría...
01 “Revisión independiente de alguna o algunas actividades, funciones específicas, resultados u operaciones de una entidad administrativa, realizada por un profesional de la Auditoría, con el propósito de evaluar su correcta realización y con base en este análisis poder emitir una opinión autorizada sobre la razonabilidad de sus resultados y el cumplimiento de sus operaciones.” Universidad Católica

4 Otra definición Auditoría interna es una actividad independiente y objetiva de aseguramiento y consulta, concebida para agregar valor y mejorar las operaciones de una organización. Ayuda a una organización a cumplir sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno Universidad Católica

5 Auditoría de Sistemas de Información
El propósito fundamental es evaluar el uso adecuado de los sistemas para el correcto ingreso de los datos, el procesamiento adecuado de la información y la emisión oportuna de sus resultados en la institución, incluyendo la evaluación en el cumplimiento de las funciones, actividades y operaciones de funcionarios, empleados y usuarios involucrados con los servicios que proporcionan los sistemas computacionales a la empresa” Universidad Católica

6 Control: Base para el desarrollo de la Auditoría
El control es una de las fases del proceso administrativo, le corresponde: comparar los resultados obtenidos contra los resultados determinados en el proceso de planeación de la estrategia organizacional y de sus actividades tácticas y operativas con el fin de determinar el nivel de cumplimiento y ajustar los diferentes parámetros y características de los procesos mediante los cuales se busca el cumplimiento de los objetivos organizacionales. Universidad Católica

7 Concepto de Control Cualquier forma de control está basada en el uso de un lazo de retroalimentación (feedback) mediante el cual se compara la salida (output) del proceso o sistema controlado contra valores de referencia, de modo que al presentarse desviaciones, por exceso o por defecto, se produce una señal de “corrección” que debe ser alimentada al proceso para corregir las desviaciones observadas en la salida. Universidad Católica

8 Concepto de control entrada salida proceso Valor de referencia Lazo de
retroalimentación Muestra de La salida Universidad Católica

9 Esquemas metodológicos tradicionales de la Auditoría
Auditoria de cumplimiento – un enfoque reactivo auditoria del Cumplimiento de un estándar Auditoría de Cumplimiento de una “mejor práctica” Auditoria del Cumplimiento de la opinión del auditor Auditoria del desarrollo de sistemas – un enfoque proactivo Aseguramiento interno – un enfoque coactivo Universidad Católica

10 Apoyar los controles anteriores
Modelos de Control 02 Orientados a: Control gerencial Control Informático Apoyar los controles anteriores Universidad Católica

11 Tecnología Informática Seguridad Informática
Modelos de Control 02 Control Gerencial - Gobierno Corporativo Control Interno Apoyo Tecnología Informática Orientados al Control gerencial Control de Tecnología Informática Evaluación y control de riesgos Seguridad Informática Universidad Católica

12 Modelos de Control y Alineamiento
02 Control Gerencial - Gobierno Corporativo (OCDE, Basel II, Sarbanes-Oxley, HIPAA, PIPEDA, GLBA, …) Control Interno (COSO, CoCo, Cadbury, …) Apoyo Risk Management [AS/NZS:4360/1999, MAGERIT, MGs] Control-Self Assessment Project Management Quality Assurance Tecnología Informática (Gobierno de TI, COBIT, Net Centric, CMM/SW, CMM-I, MAGERIT…) Orientados al Control gerencial Control de Tecnología Informática Evaluación y control de riesgos Seguridad Informática (Gobierno de Seguridad, ISO-17799, BS , NIST, Octave, …) Universidad Católica

13 Modelos de Control Gerencial - Corporate Governance
Necesidad de establecer un Sistema de Control Interno OCDE (Organización para la cooperación y el desarrollo económicos) Principios para mantener la confianza de los inversionistas y atraer capitales estables y a largo plazo en países en vía de desarrollo All apply in varying degrees: - staff cuts, image problems, undervalued contribution May be conflcting: - cost & quality; productivity & quality - how do we resolve? DAT provide response to all: - differentiating factor from other CAATs - justification of existence of audit - terms like ROI, pay-back, etc. Describe specific challenges - examine DAT contribution - highlight organizational benefits - audit benefits intermingled Are these challenges that you’re dealing with? Sarbanes Oxley Exactitud y transparencia de la información financiera para empresas que cotizan en Bolsa Universidad Católica

14 Modelos de Control Gerencial Control Interno
Especificación de un Sistema de Control Interno Definición Proceso, llevado a cabo por la Junta Directiva, la dirección u otro personal de la entidad, y el resto del personal, diseñado para proveer seguridad razonable sobre el logro de los siguientes tipos de objetivo: Efectividad y eficiencia de las operaciones Confiabilidad de la información financiera Cumplimiento de leyes y regulaciones Salvaguarda de activos All apply in varying degrees: - staff cuts, image problems, undervalued contribution May be conflcting: - cost & quality; productivity & quality - how do we resolve? DAT provide response to all: - differentiating factor from other CAATs - justification of existence of audit - terms like ROI, pay-back, etc. Describe specific challenges - examine DAT contribution - highlight organizational benefits - audit benefits intermingled Are these challenges that you’re dealing with? Universidad Católica

15 ACTIVIDADES DE CONTROL
COSO Componentes MONITOREO ACTIVIDADES DE CONTROL VALORACIÓN DE RIESGOS INFORMACIÓN Y COMUNICACIÓN AMBIENTE DE CONTROL El CI está compuesto por 5 componentes interrelacionados: - Ambiente de control. La gente - sus atributos individuales, incluyendo la integridad, los valores éticos y la competencia - y el ambiente en que ella opera. La gente es el motor que dirige la entidad y el fundamento sobre el cual todas ellas descansan. - Valoración de riesgos. La entidad debe ser consciente de los riesgos y enfrentarlos. Debe señalar objetivos, integrados con todas las actividades de manera que opere concertadamente. También debe establecer mecanismos para identificar, analizar y administrar los riesgos. - Actividades de control. Se deben establecer y ejecutar políticas y procedimientos para ayudar a asegurar que se están aplicando efectivamente las acciones identificadas por la administración como necesarias para manejar los riesgos en la conducción de los objetivos de la entidad. - Información y comunicación. Los sistemas de información y comunicación se interrelacionan. Ayudan al personal de la entidad a capturar e intercambiar la información necesaria para conducir, administrar y controlar sus operaciones. - Monitoreo. Debe monitorearse el proceso total, y considerarse como necesario hacer modificaciones. De esta manera el sistema puede reaccionar dinámicamente cambiando a medida que las condiciones lo justifiquen. El CI es un proceso iterativo multidireccional en el cual casi todos los componentes pueden influenciar a los otros. El AMBIENTE DE CONTROL proporciona una atmósfera en la cual la gente conduce sus actividades y cumple con sus responsabilidades de control. Sirve como fundamento para los otros componentes. Dentro de este ambiente, la administración VALORA LOS RIESGOS para la consecución de los objetivos específicos. Las ACTIVIDADES DE CONTROL se implementan para ayudar a asegurar que se están cumpliendo las directivas de la administración para manejar los riesgos. Mientras tanto, se captura y COMUNICA a través de toda la organización la INFORMACIÓN relevante. El proceso total es MONITOREADO y modificado cuando las condiciones lo justifican. Universidad Católica 2 2 13 2

16 Control Interno Ambiente de Control
Integridad y valores éticos Incentivos y tentaciones Guía de comportamiento moral Acuerdos de competencias Comité de auditoría Filosofía de administración Estructura organizacional Asignación de autoridad y responsabilidad Políticas y prácticas de recursos humanos Universidad Católica 2 2 15 2 2

17 Una persona ejecuta una tarea guiada por el entendimiento de:
Coco: Esquema Una persona ejecuta una tarea guiada por el entendimiento de: Objetivo Compromiso Capacidad Acción Seguimiento y aprendizaje Entorno El Control Interno es dirigido hacía el alcance de los objetivos en una o más categorías separadas pero sobrepuesta (superpuestas). Esta definición de Control Interno es demasiado amplia por dos razones: - Es la forma en que la mayoría de los ejecutivos senior entrevistados ven al Control Interno al manejar sus negocios. - Permite subdivisiones en el Control Interno: Puede ser aplicado sobre la información o leyes; Puede estar dirigido hacía unidades particulares o actividades de una entidad. Universidad Católica 2 2 18 2 2

18 Modelos Informáticos Tecnología Informática
Objetivos Recursos Procesos Objetivos de Control Ambiente Informático All apply in varying degrees: - staff cuts, image problems, undervalued contribution May be conflcting: - cost & quality; productivity & quality - how do we resolve? DAT provide response to all: - differentiating factor from other CAATs - justification of existence of audit - terms like ROI, pay-back, etc. Describe specific challenges - examine DAT contribution - highlight organizational benefits - audit benefits intermingled Are these challenges that you’re dealing with? Universidad Católica

19 Objetivos Efectividad Eficiencia Confidencialidad Integridad
Se refiere a la información que es relevante para el negocio y que debe ser entregada de manera correcta, oportuna, consistente y usable. Efectividad Se refiere a la provisión de información a través del óptimo (más productivo y económico) uso de los recursos. Eficiencia Relativa a la protección de la información sensitiva de su revelación no autorizada. Confidencialidad Se refiere a la exactitud y completitud de la información, así como su validez, en concordancia con los valores y expectativas del negocio. Integridad Universidad Católica

20 Objetivos Disponibilidad Cumplimiento Confiabilidad
Se refiere a la que la información debe estar disponible cuando es requerida por los procesos del negocio ahora y en el futuro. Involucra la salvaguarda de los recursos y sus capacidades asociadas. Disponibilidad Se refiere a cumplir con aquellas leyes, regulaciones y acuerdos contractuales, a los que están sujetos los procesos del negocio. Cumplimiento Se refiere a la provisión de la información apropiada a la alta gerencia, para operar la entidad y para ejercer sus responsabilidades finacieras y de cumplir con los reportes de su gestión. Confiabilidad Universidad Católica

21 Recursos Microcomputador o terminal ==========================
Aplicaciones en funcionamiento (1),(2),(3),(4),(8),(10),(11) Seguridad de la información Seguridad física (1) Sistemas Operacionales (2) Software de Seguridad (3) Sistemas Manejadores de Bases de Datos y Diccionarios de Datos (4) Monitores de Teleprocesamiento (5) Ayudas para el desarrollo de programas (6) Control del Cambio y Administración de librerías (7) Editores en línea (8) Software de Telecomunicaciones (9) Sistema de soporte a operaciones (10) Sistemas de oficina (11) Intercambio electrónico de datos Equipo central ========================= Operación del sistema (1),(2),(6),(7),(8),(9) Sistema de comunicaciones (8),(11) Red local =============== (1),(2),(3),(4),(5),(6), (7),(8),(9),(10),(11) Universidad Católica

22 Planeación y Organización
Procesos Definir un plan estratégico de TI Definir la arquitectura de información Determinar la dirección tecnológica Definir la organización y relaciones de TI Manejo de la inversión en TI Comunicación de directrices Gerenciales Administración del Recurso Humano Asegurar el cumplir requerimientos externos Evaluación de Riesgos Administración de Proyectos Administración de Calidad Planeación y Organización Adquisición e Implementación Identificación de soluciones Adquisición y mantenimiento de SW aplicativo Adquisición y mantenimiento de arquitectura TI Desarrollo y mantenimiento de Procedimientos de TI Instalación y Acreditación de sistemas Administración de Cambios Universidad Católica

23 Procesos Servicios y Soporte Seguimiento
Definición del nivel de servicio Administración del servicio de terceros Administración de la capacidad y el desempeño Asegurar el servicio continuo Garantizar la seguridad del sistema Identificación y asignación de costos Capacitación de usuarios Soporte a los clientes de TI Administración de la configuración Administración de problemas e incidentes Administración de datos Administración de Instalaciones Administración de Operaciones Servicios y Soporte Seguimiento Seguimiento de los procesos Evaluar lo adecuado del control Interno Obtener aseguramiento independiente Proveer una auditoría independiente Universidad Católica

24 Objetivos de Control “Una declaración de resultado deseado o propósito a ser alcanzado por medio de la implementación de procedimientos de control en una actividad Particular de TI” 318 objetivos de control (de 3 a 30 objetivos por cada uno de los procesos) 2.3 Contratos con Terceros Con respecto a las relaciones con los proveedores de servicios como terceras partes, la Gerencia deberá asegurar que los acuerdos de seguridad (por ejemplo, los acuerdos de no - revelación) sean identificados, declarados explícitamente y acordados, que éstos concuerden con los estándares de negocios universales y estén en línea con los requerimientos legales y regulatorios, incluyendo obligaciones. Universidad Católica

25 Modelos Informáticos Seguridad Informática
Fundamentos de Seguridad Informática Elementos de un Framework de Seguridad Técnicas All apply in varying degrees: - staff cuts, image problems, undervalued contribution May be conflcting: - cost & quality; productivity & quality - how do we resolve? DAT provide response to all: - differentiating factor from other CAATs - justification of existence of audit - terms like ROI, pay-back, etc. Describe specific challenges - examine DAT contribution - highlight organizational benefits - audit benefits intermingled Are these challenges that you’re dealing with? Universidad Católica

26 Fundamentos de Seguridad Informática NIST – Common Criteria
Confidencialidad Integridad Disponibilidad Riesgo Amenaza Vulnerabilidad Auditabilidad Identificación Autenticación Universidad Católica 5

27 Elementos de un Framework de Seguridad ISO 17799 - Areas principales
Política de Seguridad Organización de la Seguridad Control y clasificación de activos Seguridad del personal Seguridad física y ambiental Administración de las comunicaciones y operaciones Control de acceso Desarrollo y mantenimiento de sistemas Administración de la continuidad del negocio Cumplimiento Universidad Católica

28 Técnicas Valoración de Riesgos Identificación de Activos
Riesgo = Vulnerabilidad x Amenaza x Valor del Activo Riesgo = Impacto x Probabildad Identificación de Activos Identificación de Inventarios Clasificación de Datos Documentación de Hardware Valoración de Vulnerabilidades How many of you like to play the lottery? Security is a game of odds. The amount of security you deploy depends on the risk that you’re willing to take to protect your assets from known threats. Universidad Católica

29 Control-Self Asessment Project Management …
Modelos de Apoyo Risk Management Control-Self Asessment Project Management All apply in varying degrees: - staff cuts, image problems, undervalued contribution May be conflcting: - cost & quality; productivity & quality - how do we resolve? DAT provide response to all: - differentiating factor from other CAATs - justification of existence of audit - terms like ROI, pay-back, etc. Describe specific challenges - examine DAT contribution - highlight organizational benefits - audit benefits intermingled Are these challenges that you’re dealing with? Universidad Católica

30 Modelos, Modelos, Modelos …. Actualización – Investigación
Conclusiones 03 Modelos, Modelos, Modelos …. Actualización – Investigación La técnica del reproceso controlado de datos, por el auditor, en forma independiente del usuario y de sistemas, es un procedimiento altamente confiable para comprobar que las transacciones de la empresa se procesan con el programa original autorizado por la organización. Permite detectar cambios que se hayan hecho al programa sin la debida autoriazción. Es útil especialmente para encontrar las instrucciones con fines ilícitos. El auditor conserva una copia actualizado del programa examinado y dispone todo lo necesario, en el centro de PED, para correr los datos de la empresa con la copia del programa. Los resultados obtenidos son comparados con los de la corrida regular de la empresa para cersiorarse de que sean iguales. Universidad Católica

31 04 Bibliografía Universidad Católica de Colombia
Facultad de PostGrados Bogotá Proyecto Estado del Arte de la Auditoría de Sistemas La técnica del reproceso controlado de datos, por el auditor, en forma independiente del usuario y de sistemas, es un procedimiento altamente confiable para comprobar que las transacciones de la empresa se procesan con el programa original autorizado por la organización. Permite detectar cambios que se hayan hecho al programa sin la debida autoriazción. Es útil especialmente para encontrar las instrucciones con fines ilícitos. El auditor conserva una copia actualizado del programa examinado y dispone todo lo necesario, en el centro de PED, para correr los datos de la empresa con la copia del programa. Los resultados obtenidos son comparados con los de la corrida regular de la empresa para cersiorarse de que sean iguales. Universidad Católica

32 PREGUNTAS? Universidad Católica

33 Muchas gracias por su atención
Universidad Católica

Descargar ppt "Jorge Hernández Cordóba Fernando Ferrer Olivaes"

Presentaciones similares

Auditoría Interna y Gobierno Corporativo en Instituciones Financieras

Auditoría Interna y Gobierno Corporativo en Instituciones Financieras
Módulo N° 7 – Introducción al SMS

Módulo N° 7 – Introducción al SMS
Auditorías - ISO 10011 Fecha: 02.05.2001 Jornada UNED.

Auditorías - ISO Fecha: Jornada UNED.
COBIT INTEGRANTES : OLMARY GUTIERREZ LORENA MEDINA.

COBIT INTEGRANTES : OLMARY GUTIERREZ LORENA MEDINA.
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.

C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.
UNIVERSIDAD ALONSO DE OJEDA

UNIVERSIDAD "ALONSO DE OJEDA"
NORMALIZACIÓN ISO 9000: GESTION DE LA CALIDAD.

NORMALIZACIÓN ISO 9000: GESTION DE LA CALIDAD.
SEGUNDA JORNADA DE CAPACITACIÓN DIRIGIDA A SERVIDORES PÚBLICOS MUNICIPALES CANCÚN, QUINTANA ROO C.P. EDUARDO GURZA CURIEL 28 DE NOVIEMBRE DE 2011 Presupuesto.

SEGUNDA JORNADA DE CAPACITACIÓN DIRIGIDA A SERVIDORES PÚBLICOS MUNICIPALES CANCÚN, QUINTANA ROO C.P. EDUARDO GURZA CURIEL 28 DE NOVIEMBRE DE 2011 Presupuesto.
1 Reporte Componente Impacto 6.1.2 Por Orden Territorial - 6.1.2.1 Por Departamento No Disponible ND *Los indicadores para el año 2008 no fueron calculados.

1 Reporte Componente Impacto Por Orden Territorial Por Departamento No Disponible ND *Los indicadores para el año 2008 no fueron calculados.
CENTRO DE LA TECNOLOGIA DEL DISEÑO Y LA PRODUCTIVIDAD EMPRESARIAL

CENTRO DE LA TECNOLOGIA DEL DISEÑO Y LA PRODUCTIVIDAD EMPRESARIAL
¿ Qué es Control Interno ? Una herramienta para que la administración de todo tipo de organización, obtenga una seguridad razonable sobre el cumplimiento.

¿ Qué es Control Interno ? Una herramienta para que la administración de todo tipo de organización, obtenga una seguridad razonable sobre el cumplimiento.
“8 Principios de la Gestión Administrativa”

“8 Principios de la Gestión Administrativa”
Administración de los riesgos desde la perspectiva del Control Interno

Administración de los riesgos desde la perspectiva del Control Interno
Auditoria en Informatica Lic. Enrique Hernandez H.

Auditoria en Informatica Lic. Enrique Hernandez H.
AUDITORIA DE SISTEMAS Conceptos introductorios

AUDITORIA DE SISTEMAS Conceptos introductorios
Segunda Jornada Nacional de Seguridad Informática ACIS 2002

Segunda Jornada Nacional de Seguridad Informática ACIS 2002
Universidad de Buenos Aires Facultad de Ciencias Económicas

Universidad de Buenos Aires Facultad de Ciencias Económicas
La Administración de Riesgos como Herramienta del Gobierno Corporativo

La Administración de Riesgos como Herramienta del Gobierno Corporativo
XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.

XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.

Presentaciones similares

Anuncios Google