La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

JORNADA NACIONAL DE SEGURIDAD INFORMÁTICA 2004 ACIS – UNIVERSIDAD CATÓLICA Modelos de Control, Seguridad y Auditoría: Herramientas para profesionales en.

Presentaciones similares


Presentación del tema: "JORNADA NACIONAL DE SEGURIDAD INFORMÁTICA 2004 ACIS – UNIVERSIDAD CATÓLICA Modelos de Control, Seguridad y Auditoría: Herramientas para profesionales en."— Transcripción de la presentación:

1 JORNADA NACIONAL DE SEGURIDAD INFORMÁTICA 2004 ACIS – UNIVERSIDAD CATÓLICA Modelos de Control, Seguridad y Auditoría: Herramientas para profesionales en Seguridad Informática Junio 24 de 2004 – Bogotá Jorge Hernández Cordóba Fernando Ferrer Olivaes

2 Universidad Católica 2 Agenda 01 Introducción 02 Modelos 03 Conclusiones 04 Bibliografía

3 Universidad Católica 3 Revisión independiente de alguna o algunas actividades, funciones específicas, resultados u operaciones de una entidad administrativa, realizada por un profesional de la Auditoría, con el propósito de evaluar su correcta realización y con base en este análisis poder emitir una opinión autorizada sobre la razonabilidad de sus resultados y el cumplimiento de sus operaciones. Definiciones de Auditoría... 01

4 Universidad Católica 4 Auditoría interna es una actividad independiente y objetiva de aseguramiento y consulta, concebida para agregar valor y mejorar las operaciones de una organización. Ayuda a una organización a cumplir sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno Otra definición

5 Universidad Católica 5 El propósito fundamental es evaluar el uso adecuado de los sistemas para el correcto ingreso de los datos, el procesamiento adecuado de la información y la emisión oportuna de sus resultados en la institución, incluyendo la evaluación en el cumplimiento de las funciones, actividades y operaciones de funcionarios, empleados y usuarios involucrados con los servicios que proporcionan los sistemas computacionales a la empresa Auditoría de Sistemas de Información

6 Universidad Católica 6 El control es una de las fases del proceso administrativo, le corresponde: comparar los resultados obtenidos contra los resultados determinados en el proceso de planeación de la estrategia organizacional y de sus actividades tácticas y operativas con el fin de determinar el nivel de cumplimiento y ajustar los diferentes parámetros y características de los procesos mediante los cuales se busca el cumplimiento de los objetivos organizacionales. Control: Base para el desarrollo de la Auditoría

7 Universidad Católica 7 Cualquier forma de control está basada en el uso de un lazo de retroalimentación (feedback) mediante el cual se compara la salida (output) del proceso o sistema controlado contra valores de referencia, de modo que al presentarse desviaciones, por exceso o por defecto, se produce una señal de corrección que debe ser alimentada al proceso para corregir las desviaciones observadas en la salida. Concepto de Control

8 Universidad Católica 8 proceso Lazo de retroalimentación salida entrada Muestra de La salida Valor de referencia Concepto de control

9 Universidad Católica 9 Auditoria de cumplimiento – un enfoque reactivo auditoria del Cumplimiento de un estándar Auditoría de Cumplimiento de una mejor práctica Auditoria del Cumplimiento de la opinión del auditor Auditoria del desarrollo de sistemas – un enfoque proactivo Aseguramiento interno – un enfoque coactivo Esquemas metodológicos tradicionales de la Auditoría

10 Universidad Católica 10 Modelos de Control Orientados a: Control gerencial Control Informático Apoyar los controles anteriores 02

11 Universidad Católica 11 Control Gerencial - Gobierno Corporativo Tecnología Informática Control Interno Seguridad Informática Apoyo 02 Modelos de Control

12 Universidad Católica 12 Control Gerencial - Gobierno Corporativo (OCDE, Basel II, Sarbanes-Oxley, HIPAA, PIPEDA, GLBA, …) Control Gerencial - Gobierno Corporativo (OCDE, Basel II, Sarbanes-Oxley, HIPAA, PIPEDA, GLBA, …) Tecnología Informática (Gobierno de TI, COBIT, Net Centric, CMM/SW, CMM-I, MAGERIT…) Tecnología Informática (Gobierno de TI, COBIT, Net Centric, CMM/SW, CMM-I, MAGERIT…) Control Interno (COSO, CoCo, Cadbury, …) Control Interno (COSO, CoCo, Cadbury, …) Seguridad Informática (Gobierno de Seguridad, ISO-17799, BS , NIST, Octave, …) Seguridad Informática (Gobierno de Seguridad, ISO-17799, BS , NIST, Octave, …) Apoyo Risk Management [AS/NZS:4360/1999, MAGERIT, MGs] Control-Self Assessment Project Management Quality Assurance … Apoyo Risk Management [AS/NZS:4360/1999, MAGERIT, MGs] Control-Self Assessment Project Management Quality Assurance … 02 Modelos de Control y Alineamiento

13 Universidad Católica 13 Necesidad de establecer un Sistema de Control Interno Modelos de Control Gerencial - Corporate Governance OCDE (Organización para la cooperación y el desarrollo económicos) Principios para mantener la confianza de los inversionistas y atraer capitales estables y a largo plazo en países en vía de desarrollo Sarbanes Oxley Exactitud y transparencia de la información financiera para empresas que cotizan en Bolsa

14 Universidad Católica 14 Especificación de un Sistema de Control Interno Modelos de Control Gerencial Control Interno Definición y el resto del personal Proceso, llevado a cabo por la Junta Directiva, la dirección u otro personal de la entidad, y el resto del personal, diseñado para proveer seguridad razonable sobre el logro de los siguientes tipos de objetivo: o Efectividad y eficiencia de las operaciones o Confiabilidad de la información financiera o Cumplimiento de leyes y regulaciones o Salvaguarda de activos

15 Universidad Católica 15 MONITOREO ACTIVIDADES DE CONTROL VALORACIÓN DE RIESGOS AMBIENTE DE CONTROL INFORMACIÓN Y COMUNICACIÓN COSO Componentes

16 Universidad Católica 16 Control Interno Ambiente de Control Integridad y valores éticos Incentivos y tentaciones Guía de comportamiento moral Acuerdos de competencias Comité de auditoría Filosofía de administración Estructura organizacional Asignación de autoridad y responsabilidad Políticas y prácticas de recursos humanos

17 Universidad Católica 17 Coco: Esquema Objetivo Compromiso Capacidad Acción Seguimiento y aprendizaje Entorno Una persona ejecuta una tarea guiada por el entendimiento de:

18 Universidad Católica 18 Objetivos Recursos Procesos Objetivos de Control Objetivos Recursos Procesos Objetivos de Control Modelos Informáticos Tecnología Informática Ambiente Informático

19 Universidad Católica 19 Se refiere a la información que es relevante para el negocio y que debe ser entregada de manera correcta, oportuna, consistente y usable. Efectividad Se refiere a la provisión de información a través del óptimo (más productivo y económico) uso de los recursos. Eficiencia Relativa a la protección de la información sensitiva de su revelación no autorizada. Confidencialidad Se refiere a la exactitud y completitud de la información, así como su validez, en concordancia con los valores y expectativas del negocio. Integridad Objetivos

20 Universidad Católica 20 Se refiere a la que la información debe estar disponible cuando es requerida por los procesos del negocio ahora y en el futuro. Involucra la salvaguarda de los recursos y sus capacidades asociadas. Disponibilidad Se refiere a cumplir con aquellas leyes, regulaciones y acuerdos contractuales, a los que están sujetos los procesos del negocio. Cumplimiento Se refiere a la provisión de la información apropiada a la alta gerencia, para operar la entidad y para ejercer sus responsabilidades finacieras y de cumplir con los reportes de su gestión. Confiabilidad Objetivos

21 Universidad Católica 21 Recursos Microcomputador o terminal ========================== Aplicaciones en funcionamiento (1),(2),(3),(4),(8),(10),(11) Red local =============== (1),(2),(3),(4),(5),(6), (7),(8),(9),(10),(11) Sistema de comunicaciones (8),(11) Seguridad de la información Seguridad física (1) Sistemas Operacionales (2) Software de Seguridad (3) Sistemas Manejadores de Bases de Datos y Diccionarios de Datos (4) Monitores de Teleprocesamiento (5) Ayudas para el desarrollo de programas (6) Control del Cambio y Administración de librerías (7) Editores en línea (8) Software de Telecomunicaciones (9) Sistema de soporte a operaciones (10) Sistemas de oficina (11) Intercambio electrónico de datos Equipo central ========================= Operación del sistema (1),(2),(6),(7),(8),(9)

22 Universidad Católica 22 Procesos Adquisición e Implementación Identificación de soluciones Adquisición y mantenimiento de SW aplicativo Adquisición y mantenimiento de arquitectura TI Desarrollo y mantenimiento de Procedimientos de TI Instalación y Acreditación de sistemas Administración de Cambios Planeac i ón y Organización Definir un plan estratégico de TI Definir la arquitectura de información Determinar la dirección tecnológica Definir la organización y relaciones de TI Manejo de la inversión en TI Comunicación de directrices Gerenciales Administración del Recurso Humano Asegurar el cumplir requerimientos externos Evaluación de Riesgos Administración de Proyectos Administración de Calidad

23 Universidad Católica 23 Procesos Servicios y Soporte Seguimiento Seguimiento de los procesos Evaluar lo adecuado del control Interno Obtener aseguramiento independiente Proveer una auditoría independiente Definición del nivel de servicio Administración del servicio de terceros Administración de la capacidad y el desempeño Asegurar el servicio continuo Garantizar la seguridad del sistema Identificación y asignación de costos Capacitación de usuarios Soporte a los clientes de TI Administración de la configuración Administración de problemas e incidentes Administración de datos Administración de Instalaciones Administración de Operaciones

24 Universidad Católica 24 Objetivos de Control Una declaración de resultado deseado o propósito a ser alcanzado por medio de la implementación de procedimientos de control en una actividad Particular de TI 318 objetivos de control (de 3 a 30 objetivos por cada uno de los procesos) 2.3 Contratos con Terceros Con respecto a las relaciones con los proveedores de servicios como terceras partes, la Gerencia deberá asegurar que los acuerdos de seguridad (por ejemplo, los acuerdos de no - revelación) sean identificados, declarados explícitamente y acordados, que éstos concuerden con los estándares de negocios universales y estén en línea con los requerimientos legales y regulatorios, incluyendo obligaciones.

25 Universidad Católica 25 Fundamentos de Seguridad Informática Elementos de un Framework de Seguridad Técnicas Fundamentos de Seguridad Informática Elementos de un Framework de Seguridad Técnicas Modelos Informáticos Seguridad Informática

26 Universidad Católica 26 Confidencialidad IntegridadDisponibilidad Fundamentos de Seguridad Informática NIST – Common Criteria Auditabilidad Identificación Autenticación Riesgo Amenaza Vulnerabilidad …

27 Universidad Católica 27 Elementos de un Framework de Seguridad ISO Areas principales Política de Seguridad Control y clasificación de activos Seguridad física y ambiental Control de acceso Administración de la continuidad del negocio Organización de la Seguridad Seguridad del personal Administración de las comunicaciones y operaciones Desarrollo y mantenimiento de sistemas Cumplimiento

28 Universidad Católica 28 Técnicas Valoración de Riesgos Riesgo = Vulnerabilidad x Amenaza x Valor del Activo Riesgo = Impacto x Probabildad Identificación de Activos Identificación de Inventarios Clasificación de Datos Documentación de Hardware Valoración de Vulnerabilidades

29 Universidad Católica 29 Risk Management Control-Self Asessment Project Management … Risk Management Control-Self Asessment Project Management … Modelos de Apoyo

30 Universidad Católica 30 Modelos, Modelos, Modelos …. Actualización – Investigación Conclusiones 03

31 Universidad Católica 31 Universidad Católica de Colombia Facultad de PostGrados Bogotá Proyecto Estado del Arte de la Auditoría de Sistemas Bibliografía 04

32 Universidad Católica 32 PREGUNTAS?

33 Universidad Católica 33 Muchas gracias por su atención


Descargar ppt "JORNADA NACIONAL DE SEGURIDAD INFORMÁTICA 2004 ACIS – UNIVERSIDAD CATÓLICA Modelos de Control, Seguridad y Auditoría: Herramientas para profesionales en."

Presentaciones similares


Anuncios Google