La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Docente: Ing. Franklin Calle Zapata Integrantes: Diaz Arevalo, Hiram (Líder 99%) Romaní Rojas, Walter (99%) Figueroa Muñoz, Frankie (99%) AUDITORIA DE.

Presentaciones similares


Presentación del tema: "Docente: Ing. Franklin Calle Zapata Integrantes: Diaz Arevalo, Hiram (Líder 99%) Romaní Rojas, Walter (99%) Figueroa Muñoz, Frankie (99%) AUDITORIA DE."— Transcripción de la presentación:

1 Docente: Ing. Franklin Calle Zapata Integrantes: Diaz Arevalo, Hiram (Líder 99%) Romaní Rojas, Walter (99%) Figueroa Muñoz, Frankie (99%) AUDITORIA DE LA SEGURIDAD AUDITORIA DE SISTEMAS CAPITULO 17

2 17.1INTRODUCCIÓN Seguridad Auditoría de la Seguridad Encuentro entre seguridad y auditoría la seguridad sigue siendo el área principal a auditar Para muchos, la seguridad sigue siendo el área principal a auditar. En algunas entidades, se creó inicialmente la función de auditoría informática para revisar la seguridad, aunque después hayan ido ampliando los objetivos. la auditoria de la seguridad Puede haber seguridad sin auditoría, puede existir auditoría de otras áreas y queda un espacio de encuentro: la auditoria de la seguridad, pudiendo ésta área ser mayor o menor según la entidad y el momento.

3 importancia de la información Cada día es mayor la importancia de la información, especialmente relacionada con sistemas basados en TI y comunicaciones, por lo que el impacto de los fallos, los accesos no autorizados, la revelación de la información, y otras incidencias, tienen un impacto cada vez mayor; de allí la necesidad de protecciones adecuadas que se evaluarán o recomendarán en la auditoría de seguridad. Auditoría en Sistemas de Información De acuerdo con el nuevo enfoque y con las áreas que llega a cubrir, debemos ir hablando más de Auditoría en Sistemas de Información que sólo de Auditoría Informática Auditoría en SI La Auditoría en SI abarca globalmente los sistemas de información: desde la planificación, el alineamiento con las estrategias de la entidades, hasta los SI y el aprovechamiento de las TI aportan ventajas competitivas a la entidad, la gestión de los recursos, e incluso la medida de la rentabilidad de todo ello.

4 Auditoría como control del control OBJETIVOD DE LA SEGURIDAD Y DE LA AUDITORÍA DE LA SEGURIDAD AUDITORÍA EXTERNA APOYO DIRECCIÓN Y PROPIETARIO / USUARIO MOTIVACIÓN CONTROL PROCESAMIENTOS MEDIOS

5 Seguridad de la Información Los datos y la información son los activos más estratégicos y valiosos relacionados con los SI y el uso de las TI. Seguridad Informática son las propias operaciones de la entidad, el negocio en entidades con ánimo de lucro lo que requiere protección. Expresión mas usada que la anterior, puede llegar a relacionarse sólo con los equipos y los entornos técnicos, como si la información en otros soportes y ambientes no requiriera protección, cuando, son las propias operaciones de la entidad, el negocio en entidades con ánimo de lucro lo que requiere protección. Si no existen suficientes y adecuadas medidas de protección se puede perder información vital o al menos no estar disponible en el momento requerido las decisiones tomadas pueden ser erróneas se podrían incumplir contratos e incluso la propia legislación, lo que, en casos graves, podría traducirse en grandes multas e incluso la inmovilización de los archivos prevista en la LORTAD

6 Modelos de Seguridad Deben evaluarse si están en consonancia con las nuevas arquitecturas, las distintas plataformas y las posibilidades de las comunicaciones. No se puede auditar con conceptos, técnicas o recomendaciones de hace algunos años. Justificación de la auditoría Tanto la normativa como la auditoría son necesarias: una auditoría no basada en políticas de la entidad auditada sería subjetiva y una auditoría no basada en políticas de la entidad auditada sería subjetiva y hasta peligrosa hasta peligrosa la existencia de normatividad sin auditoría sería equivalente a la no existencia de la existencia de normatividad sin auditoría sería equivalente a la no existencia de policía de tránsito policía de tránsito

7 Grupos de Controles controles manualesautomáticoscontroles generalesdeaplicación Además de poderlos dividir en controles manuales y automáticos, o en controles generales y de aplicación, los dividimos en: Controles directivos, establecen las bases, como las políticas, o la creación de comités relaciones o de funciones: de administración de seguridad o auditoría de sistemas de información interna..Controles preventivos, antes del hecho, como la identificación de las visitas (seguridad física) o las contraseñas (seguridad lógica). Controles de detección, como determinadas revisiones de accesos producidos o la detección de incendios..Controles correctivos, para rectificar errores, negligencias o acciones intencionadas, como la recuperación de un archivo dañado a partir de una copia..Controles de recuperación, que facilitan la vuelta a la normalidad después de accidentes o contingencias, como puede ser un plan de continuidad adecuado.

8 Objetivos de Control respecto de la seguridad Son las declaraciones sobre el resultado final deseado o propósito general a ser alcanzado mediante las protecciones y los procedimientos de control Cada entidad ha de definir sus propios objetivos de control en cuanto a seguridad y otras áreas, y crear y mantener un Sistema de Control Interno que puedan garantizar que se cumplan los objetivos de control. Los auditores son los ojos y oídos de la Dirección, que a menudo no puede o no debe, o no sabe como realizar las verificaciones o evaluaciones. En los informes se recomendará la implantación o refuerzo de controles, y en algunos casos incluso la supresión de algún control, si resulta redundante o ya no es necesario.

9 ha de basarse en las políticas y se implanta con el apoyo de herramientas. El Sistema de Control Interno ha de basarse en las políticas y se implanta con el apoyo de herramientas. A menudo encontramos en las auditorías que existe la implantación parcial de controles de acceso lógico a tavés de paquetes o sistemas basada en el criterio de los técnicos y no de la normativa, o bien habiendo partido ésta de los técnicos sin aprobaciones de otro nivel procesos que implican gastos, En realidad, el control interno no esta generalizado fuera de los procesos que implican gastos, sin embargo existen riesgos tan importantes o más que las pérdidas monetarias directas, relacionados con la gestión adecuada de los recursos informáticos o con la propia protección de la información, que podrían suponer pérdidas muy importantes para la entidad

10 Cuando existe un sistema de control interno adecuado, los procesos de auditoría, especialmente si son periódicos, son revisiones necesarias pero más rápidas, con informes más breves En cambio, si el sistema de control interno es débil, la auditoría llevará más tiempo y esfuerzo, su coste será mayor, y las garantías de que se pongan en marcha las recomendaciones son mucho menores. Podríamos hacer una analogía con la situación de un paciente que se somete a un chequeo luego de varios años sin control

11 17.2ÁREAS QUE PUEDE CUBRIR LA AUDITORÍA DE LA SEGURIDAD Los controles directivos, es decir, los fundamentos de la seguridad: políticas, planes, funciones, existencia y funcionamiento de algún comité relacionado, objetivos de control, presupuesto, así como métodos de evaluación periódica de riesgos..El desarrollo de las políticas: procedimientos, posibles estándares, normas y guías, sin ser suficiente que existan estas últimas. El marco jurídico aplicable, así como las regulaciones o los requerimientos aplicables a cada entidad. Otro aspecto es el cumplimiento de los contratos Amenazas físicas externas: inundaciones, incendios, explosiones, cortes de líneas o de suministros, terremotos, terrorismo, huelgas... Control de accesos adecuado, tanto físicos como lógicos, para que cada usuario pueda acceder a los recursos a que esta autorizado y realice sólo las funciones permitidas y quedando las pistas necesarias para control y auditoría, tanto de los accesos producidos al menos a los recursos más críticos como los intentos en determinados casos.

12 Protección de datos: lo que fije la LOPD en cuanto a los datos de carácter personal bajo tratamiento automatizado, y otros controles en cuanto a los datos en general, según la clasificación que exista, la designación de propietarios y los riesgos a que estén sometidos. Comunicaciones y redes: topología y tipo de comunicaciones, posible uso cifrado, protecciones ante virus, éstas también en sistemas aislados aunque el impacto será menor que en una red El entorno de producción, entendiendo como tal la explotación más técnica de sistemas, y con especial énfasis en los elementos de contratos en lo que se refiere a protecciones, tanto cuando se refiera a terceros cuando se trata de una entidad que presta servicios, como el servicio recibido de otros, y de forma especial en el caso de subcontratación total o outsourcing. El desarrollo de aplicaciones en un entorno seguro, y que se incorporen controles en los productos desarrollados y que éstos resulten auditables. La continuidad de las operaciones Éstas áreas, casi todas tienen puntos de enlace y partes comunes: comunicaciones con control de acceso, cifrado con comunicaciones y soportes, datos con soportes y con comunicaciones, explotación con varias de ellas, y así en otros casos. Éstas áreas, casi todas tienen puntos de enlace y partes comunes: comunicaciones con control de acceso, cifrado con comunicaciones y soportes, datos con soportes y con comunicaciones, explotación con varias de ellas, y así en otros casos.

13 17.3EVALUACIÓN DE RIESGOS Se trata de identificar los riesgos. Cuantificar su probabilidad e impacto, y analizar medidas de que los eliminen o que disminuyan la probabilidad de su ocurrencia o mitigar su impacto. Para evaluar estos riesgos haya que considerar, entre otros factores: El tipo de información almacenada, procesada y transmitida La criticidad de las aplicaciones La tecnología usada El marco legal aplicable El sector de la entidad, la entidad misma y el momento Es necesario revisar si se han considerado amenazas, y de todo tipo: Errores y negligencias en general. Desastres naturales Fallos de instalaciones Fraudes o delitos y que puedan traducirse en daños a: Personas Datos Programas Redes Instalaciones

14 17.3EVALUACIÓN DE RIESGOS Debemos pensar que las medidas deben considerarse como inversiones en seguridad, y transmitir a los auditores que a demás tiene un impacto favorable en la imagen de las entidades. La protección no ha de basarse en sólo en dispositivos y medios físicos, sino en formación e información adecuada al personal, empezando por la mentalización a los directivos. El factor humano es el principal a considerar. Es necesaria una separación de funciones: es peligroso que una misma persona realiza una transacción, la autorice y revise después los resultados, porque podrían planificar un fraude o encubrir cualquier anomalía,y sobre todo equivocarse y no detectarse. Una vez identificados y medidos los riesgos, lo mejor seria poder eliminarlos.

15 17.3EVALUACIÓN DE RIESGOS Si la entidad auditada está en medio de un proceso de implantación de la seguridad, la evaluación se centrará en los objetivos, los planes, que proyectos hay en curso y los medios usados o previstos. En la auditoria externa se trata de saber si la entidad, a través de funciones como administración de la seguridad, auditoria interna, ha evaluado de forma adecuada los riesgos. Al hablar de seguridad de seguridad se habla de sus tres dimensiones clásicas: confidencialidad, integridad, y disponibilidad de la información. Confidencialidad.- se cumple cuando solo las personas autorizadas, pueden conocer los datos o la información correspondiente. La integridad.- consiste en que solo los usuarios autorizados puedan variar (modificar o borrar) los datos, deben quedar pistas para control posterior de auditoria. La disponibilidad.- se alcanza si las personal autorizadas pueden acceder a la información a la que estén autorizadas.

16 17.4FASES DE LA AUDITORIA DE ASISTEMAS Con carácter general pueden ser: Concreción de los objetivos y del alcance y profundidad de la auditoria. Análisis de posibles fuentes y recopilación de información: en el caso de los internos este proceso puede no existir. Determinación del plan de trabajo y de los recursos y plazos. Adaptación de cuestionarios y a veces consideración de herramientas Realización de entrevistas y pruebas Análisis de resultados y valoración de riesgos Presentación y discusión del informe provisional Informe definitivo

17 17.5AUDITORIA DE LA SEGURIDAD FISICA Se evaluaran las protecciones físicas de datos, programas, instalaciones, equipos, redes y soportes y por supuesto las personas. Las amenazas son muy diversas: sabotaje, vandalismo, terrorismo, accidentes de distinto tipo, incendios inundaciones, averías importantes, derrumbamientos, explosiones, así como otros que afecten a las personas y puedan impactar el funcionamiento de los centros, tales como errores, negligencias, etc. Desde la perspectiva de las protecciones físicas algunos aspectos a considerar son: Ubicación del CPD, de los servidores locales, y de cualquier elemento a proteger, como también los terminales. Estructura, diseño, construcción y distribución de los edificios. Riesgos a los que están expuestos, tanto por agentes externos, causales o no, como por acceso físico no controlados. Amenazas de fuego, riesgo por agua, problemas en el suministro eléctrico. A demás del acceso, debe controlarse el contenido de carteras, paquetes, bolsas o cajas.

18 17.5AUDITORIA DE LA SEGURIDAD FISICA Protección de los soportes magnéticos en cuanto a acceso, almacenamiento y posible transporte, a demás de otras protecciones no físicas, todo bajo un sistemas de inventario, así como de documentos impresos y de cualquier tipo de información clasificada.

19 17.6AUDITORÍA DE LA SEGURIDAD LÓGICA Es necesario verificar que cada usuario solo pueda accedes a los recursos que el propietario lo autorice. (disco, aplicación, BD, librería de programa, tipo de transacción, programas). Así como (lectura, modificación, borrado, ejecución … Revisar como se identifican, autentica los usuarios, así como quien les autoriza y como; además de verificar quien se entera, cuando y que se hace cuando ocurre una transgresión. El método mas utilizado es la contraseña, consideraciones: Quien asigna la contraseña: inicial y sucesivas. Longitud mínima y composición de caracteres. Vigencia. Numero de intentos que se permiten al usuario. Si las contraseñas están cifradas y bajo que sistema. Protección y cambio de contraseñas iniciales. Controles existentes para evitar detectar caballos de Troya. La no-cesión y el uso individual y responsable a partir de la normativa

20 17.6AUDITORÍA DE LA SEGURIDAD LÓGICA Cuando se cuenta con distintos sistemas los cuales requieren identificación. Los usuarios pueden tener las mismas contraseñas, lo cual supone una vulnerabilidad si la protección es desigual. Lo más adecuado es utilizar sistemas de autentificación únicos. Debemos verificar que el proceso de alta es realizado según la normativa en vigor, así como las variaciones y bajas, y que los usuarios siguen activos y cuales inactivos y porque. Otra debilidad es si pueden crearse situaciones de bloqueo. Porque solo existe un administrador. Se recomienda la existencia de algún usuario no asignado con perfil especial y contraseña protegida que puedan ser utilizadas en caso de emergencia. Todas las operaciones deberán quedar registradas para control y auditorias

21 17.7AUDITORÍA DE LA SEGURIDAD Y EL DESARROLLO DE APLICACIONES Todos desarrollo debe estar autorizado a distinto nivel según la importancia e incluso autorizadas por un comité si los costes o los riesgos superan unos umbrales. Se revisara la participación de usuarios y auditores internos, a que librerías puedan acceder, si hay separación suficiente de entornos, metodologías, ciclo de vida, gestión de proyectos, consideraciones especiales respecto a aplicaciones que traten datos clasificados o tengan transacciones económicas o de riesgo especial, términos de contrato y cumplimiento, selección y uso de paquetes, pruebas a distinto nivel, mantenimiento posterior, así como desarrollo de usuarios final. El pase al entorno de explotación real, debe estar controlado, no descartándose la revisión del programa. Para descartar caballos de Troya, bombas lógicas y similares además de la calidad. Protección de los programas, (propios, y las que tienen licencias).

22 17.8AUDITORÍA DE LA SEGURIDAD EN EL ÁREA DE PRODUCCIÓN Las entidades han de cuidar especialmente las medias de protección en caso de contrataciones de servicios: (Impresiones de etiquetas, outsourcing, etc), sin destacar que en el contrato se prevea la revisión por los auditores internos o externos de las instalaciones de la entidad que prevee el servicio. Debe revisarse la protección de utilidades o programas especialmente peligrosos, así como el control de la generación y cambios posteriores de todo el software del sistema y de forma especial el de control de acceso. Revisar el control de formularios críticos, control de problemas y cambios y la calidad.

23 17.9AUDITORÍA DE LA SEGURIDAD DE LOS DATOS La protección de los datos pueden tener barios enfoques. Confidencialidad. Como datos médicos. Disponibilidad. Si se pierden o pueden utilizarse a tiempo. Integridad. Cuado su perdida no puede detectarse fácilmente o no es fácil recuperarlo. Controles en los diferentes ciclos de vida de los datos. Desde el origen de datos, que puede ser dentro o fuera de la entidad y pede incluir preparación, autorización, incorporación al sistema Proceso de los Datos: controles de validación integridad, almacenamiento: que existan copias suficientes, sincronizadas y protegidas. Salida de resultados: Controles en transmisiones, en impresoras, en distribuciones, en servicios contratados de manipulación y en el envió; conciliación previa de salidas con entradas por personas diferentes. Para detectar errores y posibles intentos de fraudes.

24 17.9AUDITORÍA DE LA SEGURIDAD DE LOS DATOS Retención de la información y Protección en función de su clasificación: destrucción de los deferentes soportes que las contengan cuando ya no sea necesario o bien desmagnetización. Es necesaria la designación de propietarios, clasificación de los datos, e incluso de muescas para poder detectar usos no autorizados, así como la protección, controles y auditoria del SGBD. En cuanto a la clasificación de datos o información debe revisarse quien la ha realizado, según que criterio y estándares.(no suele ser practico que haya más de 4 o 5 niveles). En aplicaciones Cliente-servidor es necesario verificar los controles en varios puntos y no solo en la central. Y a veces en plataformas heterogenia con niveles y características de seguridad muy diferentes. También pueden usarse BD distribuidas, lo que puede añadir complejidad al sistema y a los controles a establecer.

25 17.9AUDITORÍA DE LA SEGURIDAD DE LOS DATOS Si entra en los objetivos se analizara la destrucción de la información clasificada sea física o lógica. Y donde se almacena la información antes de ser destruido. Si son lógicas deben seguir un procedimiento adecuado y ser sometidos a varias grabaciones antes de ser utilizados. En el caso necesario de transporte debe ser por canales seguros cifrados o en compartimiento cerrados sin que el transportista tenga las llaves

26 17.10AUDITORÍA DE LA SEGURIDAD EN LAS COMUNICACIONES Y REDES En las políticas de la entidad debe reconocerse que los sistemas, redes y mensajes son propiedad de la entidad y no deben utilizarse para otros fines no autorizados, salvo emergencias. En habrá previsto en uso de cifrado. Se evaluara y se llegará a recomendar, y se revisarán la generación, longitud, almacenamiento y vigencia de las claves, especialmente de las maestras. Cada usuario solo debe recibir en el menú lo que pueda seleccionar. Y cargar únicamente los programas autorizados. Siendo los técnicos autorizados los únicos que podrán modificar las configuraciones. Deben existir protección de distinto tipo, así como detecciones de accesos no autorizados (externas o internas), y frente a virus por diferentes vías de infección.

27 17.10AUDITORÍA DE LA SEGURIDAD EN LAS COMUNICACIONES Y REDES Se revisaran las redes cuando exista repercusiones económicas (transferencias de fondos o correo electrónico). Puntos complementarios: Tipo de redes y conexiones. Información de programas transmitidos, y uso de cifrado. Tipo de transacciones. Tipo de terminales y protección: física, lógica, llamadas de retorno. Protección de conversaciones de voz en caso necesario. Protección de transmisiones por fax si el contenido esta clasificado. Consideraciones especiales a través de gateway y routers. Internet e Intranet. Separación de dominios y medidas de control especiales como normas y cortafuegos.

28 17.10AUDITORÍA DE LA SEGURIDAD EN LAS COMUNICACIONES Y REDES El correo Electrónico. Tanto por privacidad y para evitar virus como para que el uso del correo sea adecuado y referido a la propia función y no para fines personales. Protección de programas. El uso no adecuado de programas propietarios o de los que tengan licencia. El control sobre las paginas Web. Quien puede modificarlos y desde donde. Para evitar la publicidad acerca de seguridad. Es necesarios que queden registrados los accesos a la red para facilitar los trabajos de control y auditorias.

29 Es uno de los puntos que nunca se deberá pasa por alto, estamos hablando de los planes de contingencia, no vasta con ver los manuales sino que es imprescindible ver si funciona con las garantías necesarias y cubrir los requerimientos de tiempos allí denominados. Se debe evaluar su idoneidad así como los resultados de las pruebas que se han realizados, si las revisiones no nos aportan garantía suficientes debemos sugerir pruebas complementarios o hacerlo constar en el informe e incluso indicarlos en el apartado de limitaciones. Es fundamental la existencia de copias actualizadas de recursos vitales en un lugar distante y de consideración adecuada tanto físicas como de protección.} No debe existir copia del plan fuera de las inhalaciones primarias En caso de los sistemas distribuidos es necesario conocer el características del centro o sistemas alternativos y deben revisarse si la capacidad de proceso, la de comunicación y la de almacenamiento del sistema del sistema alternativo sean suficientes, así como las medidas de protección AUDITORÍA DE LA CONTINUIDAD DE LAS OPERACIONES

30 Debe existir manuales completos y exhaustivos relacionados con la continuidad, que contemplen diferentes tipos de incidentes y a que nivel se puede decidir que se trate de una contingencia y de que tipo.

31 17.12 FUENTES DE LA AUDITORÍA -Políticas, estándares, normas y procedimientos -Planes de seguridad. -Contratos pólizas de seguros -Organigrama y descripción de funciones -Documentación de aplicaciones. -Descripción de dispositivos relacionados con la seguridad. -Manuales técnicos de sistemas operativos o de herramientas. -Inventarios: de soportes, de aplicaciones. -Topologías de redes. -Planos de instalaciones. -Registros: de problemas de cambios, de visitas de accesos lógicos producidos -Entrevistas a diferentes niveles -Archivos -Programas. -La observación: no figura en los manuales pero la consideramos importante. -Actas de reuniones relacionadas -Documentación de planes de continuidad y sus pruebas -Informes de suministradores o consultores.

32 17.13 EL PERFIL DEL AUDITOR El perfil que se requiere para llevar a cabo auditorias de sistemas de Información, no está regulado pero es evidente que son necesarias Una formación y sobre todo experiencia acordes con la función. Además madurez, capacidad de análisis y de síntesis. En ISACA existe un certificado relacionado: CISA(certified Información System auditor) donde a la hora de crear la función de auditoría interna de sistemas de información se suele plantear si se forman a auditores ya expertos en otras áreas, o si se forman a técnicos del área de informática o si se contratan a auditores de otra entidad ya experimentados.

33 Ventajas e inconvenientes. -Los auditores de otras áreas serán expertos en técnicas generales como entrevistas, y en redactar informes, pero pero desconocerán las particularidades y riesgos de las tecnologías de la información. -Los informáticos y expertos en áreas relacionadas no serán expertos en técnicas generales y en control (salvo que provengan de administración de seguridad), si bien puede ser más fácil que aprendan estos aspectos que enseñar a un auditor general respecto a novedades tecnológicas. -Quién venga de otra entidad puede no tener ni unos inconvenientes ni otros, e incluso puede conocer el sector y hay una ventaja mas: no conoce a las personas que tendrá que entrevistar, lo cual es positivo

34 QUE PUEDEN/DEBEN HACER LOS AUDITORES QUE NO DEBEN HACER LOS AUDITORES Ser independientes y objetivosActuar en beneficio propio por encima del interés del cliente Recomendar Obligar, forzar, amenazar Ser competentes en la materia (seguridad) Asumir encargos para los que no están preparados Basar sus informes en verificaciones y evidencias Basarlos en suposiciones Verificar que se evaluan periódicamente riesgos o bién evaluarlos Revisar la seguridad día a día o administrarla (son funciones de otros) Conocer los perfiles de usuariosRealizar gestión perfiles de usuarios Conocer criterios y prácticas sobre contraseñas. Gestión/asignación contraseñas o conocerlas. recomendaciones en cuanto a pautas de conductas del auditor

35 Verificar que las aplicaciones se desarrollan y mantienen según normas y se incorporan controles Realizar funciones de análisis o gestionar proyectos Revisar codificaciones de programas (seguridad y calidad) y las pruebas realizadas o bien probarlas Codificar programas Revisar la documentación (aplicaciones programas) Realizar la documentación Verificar que siguen los procedimientos Escribir procedimientos Responsabilizarse del contenido de sus informes Aceptar presiones de sus jefes o clientes y que el informe no sea veraz Evaluar riesgos e informesGarantizar que no se puedan realizar /haber realizado delitos, fraudes o errores Sustentar los informes con papeles de trabajo Enzarzarse en discusiones de diferencias de opiniones Estar al día en cuanto a avances, riesgos metodologías. Auditar con técnicas, métodos o recomendaciones obsoletos.

36 17.14 TÉCNICAS, MÉTODOS Y HERRAMIENTAS Como métodos y técnicas podemos considerar: los cuestionarios, las entrevistas, la observación los muestreos las CAAT, las utilidades y programas, los paquetes específicos las pruebas la simulación en paralelo con datos reales y programas de auditor o la revisión de programas.

37 17.15 Consideraciones Respecto al Informe En él se harán constar los objetivos, para que quienes lean el informe puedan verificar que ha habido una comunicación adecuada, así como que metodología de evaluación de riesgos y estándares se ha utilizado, y una breve descripción de los entornos revisados para que se pueda verificar que se han verificado dadas las plataformas. En él se harán constar los objetivos, para que quienes lean el informe puedan verificar que ha habido una comunicación adecuada, así como que metodología de evaluación de riesgos y estándares se ha utilizado, y una breve descripción de los entornos revisados para que se pueda verificar que se han verificado dadas las plataformas. Debe incluir un informe para la dirección en términos no técnicos. Debe incluir un informe para la dirección en términos no técnicos. Dependiendo de los casos será preferible agrupar aspectos similares: seguridad física y lógica… o bien clasificar los puntos por centros o redes, especialmente en entidades grandes. Dependiendo de los casos será preferible agrupar aspectos similares: seguridad física y lógica… o bien clasificar los puntos por centros o redes, especialmente en entidades grandes. El informe ha de ser revisado necesariamente por los auditados, así como discutido si es necesario antes de emitir el definitivo. El informe ha de ser revisado necesariamente por los auditados, así como discutido si es necesario antes de emitir el definitivo. En muchos casos, bien en el propio informe o en otro documento se recogen las respuestas de los auditados, sobre todo cuando la auditoría en interna. En muchos casos, bien en el propio informe o en otro documento se recogen las respuestas de los auditados, sobre todo cuando la auditoría en interna.

38 Es necesario establecer algunas métricas de seguridad, los clientes quieren saber si están aprobados en seguridad. Es necesario establecer algunas métricas de seguridad, los clientes quieren saber si están aprobados en seguridad. Algunos puntos importante que pueden llegar a estar en los informes respecto a seguridad, y sin que, se puede generalizar por que dependerá de la entidad, sector y circunstancias, pueden ser la ausencia de: Algunos puntos importante que pueden llegar a estar en los informes respecto a seguridad, y sin que, se puede generalizar por que dependerá de la entidad, sector y circunstancias, pueden ser la ausencia de: Copia de activos críticos en cuanto a continuidad.Copia de activos críticos en cuanto a continuidad. Cumplimiento de la legislación aplicable, así como de políticas y normas internas: diferenciación de entornos de desarrollo y producción en cuanto a datos y programas, y control de accesos.Cumplimiento de la legislación aplicable, así como de políticas y normas internas: diferenciación de entornos de desarrollo y producción en cuanto a datos y programas, y control de accesos. Involucración de la alta dirección, preferentemente a través de algún comité.Involucración de la alta dirección, preferentemente a través de algún comité. Motivación de los empleados y directivos en relación con la seguridad.Motivación de los empleados y directivos en relación con la seguridad. Evolución periódica y adecuada de los riesgos.Evolución periódica y adecuada de los riesgos. Segregación de funciones, así como una organización adecuada.Segregación de funciones, así como una organización adecuada.

39 17.16 Contratación de una Auditoría Externa Algunas consideraciones pueden ser: Algunas consideraciones pueden ser: La entidad auditora a de ser independiente de la auditada. La entidad auditora a de ser independiente de la auditada. No es común pedir referencias de otros trabajos similares como en el caso de consultoría pero se puede hacer, aún que para ello los auditores deberán pedir permiso previo a sus clientes. No es común pedir referencias de otros trabajos similares como en el caso de consultoría pero se puede hacer, aún que para ello los auditores deberán pedir permiso previo a sus clientes. La auditoría ha de encargarse a un nivel suficiente, normalmente Dirección General o consejero delegado y a este nivel escribir los informes. La auditoría ha de encargarse a un nivel suficiente, normalmente Dirección General o consejero delegado y a este nivel escribir los informes. Recordemos que pueden ser necesario dar o mostrar a los auditores todo lo que necesiten para realizar su trabajo, Recordemos que pueden ser necesario dar o mostrar a los auditores todo lo que necesiten para realizar su trabajo,

40 17.17 Regulación de Auditoría con Administración de Seguridad La función de Administración de seguridad en parte será interlocutora en los procesos de auditoría de seguridad, si bien los auditores no podemos perder nuestra necesaria independencia, ya que podemos evaluar el desempeño de la función de administración de seguridad, desde si sus funciones son adecuadas y están respaldadas por algún documento aprobado a nivel suficiente, hasta el cumplimiento de esas funciones si no hay conflicto con otras. La función de Administración de seguridad en parte será interlocutora en los procesos de auditoría de seguridad, si bien los auditores no podemos perder nuestra necesaria independencia, ya que podemos evaluar el desempeño de la función de administración de seguridad, desde si sus funciones son adecuadas y están respaldadas por algún documento aprobado a nivel suficiente, hasta el cumplimiento de esas funciones si no hay conflicto con otras. La función de auditoría de sistemas de información y de la administración de seguridad pueden ser complementarias, si bien sin perder su independencia: se trata de funciones que contribuyen a una mayor y mejor protección, y resulta como anillos protectores, como se muestra en la figura: La función de auditoría de sistemas de información y de la administración de seguridad pueden ser complementarias, si bien sin perder su independencia: se trata de funciones que contribuyen a una mayor y mejor protección, y resulta como anillos protectores, como se muestra en la figura:

41 ENTORNO PROTEGIDO

42 Ambas funciones han de mantener contactos periódicos y prestarse cierta asistencia técnica. Ambas funciones han de mantener contactos periódicos y prestarse cierta asistencia técnica. Normalmente administración de la seguridad habrá de implantar las recomendaciones de los auditores una vez fijadas las prioridades por la dirección de la entidad. Normalmente administración de la seguridad habrá de implantar las recomendaciones de los auditores una vez fijadas las prioridades por la dirección de la entidad. La persona que administra la seguridad únicamente incorpora usuarios y asigna contraseñas iniciales en uno de los sistemas, generalmente el más importante. La persona que administra la seguridad únicamente incorpora usuarios y asigna contraseñas iniciales en uno de los sistemas, generalmente el más importante. La coincidencia de los roles de administración de seguridad y auditoría interna en la misma persona es relativamente comprensibles por que son papeles que hay que asignar en los sistemas o paquetes. La coincidencia de los roles de administración de seguridad y auditoría interna en la misma persona es relativamente comprensibles por que son papeles que hay que asignar en los sistemas o paquetes. Ambos papeles han de tener una independencia gerárquica adecuada, una descripción de funciones idónea y que las personas cuenten con formación y experiencia acorde y estén motivadas. Ambos papeles han de tener una independencia gerárquica adecuada, una descripción de funciones idónea y que las personas cuenten con formación y experiencia acorde y estén motivadas.

43 CONCLUSIONES Se espera que siga la tendencia y las entidades vayan entendiendo cada vez más la utilidad de la protección de información y de la auditoría. Se espera que siga la tendencia y las entidades vayan entendiendo cada vez más la utilidad de la protección de información y de la auditoría. También es cierto que han surgido bastantes entidades suministradoras que han incluido la seguridad y la auditoría entre sus posibles servicios o simplemente han aceptado trabajos, en ambos casos sin disponer de expertos. También es cierto que han surgido bastantes entidades suministradoras que han incluido la seguridad y la auditoría entre sus posibles servicios o simplemente han aceptado trabajos, en ambos casos sin disponer de expertos. Por otra parte hemos podido verificar que la auditoría, su filosofía, así como sus técnicas y métodos, interesan cada vez más a los responsables de sistemas de información, a veces para conocer como pueden evaluar los auditores sus áreas, por a menudo saber cueles pueden ser los riesgos y que controles implantar. Por otra parte hemos podido verificar que la auditoría, su filosofía, así como sus técnicas y métodos, interesan cada vez más a los responsables de sistemas de información, a veces para conocer como pueden evaluar los auditores sus áreas, por a menudo saber cueles pueden ser los riesgos y que controles implantar.


Descargar ppt "Docente: Ing. Franklin Calle Zapata Integrantes: Diaz Arevalo, Hiram (Líder 99%) Romaní Rojas, Walter (99%) Figueroa Muñoz, Frankie (99%) AUDITORIA DE."

Presentaciones similares


Anuncios Google