AUDITORIA TECNOLOGIAS DE INFORMACION Seguridad y Auditoria de Sistemas Ciclo 2009-1 Ing. Yolfer Hernández, CIA

Temario – Auditoria TI Auditoria de Sistemas de Información: Objetivos, roles y retos del auditor TI. Áreas Específicas de Auditoria: Aplicaciones Desarrollo de Proyectos Explotación Sistemas Comunicaciones / Redes Seguridad Continuidad de Negocios. Ejemplos de Programas de trabajo y Pruebas de auditoria. Estándares internacionales principales

Auditoría TI “Proceso de recolección y evaluación de evidencias para determinar si un sistema computacional resguarda los recursos, mantiene la integridad de los datos, permite el logro de los objetivos de la organización y emplea eficientemente estos recursos”. (Weber)

Auditoría tradicional Gerencia de sistemas Auditoría tradicional Ingeniero de sistemas Auditoría de sistemas Ciencia del comportamiento Ciencias de la Computación

Impacto de la auditoría TI Auditoría de SI Organizaciones Mejorar la eficiencia del sistema Mejorar la integridad de datos Mejorar la salvaguarda de los activos Mejorar la efectividad del sistema

Retos del auditor Comprensión del modelo del negocio. Comprensión del papel de las TIC. Conocimiento sobre cómo actúan las TIC sobre el proceso del negocio. Conocimientos de tecnologías de información. Conocimiento del impacto de sus recomendaciones

Roles y funciones del Auditor TI Evaluar el significado de control dentro de un sistema y ajustar las pruebas necesarias. Revisión de centros de procesamientos de datos. Revisión de plataformas, sistemas operativos, sistemas en producción, redes, etc. Participar en el Ciclo de Vida de Desarrollo del Sistema. Preparar y ejecutar Computer Assisted Audit Techniques (CAATs). Participar en auditorías integradas.

Auditoría TI Areas Específicas de Auditoria Desarrollo de Proyectos Aplicaciones Explotación Infraestructura de Sistemas Seguridad Continuidad operativa

Desarrollo de Proyectos El Auditor puede participar Como “miembro” del equipo de desarrollo para identificar fallas o debilidades en etapas tempranas. En revisiones de postimplementación En revisiones de los procesos en sí.

Desarrollo de Proyectos Requerimientos del usuario. Análisis Funcional. Diseño. Análisis y Diseño Técnico. Desarrollo (Programación). Pruebas. Implementación (Entrega a explotación). Entregables Normas Estándares

Auditoria de Aplicaciones Verificar y/o asegurar: Adecuado servicio a requerimientos del Negocio Nivel de documentación de sistemas y programas. Pruebas, aprobaciones, y documentación de los cambios a programas y procesos. Entender el flujo de transacciones y la estructura básica de control, incluyendo los aspectos de procesos manuales, automatizados e interfaces Controles de Acceso a librerías de programas, documentación, y archivos. Segregación de funciones y responsabilidades dentro de la función de TI y todas las áreas con las que interactúan.

Auditoria de Aplicaciones Revisión de Diseño Especificaciones funcionales: Requerimientos de transacciones, cálculos, flujos de control, etc. Diseño Funcional Diseño de Interfaces con usuarios (E/S) Diseño de Procesos Diseño de Bases de Datos

Auditoria de Aplicaciones Desarrollo de pruebas Estrategias de pruebas Diseño de datos de pruebas Caja Negra: Pruebas de especificaciones funcionales Caja Blanca: Cobertura completa, a nivel de Instrucciones, Rutas de lógica Valores Límite: con datos para probar la ejecución de límites mayores, menores e iguales a lo indicado en el programa. Pruebas de esfuerzo operativo y técnico.

Auditoría de Explotación Control de entrada de datos. Gestión de Cambios (Planificación y recepción de aplicaciones). Centro de control y monitoreo de eventos Centro de atención de Usuarios y resolución de problemas Planificacion de procesos Control de resultados.

Auditoría de Infraestructura de sistemas Software de comunicaciones. Sistemas Operativos. Software básico y herramientas. Administración de Bases de Datos.

Auditoría de Comunicaciones Diseño de la infraestructura de las redes Monitoreo de tráfico y disponibilidad de las redes -> alertas Servicios de transporte y balanceo de tráfico Pruebas de los enlaces de contingencia Inventario de equipos de comunicaciones y servidores de infraestructura y aplicativos Pruebas de vulnerabilidad de la segmentación de redes Proveedores: disponibilidad para escalamiento, upgrades, mantenimiento, costos, etc Detección, registro y resolución de problemas Participación en el diseño de aplicaciones online. Pruebas de acceso a redes y/o servidores según perfiles

Auditoría de Seguridad Seguridad Física Seguridad Lógica Seguridad Operativa / Funcional. Seguridad Técnica.

Evaluación de arquitectura Auditoría de Seguridad Evaluación de arquitectura Revisar la metodología para la evaluación de riesgos y compararla con las mejores prácticas para determinar las brechas. Compruebe que la arquitectura de seguridad reconoce los riesgos e implementa mitigadores, procesos y procedimientos que proveen controles apropiados.

Auditoría de Seguridad Evaluación de arquitectura La arquitectura de seguridad de la empresa separa la información en zonas de redes lógicas para proteger los datos y para aislar a los usuarios. La arquitectura debe proveer servicios de autenticación, autorización, auditoría, detección de intrusos y diseñada utilizando las mejores prácticas y análisis de los riesgos del negocio.

Evaluación del plan de seguridad Auditoría de Seguridad Evaluación del plan de seguridad Basado en las mejores prácticas recomendadas en las 11 secciones de la ISO 17799 Planes de Seguridad: proceso de publicación, documentación, revisión y mantenimiento. Los planes deben ser conocidos y aprobados por el dueño del negocio y que están de acuerdo en los riesgos y controles Identificación de los activos de información significativos, que tengan la evaluación de riesgos y controles que lo mitigan Verificar el nivel de concientización por el personal y la responsabilidad de los controles de seguridad Verificar el cumplimiento de las políticas y de la normativa relacionada. Verificar el cumplimiento y valoración de los controles

Evaluacion de un sistema PKI Auditoría de Seguridad Evaluacion de un sistema PKI Revisar el certificado de autoridad y los controles y políticas que la organización mantiene. Probar los sistemas de distribución y administración de certificados para certificar que son procesos claros y bien administrados.

Evaluacion de acceso biométrico Auditoría de Seguridad Evaluacion de acceso biométrico Explore la existencia de planes de contingencia en caso el control falle. Evalúe el proceso de registración, porque en este punto se establece la identidad. Revise oportunidades existentes para evitar estos controles y la aceptación de los empleados.

Auditoría de Continuidad de Negocios Existencia de un Plan de Continuidad de Negocios: Servicios críticos Organización y Procedimientos Pruebas de los Planes de Contingencia: Sistema de recuperacion Infraestructura alternativa Atención de servicios Retorno a la Normalidad

Auditoría Informática Ejemplos de Programas de Trabajo Aplicaciones Controles Generales

Estándares de Auditoría En el mundo, han evolucionado las siguientes organizaciones profesionales: American Institute of Certified Public Accountants (AICPA) Canadian Institute of Chartered Accountants (CICA) Institute of Internal Auditors (IIA) Information Systems Audit and Control Association (ISACA) U.S. General Accounting Office.

Estándares de Auditoría Informe COSO - (Committee of Sponsoring Organizations), de la Comisión de Estudios de Controles Internos -> Para la Gerencia SAC - (Systems Auditability and Control), de la Fundación de Investigación del IIA -> Para los Auditores Internos. SAS 55 y SAS 78 - Consideraciones de la estructura de Controles Internos en los Informes de los Estados Financieros, del Instituto Americano de Contadores Públicos (AICPA) -> Auditores Externos COBIT (Control Objectives for Information and related Technology), de la Fundación de Auditoría y Control de Sistemas de Información ->Auditores de TI.

Programas de certificación CISA: Certified Information System Auditor. CISM: Certified Information Security Manager. ESI: European Software Institute. CIA: Certified Internal Auditor.