Jorge Hernández Cordóba Fernando Ferrer Olivaes JORNADA NACIONAL DE SEGURIDAD INFORMÁTICA 2004 ACIS – UNIVERSIDAD CATÓLICA Modelos de Control, Seguridad y Auditoría: Herramientas para profesionales en Seguridad Informática Junio 24 de 2004 – Bogotá Jorge Hernández Cordóba Fernando Ferrer Olivaes

Agenda 01 Introducción 02 Modelos 03 Conclusiones 04 Bibliografía Universidad Católica

Definiciones de Auditoría... 01 “Revisión independiente de alguna o algunas actividades, funciones específicas, resultados u operaciones de una entidad administrativa, realizada por un profesional de la Auditoría, con el propósito de evaluar su correcta realización y con base en este análisis poder emitir una opinión autorizada sobre la razonabilidad de sus resultados y el cumplimiento de sus operaciones.” Universidad Católica

Otra definición Auditoría interna es una actividad independiente y objetiva de aseguramiento y consulta, concebida para agregar valor y mejorar las operaciones de una organización. Ayuda a una organización a cumplir sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno Universidad Católica

Auditoría de Sistemas de Información El propósito fundamental es evaluar el uso adecuado de los sistemas para el correcto ingreso de los datos, el procesamiento adecuado de la información y la emisión oportuna de sus resultados en la institución, incluyendo la evaluación en el cumplimiento de las funciones, actividades y operaciones de funcionarios, empleados y usuarios involucrados con los servicios que proporcionan los sistemas computacionales a la empresa” Universidad Católica

Control: Base para el desarrollo de la Auditoría El control es una de las fases del proceso administrativo, le corresponde: comparar los resultados obtenidos contra los resultados determinados en el proceso de planeación de la estrategia organizacional y de sus actividades tácticas y operativas con el fin de determinar el nivel de cumplimiento y ajustar los diferentes parámetros y características de los procesos mediante los cuales se busca el cumplimiento de los objetivos organizacionales. Universidad Católica

Concepto de Control Cualquier forma de control está basada en el uso de un lazo de retroalimentación (feedback) mediante el cual se compara la salida (output) del proceso o sistema controlado contra valores de referencia, de modo que al presentarse desviaciones, por exceso o por defecto, se produce una señal de “corrección” que debe ser alimentada al proceso para corregir las desviaciones observadas en la salida. Universidad Católica

Concepto de control entrada salida proceso Valor de referencia Lazo de retroalimentación Muestra de La salida Universidad Católica

Esquemas metodológicos tradicionales de la Auditoría Auditoria de cumplimiento – un enfoque reactivo auditoria del Cumplimiento de un estándar Auditoría de Cumplimiento de una “mejor práctica” Auditoria del Cumplimiento de la opinión del auditor Auditoria del desarrollo de sistemas – un enfoque proactivo Aseguramiento interno – un enfoque coactivo Universidad Católica

Apoyar los controles anteriores Modelos de Control 02 Orientados a: Control gerencial Control Informático Apoyar los controles anteriores Universidad Católica

Tecnología Informática Seguridad Informática Modelos de Control 02 Control Gerencial - Gobierno Corporativo Control Interno Apoyo Tecnología Informática Orientados al Control gerencial Control de Tecnología Informática Evaluación y control de riesgos Seguridad Informática Universidad Católica

Modelos de Control y Alineamiento 02 Control Gerencial - Gobierno Corporativo (OCDE, Basel II, Sarbanes-Oxley, HIPAA, PIPEDA, GLBA, …) Control Interno (COSO, CoCo, Cadbury, …) Apoyo Risk Management [AS/NZS:4360/1999, MAGERIT, MGs] Control-Self Assessment Project Management Quality Assurance … Tecnología Informática (Gobierno de TI, COBIT, Net Centric, CMM/SW, CMM-I, MAGERIT…) Orientados al Control gerencial Control de Tecnología Informática Evaluación y control de riesgos Seguridad Informática (Gobierno de Seguridad, ISO-17799, BS-7799-2, NIST, Octave, …) Universidad Católica

Modelos de Control Gerencial - Corporate Governance Necesidad de establecer un Sistema de Control Interno OCDE (Organización para la cooperación y el desarrollo económicos) Principios para mantener la confianza de los inversionistas y atraer capitales estables y a largo plazo en países en vía de desarrollo All apply in varying degrees: - staff cuts, image problems, undervalued contribution May be conflcting: - cost & quality; productivity & quality - how do we resolve? DAT provide response to all: - differentiating factor from other CAATs - justification of existence of audit - terms like ROI, pay-back, etc. Describe specific challenges - examine DAT contribution - highlight organizational benefits - audit benefits intermingled Are these challenges that you’re dealing with? Sarbanes Oxley Exactitud y transparencia de la información financiera para empresas que cotizan en Bolsa Universidad Católica

Modelos de Control Gerencial Control Interno Especificación de un Sistema de Control Interno Definición Proceso, llevado a cabo por la Junta Directiva, la dirección u otro personal de la entidad, y el resto del personal, diseñado para proveer seguridad razonable sobre el logro de los siguientes tipos de objetivo: Efectividad y eficiencia de las operaciones Confiabilidad de la información financiera Cumplimiento de leyes y regulaciones Salvaguarda de activos All apply in varying degrees: - staff cuts, image problems, undervalued contribution May be conflcting: - cost & quality; productivity & quality - how do we resolve? DAT provide response to all: - differentiating factor from other CAATs - justification of existence of audit - terms like ROI, pay-back, etc. Describe specific challenges - examine DAT contribution - highlight organizational benefits - audit benefits intermingled Are these challenges that you’re dealing with? Universidad Católica

ACTIVIDADES DE CONTROL COSO Componentes MONITOREO ACTIVIDADES DE CONTROL VALORACIÓN DE RIESGOS INFORMACIÓN Y COMUNICACIÓN AMBIENTE DE CONTROL El CI está compuesto por 5 componentes interrelacionados: - Ambiente de control. La gente - sus atributos individuales, incluyendo la integridad, los valores éticos y la competencia - y el ambiente en que ella opera. La gente es el motor que dirige la entidad y el fundamento sobre el cual todas ellas descansan. - Valoración de riesgos. La entidad debe ser consciente de los riesgos y enfrentarlos. Debe señalar objetivos, integrados con todas las actividades de manera que opere concertadamente. También debe establecer mecanismos para identificar, analizar y administrar los riesgos. - Actividades de control. Se deben establecer y ejecutar políticas y procedimientos para ayudar a asegurar que se están aplicando efectivamente las acciones identificadas por la administración como necesarias para manejar los riesgos en la conducción de los objetivos de la entidad. - Información y comunicación. Los sistemas de información y comunicación se interrelacionan. Ayudan al personal de la entidad a capturar e intercambiar la información necesaria para conducir, administrar y controlar sus operaciones. - Monitoreo. Debe monitorearse el proceso total, y considerarse como necesario hacer modificaciones. De esta manera el sistema puede reaccionar dinámicamente cambiando a medida que las condiciones lo justifiquen. El CI es un proceso iterativo multidireccional en el cual casi todos los componentes pueden influenciar a los otros. El AMBIENTE DE CONTROL proporciona una atmósfera en la cual la gente conduce sus actividades y cumple con sus responsabilidades de control. Sirve como fundamento para los otros componentes. Dentro de este ambiente, la administración VALORA LOS RIESGOS para la consecución de los objetivos específicos. Las ACTIVIDADES DE CONTROL se implementan para ayudar a asegurar que se están cumpliendo las directivas de la administración para manejar los riesgos. Mientras tanto, se captura y COMUNICA a través de toda la organización la INFORMACIÓN relevante. El proceso total es MONITOREADO y modificado cuando las condiciones lo justifican. Universidad Católica 2 2 13 2

Control Interno Ambiente de Control Integridad y valores éticos Incentivos y tentaciones Guía de comportamiento moral Acuerdos de competencias Comité de auditoría Filosofía de administración Estructura organizacional Asignación de autoridad y responsabilidad Políticas y prácticas de recursos humanos Universidad Católica 2 2 15 2 2

Una persona ejecuta una tarea guiada por el entendimiento de: Coco: Esquema Una persona ejecuta una tarea guiada por el entendimiento de: Objetivo Compromiso Capacidad Acción Seguimiento y aprendizaje Entorno El Control Interno es dirigido hacía el alcance de los objetivos en una o más categorías separadas pero sobrepuesta (superpuestas). Esta definición de Control Interno es demasiado amplia por dos razones: - Es la forma en que la mayoría de los ejecutivos senior entrevistados ven al Control Interno al manejar sus negocios. - Permite subdivisiones en el Control Interno: Puede ser aplicado sobre la información o leyes; Puede estar dirigido hacía unidades particulares o actividades de una entidad. Universidad Católica 2 2 18 2 2

Modelos Informáticos Tecnología Informática Objetivos Recursos Procesos Objetivos de Control Ambiente Informático All apply in varying degrees: - staff cuts, image problems, undervalued contribution May be conflcting: - cost & quality; productivity & quality - how do we resolve? DAT provide response to all: - differentiating factor from other CAATs - justification of existence of audit - terms like ROI, pay-back, etc. Describe specific challenges - examine DAT contribution - highlight organizational benefits - audit benefits intermingled Are these challenges that you’re dealing with? Universidad Católica

Objetivos Efectividad Eficiencia Confidencialidad Integridad Se refiere a la información que es relevante para el negocio y que debe ser entregada de manera correcta, oportuna, consistente y usable. Efectividad Se refiere a la provisión de información a través del óptimo (más productivo y económico) uso de los recursos. Eficiencia Relativa a la protección de la información sensitiva de su revelación no autorizada. Confidencialidad Se refiere a la exactitud y completitud de la información, así como su validez, en concordancia con los valores y expectativas del negocio. Integridad Universidad Católica

Objetivos Disponibilidad Cumplimiento Confiabilidad Se refiere a la que la información debe estar disponible cuando es requerida por los procesos del negocio ahora y en el futuro. Involucra la salvaguarda de los recursos y sus capacidades asociadas. Disponibilidad Se refiere a cumplir con aquellas leyes, regulaciones y acuerdos contractuales, a los que están sujetos los procesos del negocio. Cumplimiento Se refiere a la provisión de la información apropiada a la alta gerencia, para operar la entidad y para ejercer sus responsabilidades finacieras y de cumplir con los reportes de su gestión. Confiabilidad Universidad Católica

Recursos Microcomputador o terminal ========================== Aplicaciones en funcionamiento (1),(2),(3),(4),(8),(10),(11) Seguridad de la información Seguridad física (1) Sistemas Operacionales (2) Software de Seguridad (3) Sistemas Manejadores de Bases de Datos y Diccionarios de Datos (4) Monitores de Teleprocesamiento (5) Ayudas para el desarrollo de programas (6) Control del Cambio y Administración de librerías (7) Editores en línea (8) Software de Telecomunicaciones (9) Sistema de soporte a operaciones (10) Sistemas de oficina (11) Intercambio electrónico de datos Equipo central ========================= Operación del sistema (1),(2),(6),(7),(8),(9) Sistema de comunicaciones (8),(11) Red local =============== (1),(2),(3),(4),(5),(6), (7),(8),(9),(10),(11) Universidad Católica

Planeación y Organización Procesos Definir un plan estratégico de TI Definir la arquitectura de información Determinar la dirección tecnológica Definir la organización y relaciones de TI Manejo de la inversión en TI Comunicación de directrices Gerenciales Administración del Recurso Humano Asegurar el cumplir requerimientos externos Evaluación de Riesgos Administración de Proyectos Administración de Calidad Planeación y Organización Adquisición e Implementación Identificación de soluciones Adquisición y mantenimiento de SW aplicativo Adquisición y mantenimiento de arquitectura TI Desarrollo y mantenimiento de Procedimientos de TI Instalación y Acreditación de sistemas Administración de Cambios Universidad Católica

Procesos Servicios y Soporte Seguimiento Definición del nivel de servicio Administración del servicio de terceros Administración de la capacidad y el desempeño Asegurar el servicio continuo Garantizar la seguridad del sistema Identificación y asignación de costos Capacitación de usuarios Soporte a los clientes de TI Administración de la configuración Administración de problemas e incidentes Administración de datos Administración de Instalaciones Administración de Operaciones Servicios y Soporte Seguimiento Seguimiento de los procesos Evaluar lo adecuado del control Interno Obtener aseguramiento independiente Proveer una auditoría independiente Universidad Católica

Objetivos de Control “Una declaración de resultado deseado o propósito a ser alcanzado por medio de la implementación de procedimientos de control en una actividad Particular de TI” 318 objetivos de control (de 3 a 30 objetivos por cada uno de los procesos) 2.3 Contratos con Terceros Con respecto a las relaciones con los proveedores de servicios como terceras partes, la Gerencia deberá asegurar que los acuerdos de seguridad (por ejemplo, los acuerdos de no - revelación) sean identificados, declarados explícitamente y acordados, que éstos concuerden con los estándares de negocios universales y estén en línea con los requerimientos legales y regulatorios, incluyendo obligaciones. Universidad Católica

Modelos Informáticos Seguridad Informática Fundamentos de Seguridad Informática Elementos de un Framework de Seguridad Técnicas All apply in varying degrees: - staff cuts, image problems, undervalued contribution May be conflcting: - cost & quality; productivity & quality - how do we resolve? DAT provide response to all: - differentiating factor from other CAATs - justification of existence of audit - terms like ROI, pay-back, etc. Describe specific challenges - examine DAT contribution - highlight organizational benefits - audit benefits intermingled Are these challenges that you’re dealing with? Universidad Católica

Fundamentos de Seguridad Informática NIST – Common Criteria Confidencialidad Integridad Disponibilidad Riesgo Amenaza Vulnerabilidad … Auditabilidad Identificación Autenticación Universidad Católica 5

Elementos de un Framework de Seguridad ISO 17799 - Areas principales Política de Seguridad Organización de la Seguridad Control y clasificación de activos Seguridad del personal Seguridad física y ambiental Administración de las comunicaciones y operaciones Control de acceso Desarrollo y mantenimiento de sistemas Administración de la continuidad del negocio Cumplimiento Universidad Católica

Técnicas Valoración de Riesgos Identificación de Activos Riesgo = Vulnerabilidad x Amenaza x Valor del Activo Riesgo = Impacto x Probabildad Identificación de Activos Identificación de Inventarios Clasificación de Datos Documentación de Hardware http://net-services.ufl.edu/security/policy/workshops/documentation-workshop.ppt Valoración de Vulnerabilidades http://csrc.nist.gov/publications/nistpubs/800-55/sp800-55.pdf How many of you like to play the lottery? Security is a game of odds. The amount of security you deploy depends on the risk that you’re willing to take to protect your assets from known threats. Universidad Católica

Control-Self Asessment Project Management … Modelos de Apoyo Risk Management Control-Self Asessment Project Management … All apply in varying degrees: - staff cuts, image problems, undervalued contribution May be conflcting: - cost & quality; productivity & quality - how do we resolve? DAT provide response to all: - differentiating factor from other CAATs - justification of existence of audit - terms like ROI, pay-back, etc. Describe specific challenges - examine DAT contribution - highlight organizational benefits - audit benefits intermingled Are these challenges that you’re dealing with? Universidad Católica

Modelos, Modelos, Modelos …. Actualización – Investigación Conclusiones 03 Modelos, Modelos, Modelos …. Actualización – Investigación La técnica del reproceso controlado de datos, por el auditor, en forma independiente del usuario y de sistemas, es un procedimiento altamente confiable para comprobar que las transacciones de la empresa se procesan con el programa original autorizado por la organización. Permite detectar cambios que se hayan hecho al programa sin la debida autoriazción. Es útil especialmente para encontrar las instrucciones con fines ilícitos. El auditor conserva una copia actualizado del programa examinado y dispone todo lo necesario, en el centro de PED, para correr los datos de la empresa con la copia del programa. Los resultados obtenidos son comparados con los de la corrida regular de la empresa para cersiorarse de que sean iguales. Universidad Católica

04 Bibliografía Universidad Católica de Colombia Facultad de PostGrados Bogotá Proyecto Estado del Arte de la Auditoría de Sistemas La técnica del reproceso controlado de datos, por el auditor, en forma independiente del usuario y de sistemas, es un procedimiento altamente confiable para comprobar que las transacciones de la empresa se procesan con el programa original autorizado por la organización. Permite detectar cambios que se hayan hecho al programa sin la debida autoriazción. Es útil especialmente para encontrar las instrucciones con fines ilícitos. El auditor conserva una copia actualizado del programa examinado y dispone todo lo necesario, en el centro de PED, para correr los datos de la empresa con la copia del programa. Los resultados obtenidos son comparados con los de la corrida regular de la empresa para cersiorarse de que sean iguales. Universidad Católica

PREGUNTAS? Universidad Católica

Muchas gracias por su atención Universidad Católica