Académique Documents
Professionnel Documents
Culture Documents
uy
Detalles
del trabajo Problema Objetivos Antecedentes en la FIng Temas tratados Estado del arte Caso de estudio Conclusiones
Tesis de Grado Junio a Diciembre del 2012 Estudiante: Nicols Serrano Tutor: Cristina Mayr Tribunal:
Mara Eugenia Corti Daniel Meerhoff Sebastin Pizard
Centro de estudios:
Es sumamente importante administrar y brindar la seguridad adecuada de los sistemas, infraestructura, procesos, polticas, etc. de TI dentro de stas. Los Bancos tienen un rol muy importante en la sociedad. Estas instituciones requieren que su soporte tecnolgico reciba la auditora adecuada, para evaluar su eficacia, eficiencia, seguridad, gestin, etc.
Auditora de TI
Gobierno de TI
Control Interno de TI
Seguridad Informtica
Riesgo de TI
Sin antecedente estrechamente relacionado con la temtica en tesis de grado o trabajos similares.
No fue un proyecto de grado fcilmente aceptado en un
principio.
De igual manera, no existen grupos de trabajo o investigacin dedicados plenamente a estos temas.
Peroa nivel de posgrado, existen materias ms relacionadas y se desarrollan tesis de maestra cercanas en la temtica.
vulnerabilidades y amenazas. Medidas para evitar, mitigar o reducir su impacto. Adm. del Riesgo de TI integrado al ciclo de vida de los sistemas.
Basado en la familia ISO/IEC 27.000. Confidencialidad Integridad Disponibilidad. SGSI PDCA. Buenas prcticas Auditora de un SGSI Gobierno.
Control Interno de TI
Qu es el Control Interno Controles Preventivos Evitar eventos Controles Detectivos Registrar eventos Controles Reactivos Mec. sistemtico para detectar y corregir Cobit 4.1 COBIT 5
Ms all de que haya cambiado su alcance
Gobierno de TI
Qu es el Gobierno de TI Objetivos Alineacin Valor Monitoreo - Etc Decisiones Principios Arq Estrategias Inver. ISO/IEC 38.500 y MITSloan
Auditora Misin: Realizar una revisin independiente y especializada de las tareas, reas o funciones de una institucin, con el fin de emitir un reporte sobre la eficacia y eficiencia de sus operaciones y resultados.
Metodologa
Planeacin
de la Auditora de TI
Trabajo de campo y documentacin
Focos
en la auditora de TI:
Seguridad de la informacin CPD y recuperacin de desastres Estructura, operativa y administracin de TI Aplicaciones
Infraestructura de red
Principales
estndares y frameworks
SP 800-30
utilizados:
ISO/IEC 27.001 ISO/IEC 27.002 ISO/IEC 27.007 ISO/IEC 27.014 ISO/IEC 38.500
CobiT 4.1
COBIT 5 TIA 942
Entidades
financieras:
Casas de Cambio
Consorcios
Seguros
Bancos
IFEs
Mercado de Valores
Adm. de Crdito
Cooperativas
AFAPs
Aspectos
Core del Negocio
tecnolgicos claves:
Base de Datos
Redes de Comunicaciones Centro de Procesamiento de Datos
Gestin y Gobierno de TI
Plan Estratgico
Polticas y Procedimientos
Servicios Tercerizados
Normativa:
AGESIC
Normas tcnicas Polticas - Guas - Directrices Marco legal Artculos - Leyes - Decretos - Etc.
BCU
Comunicaciones 2008/068 - 2008/069 Circulares RNRCSF (recopilacin de normas de regulacin y control del sistema financiero) Estndares mnimos de gestin Tareas del Directorio - Tareas de la Alta Gerencia Tareas para mitigar el Riesgo Operacional - Estndares de TI
Metodologa: 1. Planeacin Objetivos y alcance de la Auditora. Planificacin. Evaluacin de riesgos. Entrevistas iniciales. 2. Trabajo de Campo Anlisis de datos. Entrevistas. Documentacin de hallazgos. Cumplimiento de los objetivos previamente fijados. 3. Deteccin de Problemas Analizar hallazgos. Validacin de estos. Medicin de su importancia.
Metodologa: 4. Desarrollo de Soluciones Evaluar en conjunto con auditado las mejores soluciones para los problemas. Validar estos planes de accin. 5. Reporte de Auditora Redaccin del informe final. Entrega a las personas adecuadas. 6. Seguimiento Seguimiento peridico de las debilidades/planes de accin.
Auditora de aplicaciones
Rastros de auditora en el core bancario y toda aplicacin sensible. Seguirle el rastro a las transacciones en caso de algn problema. Tambin para estudiar posibles intentos de fraudes o ataques a los sistemas, etc. En caso de tercerizar el desarrollo de los sistemas, se debera
responsabilidades y obligaciones bien marcadas. TI debe ocupar el lugar indicado dentro del Banco, ni muy abajo ni muy arriba en el organigrama, para evitar casos de falta de poder que le impidan tomar decisiones, o casos de demasiado poder en donde TI obstruya al corriente funcionamiento del negocio. Dentro de la organizacin de TI, se debera velar por una adecuada segregacin de funciones.
del banco (desde distintas sucursales, o incluso desde casas matrices en el extranjero).
asegurarse que cuenta con las medidas de seguridad adecuada para permitir la reanudacin y continuidad de las operaciones del banco. Adems, ya que generalmente estos sitios son compartidos con otras empresas, es necesario que el auditor evale las garantas de seguridad, confidencialidad y disponibilidad que le ofrece este sitio.
incidente, debilidad o malfuncionamiento; por los cuales los empleados puedan reportar al responsable de Seguridad de la Informacin del Banco.
Administracin del Riesgo de TI Existencia de algn procedimiento o metodologa de Administracin del Riesgo de TI. Evaluar uso de SP 800-30. Gestin de la Seguridad de la Informacin Se podra utilizar la ISO 27.001, 27.002 o 27.007, dependiendo de si se tiene o no, un SGSI. Control Interno de TI Para seguir un marco de trabajo estructurado, lo ms recomendable en la prctica, sera utilizar el modelo de Control Interno COSO, y para bajar a nivel de TI, usar CobiT 4.1 o COBIT 5. Gobierno de TI Evaluar las responsabilidades y decisiones claves del Gobierno de TI. Se puede utilizar como marco la ISO 38.500.
Instituciones:
GAO
IEEE
ISACA
ISF
ISO
ITGI
NIST
Sandia
SANS
TIA
campo de la ingeniera en computacin y en la tecnologa, para luego aplicarlos en un caso de estudio lo ms real posible. Las organizaciones grandes y complejas (como los bancos), necesitan ser auditados. Mantener su operativa confiable, segura y eficiente. Es recomendable que estas instituciones se apoyen en estndares, metodologas y frameworks conocidos y ampliamente aplicados.
Relacionado a la Fing:
Generar conciencia sobre estos temas en la FIng. Ms temas en las materias actuales, y ms materias relacionadas
Preguntas?