Ing. Nicols Serrano nserrano@bcu.gub.

uy

 Detalles

del trabajo Problema Objetivos Antecedentes en la FIng Temas tratados Estado del arte Caso de estudio Conclusiones

Tesis de Grado Junio a Diciembre del 2012 Estudiante: Nicols Serrano Tutor: Cristina Mayr Tribunal:
Mara Eugenia Corti Daniel Meerhoff Sebastin Pizard

Centro de estudios:

Universidad de la Repblica Facultad de Ingeniera

Instituto de Computacin

La operativa de las organizaciones es soportada por la Tecnologa.

Adems, la informacin es un activo fundamental (bien intangible

con el cual la empresa obtiene un beneficio).

Es sumamente importante administrar y brindar la seguridad adecuada de los sistemas, infraestructura, procesos, polticas, etc. de TI dentro de stas. Los Bancos tienen un rol muy importante en la sociedad. Estas instituciones requieren que su soporte tecnolgico reciba la auditora adecuada, para evaluar su eficacia, eficiencia, seguridad, gestin, etc.

Auditora de TI

Gobierno de TI

Estado del arte

Control Interno de TI

Seguridad Informtica

Riesgo de TI

Luego de realizar un estudio de estos conceptos, aplicarlos a

organizaciones del tipo bancario.

No son temas que se tengan mucho en cuenta a nivel de grado.

Se focaliza en otros temas.

Sin antecedente estrechamente relacionado con la temtica en tesis de grado o trabajos similares.
No fue un proyecto de grado fcilmente aceptado en un

principio.

De igual manera, no existen grupos de trabajo o investigacin dedicados plenamente a estos temas.

Peroa nivel de posgrado, existen materias ms relacionadas y se desarrollan tesis de maestra cercanas en la temtica.

Administracin del riesgo de TI

Basado en la NIST SP 800-30. Identificacin, evaluacin y priorizacin de

vulnerabilidades y amenazas. Medidas para evitar, mitigar o reducir su impacto. Adm. del Riesgo de TI integrado al ciclo de vida de los sistemas.

Gestin de la Seguridad de la Informacin

Basado en la familia ISO/IEC 27.000. Confidencialidad Integridad Disponibilidad. SGSI PDCA. Buenas prcticas Auditora de un SGSI Gobierno.

Control Interno de TI

Qu es el Control Interno Controles Preventivos Evitar eventos Controles Detectivos Registrar eventos Controles Reactivos Mec. sistemtico para detectar y corregir Cobit 4.1 COBIT 5
Ms all de que haya cambiado su alcance

Gobierno de TI

Qu es el Gobierno de TI Objetivos Alineacin Valor Monitoreo - Etc Decisiones Principios Arq Estrategias Inver. ISO/IEC 38.500 y MITSloan

 Auditora Misin: Realizar una revisin independiente y especializada de las tareas, reas o funciones de una institucin, con el fin de emitir un reporte sobre la eficacia y eficiencia de sus operaciones y resultados.

Interna/Externa Financiera, Fiscal, Operativa, etc

 Metodologa
Planeacin

de la Auditora de TI
Trabajo de campo y documentacin

Deteccin y validacin de problemas Desarrollo de soluciones

Redaccin y emisin del reporte de auditora Seguimiento de los problemas

Valor aportado al Banco

 Focos

en la auditora de TI:
Seguridad de la informacin CPD y recuperacin de desastres Estructura, operativa y administracin de TI Aplicaciones

Infraestructura de red

 Principales

estndares y frameworks
SP 800-30

utilizados:
ISO/IEC 27.001 ISO/IEC 27.002 ISO/IEC 27.007 ISO/IEC 27.014 ISO/IEC 38.500

CobiT 4.1
COBIT 5 TIA 942

 Entidades

financieras:

Casas de Cambio

Consorcios

Casas Financie -ras

Seguros

Bancos

IFEs

Mercado de Valores

Adm. de Crdito

Cooperativas

AFAPs

 Aspectos
Core del Negocio

tecnolgicos claves:
Base de Datos
Redes de Comunicaciones Centro de Procesamiento de Datos

Seguridad Informtica y de la Informacin

Continuidad del Negocio

Gestin y Gobierno de TI

Plan Estratgico

Polticas y Procedimientos

Riesgo y Control Interno de TI

Servicios Tercerizados

 Normativa:
AGESIC
Normas tcnicas Polticas - Guas - Directrices Marco legal Artculos - Leyes - Decretos - Etc.

BCU
Comunicaciones 2008/068 - 2008/069 Circulares RNRCSF (recopilacin de normas de regulacin y control del sistema financiero) Estndares mnimos de gestin Tareas del Directorio - Tareas de la Alta Gerencia Tareas para mitigar el Riesgo Operacional - Estndares de TI

 Metodologa: 1. Planeacin Objetivos y alcance de la Auditora. Planificacin. Evaluacin de riesgos. Entrevistas iniciales. 2. Trabajo de Campo Anlisis de datos. Entrevistas. Documentacin de hallazgos. Cumplimiento de los objetivos previamente fijados. 3. Deteccin de Problemas Analizar hallazgos. Validacin de estos. Medicin de su importancia.

 Metodologa: 4. Desarrollo de Soluciones Evaluar en conjunto con auditado las mejores soluciones para los problemas. Validar estos planes de accin. 5. Reporte de Auditora Redaccin del informe final. Entrega a las personas adecuadas. 6. Seguimiento Seguimiento peridico de las debilidades/planes de accin.

Auditora de aplicaciones
Rastros de auditora en el core bancario y toda aplicacin sensible. Seguirle el rastro a las transacciones en caso de algn problema. Tambin para estudiar posibles intentos de fraudes o ataques a los sistemas, etc. En caso de tercerizar el desarrollo de los sistemas, se debera

exigirle al proveedor que implemente esta funcionalidad en la aplicacin.

Auditora de la estructura, operativa y administracin de TI

Organizacin de TI claramente definida en el banco, con sus

responsabilidades y obligaciones bien marcadas. TI debe ocupar el lugar indicado dentro del Banco, ni muy abajo ni muy arriba en el organigrama, para evitar casos de falta de poder que le impidan tomar decisiones, o casos de demasiado poder en donde TI obstruya al corriente funcionamiento del negocio. Dentro de la organizacin de TI, se debera velar por una adecuada segregacin de funciones.

Auditora de la infraestructura de red

Adecuados controles de seguridad y auditora en el acceso remoto a la red

del banco (desde distintas sucursales, o incluso desde casas matrices en el extranjero).

Auditora del centro de procesamiento de datos y recuperacin de desastres

En caso de utilizarse un sitio de contingencia, el auditor debera visitarlo y

asegurarse que cuenta con las medidas de seguridad adecuada para permitir la reanudacin y continuidad de las operaciones del banco. Adems, ya que generalmente estos sitios son compartidos con otras empresas, es necesario que el auditor evale las garantas de seguridad, confidencialidad y disponibilidad que le ofrece este sitio.

Auditora de la seguridad de la informacin

Existen mecanismos de reporte ante cualquier situacin problemtica,

incidente, debilidad o malfuncionamiento; por los cuales los empleados puedan reportar al responsable de Seguridad de la Informacin del Banco.

Auditora sobre los otros conceptos vistos

Administracin del Riesgo de TI Existencia de algn procedimiento o metodologa de Administracin del Riesgo de TI. Evaluar uso de SP 800-30. Gestin de la Seguridad de la Informacin Se podra utilizar la ISO 27.001, 27.002 o 27.007, dependiendo de si se tiene o no, un SGSI. Control Interno de TI Para seguir un marco de trabajo estructurado, lo ms recomendable en la prctica, sera utilizar el modelo de Control Interno COSO, y para bajar a nivel de TI, usar CobiT 4.1 o COBIT 5. Gobierno de TI Evaluar las responsabilidades y decisiones claves del Gobierno de TI. Se puede utilizar como marco la ISO 38.500.

 Instituciones:

GAO

IEEE

ISACA

ISF

ISO

ITGI

NIST

Sandia

SANS

TIA

Conclusiones del trabajo:

El presente trabajo busc explorar nuevos conocimientos en el

campo de la ingeniera en computacin y en la tecnologa, para luego aplicarlos en un caso de estudio lo ms real posible. Las organizaciones grandes y complejas (como los bancos), necesitan ser auditados. Mantener su operativa confiable, segura y eficiente. Es recomendable que estas instituciones se apoyen en estndares, metodologas y frameworks conocidos y ampliamente aplicados.

Relacionado a la Fing:
Generar conciencia sobre estos temas en la FIng. Ms temas en las materias actuales, y ms materias relacionadas

(a nivel de grado). Posibilidad de estructurar perfiles.

 Preguntas?

Ing. Nicols Serrano nserrano@bcu.gub.uy