Facultad de Ingenieras y Arquitectura

Escuela Acadmica Profesional de

Ingeniera de Sistemas e Informtica
Auditora de Sistemas

Ing. Vctor Muoz R.
munozramirez.victor@gmail.com
Divido en tres partes y asociado a estndares
internacionales y/o buenas practicas.

Primera Parte: Auditora de Sistemas
Cobit 4.1

Segunda Parte: Seguridad de Informacin
ISO 27001

Tercera Parte: Continuidad del Negocio
ISO 22301



Definicin del curso
1.- Apagar los celulares
2.- Tolerancia 10 minutos
3.- Entretiempo aprox. 8:30 de 10 minutos
4.- Dos prcticas y/o trabajos
5.- Parcial y Final
6.- De existir sustitutorio
7.- No faltar

Ms importante:
No roncar, puede despertar al resto


Reglas del curso
Auditora de Sistemas

Ing. Vctor Muoz R.
munozramirez.victor@gmail.com
Es una actividad independiente diseada para agregar
valor y mejorar las operaciones y/o procesos de una
organizacin.

Ayuda a la organizacin a alcanzar sus metas llevando a
cabo un enfoque sistemtico y disciplinado para evaluar y
mejorar la efectividad de la administracin de los
riesgos, controles y gobierno de una empresa.




(*) Definicin del Instituto de Auditores Internos
Definicin de Auditora Interna (*)
Financieras
Operativas
Sistemas
Calidad
Entre otros
Clasificacin de las auditoras
La auditora de sistemas es el proceso de recoger,
agrupar y evaluar evidencias para determinar si un
sistema informatizado salvaguarda los activos, mantiene la
integridad de los datos, lleva a cabo los fines de la
organizacin, utiliza eficientemente los recursos.
Definicin de Auditora de Sistemas
Buscar una mejor relacin costo-beneficio de los sistemas automticos
o computarizados diseados e implantados.
Incrementar la satisfaccin de los usuarios de los sistemas
computarizados.
Asegurar una mayor integridad, confidencialidad y confiabilidad de la
informacin mediante la recomendacin de controles.
Conocer la situacin actual del rea informtica y las actividades y
esfuerzos necesarios para lograr los objetivos propuestos.
Seguridad de personal, datos, hardware, software e instalaciones.
Apoyo de funcin informtica a las metas y objetivos de la
organizacin.
Seguridad, utilidad, confianza, privacidad y disponibilidad en el
ambiente informtico.
Minimizar existencias de riesgos en el uso de Tecnologa de
informacin
Decisiones de inversin y gastos innecesarios.
Capacitacin y educacin sobre controles en los Sistemas de
Informacin.


Objetivos de una Auditora de Sistemas
El objetivo que tiene el auditor de sistemas es dar
recomendaciones a la alta gerencia para mejorar o lograr
un adecuado control interno en ambientes de tecnologa
informtica con el fin de lograr mayor eficiencia
operacional y administrativa, minimizando los riesgos de
TI/operacional que afecte a la empresa.

Objetivo del Auditor de Sistemas
Complejidad de los sistemas.
Uso de diversos lenguajes de programacin.
Metodologas son parte de las personas y de su
experiencia.
Departamento de sistemas que coordina y centraliza
todas las operaciones, los usuarios son altamente
dependientes del rea de sistemas.
Controles del computador.
Usuarios que debilitan los controles.
Aspectos del entorno de Sistemas
que afectan el enfoque de Aud. Sist.
COBIT - Dominio: Planificar y Organizar
PLANEACION Y
ORGANIZACION
PO2 Definir la
Arquitectura de
Informacin.
PO1 Definir un plan
Estratgico de TI
PO3 Determinar la
Direccin tecnolgica
PO4 Definir los procesos
Organizacin y relaciones
De TI
PO5 Administrar las
Inversiones de TI
PO6 Comunicar las
Aspiraciones y la direccin
De la gerencia
PO7 Administrar los
Recurso humanos de
TI
PO8 Administrar la
Calidad
PO9 Evaluar y
Administrar los
Riesgos de TI
PO10 Administrar
Proyectos
ADQUIRIR E
IMPLEMENTAR
AI2. Adquirir y mantener
el software aplicativo
AI1. Identificar soluciones
automatizadas
AI3. Adquirir y mantener
la infraestructura
tecnolgica
AI4. Facilitar la
operacin y el uso

AI7. Instalar y acreditar
soluciones y cambios
AI6. Administrar
cambios
AI5. Adquirir
recursos de TI
COBIT - Dominio: Adquirir e Implementar
ENTREGA
Y
SOPORTE
DS3 Administrar el
desempeo y la capacidad
DS1 Definir y administrar
los niveles de servicio
DS4 Garantizar la
continuidad del servicio
DS5 Garantizar la
seguridad de los sistemas
DS6 Identificar y
asignar costos
DS8 Administrar la mesa
de servicio y los incidentes
COBIT - Dominio: Entrega y Soporte
DS2 Administrar
servicios de terceros
DS7 Educar y entrenar
a los usuarios
DS13 Administrar las
operaciones
DS12 Administrar el
ambiente fsico
DS11 Administrar
los datos
DS10 Administrar los
problemas
DS9 Administrar la
configuracin
MONITOREAR
Y
EVALUAR
ME2 Monitorear y Evaluar
el Control Interno
ME4 Proporcionar Gobierno
de TI
ME3 Garantizar el Cumplimiento
Regulatorio
ME1 Monitorear y Evaluar
el Desempeo de TI
COBIT - Dominio: Monitorear y Evaluar
Seguridad de la
Informacin
Existen debilidades?
Si te conoces a ti mismo y
conoces a tu enemigo,
entonces no debers temer el
resultado de mil batallas
Sun-Tzu, El Arte de la Guerra
Clonaron mi tarjeta de debito y me gastaron todos los
fondos
Estn amenazando a mi jefe por mail y el cree que soy yo
No se como se enteraron si yo te lo dije por skype
El sistema esta cado
Hoy no podemos atender porque las computadoras tienen
virus
Me robaron la notebook y no pude recuperar ni un solo
archivo
El sitio fue hackeado
Aparecieron en facebook fotos que tenia un viejo amigo
y estn todas trucadas
Alguien esta usando mi cuenta de correo y mi facebook
Algunas vez escucho estas frases?
Inters en el delito informtico
El delito informtico parece ser un buen negocio :
- Objeto pequeo: la informacin esta almacenada en
contenedores pequeos: no es necesario un camion
para robar el banco
- Contacto fsico : no existe contacto fsico en la
mayora de los casos. Se asegura el anonimato y la
integridad fsica del delincuente
- Alto valor : el objeto codiciado tiene un alto valor. El
contenido (los datos) vale mucho ms que el soporte que
los almacena (disquete, disco compacto,).


nica solucin: el uso de Polticas de Seguridad
A considerar
La seguridad de un sistema de informacin se da cuando:

Existe confianza en l.

El comportamiento del Sistema y/o Aplicacin es el
esperado.

La informacin almacenada es inalterada y accesible.
Objetivo de la Seguridad de la Informacin
Consolidacin de:

Integridad
Confidencialidad
Disponibilidad
No repudio
Autenticacin



Si se cumplen estos puntos, diremos en general
que los datos estn protegidos y seguros.

Medidas y sus objetivos
Una serie de niveles de control.
La falla de un nivel ser absorbida por las otras
Reducir el impacto global al mnimo.

Objetivos
Disuadir
Detectar
Minimizar el impacto de prdida o desastre
Investigar
Recuperar
Principios
El intruso probablemente es alguien conocido
No confes, o se cauteloso con quien requiera tu confianza.
No confes en ti mismo, o verifica lo que haces.
Haga que el intruso crea que ser atrapado.
Mientras planeas la estrategia de seguridad, presume de
la completa falla de cualquier nivel de seguridad.
La seguridad debe ser parte del diseo original.
Deshabilitar servicios paquetes y cualquier elemento
innecesario.
Antes de conectar, entiende y asegura
Preprate para lo peor.

Consideraciones
Qu se quiere proteger?

Contra qu se quiere proteger?

Cunto tiempo, dinero y esfuerzo se est dispuesto a
invertir?
Tipos de Seguridad
Seguridad Fsica: proteccin del sistema ante las
amenazas fsicas, planes de contingencia, control de
acceso fsico, polticas de backups,

Seguridad Lgica: proteccin de la informacin en su
propio medio mediante el uso de herramientas de
seguridad.

1 Principio de la seguridad de la
informacin
El intruso al sistema utilizara cualquier artilugio que
haga mas fcil su acceso y posterior ataque.

Existir una diversidad de frentes desde los que puede
producirse un ataque. Esto dificulta el anlisis de
riesgos porque el delincuente aplica la filosofa del
punto mas dbil de este principio
Cules son los puntos dbiles
de un sistema informtico?
Debilidades del sistema informtico
Los tres primeros puntos conforman el llamado Tringulo
de Debilidades del Sistema
HARDWARE SOFTWARE
INFORMACIN USUARIOS
Es muy difcil disear un plan que contemple de
forma eficiente todos estos aspectos.
Tringulo de debilidades
Interrupcin
(prdida)
Interceptacin
(acceso)
Modificacin
(cambio)
Generacin
(prdida)
Informacin
HW SW
Interrupcin (denegar servicio)
Interceptacin (robo)
Modificacin (falsificacin)
Interrupcin (borrado)
Interceptacin (copia)
Amenazas del sistema
Las amenazas afectan principalmente al Hardware, al
Software y a la Informacin. Estas se deben a fenmenos
de:

Interrupcin
Interceptacin
Modificacin
Generacin
Modificacin
Interrupcin
Generacin
Interceptacin
Flujo normal
2 principio de la seguridad de la
informacin
Los datos deben protegerse slo hasta que pierdan su valor.

PREGUNTA:
Cunto tiempo deber protegerse un dato?
Por tanto, de la caducidad del sistema de proteccin:
tiempo en el que debe mantenerse la confidencialidad o
secreto del dato.
3 principio de la seguridad de la
informacin
Las medidas de control se implementan para ser utilizadas
de forma efectiva. Deben ser eficientes, fciles de usar y
apropiadas al medio.

Que funcionen en el momento oportuno.
Que lo hagan optimizando los recursos del sistema.
Que pasen desapercibidas para el usuario.
Ningn sistema de control resulta efectivo hasta
que es utilizado al surgir la necesidad de aplicarlo.
El nico sistema seguro es aquel que est apagado,
desconectado, enterrado en un refugio de concreto,
rodeado por gas venenoso y custodiado por guardianes
bien pagados y muy bien armados.
Aun as, yo no apostara mi vida por l
Bill Gates (*)
Para que lo sepan: La privacidad en Internet no existe
Bill Gates (*)
(*) Presidente de Microsoft Corporation, entrevista a la revista PC World- Espaa, Oct-2004.
Sistema de Gestin de
Seguridad de Informacin
SGSI
Definir alcance
Definir poltica
Metodologa de evaluacin de riesgos
Inventarios de activos
Identificar amenazas y vulnerabilidades
Identificar impactos
Anlisis y evaluaciones de riesgos
Seleccin de controles
ISO 27001 Plan: Establecer el SGSI
ISO 27001 Do: Mantener y mejorar el SGSI
Definir plan de tratamiento del riesgo
Implantar el PTR
Implementar los controles
Formacin y concientizacin
Operar SGSI
ISO 27001 Check: Monitorear y Revisar el
SGSI
Revisar el SGSI
Medir la eficacia de los controles
Revisa riesgos residuales
Realizar auditorias Internas
Registrar acciones y eventos


ISO 27001 Act: Implementar y Operar el
SGSI
Implantar mejoras
Acciones correctivas
Acciones preventivas
Comprobar eficacia de las acciones tomadas
Atiende todos los das las 24 horas ..
Continuidad del
Negocio
En un mundo donde todo es
posible
. lo peor es probable.
Somos conscientes de los riesgos que asumimos?
El responsable no est. Quin sabe como se arregla
esto?
Cundo fue la ltima vez que se prob la copia de la
seguridad?
Si entran, roban o destrozan los servidores Cmo y
cuando me recupero y cuanto costara?
Mi plan de recuperacin est actualizado?
Algunas preguntas
No nos pasar a nosotros
Vamos a superarlo, Siempre lo hacemos
Somos grandes como para caer
No somos objetivo de terroristas
Todo ha operado bien hasta ahora
Tenemos aseguradora
El riesgo es insignificante
Nuestros Clientes comprendern
Mitos y
La mayora piensa que no tiene tiempo para
dedicar a incidentes que nunca pasaran
Realidad
Lecciones aprendidas
El 40% de las empresas que han sufrido
desastres nunca pudieron volver a operar. De
las que abrieron, casi el 30% cerraron a los 2
aos.
De las 930 empresas del WTC afectadas el
11/9, ms de 550 cerraron 18 meses despus
Las empresas pueden perder el 75% de sus
negocios despus de un desastre
El negocio puede quedar destruido por la
perdida de un activo crtico por ms de 10 das.
La prdida de acceso al e-mail durante un da,
puede traerle serios daos al negocio?
Realidad
Impacto en el negocio

Prdida de negocios e ingresos
Imagen corporativa
Multas y sanciones
Cuestionamiento de confiabilidad
Fuga de clientes y de recursos
Erosin del segmento de mercado
Eventual cierre del negocio

Continuidad de Negocio - Business Continuity (BC)
Habilidad estratgica y tctica de la organizacin
para planificar y responder a incidentes y/o
desastres del negocio para poder continuar operando
en un nivel aceptable predefinido.

Plan de Continuidad de Negocio - Business
Continuity Plan (BCP)
Es una coleccin de documentos con procedimientos e
informacin, desarrollada, compilada , mantenida y
lista para utilizar durante una crisis para lograr que
la organizacin contine desarrollando sus actividades
crticas en un nivel aceptado predefinido.
Definiciones
Qu es un incidente?

Es una situacin que puede terminar en una
desastre del negocio, prdidas, emergencias o
Crisis.

Qu es un desastre?

Un evento repentino, no planificado que trae
aparejados grandes daos y prdidas. Todo
evento que impide a la organizacin desarrollar sus
funciones crticas del negocio durante un cierto
perodo crtico de tiempo.


Definiciones
Qu es una Emergencia / Crisis?

Una emergencia es cualquier evento no planificado
que puede causar muertes o lastimar a los
empleados, clientes o pblico en general o que
puede cortar la operativa del negocio, hacer cerrar
el negocio, causar daos fsicos o hacer perder
imagen corporativa.
Definiciones
Gestin de Riesgos Operacional - Operations
Risk Management

Planificar la Continuidad del Negocio es un pre-
requisito clave para minimizar los efectos
negativos de una de las ms importantes areas del
Riesgo Operacional: Desastre del Negocio y fallas
en los sistemas
De qu depende la organizacin para operar?
Qu puede suceder?
Cundo, Dnde y Cmo?
Cules son los procesos y activos crticos?
Definiciones
Gestin de la Continuidad del Negocio - Business
Continuity Management

Es un proceso de gestin para identificar las
posibles amenazas para la organizacin que
impactan en las operaciones del negocio.

Si estas amenazas ocurren debe proveer un marco
de trabajo para lograr que la organizacin se
recupere, con capacidades efectivas de respuesta
que permitan proteger los intereses de los
stakeholders, reputacin de la empresa, imagen
corporativa y valores
Definiciones
Tiempo de Recuperacin Objetivo - Recovery
Time Objective (RTO)

Es el tiempo definido despus de un incidente
para:

Reanudar la entrega de productos
Reanudar la performance de una actividad
Recuperar IT o Aplicaciones
Definiciones
Punto de Recuperacin Objetivo - Recovery Point
Objective (RPO)

Es el espacio de tiempo definido para:

Recuperacin de la informacin, la ms reciente
posible
Basado en lo tiempos de cada y prdida de
datos aceptado
Indica el punto en el tiempo ms cercano en el
que las operaciones del negocio reanudarn
despus de un desastre
Definiciones
Punto Objetivo Recuperacin (RPO)
Tiempo Objetivo de Recuperacin (RTO)
Lo que la organizacin est dispuesta
a perder en cantidad de datos
Cuanto tiempo la Organizacin puede
tolerar la inactividad
Recuperacin de las
capacidades diarias
Respuesta a la emergencia
Toma del control
Toma de decisiones
Reanudacin de operaciones crticas
Caso
DESASTRE
Un evento externo o
interno interrumpe uno o
ms procesos del
negocio
22301
Sistema de Gestin de
Continuidad del Negocio
SGCN
Tiempo
Tiempo de prdida
Transacciones
Consultas
Nuevos clientes
Requerimientos, etc.
Transacciones
Consultas
Nuevos clientes
Requerimientos, etc.
Interrupcin
Recuperacin de Desastre
Procedimientos para respuestas ante emergencias
cuando una organizacin sufre una prdida de
recursos, servicios o facilidades fsicas
Relacionado con IT

Continuidad de Negocio
Asegura la operacin de las funciones crticas de
negocio
Facilita las medidas de rpida recuperacin para
reducir el impacto total de una interrupcin del
negocio
No necesariamente relacionado con IT
NO ESTABA LLOVIENDO CUANDO NO CONSTRUY EL ARCA!!!
Consultas..
Ing. Vctor Muoz R.
munozramirez.victor@gmail.com