Académique Documents
Professionnel Documents
Culture Documents
DE SEGURIDAD SOX
Juan Rodrigo Anabalón Riquelme
ISSA Chile
09 de abril de 2008
Ley Sarbanes Oxley
• Creada en el año 2002 luego de escándalos financieros
en EE.UU.
• Impulso una nueva estructura organizativa para devolver
la confianza a los inversionistas.
• Requiere entre otras cosas:
– Mejorar la calidad de la información financiera y no financiera
– Dicta normas de gobierno corporativo
– Nuevos requerimientos de información financiera
– Nuevas restricciones para los auditores
09 de abril de 2008 Juan Rodrigo Anabalón R. 2
COSO
COSO (Committee of Sponsoring Organizations of the Treadway
Commission) organización encargada de identificar
fraude financieros.
En 1992, COSO publicó el Sistema Integrado de
Control Interno, un informe que establece una
definición común de control interno y
proporciona un estándar mediante el cual las
organizaciones pueden evaluar y mejorar sus
sistemas de control.
09 de abril de 2008 Juan Rodrigo Anabalón R. 3
• COSO Internal Control – Integrated Framework
– Control Environment
– Risk Assessment
– Control Activities
– Information and Communication
– Monitoring
09 de abril de 2008 Juan Rodrigo Anabalón R. 4
• Risk assessment
– Determinar el impacto y riesgo de:
• Information Quality
• Programming change controls
• Access to systems
• Availability of information
• Confidentiality
• Recoverability
09 de abril de 2008 Juan Rodrigo Anabalón R. 5
coso
09 de abril de 2008 Juan Rodrigo Anabalón R. 6
CobIT
09 de abril de 2008 Juan Rodrigo Anabalón R. 7
Sección 404
• Contexto: Demostrar (documentos) que
los controles de TI se han realizado.
• Aplicación: Identificar y probar los casos
donde los controles manuales han sido
sustituidos por procesos automatizados.
09 de abril de 2008 Juan Rodrigo Anabalón R. 8
Principales enfoques
• Utilización de COSO, modelo del
Gobierno Corporativo, y de COBIT,
modelo del Gobierno de la
Tecnología de la Información, para
lograr conformidad con la ley
SARBANESOXLEY.
09 de abril de 2008 Juan Rodrigo Anabalón R. 9
Métricas
• Justificación
– Control efectivo de operaciones de calidad y seguridad.
– Claridad de fortalezas y debilidades de la organización en términos de
postura de seguridad.
– Alineadas con modelos de mejora de calidad y gestión de seguridad.
– Se deben alinear con la legislación vigente.
– Anticiparse a las necesidades, de forma que puedan preverse las
inversiones necesarias para garantizar, al menos, el cumplimiento de los
objetivos de seguridad de la empresa.
– Justificar el gasto en seguridad mostrando de una forma clara la relación
existente entre dicho gasto y el aumento en la seguridad de los activos de
la empresa.
09 de abril de 2008 Juan Rodrigo Anabalón R. 10
– Informes detallados del estado de sus sistemas.
Métricas
• La definición de las métricas deberá tener en cuenta aspectos que se detallan
a continuación:
– ¿Para qué? (queremos medir):
• Medir la evolución de la seguridad de un sistema o servicio.
• Medir la efectividad de una aproximación de protección y prevención.
• Medir la capacidad o habilidad de la organización en las tareas de
seguridad.
• Tener datos elocuentes sobre el estado de seguridad de la
organización.
• Saber dónde hay que hacer hincapié en la mejora de la seguridad.
09 de abril de 2008 Juan Rodrigo Anabalón R. 11
• ¿Qué? (queremos medir):
• Cantidad y tipo de amenazas.
• Calidad de la respuestas a las amenazas y ataques.
• Incidentes y sus impacto.
• Vulnerabilidades y puntos débiles.
• Cumplimiento del plan de seguridad
• Cumplimiento de políticas
• Cumplimiento de auditorías
09 de abril de 2008 Juan Rodrigo Anabalón R. 12
Métricas
• ¿Cómo? (podemos medirlo):
• ¿Cómo convertimos la
información en datos
válidos?
• ¿Qué fuentes y
herramientas necesitamos?
• La dificultad en la definición
de una métrica está
precisamente en la
dificultad de concretar tres
factores.
09 de abril de 2008 Juan Rodrigo Anabalón R. 13
Métricas
Actividades: Personas:
Por áreas, Administradores por
secciones departamento
Tiempo:
Hr/Día
Meses/Años
Costos:
Sueldos, Consultorías
Recursos: HW, SW,
Usuarios, Mantenimiento.
sistemas,
aplicaciones
09 de abril de 2008 Juan Rodrigo Anabalón R. 14
Tipos de métricas
• Las organizaciones pueden usar
distintos enfoques.
• NIST SP 80080 defines tres tipos de
métricas.
– Métricas para medir la
implementación de políticas de
seguridad.
– Métricas de eficiencia y efectividad
para medir de la entrega de
servicios de forma segura.
– Métricas de impacto en el negocio o
métricas de impacto en los
09 de abril de 2008 Juan Rodrigo Anabalón R.
procesos de negocio y eventos. 15
Acercamiento
• Situación actual
– Determinar la integración del departamento IT
con la integración de la sección 404.
– Determinar los documentos existentes.
– Determinar los controles existentes
09 de abril de 2008 Juan Rodrigo Anabalón R. 16
• Plan y alcance
– Identificar los sistemas críticos y subsistemas
que se ven involucrados en la creación,
almacenamiento, procesamiento y reporte de
información financiera.
09 de abril de 2008 Juan Rodrigo Anabalón R. 17
• Identificar los controles principales
– Controles Generales
– Controles específicos
09 de abril de 2008 Juan Rodrigo Anabalón R. 18
Políticas y controles
* El área de sistemas podrá supervisar los equipos
computacionales, sistemas y tr áfico de red en
cualquier momento. CONTROL
* Las bajas de per sonal deberán se comunicadas al
área de sistemas para realizar la baja de cuentas de
usuario y acceso a sistemas y redes.
* Queda prohibida la instalación de pr ogramas no
Política de segur idad y licenciados por personas individuales en la
responsabilidad personal compañía.
* Todos los equipos de la compañía deberán tener
activado en el navegador web la opción “ Proxy” de
navegación.
* El área de sistemas supervisar á el cumplimiento de
los SLA compr ometidos y se deberá establecer el
motivó de los pr oblema y gesti onar las medidas
corr ectivas
09 de abril de 2008 Juan Rodrigo Anabalón R. 19
* El área de sistemas podrá supervisar los equipos
computacionales, sistemas y tráfico de red en
cualquier momento.
* Las bajas de personal deberán se comunicadas al
área de sistemas para realizar la baja de cuentas de
usuario y acceso a sistemas y redes.
* Queda prohibida la instalación de programas no
Política de seguridad y licenciados por personas individuales en la
responsabilidad personal compañía.
* Todos los equipos de la compañía deberán tener
activado en el navegador web la opción “Proxy” de
navegación.
CONTROL * El área de sistemas supervisará el cumplimiento de
los SLA comprometidos y se deberá establecer el
motivó de los problema y gestionar las medidas
correctivas
09 de abril de 2008 Juan Rodrigo Anabalón R. 20
Mes de Marzo 2008 Semanal TOTAL MES
Fecha Lun Mar Mie Jue Vie Saba Dom Dom
* Todos los respaldo deben generar una bitácora 24 25 26 27 28 29 30 31
que permita la revisión del resultado del proceso, Hora
periódicamente se deberá realizar una revisión de N° Inicio
Termino 21:00 21:12 21:00 07:10 21:00 03:07 21:00 21:05 22:55 00:27 21:00 00:23 21:00 10:20 21:00
Renca
Server
integridad de estos respaldos 1 SERVER 1 OK OK OK OK OK OK OK OK 97%
2 SERVER 2 OK OK NO NO NO NO NO OK 64%
3 SERVER 3 OK OK OK OK OK OK OK OK 100%
4 SERVER 4 OK OK OK OK OK OK OK OK 100%
CONTROL * Los sitios donde se almacenen las copias de 5 SERVER 5 OK OK OK OK OK OK OK OK 100%
6 SERVER 6 NO NO NO NO NO NO NO OK 40%
respaldo deb en ser físicamente seguras, deben 7 SERVER 7 OK OK OK OK OK OK OK NO 80%
contar con ambiente controlado y controles físicos 8 SERVER 8 OK OK OK OK OK OK OK OK 97%
9 SERVER 9 OK OK OK OK OK OK OK En Ejec 86%
Política de respaldo de de acceso según estándares y normas 10 SERVER 10 OK OK OK OK OK OK OK OK 92%
90% 90% 80% 80% 80% 80% 80% 80% 83%
información internacionales
* Se realizarán pruebas de recuperación al menos
cada 30 días.
CONTROL
* El resultado de estas pruebas debe ser registrado
en un informe escrito y debe ser firmado por el
administrador de sistemas responsable.
09 de abril de 2008 Juan Rodrigo Anabalón R. 21
Control del proceso
GENERALES CONTROL PERIODICIDAD RESPONSABLE Fecha Enero Febero Marzo
El día 4 de
Usuarios Desvinculados revisión del documento Mensual Pablo Vinnett
cada mes
OK OK OK
Revisión de la creacióon
Creación y modificación
y modificación de
de cuentas de correo Diario Mario Estay all
cuentas de correo
electrónico
electrónico
OK OK OK
Revisión de modificación
Permisos de acceso de permisos de acceso diario Mario Estay all
a carpetas compartidas
OK OK OK
Listado de personas que
El día 4 de
accedieron al Data Revisión del documento Mensual Juan Anabalón
cada mes
Center OK OK OK
09 de abril de 2008 Juan Rodrigo Anabalón R. 22
Distribución de Riesgo
09 de abril de 2008 Juan Rodrigo Anabalón R. 23
Preguntas
Contacto:
Juan Rodrigo Anabalón R.
jranabalon@yahoo.es
09 de abril de 2008 Juan Rodrigo Anabalón R. 24
Referencias
• Referencias
– Alicia Clay, Elizabeth Chew, Joan Hash, Nadya Bartol, Anthony Brown. Guide for Developing
Performance Metrics for Information Security. Recommendations of the National Institute of
Standards and Technology. 2006.
– César Colado, Alfonso Franco. Métricas de seguridad: una visión actualizada. 2003.
– David A. Chapin, Steven Akridge. ¿Cómo Puede Medirse la Seguridad?. Information Systems
Audit and Control Association. 2005.
– Baker Newman & Noyes, SarbanesOxley Act of 2002, Section 404 – Management’s Report
on Internal Control Over Financial Reporting.
– PhD. MBA Marcelo Valenzuela. Ley Sarbanes – Oxley, Acevedo Valenzuela y Asociados
Ltda.
09 de abril de 2008 Juan Rodrigo Anabalón R. 25