JORNADA NACIONAL DE

SEGURIDAD INFORMTICA
2004
ACIS UNIVERSIDAD CATLICA

Modelos de Control, Seguridad y

Auditora: Herramientas para
profesionales en Seguridad
Informtica
Junio 24 de 2004 Bogot
Jorge Hernndez Cordba
Fernando Ferrer Olivaes
Agenda

01 Introduccin
02 Modelos
03 Conclusiones
04 Bibliografa
Definiciones de Auditora... 01

Revisin independiente de alguna o

algunas actividades, funciones especficas,
resultados u operaciones de una entidad
administrativa, realizada por un
profesional de la Auditora, con el
propsito de evaluar su correcta
realizacin y con base en este anlisis
poder emitir una opinin autorizada sobre
la razonabilidad de sus resultados y el
cumplimiento de sus operaciones.
Otra definicin

Auditorainternaesunaactividad
independienteyobjetivade
aseguramientoyconsulta,concebida
paraagregarvalorymejorarlas
operacionesdeunaorganizacin.Ayuda
aunaorganizacinacumplirsus
objetivosaportandounenfoque
sistemticoydisciplinadoparaevaluary
mejorarlaeficaciadelosprocesosde
gestinderiesgos,controlygobierno
Auditora de Sistemas de Informacin

El propsito fundamental es evaluar el uso

adecuado de los sistemas para el correcto
ingreso de los datos, el procesamiento
adecuado de la informacin y la emisin
oportuna de sus resultados en la
institucin, incluyendo la evaluacin en el
cumplimiento de las funciones, actividades
y operaciones de funcionarios, empleados
y usuarios involucrados con los servicios
que proporcionan los sistemas
computacionales a la empresa
 Control: Base para el desarrollo de la
Auditora

El control es una de las fases del proceso administrativo, le

corresponde:
comparar los resultados obtenidos contra los resultados
determinados en el proceso de planeacin de la estrategia
organizacional y de sus actividades tcticas y operativas con
el fin de
determinar el nivel de cumplimiento y
ajustar los diferentes parmetros y caractersticas de los
procesos mediante los cuales se busca el cumplimiento de
los objetivos organizacionales.
Concepto de Control

Cualquier forma de control est basada en el

uso de un lazo de retroalimentacin
(feedback) mediante el cual se compara la
salida (output) del proceso o sistema
controlado contra valores de referencia, de
modo que al presentarse desviaciones, por
exceso o por defecto, se produce una seal
de correccin que debe ser alimentada al
proceso para corregir las desviaciones
observadas en la salida.
 Concepto de control

entrada
salida

proceso

Valor de
referencia

Muestra de
Lazo de La salida
retroalimentacin
 Esquemas metodolgicos tradicionales de
la Auditora

Auditoria de cumplimiento un enfoque reactivo

auditoria del Cumplimiento de un estndar
Auditora de Cumplimiento de una mejor prctica
Auditoria del Cumplimiento de la opinindelauditor
Auditoria del desarrollo de sistemas un enfoque
proactivo
Aseguramiento interno un enfoque coactivo
Modelos de Control 02

Orientados a:
Control gerencial
Control Informtico
Apoyar los controles anteriores
 Modelos de Control 02
Control Gerencial - Gobierno Corporativo

Control Interno Apoyo

Tecnologa Informtica

Seguridad Informtica
 Modelos de Control y Alineamiento 02
Control Gerencial - Gobierno Corporativo
(OCDE, Basel II, Sarbanes-Oxley, HIPAA, PIPEDA, GLBA, )

Control Interno Apoyo

(COSO, CoCo, Cadbury, ) Risk Management
[AS/NZS:4360/1999,
MAGERIT, MGs]
Tecnologa Informtica
(Gobierno de TI, COBIT, Net Centric, Control-Self Assessment
CMM/SW, CMM-I, MAGERIT)
Project Management
Seguridad Informtica
Quality Assurance
(Gobierno de Seguridad, ISO-17799,
BS-7799-2, NIST, Octave, )

 Modelos de Control Gerencial -
Corporate Governance

Necesidad de establecer un Sistema de Control

Interno

OCDE (Organizacin para la cooperacin y el desarrollo

econmicos)
Principios para mantener la confianza de los
inversionistas y atraer capitales estables y a largo
plazo en pases en va de desarrollo

Sarbanes Oxley
Exactitud y transparencia de la informacin financiera
para empresas que cotizan en Bolsa
Modelos de Control Gerencial
Control Interno

Especificacin de un Sistema de Control

Interno

Definicin
Proceso, llevado a cabo por la Junta Directiva, la direccin u
otro personal de la entidad, y el resto del personal,
personal diseado
para proveer seguridad razonable sobre el logro de los
siguientes tipos de objetivo:
Efectividad y eficiencia de las operaciones
Confiabilidad de la informacin financiera
Cumplimiento de leyes y regulaciones
Salvaguarda de activos
COSO
Componentes

MONITOREO

ACTIVIDADES DE CONTROL

INFORMACIN Y
COMUNICACIN VALORACIN DE RIESGOS

AMBIENTE DE CONTROL
Control Interno
Ambiente de Control

Integridad y valores ticos

Incentivos y tentaciones
Gua de comportamiento moral
Acuerdos de competencias
Comit de auditora
Filosofa de administracin
Estructura organizacional
Asignacin de autoridad y responsabilidad
Polticas y prcticas de recursos humanos
Coco: Esquema

Una persona ejecuta una tarea guiada por el entendimiento de:

Objetivo
Entorno

Compromiso
Seguimiento y
aprendizaje
Capacidad
Accin
 Modelos Informticos
Tecnologa Informtica

Objetivos
Recursos
Procesos Ambiente Informtico
Objetivos de Control
 Objetivos

Se refiere a la informacin que es

relevante para el negocio y que debe ser
Efectividad entregada de manera correcta, oportuna,
consistente y usable.

Se refiere a la provisin de informacin a

Eficiencia travs del ptimo (ms productivo y
econmico) uso de los recursos.

Relativa a la proteccin de la
Confidencialidad informacin sensitiva de su revelacin
no autorizada.

Se refiere a la exactitud y completitud de

la informacin, as como su validez, en
Integridad concordancia con los valores y
expectativas del negocio.
 Objetivos

Se refiere a la que la informacin debe

estar disponible cuando es requerida por
Disponibilidad los procesos del negocio ahora y en el
futuro. Involucra la salvaguarda de los
recursos y sus capacidades asociadas.

Se refiere a cumplir con aquellas leyes,

regulaciones y acuerdos contractuales, a
Cumplimiento los que estn sujetos los procesos del
negocio.

Se refiere a la provisin de la
informacin apropiada a la alta gerencia,
Confiabilidad para operar la entidad y para ejercer sus
responsabilidades finacieras y de
cumplir con los reportes de su gestin.
Recursos
Microcomputador o terminal
==========================
Seguridad de la Aplicaciones en funcionamiento
informacin (1),(2),(3),(4),(8),(10),(11)

Seguridad fsica

(1) Sistemas Operacionales

(2) Software de Seguridad
(3) Sistemas Manejadores de Bases de Datos
Equipo central
y Diccionarios de Datos
=========================
Operacin del sistema (4) Monitores de Teleprocesamiento
(1),(2),(6),(7),(8),(9) (5) Ayudas para el desarrollo de programas
(6) Control del Cambio y Administracin de
libreras
(7) Editores en lnea
(8) Software de Telecomunicaciones
(9) Sistema de soporte a operaciones
(10) Sistemas de oficina

Sistema de comunicaciones (11) Intercambio electrnico de datos

Red local
(8),(11) ===============
(1),(2),(3),(4),(5),(6),
(7),(8),(9),(10),(11)
 Procesos

Definir un plan estratgico de TI

Planeacin y
Definir la arquitectura de informacin
Organizacin
Determinar la direccin tecnolgica
Definir la organizacin y relaciones de TI
Manejo de la inversin en TI
Comunicacin de directrices Gerenciales
Administracin del Recurso Humano
Asegurar el cumplir requerimientos externos
Evaluacin de Riesgos
Administracin de Proyectos
Administracin de Calidad

Adquisicin e Identificacin de soluciones

Implementacin Adquisicin y mantenimiento de SW aplicativo
Adquisicin y mantenimiento de arquitectura TI
Desarrollo y mantenimiento de Procedimientos de TI
Instalacin y Acreditacin de sistemas
Administracin de Cambios
 Procesos

Definicin del nivel de servicio

Servicios y Administracin del servicio de terceros
Soporte Administracin de la capacidad y el desempeo
Asegurar el servicio continuo
Garantizar la seguridad del sistema
Identificacin y asignacin de costos
Capacitacin de usuarios
Soporte a los clientes de TI
Administracin de la configuracin
Administracin de problemas e incidentes
Administracin de datos
Administracin de Instalaciones
Administracin de Operaciones
Seguimiento
Seguimiento de los procesos
Evaluar lo adecuado del control Interno
Obtener aseguramiento independiente
Proveer una auditora independiente
 Objetivos de Control

Una declaracin de resultado deseado o propsito a ser

alcanzado por medio de la implementacin de
procedimientos de control en una actividad Particular de TI
318 objetivos de control (de 3 a 30 objetivos por cada uno de
los procesos)
2.3 Contratos con Terceros
Con respecto a las relaciones con los proveedores de servicios
como terceras partes, la Gerencia deber asegurar que los acuerdos
de seguridad (por ejemplo, los acuerdos de no - revelacin) sean
identificados, declarados explcitamente y acordados, que stos
concuerden con los estndares de negocios universales y estn en
lnea con los requerimientos legales y regulatorios, incluyendo
obligaciones.
Modelos Informticos
Seguridad Informtica

Fundamentos de Seguridad Informtica

Elementos de un Framework de Seguridad

Tcnicas
 Fundamentos de Seguridad Informtica
NIST Common Criteria

Confidencialidad
Riesgo
Amenaza
Integridad Disponibilidad Vulnerabilidad

Auditabilidad
Identificacin
Autenticacin
Elementos de un Framework de Seguridad
ISO 17799 - Areas principales

Organizacin de la
Poltica de Seguridad
Seguridad

Control y clasificacin
Seguridad del personal
de activos

Administracin de las
Seguridad fsica y ambiental comunicaciones y
operaciones

Desarrollo y
Control de acceso mantenimiento de
sistemas

Administracin de la
Cumplimiento
continuidad del negocio
Tcnicas

ValoracindeRiesgos
Riesgo=VulnerabilidadxAmenazaxValordelActivo
Riesgo=ImpactoxProbabildad

IdentificacindeActivos
IdentificacindeInventarios
ClasificacindeDatos
DocumentacindeHardware
http://net-services.ufl.edu/security/policy/workshops/documentation-workshop.ppt
ValoracindeVulnerabilidades
http://csrc.nist.gov/publications/nistpubs/800-55/sp800-55.pdf
Modelos de Apoyo

Risk Management
Control-Self Asessment
Project Management

 Conclusiones 03

Modelos, Modelos, Modelos .

Actualizacin Investigacin
 Bibliografa 04

Universidad Catlica de Colombia

Facultad de PostGrados
Bogot

Proyecto Estado del Arte de la Auditora de Sistemas

PREGUNTAS?
Muchas gracias por su
atencin