Ingeniera de Sistemas e Informtica Auditora de Sistemas
Ing. Vctor Muoz R. munozramirez.victor@gmail.com Divido en tres partes y asociado a estndares internacionales y/o buenas practicas.
Primera Parte: Auditora de Sistemas Cobit 4.1
Segunda Parte: Seguridad de Informacin ISO 27001
Tercera Parte: Continuidad del Negocio ISO 22301
Definicin del curso 1.- Apagar los celulares 2.- Tolerancia 10 minutos 3.- Entretiempo aprox. 8:30 de 10 minutos 4.- Dos prcticas y/o trabajos 5.- Parcial y Final 6.- De existir sustitutorio 7.- No faltar
Ms importante: No roncar, puede despertar al resto
Reglas del curso Auditora de Sistemas
Ing. Vctor Muoz R. munozramirez.victor@gmail.com Es una actividad independiente diseada para agregar valor y mejorar las operaciones y/o procesos de una organizacin.
Ayuda a la organizacin a alcanzar sus metas llevando a cabo un enfoque sistemtico y disciplinado para evaluar y mejorar la efectividad de la administracin de los riesgos, controles y gobierno de una empresa.
(*) Definicin del Instituto de Auditores Internos Definicin de Auditora Interna (*) Financieras Operativas Sistemas Calidad Entre otros Clasificacin de las auditoras La auditora de sistemas es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo los fines de la organizacin, utiliza eficientemente los recursos. Definicin de Auditora de Sistemas Buscar una mejor relacin costo-beneficio de los sistemas automticos o computarizados diseados e implantados. Incrementar la satisfaccin de los usuarios de los sistemas computarizados. Asegurar una mayor integridad, confidencialidad y confiabilidad de la informacin mediante la recomendacin de controles. Conocer la situacin actual del rea informtica y las actividades y esfuerzos necesarios para lograr los objetivos propuestos. Seguridad de personal, datos, hardware, software e instalaciones. Apoyo de funcin informtica a las metas y objetivos de la organizacin. Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informtico. Minimizar existencias de riesgos en el uso de Tecnologa de informacin Decisiones de inversin y gastos innecesarios. Capacitacin y educacin sobre controles en los Sistemas de Informacin.
Objetivos de una Auditora de Sistemas El objetivo que tiene el auditor de sistemas es dar recomendaciones a la alta gerencia para mejorar o lograr un adecuado control interno en ambientes de tecnologa informtica con el fin de lograr mayor eficiencia operacional y administrativa, minimizando los riesgos de TI/operacional que afecte a la empresa.
Objetivo del Auditor de Sistemas Complejidad de los sistemas. Uso de diversos lenguajes de programacin. Metodologas son parte de las personas y de su experiencia. Departamento de sistemas que coordina y centraliza todas las operaciones, los usuarios son altamente dependientes del rea de sistemas. Controles del computador. Usuarios que debilitan los controles. Aspectos del entorno de Sistemas que afectan el enfoque de Aud. Sist. COBIT - Dominio: Planificar y Organizar PLANEACION Y ORGANIZACION PO2 Definir la Arquitectura de Informacin. PO1 Definir un plan Estratgico de TI PO3 Determinar la Direccin tecnolgica PO4 Definir los procesos Organizacin y relaciones De TI PO5 Administrar las Inversiones de TI PO6 Comunicar las Aspiraciones y la direccin De la gerencia PO7 Administrar los Recurso humanos de TI PO8 Administrar la Calidad PO9 Evaluar y Administrar los Riesgos de TI PO10 Administrar Proyectos ADQUIRIR E IMPLEMENTAR AI2. Adquirir y mantener el software aplicativo AI1. Identificar soluciones automatizadas AI3. Adquirir y mantener la infraestructura tecnolgica AI4. Facilitar la operacin y el uso
AI7. Instalar y acreditar soluciones y cambios AI6. Administrar cambios AI5. Adquirir recursos de TI COBIT - Dominio: Adquirir e Implementar ENTREGA Y SOPORTE DS3 Administrar el desempeo y la capacidad DS1 Definir y administrar los niveles de servicio DS4 Garantizar la continuidad del servicio DS5 Garantizar la seguridad de los sistemas DS6 Identificar y asignar costos DS8 Administrar la mesa de servicio y los incidentes COBIT - Dominio: Entrega y Soporte DS2 Administrar servicios de terceros DS7 Educar y entrenar a los usuarios DS13 Administrar las operaciones DS12 Administrar el ambiente fsico DS11 Administrar los datos DS10 Administrar los problemas DS9 Administrar la configuracin MONITOREAR Y EVALUAR ME2 Monitorear y Evaluar el Control Interno ME4 Proporcionar Gobierno de TI ME3 Garantizar el Cumplimiento Regulatorio ME1 Monitorear y Evaluar el Desempeo de TI COBIT - Dominio: Monitorear y Evaluar Seguridad de la Informacin Existen debilidades? Si te conoces a ti mismo y conoces a tu enemigo, entonces no debers temer el resultado de mil batallas Sun-Tzu, El Arte de la Guerra Clonaron mi tarjeta de debito y me gastaron todos los fondos Estn amenazando a mi jefe por mail y el cree que soy yo No se como se enteraron si yo te lo dije por skype El sistema esta cado Hoy no podemos atender porque las computadoras tienen virus Me robaron la notebook y no pude recuperar ni un solo archivo El sitio fue hackeado Aparecieron en facebook fotos que tenia un viejo amigo y estn todas trucadas Alguien esta usando mi cuenta de correo y mi facebook Algunas vez escucho estas frases? Inters en el delito informtico El delito informtico parece ser un buen negocio : - Objeto pequeo: la informacin esta almacenada en contenedores pequeos: no es necesario un camion para robar el banco - Contacto fsico : no existe contacto fsico en la mayora de los casos. Se asegura el anonimato y la integridad fsica del delincuente - Alto valor : el objeto codiciado tiene un alto valor. El contenido (los datos) vale mucho ms que el soporte que los almacena (disquete, disco compacto,).
nica solucin: el uso de Polticas de Seguridad A considerar La seguridad de un sistema de informacin se da cuando:
Existe confianza en l.
El comportamiento del Sistema y/o Aplicacin es el esperado.
La informacin almacenada es inalterada y accesible. Objetivo de la Seguridad de la Informacin Consolidacin de:
Integridad Confidencialidad Disponibilidad No repudio Autenticacin
Si se cumplen estos puntos, diremos en general que los datos estn protegidos y seguros.
Medidas y sus objetivos Una serie de niveles de control. La falla de un nivel ser absorbida por las otras Reducir el impacto global al mnimo.
Objetivos Disuadir Detectar Minimizar el impacto de prdida o desastre Investigar Recuperar Principios El intruso probablemente es alguien conocido No confes, o se cauteloso con quien requiera tu confianza. No confes en ti mismo, o verifica lo que haces. Haga que el intruso crea que ser atrapado. Mientras planeas la estrategia de seguridad, presume de la completa falla de cualquier nivel de seguridad. La seguridad debe ser parte del diseo original. Deshabilitar servicios paquetes y cualquier elemento innecesario. Antes de conectar, entiende y asegura Preprate para lo peor.
Consideraciones Qu se quiere proteger?
Contra qu se quiere proteger?
Cunto tiempo, dinero y esfuerzo se est dispuesto a invertir? Tipos de Seguridad Seguridad Fsica: proteccin del sistema ante las amenazas fsicas, planes de contingencia, control de acceso fsico, polticas de backups,
Seguridad Lgica: proteccin de la informacin en su propio medio mediante el uso de herramientas de seguridad.
1 Principio de la seguridad de la informacin El intruso al sistema utilizara cualquier artilugio que haga mas fcil su acceso y posterior ataque.
Existir una diversidad de frentes desde los que puede producirse un ataque. Esto dificulta el anlisis de riesgos porque el delincuente aplica la filosofa del punto mas dbil de este principio Cules son los puntos dbiles de un sistema informtico? Debilidades del sistema informtico Los tres primeros puntos conforman el llamado Tringulo de Debilidades del Sistema HARDWARE SOFTWARE INFORMACIN USUARIOS Es muy difcil disear un plan que contemple de forma eficiente todos estos aspectos. Tringulo de debilidades Interrupcin (prdida) Interceptacin (acceso) Modificacin (cambio) Generacin (prdida) Informacin HW SW Interrupcin (denegar servicio) Interceptacin (robo) Modificacin (falsificacin) Interrupcin (borrado) Interceptacin (copia) Amenazas del sistema Las amenazas afectan principalmente al Hardware, al Software y a la Informacin. Estas se deben a fenmenos de:
Interrupcin Interceptacin Modificacin Generacin Modificacin Interrupcin Generacin Interceptacin Flujo normal 2 principio de la seguridad de la informacin Los datos deben protegerse slo hasta que pierdan su valor.
PREGUNTA: Cunto tiempo deber protegerse un dato? Por tanto, de la caducidad del sistema de proteccin: tiempo en el que debe mantenerse la confidencialidad o secreto del dato. 3 principio de la seguridad de la informacin Las medidas de control se implementan para ser utilizadas de forma efectiva. Deben ser eficientes, fciles de usar y apropiadas al medio.
Que funcionen en el momento oportuno. Que lo hagan optimizando los recursos del sistema. Que pasen desapercibidas para el usuario. Ningn sistema de control resulta efectivo hasta que es utilizado al surgir la necesidad de aplicarlo. El nico sistema seguro es aquel que est apagado, desconectado, enterrado en un refugio de concreto, rodeado por gas venenoso y custodiado por guardianes bien pagados y muy bien armados. Aun as, yo no apostara mi vida por l Bill Gates (*) Para que lo sepan: La privacidad en Internet no existe Bill Gates (*) (*) Presidente de Microsoft Corporation, entrevista a la revista PC World- Espaa, Oct-2004. Sistema de Gestin de Seguridad de Informacin SGSI Definir alcance Definir poltica Metodologa de evaluacin de riesgos Inventarios de activos Identificar amenazas y vulnerabilidades Identificar impactos Anlisis y evaluaciones de riesgos Seleccin de controles ISO 27001 Plan: Establecer el SGSI ISO 27001 Do: Mantener y mejorar el SGSI Definir plan de tratamiento del riesgo Implantar el PTR Implementar los controles Formacin y concientizacin Operar SGSI ISO 27001 Check: Monitorear y Revisar el SGSI Revisar el SGSI Medir la eficacia de los controles Revisa riesgos residuales Realizar auditorias Internas Registrar acciones y eventos
ISO 27001 Act: Implementar y Operar el SGSI Implantar mejoras Acciones correctivas Acciones preventivas Comprobar eficacia de las acciones tomadas Atiende todos los das las 24 horas .. Continuidad del Negocio En un mundo donde todo es posible . lo peor es probable. Somos conscientes de los riesgos que asumimos? El responsable no est. Quin sabe como se arregla esto? Cundo fue la ltima vez que se prob la copia de la seguridad? Si entran, roban o destrozan los servidores Cmo y cuando me recupero y cuanto costara? Mi plan de recuperacin est actualizado? Algunas preguntas No nos pasar a nosotros Vamos a superarlo, Siempre lo hacemos Somos grandes como para caer No somos objetivo de terroristas Todo ha operado bien hasta ahora Tenemos aseguradora El riesgo es insignificante Nuestros Clientes comprendern Mitos y La mayora piensa que no tiene tiempo para dedicar a incidentes que nunca pasaran Realidad Lecciones aprendidas El 40% de las empresas que han sufrido desastres nunca pudieron volver a operar. De las que abrieron, casi el 30% cerraron a los 2 aos. De las 930 empresas del WTC afectadas el 11/9, ms de 550 cerraron 18 meses despus Las empresas pueden perder el 75% de sus negocios despus de un desastre El negocio puede quedar destruido por la perdida de un activo crtico por ms de 10 das. La prdida de acceso al e-mail durante un da, puede traerle serios daos al negocio? Realidad Impacto en el negocio
Prdida de negocios e ingresos Imagen corporativa Multas y sanciones Cuestionamiento de confiabilidad Fuga de clientes y de recursos Erosin del segmento de mercado Eventual cierre del negocio
Continuidad de Negocio - Business Continuity (BC) Habilidad estratgica y tctica de la organizacin para planificar y responder a incidentes y/o desastres del negocio para poder continuar operando en un nivel aceptable predefinido.
Plan de Continuidad de Negocio - Business Continuity Plan (BCP) Es una coleccin de documentos con procedimientos e informacin, desarrollada, compilada , mantenida y lista para utilizar durante una crisis para lograr que la organizacin contine desarrollando sus actividades crticas en un nivel aceptado predefinido. Definiciones Qu es un incidente?
Es una situacin que puede terminar en una desastre del negocio, prdidas, emergencias o Crisis.
Qu es un desastre?
Un evento repentino, no planificado que trae aparejados grandes daos y prdidas. Todo evento que impide a la organizacin desarrollar sus funciones crticas del negocio durante un cierto perodo crtico de tiempo.
Definiciones Qu es una Emergencia / Crisis?
Una emergencia es cualquier evento no planificado que puede causar muertes o lastimar a los empleados, clientes o pblico en general o que puede cortar la operativa del negocio, hacer cerrar el negocio, causar daos fsicos o hacer perder imagen corporativa. Definiciones Gestin de Riesgos Operacional - Operations Risk Management
Planificar la Continuidad del Negocio es un pre- requisito clave para minimizar los efectos negativos de una de las ms importantes areas del Riesgo Operacional: Desastre del Negocio y fallas en los sistemas De qu depende la organizacin para operar? Qu puede suceder? Cundo, Dnde y Cmo? Cules son los procesos y activos crticos? Definiciones Gestin de la Continuidad del Negocio - Business Continuity Management
Es un proceso de gestin para identificar las posibles amenazas para la organizacin que impactan en las operaciones del negocio.
Si estas amenazas ocurren debe proveer un marco de trabajo para lograr que la organizacin se recupere, con capacidades efectivas de respuesta que permitan proteger los intereses de los stakeholders, reputacin de la empresa, imagen corporativa y valores Definiciones Tiempo de Recuperacin Objetivo - Recovery Time Objective (RTO)
Es el tiempo definido despus de un incidente para:
Reanudar la entrega de productos Reanudar la performance de una actividad Recuperar IT o Aplicaciones Definiciones Punto de Recuperacin Objetivo - Recovery Point Objective (RPO)
Es el espacio de tiempo definido para:
Recuperacin de la informacin, la ms reciente posible Basado en lo tiempos de cada y prdida de datos aceptado Indica el punto en el tiempo ms cercano en el que las operaciones del negocio reanudarn despus de un desastre Definiciones Punto Objetivo Recuperacin (RPO) Tiempo Objetivo de Recuperacin (RTO) Lo que la organizacin est dispuesta a perder en cantidad de datos Cuanto tiempo la Organizacin puede tolerar la inactividad Recuperacin de las capacidades diarias Respuesta a la emergencia Toma del control Toma de decisiones Reanudacin de operaciones crticas Caso DESASTRE Un evento externo o interno interrumpe uno o ms procesos del negocio 22301 Sistema de Gestin de Continuidad del Negocio SGCN Tiempo Tiempo de prdida Transacciones Consultas Nuevos clientes Requerimientos, etc. Transacciones Consultas Nuevos clientes Requerimientos, etc. Interrupcin Recuperacin de Desastre Procedimientos para respuestas ante emergencias cuando una organizacin sufre una prdida de recursos, servicios o facilidades fsicas Relacionado con IT
Continuidad de Negocio Asegura la operacin de las funciones crticas de negocio Facilita las medidas de rpida recuperacin para reducir el impacto total de una interrupcin del negocio No necesariamente relacionado con IT NO ESTABA LLOVIENDO CUANDO NO CONSTRUY EL ARCA!!! Consultas.. Ing. Vctor Muoz R. munozramirez.victor@gmail.com