DEPARTAMENTO DE INFORMTICA
PROYECTO FIN DE CARRERA
EL TRIBUNAL
Presidente:_____________________________________________________
Vocal:___________________________________________________________
Secretario:_____________________________________________________
Realizado el acto de defensa y lectura del Proyecto Fin de Carrera el da
__ de _______ de 20__ en Legans, en la Escuela Politcnica Superior de la
Universidad Carlos III de Madrid, acuerda otorgarle la CALIFICACIN de
VOCAL
SECRETARIO
PRESIDENTE
10
11
12
13
CAPTULO IX: Propuesta de una gua para llevar a cabo una auditora
informtica
1. Introduccin ......................................................................................................... 196
2. Contenido de la gua ............................................................................................. 196
2.1. Introduccin.................................................................................................. 198
2.2. Alcance y mbito de aplicacin .................................................................... 198
2.3. Objetivos ....................................................................................................... 199
2.4. Trminos y definiciones ................................................................................ 199
2.5. Estndares y metodologas relacionados ..................................................... 202
2.6. Proceso de realizacin de la auditora .......................................................... 203
2.6.1.Fase de planificacin............................................................................. 203
2.6.1.1. Etapa 1: Conocimiento preliminar de la empresa y/o
rea a auditar .......................................................................................... 204
2.6.1.2. Etapa 2: Desarrollo del anlisis de riesgos ................................. 205
2.6.1.3. Informe final del anlisis de riesgos ........................................... 222
2.6.1.4. Informe de planificacin de la auditora .................................... 223
14
Planificacin y Presupuesto
Hitos de planificacin ....................................................................................... 233
Planificacin temporal ...................................................................................... 234
Presupuesto por partidas ................................................................................. 235
15
30
33
37
38
45
50
57
Figura 4.2. Distribucin de los dominios de la Norma ISO 27002. [INTE10] ...................
60
71
80
Figura 4.5. Gua sobre cmo dirigir, monitorizar y evaluar la funcin de TIC [BALL 10] .
81
84
Figura 4.7. Gestin de los Recursos de TI para Alcanzar Metas de TI. [COBIT 07] .........
87
Figura 4.8. Los cuatro dominios interrelacionados de CoBiT. [COBIT 07] .......................
88
91
93
Figura 4.11. Ciclo Deming Ciclo de vida de servicio segn ITIL ....................................
109
Figura 5.1. Marco general para la gestin de riesgos. [AS/NZS 09] .................................
114
115
Figura 5.3. Proceso detallado para la gestin de riesgos. [AS/NZS 09] ..........................
116
117
125
Figura 5.6. Sistema de capas para el proceso de anlisis de riesgos en Magerit ...........
128
16
129
144
Figura 5.9. Proceso para la gestin de riesgos en Octave. [OCTA 08] ............................
146
Figura 5.10. Proceso para la gestin de riesgos en ISO 27005. [ISO/IEC 11] ..................
150
Figura 5.11 Modelo de anlisis y gestin de riesgos de CRAMM. [CRAM 06] .................
156
164
166
167
Figura 7.3. Marcos de trabajo relacionados con la auditora y el control informtico ...
169
Figura 7.4. Relacin entre ITIL, COBIT, ISO 27000, ISO 38500 ........................................
171
174
203
204
206
207
213
219
224
17
ndice de Tablas
Tabla 7.1. Tabla comparativa estndares, marcos de trabajo y
guas de auditora informtico .........................................................................................
178
182
186
190
18
CAPTULO I:
Introduccin
y Objetivos
19
20
2. Objetivos
2.1. Objetivo general
El objetivo general de este Proyecto de Fin de Carrera, es realizar un
estudio terico acerca de la auditora informtica y el anlisis de riesgos, y
posteriormente realizar una propuesta metodolgica para llevar a cabo una
auditora informtica basada en el anlisis de riesgos.
21
22
CAPTULO II:
La Auditora
Informtica
23
24
25
26
y se presenta a
continuacin:
Auditora de outsourcing.
Auditora fsica
Auditora de la direccin
Auditora de explotacin
Auditora de Bases de Datos
Auditora de Tcnica de Sistemas
Auditora de la seguridad
Auditora de redes
Auditora de Internet
Auditora de Aplicaciones
Auditora del desarrollo y mantenimiento de sistemas informticos
Auditora de la video vigilancia.
Auditora reglamentaria de los datos de carcter personal.
En los siguientes apartados vamos a desarrollar algunas reas de auditora,
que nos pueden parecer especialmente significativas o relevantes bien por el rea
que tocan o bien por el enfoque que utilicen.
27
28
29
30
el
31
32
33
34
35
36
1. Etapa
preliminar o
de
diagnstico
7.
Presentacin
del informe
final
2. Etapa de
justificacin
3. Etapa de
adecuacin
6. Etapa de
implementacin
5. Etapa de
desarrollo
4. Etapa de
formalizacin
37
38
39
40
41
CAPTULO III:
El Anlisis y
la Gestin de
Riesgos
42
43
informacin,
datos,
servicios,
aplicaciones
(software),
equipos
44
Una vez expuestos los conceptos bsicos relacionados con los riesgos,
ahora pasamos a realizar un estudio del anlisis de riesgos como proceso, para lo
cual empezaremos definiendo el anlisis de riesgos, como lo hemos hecho hasta
ahora, basados en conceptos emitidos por organizaciones oficiales.
45
46
47
3. La gestin de riesgos
Una vez conceptualizado el anlisis de riesgos, ahora entraremos a definir
lo que es la gestin de riesgos, como el proceso que nos permitir tratar los riegos
identificados y mitigar su impacto.
48
de
las
medidas
de
seguridad
necesarias
(establecimiento de salvaguardas).
Estimacin del impacto residual
Estimacin del nivel de riesgo residual
La gestin de riesgos permite tomar las decisiones necesarias para el
tratamiento de los riesgos, definiendo las salvaguardas necesarias para mitigar o
impedir los riesgos identificados.
Pero no basta solo con determinar dichas salvaguardas, es necesario
evaluarlas para lo cual, se debe evaluar el impacto de las amenazas identificadas
en el anlisis de riesgos, tras aplicar las medidas de seguridad o salvaguardas, lo
cual determinar el impacto residual, que es el impacto remanente en el sistema
tras la implantacin de las salvaguardas determinadas en el plan de seguridad de
la informacin, [MAGE 06]), si las salvaguardas aplicadas son eficaces, el impacto
residual en este punto debera ser despreciable.
De igual forma se debe realizar una estimacin del nivel de riesgo residual,
que es el riesgo remanente en el sistema tras la implantacin de las salvaguardas
determinadas en el plan de seguridad de la informacin, [MAGE 06]. De igual
forma que con el impacto residual, si las salvaguardas aplicadas son eficaces, el
riesgo residual en este punto debera ser despreciable.
49
50
51
52
CAPTULO IV:
Estndares,
Marcos de
Trabajo y
Guas y
Normas para
la Auditora
de Sistemas
de
Informacin
53
54
55
56
Mejora y Actualizacin
del SGSI
Act
Plan
CICLO CONTINUO DE
MANTENIMIENTO Y
MEJORA
Check
Do
Supervisin y
Implementacin y
De acuerdo al modelo PDCA mencionado, las etapas del SGSI definido por la
ISO 27001 son las que se relacionan a continuacin:
1. Plan (planificar): Definicin del SGSI:
Delimitacin del escenario que cubre el SGSI.
Definicin de la poltica de seguridad incluyendo objetivos y estrategia de
gestin de riesgos.
57
58
59
60
Acuerdos de confidencialidad.
61
Terceros.
Inventario de activos.
Clasificacin de la informacin.
Directrices de clasificacin.
62
el
empleo:
Responsabilidades
de
la
Direccin;
Instalaciones de suministro.
63
Gestin de cambios.
Segregacin de tareas.
Provisin de servicios.
Gestin de capacidades.
Copias de seguridad.
Controles de red.
Retirada de soportes.
64
Intercambio de informacin.
Acuerdos de intercambio.
Mensajera electrnica.
Comercio electrnico.
Transacciones en lnea.
Supervisin.
Registros de auditora.
Registro de fallos.
Registro de usuario.
Gestin de privilegios.
Responsabilidades de usuario.
65
Uso de contraseas.
Teletrabajo.
66
Controles criptogrficos.
Gestin de claves.
Fugas de informacin.
67
Responsabilidades y procedimientos.
Recopilacin de evidencias.
68
69
norma,
tal
como
se
indica
en
[ISO/IEC09],
ofrece recomendaciones sobre las actividades que deben desarrollarse para que
una organizacin cumpla con los requisitos de medicin especificados en la norma
ISO / IEC 27001 y que citamos a continuacin:
a) Desarrollo de medidas: medidas de base, medidas derivadas e indicadores.
b) Implementacin y operacin de un programa de medicin de seguridad de la
Informacin.
c) Recogida y anlisis de datos.
d) Elaboracin de resultados de la medicin.
e) Comunicacin de resultados de las medidas desarrolladas a las partes
interesadas.
f)
g) Utilizar los
resultados
de la
medicin para
determinar las
70
Revisin
mejora
de
las
mtricas de seguridad
la informacin SGSI
PLAN
ACT
DO
CHECK
describimos a continuacin :
0. Introduction: Generalidades e introduccin a la norma.
1. Scope: En este captulo se especifica el alcance de la norma y su mbito de
aplicacin.
71
72
Security
Measurement
Programme
Evaluation
and
73
2.4. ISO/IEC
27007:2011: Information
technology
Security
74
75
38500:2008:
Corporate
governance
of
information
technology6
La norma ISO/IEC 38500:2008 fue publicada en junio de 2008 en base a la
norma australiana AS8015:2005. Es la primera de una serie sobre normas de
gobierno de Tecnologas de la Informacin y Comunicacin TIC.
Su objetivo tal y como se indica en [BALL 10], es proporcionar un marco de
principios para que la direccin de las organizaciones lo utilice al evaluar, dirigir y
monitorizar el uso de las TIC.
De acuerdo con lo expuesto en [BALL 10], esta norma viene a
complementar el conjunto de estndares ISO que afectan a los sistemas y
tecnologas de la informacin (ISO/IEC 27000, ISO/IEC 20000, ISO/IEC 15504,
ISO/IEC 24762, etc.) y otros marcos de trabajo como CoBiT e ITIL y fija los
estndares para un buen gobierno de los procesos y decisiones empresariales
relacionadas con los servicios de informacin y comunicacin que, suelen estar
gestionados tanto por especialistas en TIC internos o ubicados en otras unidades
de negocio de la organizacin, como por proveedores de servicios externos.
La norma se aplica al gobierno de los procesos de gestin de las TIC en todo
tipo de organizaciones que utilicen las tecnologas de la informacin, facilitando
las bases para la evaluacin objetiva del gobierno de las mismas. [BALL 10].
La aplicacin de esta norma trae consigo el poder contar con un buen
gobierno de TIC, lo que conllevara como beneficios, segn lo expuesto en [BALL
10], la conformidad de la organizacin con:
Los estndares de seguridad
Legislacin de privacidad
Legislacin sobre el spam
Legislacin sobre prcticas comerciales
Derechos de propiedad intelectual, incluyendo acuerdos de licencia de
software
Regulacin medioambiental
76
77
78
79
80
Principios
Responsabilidad
Dirigir
Planes con
responsabilidad asignada
Recibir informacin y
rendir cuentas
Estrategia
Adquisicin
Activos TI adquieren
manera apropiada
Documentos capacidad
requerida
Monitorizar
Mecanismos establecidos
gobierno de TIC
Asignacin
responsabilidades
(entendimiento)
Desempeo responsables
gobierno TIC
Progreso propuestas
aprobadas
Alcanzar objetivos en
plazos establecidos
Utilizar recursos
asignados
Uso de TIC, alcanzando
beneficios esperados
Inversiones y capacidades
requeridas
Entendimiento
interno/externo
necesidad negocio
Acuerdos de provisin
respalden necesidades
negocio
Rendimiento
Cumplimiento
Asignar prioridades y
restricciones
Recursos e inversiones
priorizados necesidades
negocio
Polticas precisin datos
Datos correctos,
actualizados, protegidos
TI cumple obligaciones,
normas y directrices
Cumplimiento y
conformidad
(auditoras/informes)
Oportunos, completos,
adecuados (necesidades
negocio)
Actividades de TIC
Establecer y aplicar
polticas (uso TI interno)
Factor Humano
Desarrollo de TIC y
procesos negocio
Evaluar actividades de TIC
y alineamiento
Mejores prcticas
Satisfaccin interesados
Valoracin y evaluacin
riesgos
Alternativas propuestas
Propuestas aprobadas
Anlisis de riesgo/valor
Asignacin recursos
suficientes
Satisfacer necesidades de
negocio
Evaluar
Asignacin
responsabilidades
Competencias de
responsables
Actividades TIC,
identificar, prestar
atencin
Prcticas de trabajo
consistente uso apropiado
de TIC
Inversiones
TIC sustenta procesos de
negocio dimensionado y
capacidad
Riesgos: continuidad de
operaciones
Riesgos: integridad de
informacin, proteccin
de activos
Decisiones uso TIC apoyo
al negocio
Eficacia y desempeo de
gobierno de TIC
TIC cumple obligaciones,
normas y directrices
Conformidad gobierno TIC
Actividades de TIC,
identificar
Actividades de TIC,
considera debidamente
Figura 4.5. Gua sobre cmo dirigir, monitorizar y evaluar la funcin de TIC.
[BALL 10].
81
82
83
Requerimientos
Que responde a
Dirige la inversin en
de negocio
Informacin
de
Recursos de TI
CoBiT
la Empresa
Para entregar
Procesos de TI
84
85
86
Metas de la empresa
IImpulsores
de Gobierno
Impulsores
de Gobierno
Personas
Infraestructura
Informacin
Aplicaciones
Resultados de Negocio
Procesos TI
Metas TI
87
Planificar y Organizar
Adquirir e
Implementar
Entregar y Dar
Soporte
Monitorear y Evaluar
88
89
90
91
92
Objetivos de Gobierno
Criterios de
informacin
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Monitorear y
Evaluar
Planificar y
Organizar
Recursos de
TI
Aplicaciones
Informacin
Infraestructura
Personas
Entregar y dar
Soporte
Adquirir e
Implementar
93
94
95
96
97
98
1. Definir el ISG.
2. Ayudar a los auditores internos a entender las preguntas correctas y saber
que documentacin es requerida.
99
en medios
electrnicos.
Como objetivos fundamentales del ENS, podemos resear:
Creacin de las condiciones necesarias en el uso de medios
electrnicos.
Aportar un lenguaje comn para la interaccin entre las
administraciones pblicas.
En el ENS se categorizan los sistemas para que la adopcin de medidas de
seguridad sean proporcionales a la naturaleza de la informacin y de los sistemas
y servicios a proteger. Para que el principio de proporcionalidad se aplique
correctamente, se categorizan los sistemas en tres escalones, en funcin de la
valoracin del impacto que un incidente tendra en la seguridad de la informacin
o de los servicios.
100
101
102
103
104
105
106
Cada una de estas normas puede ser consultada y descargada del sitio web
de ISACA, [ISAC 07].
8. ITIL: Information Technology Infrastructure Library8
ITIL fue desarrollada a finales de los 80 como una gua para el gobierno
britnico y se ha acabado convirtiendo en un estndar mundial para la Gestin de
Servicios Informticos. Su estructura ha demostrado ser til para todas las
organizaciones y para todos los sectores mediante su adopcin por innumerables
compaas como base para la consulta, formacin y soporte de herramientas de
software.
ITIL es una gua de las mejores prcticas destinadas a facilitar la entrega de
servicios de tecnologas de la informacin. ITIL est formado por un conjunto de
procedimientos que permiten a las organizaciones conseguir la calidad y la
8
107
Transicin al
Servicio:
En este libro
se
presentan
108
109
CAPTULO V:
Metodologas
y/o
estndares
para el
anlisis y la
gestin de
riesgos
110
111
Clusula 1: Alcance
El estndar tiene como objetivo ayudar a las organizaciones de todo tipo y
tamao a gestionar sus riesgos con efectividad. Proporciona los principios, el
marco y un proceso destinado a gestionar cualquier tipo de riesgo en una manera
transparente, sistemtica y creble dentro de cualquier alcance o contexto.
112
113
Compromiso de la direccin
Seguimiento y revisin de la
estructura
Clusula 5: Procesos
A travs de esta clusula se define un proceso para la gestin de los riesgos
que debera formar parte de la gestin, integrarse en su cultura y prcticas, y
adaptarse a los distintos procesos operativos de la organizacin. Estos procesos se
han conservado con respecto a la norma AS/NZS 4360:2004. El estndar establece
cinco actividades bsicas que se interrelacionan para llevar a cabo el proceso de
gestin de riesgos y que se ilustran en las figuras 5.2 y 5.3.
114
Establecer el contexto
Evaluacin de riesgos
Comunicacin
Seguimiento y
revisin
y consulta
Analizar los riesgos
115
116
Clusula 4: Estructura
Clusula 3: Principios
Clusula 5:
Proceso
1.
2.
Establecer el
contexto
Compromiso de la direccin
Seguimiento y revisin de la
estructura
Evaluacin de
riesgos
Identificar los
riesgos
Analizar los
riesgos
Evaluar los
riesgos
Tratar los
riesgos
117
Seguimiento y revisin
Comunicacin y consulta
Crea valor
Est integrada en los procesos
de la organizacin
3. Forma parte de la toma de
decisiones
4. Trata explcitamente la
incertidumbre
5. Es sistemtica, estructurada y
adecuada
6. Est basada en la mejor
informacin disponible
7. Est hecha a medida
8. Tiene en cuenta factores
humanos y culturales
9. Es transparente e inclusiva
10. Es dinmica, iterativa y sensible
al cambio
11. Facilita la mejora continua de la
organizacin
118
119
PS Plan de seguridad.
120
121
122
123
124
125
126
127
incluye
equipos
informticos
(hardware),
aplicaciones
(software),
128
Paso 2: Amenazas
El siguiente paso sugerido por la metodologa [MAGE 06], en el anlisis de
riesgos consiste en determinar las amenazas que pueden afectar a cada activo.
129
130
131
132
133
134
135
residuales
Impacto y riesgo residual son una medida del estado presente,
entre la inseguridad potencial (sin salvaguarda alguna) y las medidas
adecuadas que reducen impacto y riesgo a valores despreciables, se
puede decir que son una mtrica de carencias.
Si el valor residual es igual al valor potencial, las salvaguardas
existentes no valen para nada, tpicamente no porque no haya nada
hecho, sino porque hay elementos fundamentales sin hacer.
Si el valor residual es despreciable, ya est. Esto no quiere decir que
podamos bajar la guardia, pero s podemos afrontar el da a da con cierta
confianza. Si, por ltimo, el valor residual es algo ms que despreciable
(aunque sea poco), hay una cierta exposicin.
Es importante entender que un valor residual es slo un nmero.
Para poderlo interpretar correctamente se debe acompaar de la relacin
de lo que se debera hacer y no se ha hecho. Los responsables de la toma
de decisiones debern prestar cuidadosa atencin a esta relacin de
tareas pendientes, que se denomina Informe de Insuficiencias.
4.5.2.2.
136
137
Prdidas y ganancias
138
La actitud de la Direccin
139
140
141
5. OCTAVE
OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation),
[OCTA 08], es un mtodo de anlisis de riesgos orientado a activos, desarrollado
por el CERT (Coordination Center, del Software Engineering Institute de la
Universidad Carnegie Mellon de Pensilvania, Estados Unidos).
En OCTAVE, los activos incluyen personas, hardware y software,
informacin y sistemas. Los activos se ordenan segn la importancia que tienen
para los objetivos de la organizacin, y las posibles amenazas y vulnerabilidades
asociadas a dichos activos, as como el impacto que causara un problema en cada
activo.
El objetivo de OCTAVE es desarrollar una perspectiva de seguridad dentro
de una organizacin, teniendo en cuenta perspectivas de todos los niveles para
asegurarse que las soluciones puedan implementarse con facilidad.
142
143
144
145
146
147
148
149
Figura 5.10. Proceso para la gestin de riesgos en ISO 27005. [ISO/IEC 11]
150
informacin,
conforme
los
requerimientos
ISO/IEC
27005:2008,
151
152
que
permite
simulaciones,
visualizaciones
ms
optimizaciones.
El mdulo de evaluacin de la seguridad permite la confeccin de planes de
seguridad, como resultado directo de la evaluacin del estado de los servicios de
seguridad.
Mehari integra cuestionarios de controles de seguridad, lo que permite
evaluar el nivel de calidad de los mecanismos y soluciones encaminadas a la
reduccin del riesgo.
La metodologa proporciona un modelo de riesgos estructurado que
considera los "factores de reduccin del riesgo" en forma de servicios de
seguridad.
Para realizar la evaluacin de seguridad se puede utilizar directamente la
base de datos de conocimiento Mehari para crear un marco de referencia de
seguridad (o polticas de seguridad) que contendr, y describir, el conjunto de
reglas e instrucciones de seguridad que debe seguir la empresa u organizacin
Mehari proporciona un mdulo de anlisis de amenazas que proporciona
dos tipos de resultados:
Una escala de valores de malfuncionamiento
Una clasificacin de la informacin y de los activos de TI
153
Risk
Analysis
and
Management
Methodology-
154
8.2. Segunda
etapa
CRAMM:
Evaluacin
de
amenazas
vulnerabilidad
Una vez comprendida la magnitud de los problemas potenciales, el
siguiente paso es identificar cmo de probable es que estos problemas ocurran.
CRAMM cubre toda la gama de amenazas deliberadas o accidentales que puedan
afectar a los sistemas de informacin, incluyendo hacking, virus, fallos de equipos
o software, daos intencionales o el terrorismo y errores humanos.
155
8.3. Tercera
etapa
CRAMM:
seleccin
recomendacin
de
contramedidas
CRAMM contiene una gran biblioteca que
consta de ms de 3000
156
(Operationally
Critical
Threat,
Asset,
and
Vulnerability
157
dInformation
francesa.
Disponible
en
espaol.
Est
158
CAPTULO VI:
El anlisis de
riesgos
dentro de una
auditora
informtica
159
1.
Introduccin
El objetivo de este captulo es realizar un anlisis del papel del anlisis de
riesgos dentro de una auditora informtica como tema central de este PFC, de
tal manera que podamos encajarlo dentro de una propuesta metodolgica de una
auditora informtica basada en riesgos.
Para realizar este anlisis vamos a estudiar cada rea de forma
independiente y luego analizaremos cmo encaja el anlisis de riesgos dentro de
una auditora, vamos a partir de los aportes realizados por entidades y
metodologas oficiales e iremos realizando un anlisis personal de dichos aportes,
evaluando de qu forma el anlisis de riesgos puede servir a una auditora
informtica.
160
anteriormente-,
el
surgimiento
de
normativas
nacionales
161
162
163
Planificacin
Verificacin y
pruebas
Evaluacin de controles
Recoleccin de evidencias
Evaluacin de evidencias
Presentacin de
informes
Seguimiento
Informe de hallazgos
Seguimiento
164
CAPTULO VII:
Anlisis
comparativo de
estndares,
marcos de
trabajo y guas y
normas de
auditora
informtica
165
ISO/IEC
27004:2009
ISO/IEC
27007:2011
Estndares
ISO/IEC
38500:2008
166
167
3. Marcos de trabajo
En el segundo grupo encontramos los marcos de trabajo. stos son
conjuntos de mejores prcticas recomendadas por consenso de expertos para ser
aplicadas en un rea en particular. No son estndares ni metodologas.
En este grupo hemos estudiado COBIT e ITIL. El primero como marco de
trabajo de control interno para TI, que ofrece una serie de mejores prcticas, las
cuales estn orientadas al control de la informacin y tecnologa relacionada.
168
Cobit
ITIL
Marcos
de
Trabajo
Tanto COBIT como ITIL pueden ser usados como prcticas complementarias
dentro de una empresa y alinearse dentro de su gestin de TI. A nivel de auditora
pueden servir como soporte en el proceso de revisin y verificacin, siendo COBIT
el ms orientado hacia la auditora y el control.
COBIT proporciona un enfoque a los auditores que permite identificar
problemas de control de TI dentro de la infraestructura de TI de la empresa.
Podemos decir, por tanto, que con COBIT las auditoras sern ms eficientes y
exitosas.
COBIT es un modelo para auditar la gestin y control de los sistemas de
informacin y tecnologa, orientado a todos los sectores de una organizacin, es
decir, administradores TI, usuarios y por supuesto, los auditores involucrados en
el proceso.
La estructura del modelo COBIT propone un marco de actuacin donde:
Se evalan los criterios de informacin, como por ejemplo la seguridad
y calidad,
169
170
ISO 38500
COBIT
ISO 27000
QU
CMO
ITIL
CAMPO DE COBERTURA
COBIT, ISO 38500 e ISO/IEC 27002 pueden utilizarse para ayudar a definir
qu debera hacerse e ITIL muestra el cmo para los aspectos de la gestin de
servicios.
171
Definir los requisitos del servicio y las definiciones del proyecto, tanto
internamente como con los proveedores de servicios, por ejemplo:
172
Compromisos contractuales.
Constancias y certificaciones.
Evaluaciones de madurez.
Anlisis de brechas.
Benchmarking.
Planificacin de la mejora.
Como marco para la auditora, evaluacin y una visin externa a travs de:
173
Estndares y guas
de Auditora de
Sistemas de
Informacin de
ISACA
GTAG -Global
Technology Audit
Guide - The
Institute of Internal
Auditors
Normas
y guas
174
175
ITIL
ISO/IEC 27000
ISO/IEC 38500
Normas y guas de
GTAG -Global
Auditora de Sistemas de
Technology Audit
Informacin de ISACA
Objetivo
Marco de trabajo de
Marco de
Gobierno TI:
Proporcionar
prcticas destinadas a
referencia de
Proporcionar un
obligatorios para la
informacin de alto
facilitar la entrega de
seguridad de la
marco de
auditora, proporcionar
serie de mejores
servicios de tecnologas
informacin
asesoramiento en la
tecnolgicos que
de la informacin
la direccin de las
aplicacin de los
estn orientadas al
organizaciones lo
estndares de Auditora
auditores internos y
control de la
utilice al evaluar,
de SI, proporcionar
externos a
informacin y
dirigir y
comprender mejor
tecnologa
monitorizar el uso
los diferentes
relacionada
de las TIC.
estndares al realizar
trabajos de auditora de
SI
gobierno
relacionados con
aspectos
tecnolgicos
176
ITIL
ISO/IEC 27000
ISO/IEC 38500
Normas y guas de
GTAG -Global
Auditora de Sistemas de
Technology Audit
Informacin de ISACA
reas
4 dominios y 34
5 dominios
procesos
Define 3 tareas
14 Estndares, 42 guas,
principales:
11 procedimientos.
13 guas
evaluar, dirigir,
monitorizar
Creador
ISACA
OGC - Oficina de
ISO
ISO
ISACA
comercio
Institute of Internal
Auditors- IIA
gubernamental
Para qu se
ITIL permite la
Desarrollar,
Para llevar un
implementa
mejores prcticas y
adecuada gestin de
implementar y
control adecuado
de auditora
auditores internos y
herramientas para
mantener un
de los procesos
estandarizados, guiados
externos en
el monitoreo y la
procesos relacionados,
Sistema de
distintos aspectos
gestin de las
a travs de la
Gestin de la
gobierno de TI, un
procedimientos que
relacionados con la
actividades de TI.
promocin de un
Seguridad de la
control de los
aplica especficamente a
auditora , el control
Ayuda a las
Informacin
recursos de TI y da
la auditora de SI y de
organizaciones a
para el logro de la
(SGSI) y
aplicabilidad
tecnologas de la
especificar los
realizacin de
internacional.
informacin y las
177
negocio en la gestin de
requerimientos
evaluaciones
mejores prcticas
y a asegurar el
servicios de TI.
para la
objetivas de la
aplicables
cumplimiento, la
Proporcionar una
implementacin
gestin y uso de la
continuidad,
adecuada gestin de la
de controles de
TI.
seguridad y
calidad.
seguridad
privacidad.
Aumentar la eficiencia.
Alinear los procesos de
negocio y la
infraestructura TI.
Reducir los riesgos
asociados a los Servicios
TI.
Generar negocio.
Tabla 7.1. Tabla comparativa estndares, marcos de trabajo y guas de auditora informtica.
178
CAPTULO VIII:
Anlisis
comparativo de
estndares y
metodologas
de anlisis de
riesgos
179
180
Metodologa/Estndar
AS/NZS ISO 31000:2009
Creador
Organizacin Internacional
Fecha ltima
versin
2009
Pas
mbito
el Comit de Normas de
Acceso
Restringido / de pago
2008
Espaa
Metodologa de anlisis y
Tecnologa de la informacin,
de AENOR - Asociacin
los sistemas de
Espaola de Normalizacin y
informacin
Restringido / de pago
Certificacin
MAGERIT Versin 2.0
Consejo Superior de
2006
Espaa
Metodologa de Anlisis y
Administracin Electrnica, y
Sistemas de Informacin.
Hacienda y Administraciones
Pblicas de Espaa
181
Pblico
Metodologa/Estndar
Creador
Fecha ltima
versin
2005
Pas
Estados Unidos
mbito
OCTAVE
Operationally Critical
riesgos orientado a
Institute de la Universidad
activos.
Vulnerability Evaluation
Carnegie Mellon
ISO/IEC 27005:2011
Organizacin Internacional
2011
Mtodo de anlisis de
Acceso
Pblico
MEHARI - Mtodo
Comisin de mtodos de
Armonizado de Anlisis
de Riesgos
2010
Francia
Mtodo de anlisis de
Pblico
riesgo
franceses)
CRAMM-CTA -Risk
Analysis and
y Telecomunicaciones (CCTA)
2010
Reino Unido
Metodologa para el
anlisis y la gestin de
Management
riesgos
182
Restringido / de pago
183
Metodologa / Estndar
AS/NZS ISO 31000:2009
mbito de aplicacin
UNE 71504:2008
hacia
los
sistemas
informticos
1.
2.
3.
4.
5.
6.
7.
1.
2.
3.
4.
5.
6.
7.
1.
2.
Establecer el contexto
Identificar riesgos
Analizar riesgos
Evaluar riesgos
Tratar riesgos
Monitorear y revisar
Comunicar y consultar
Determinar el contexto
Identificar riesgos
Analizar riesgos
Evaluar riesgos
Tratamiento de los riesgos
Administracin de la gestin del riesgo
Comunicacin y consulta
Anlisis de riesgos
Caracterizacin de los activos
a. Caracterizacin de las amenazas
b. Caracterizacin de las salvaguardas
c. Estimacin del estado de riesgo
3. Gestionar los riesgos
184
Metodologa / Estndar
mbito de aplicacin
OCTAVE
Operationally Critical
ISO/IEC 27005:2011
185
Metodologa / Estndar
MEHARI - Mtodo
Armonizado de Anlisis de
Riesgos
CRAMM-CTA -Risk
Analysis and Management
Methodology Metodologa para el
anlisis y la gestin de
riesgos
mbito de aplicacin
186
187
Metodologa /
Tipos de anlisis
Estndar
AS/NZS ISO
31000:2009
Cualitativo
Semi-cuantitativo
Cuantitativo
UNE
71504:2008
Admite mtodos
de valoracin
cuantitativa y
cualitativa
Caracterizacin y
Valoracin de
activos
No se define
explcitamente un
mtodo de
identificacin y
valoracin de
activos
Caracterizacin
y Valoracin de
amenazas
No se define
explcitamente
un mtodo de
identificacin y
valoracin de
amenazas
Caracterizacin y
Valoracin de
vulnerabilidades
No se define
explcitamente un
mtodo de
identificacin y
valoracin de
vulnerabilidades
Caracterizacin y
Valoracin de
Salvaguardas
No se define
explcitamente un
mtodo
identificacin y
valoracin de
salvaguardas
Sugiere
procedimiento de
caracterizacin y
valoracin de
activos, no muy
detallado.
Sugiere
procedimiento
de
caracterizacin
de amenazas,
no indica un
mtodo en
particular, no
muy detallado
Se describe como
una actividad
dentro del proceso,
no se detalla.
Describe las
actividades
necesarias para la
caracterizacin y
valoracin de
salvaguardas
188
Estimacin de
riesgos
Tratamiento de
riesgos
Se sugieren
mtodos
cualitativos y
cuantitativos
que pueden
ser aplicados.
No detalla
alguna tcnica
en particular
Estrategias:
- Evitar el riesgo
- Reducir la
probabilidad de
la ocurrencia
- Reducir las
consecuencias
- Transferir los
riesgos
- Retener los
riesgos
Estrategias:
- Riesgos no
aceptables: se
aplicar
tratamiento
adecuado
- Riesgos
aceptables:
sistema de
monitorizacin
que garantice
ese nivel
Sugiere
criterios a
tener en
cuenta, no se
menciona un
mtodo
particular
Tipos de anlisis
MAGERIT
Versin 2.0
Anlisis
cuantitativos y
cualitativos
OCTAVE
Anlisis
cuantitativos y
cualitativos.
Caracterizacin y
Valoracin de
activos
Detalla la forma de
caracterizar activos
y hacer su
valoracin, provee
ejemplos y sugiere
tcnicas
Caracterizacin
y Valoracin de
amenazas
Detalla la forma
de caracterizar
amenazas y
hacer su
valoracin,
provee
ejemplos y
sugiera tcnicas
Caracterizacin y
Valoracin de
vulnerabilidades
No se considera
explcitamente
Caracterizacin y
Valoracin de
Salvaguardas
Detalla la forma
de caracterizar
salvaguardas y
hacer su
valoracin,
provee ejemplos
y sugiere tcnicas
Detalla la forma de
caracterizar
activos, provee
guas y ejemplos
Detalla la forma
de caracterizar
amenazas,
provee guas y
ejemplos
Detalla la forma de
caracterizar
vulnerabilidades,
provee guas y
ejemplos
No se considera
explcitamente
189
Estimacin de
riesgos
Tratamiento de
riesgos
Detalla la
forma de
estimar el
impacto del
riesgo, estimar
el riesgo e
interpretar los
resultados,
provee
ejemplos y
sugiere
tcnicas
Se identifican
los riesgos y se
evala el
impacto en
trminos de
una escala
predefinida
(alto, medio,
bajo)
Provee un
proceso
detallado para la
gestin de
riesgos
Se basa en el
desarrollo de:
-Estrategias de
proteccin
- Planes de
mitigacin y lista
de acciones.
Metodologa/
Estndar
Tipos de anlisis
Caracterizacin y
Valoracin de
activos
Detalla la forma de
identificar activos y
hacer su
valoracin, provee
ejemplos.
Caracterizacin
y Valoracin de
amenazas
Presenta
ejemplos de
amenazas
tpicas, no
detalla la forma
de valorarlos.
Caracterizacin y
Valoracin de
vulnerabilidades
Presenta ejemplos
de vulnerabilidades
y describe formas
de valoracin
Caracterizacin y
Valoracin de
Salvaguardas
No se considera
explcitamente
Describe
procedimientos
para la
Identificacin
de amenazas
Describe
procedimientos
para la
Identificacin de
activos
Estimacin de
riesgos
Tratamiento de
riesgos
Describe
procedimiento
para realizar
estimacin del
riesgo.
Sugiere alguna
de estas
estrategias:
-Retencin del
riesgo
-Evitacin del
riesgo
-Transferencia
del riesgo
-Retencin del
riesgo
-Reduccin del
riesgo
-Evitacin del
riesgo
-Transferencia
del riesgo
No se considera
explcitamente
ISO/IEC
27005:2011
Anlisis
cuantitativos y
cualitativos
preferentemente
MEHARI
Anlisis
cualitativos y
cuantitativos
Describe
procedimientos
para la
Identificacin de
activos
No se considera
explcitamente
Describe
procedimiento
s para la
estimacin del
riesgo
CRAMM-CTA
Anlisis
cuantitativos o
cualitativos
Describe
Describe
Describe
No se considera
procedimientos
procedimientos procedimientos
explcitamente
para la
para la
para la evaluacin
Identificacin y
evaluacin de
de vulnerabilidades
valoracin de
amenazas
activos
Tabla 8.3. Aspectos propios del proceso de anlisis de riesgos
Describe el
procedimiento
para la
estimacin del
riesgo
190
191
192
193
194
Captulo IX:
Propuesta de
una gua para
llevar a cabo
una auditora
informtica
195
2. Contenido de la gua
La gua se estructura segn el esquema que se indica a continuacin:
1. Introduccin
2. Alcance y mbito de aplicacin
3. Objetivos
4. Trminos y definiciones
5. Estndares y metodologas relacionados
6. Proceso de realizacin de la auditora
196
197
198
Incluye
datos,
servicios,
aplicaciones
(software),
equipos
199
Las
polticas,
procedimientos,
prcticas
estructuras
[CONT 10].
Gestin de riesgos: Seleccin e implantacin de salvaguardas para conocer,
prevenir, impedir, reducir o controlar los riesgos identificados.
Seleccin e implantacin de las medidas o salvaguardas de seguridad
adecuadas para conocer, prevenir, impedir, reducir o controlar los riesgos
identificados y as reducir al mnimo su potencialidad o sus posibles perjuicios.
La gestin de riesgos se basa en los resultados obtenidos en el anlisis de
los riesgos. (Magerit).
Hallazgo: Toda situacin irregular encontrada durante el proceso de una
auditora. En su descripcin se debe incluir informacin necesaria para que el
lector pueda entender y juzgar el hallazgo sin explicacin adicional.
200
201
Administraciones
Pblicas de Espaa.
COBIT. Objetivos de Control para la Informacin y la Tecnologa
relacionada, es un marco de trabajo de control interno para TI (Tecnologas de la
Informacin), que ofrece una serie de mejores prcticas, las cuales estn
orientadas al control de la informacin y tecnologa relacionada y que se ha
convertido en un marco de referencia general para el gobierno de TI en las
organizaciones.
202
FASE DE
PLANIFICACIN
Conocimiento
preliminar de la
empresa y/ o
rea a auditar
Anlisis de
riesgos
FASE DE
ELABORACIN Y
PRESENTACIN DE
INFORMES
FASE DE
EVALUACIN DE
CONTROLES
Identificacin y
seleccin de
controles a
evaluar
recoleccin y
evaluacin de
evidencias
FASE DE
SEGUIMIENTO
Informe de
hallazgos y
recomendaciones
203
Establecimiento
de pautas para el
seguimiento de la
auditora
Conocimiento preliminar
de la empresa y/ o rea a
auditar
FASE DE PLANIFICACIN
Anlisis de riesgos
204
205
Actividad 1:
Caracterizacin de los
activos
Actividad 2:
Etapa 2: ANLISIS DE
RIESGOS
Caracterizacin de las
amenazas
Actividad 3:
Estimacin del estado
de riesgo
206
Tarea T1.1:
Identificacin de los
activos
Actividad 1:
Caracterizacin de los
activos
Tarea T1.2:
Dependencias entre
activos
207
208
209
210
211
Valor
Criterio
10
muy alto
7-9
Alto
4-6
medio
1-3
bajo
despreciable
212
T 2.1: Identificacin de
las amenazas
ACTIVIDAD 2:
CARACTERIZACIN DE
LAS AMENAZAS
T 2.2: Valoracin de las
amenazas
213
214
215
216
217
218
muy frecuente
10
frecuente
mensualmente
normal
una vez al ao
1/10
poco frecuente
a diario
219
220
221
222
223
Identificacin y seleccin de
controles a evaluar
FASE DE EVALUACIN DE
CONTROLES
Recoleccin y evaluacin de
evidencias
Objetivos
El objetivo de esta fase es identificar los controles a evaluar, con el fin de
verificar que medidas permiten realizar un adecuado tratamiento de los riesgos.
Alcance
Esta fase comprende la realizacin de dos etapas: la identificacin y
seleccin de controles a evaluar y la recoleccin y evaluacin de evidencias, a
travs de las que se podr hacer una adecuada evaluacin de las medidas de
224
225
226
recomendaciones de
este
informe
se
consignan
los
hallazgos,
observaciones
227
228
229
230
231
Planificacin
y
Presupuesto
232
Hitos Planificacin
233
234
MANO DE OBRA
HORAS
COSTE
4
60
4
4
60
120
120
1.800
120
120
1.800
3.600
40
1.200
40
1.200
20
600
8
120
32
8
240
3.600
960
240
520
15.600
CANTIDAD
COSTE
379
650
MEDIOS MATERIALES
Microsoft Office 2010 (versin hogar y pequea
empresa)
Ordenador porttil
TOTAL MEDIOS MATERIALES
TOTAL PRESUPUESTO
1.029
16.629
El ingeniero consultor:
235
Conclusiones
236
237
238
Bibliografa
239
[AIFC 08]
[AS/NZS 09]
[AVEL 08]
J. Cao Avellaneda
Artculo: Publicada la ISO 27005:2008 sobre gestin del riesgo.
Blog Sistemas de Gestin Seguridad de la Informacin, 2008
http://sgsi-iso27001.blogspot.com/2008/06/publicada-la-iso270052008-sobre-gestin.htmlFecha de acceso: Octubre de 2011
[BALL 10]
M. Ballester
Gobierno de las TIC ISO/IEC 38500
Journal ISACA, 2010
http://www.isaca.org/Journal/Past-Issues/2010/Volume1/Pages/Gobierno-de-las-TIC-ISO-IEC-385001.aspx
Fecha de acceso: Noviembre de 2011
240
[CARI 06]
L. Carima Moreno
Tesis: La auditora Informtica
Universidad de Colima, Mxico, Facultad de ingeniera Mecnica y
Elctrica, 2006
[COBIT 07]
[CRAM 06]
[DIAZ 10]
M. Daz Sampedro
Artculo: Publicada la norma ISO 27004:2009
Portal Navactiva, 2010
http://www.navactiva.com/es/documentacion/publicada-lanorma-iso-27004-2009_49051
Fecha de acceso: Diciembre de 2011
241
[ENS 10]
[FORU 11]
[GOME 03]
[GTAG 09]
[HERN 00]
242
[ISAC 07]
[ISAC 10]
[ISO/IEC 05]
243
[ISO/IEC 11]
[ISSA 11]
[ISSA 11a]
244
IT Governance Institute
Alineando CobiT 4.1, ITIL V3 y ISO/IEC 27002 en beneficio de la
empresa, 2008
http://www.isaca.org/KnowledgeCenter/Research/Documents/Alineando-Cobit-4.1,-ITIL-v3-y-ISO27002-en-beneficio-de-la-empresa-v2,7.pdf
Fecha de acceso: Marzo de 2012
[ITGO 11]
IT Governance Web
ISO/IEC 27007:2011
http://www.itgovernance.co.uk/products/3716
Fecha de acceso: Diciembre de 2011
[LARR 09]
A. Larrondo
Proyecto Fin de Carrera: Uso de la norma ISO/IEC 27004 para
Auditora Informtica.
E-archivo Universidad Carlos III de Madrid. Ingeniera Tcnica de
Informtica de Gestin, 2010.
http://e-archivo.uc3m.es/handle/10016/10564
Fecha de acceso: Noviembre de 2011
[MAGE 97]
245
[MEHA 10]
[NAVA 10]
F. Nava Garca
Apuntes asignatura Auditora informtica
Universidad Rey Juan Carlos, 2010
http://www.gavab.escet.urjc.es/wiki/bin/ai/10
Fecha de acceso: Octubre de 2011
[OCTA 08]
[OOCI 03]
10
246
[PIAT 08]
[RUBI 09]
E. Rubio, J. Patio
Desarrollo
de
Polticas
de
Seguridad
Informtica
[SOBR 99]
[STIC 10]
[UCMA 09]
11
247
Wikipedia
ISO/IEC 27007:2011
http://en.wikipedia.org/wiki/ISO/IEC_27007
Fecha de acceso: Diciembre de 2011
248