JORNADA NACIONAL DE

SEGURIDAD INFORMTICA
2004
ACIS UNIVERSIDAD CATLICA

Modelos de Control, Seguridad y

Auditora: Herramientas para
profesionales en Seguridad
Informtica
Junio 24 de 2004 Bogot
Jorge Hernndez Cordba
Fernando Ferrer Olivaes

Agenda

01 Introduccin
02 Modelos
03 Conclusiones
04 Bibliografa

Definiciones de Auditora...

Revisin independiente de alguna o

algunas actividades, funciones especficas,
resultados u operaciones de una entidad
administrativa, realizada por un
profesional de la Auditora, con el
propsito de evaluar su correcta
realizacin y con base en este anlisis
poder emitir una opinin autorizada sobre
la razonabilidad de sus resultados y el
cumplimiento de sus operaciones.

01

Otra definicin

Auditorainternaesunaactividad
independienteyobjetivade
aseguramientoyconsulta,concebida
paraagregarvalorymejorarlas
operacionesdeunaorganizacin.Ayuda
aunaorganizacinacumplirsus
objetivosaportandounenfoque
sistemticoydisciplinadoparaevaluary
mejorarlaeficaciadelosprocesosde
gestinderiesgos,controlygobierno

Auditora de Sistemas de Informacin

El propsito fundamental es evaluar el uso

adecuado de los sistemas para el correcto
ingreso de los datos, el procesamiento
adecuado de la informacin y la emisin
oportuna de sus resultados en la
institucin, incluyendo la evaluacin en el
cumplimiento de las funciones, actividades
y operaciones de funcionarios, empleados
y usuarios involucrados con los servicios
que proporcionan los sistemas
computacionales a la empresa

Control: Base para el desarrollo de la

Auditora

El control es una de las fases del proceso administrativo, le

corresponde:

comparar los resultados obtenidos contra los resultados

determinados en el proceso de planeacin de la estrategia
organizacional y de sus actividades tcticas y operativas con
el fin de

determinar el nivel de cumplimiento y

ajustar los diferentes parmetros y caractersticas de los

procesos mediante los cuales se busca el cumplimiento de
los objetivos organizacionales.

Concepto de Control

Cualquier forma de control est basada en el

uso de un lazo de retroalimentacin
(feedback) mediante el cual se compara la
salida (output) del proceso o sistema
controlado contra valores de referencia, de
modo que al presentarse desviaciones, por
exceso o por defecto, se produce una seal
de correccin que debe ser alimentada al
proceso para corregir las desviaciones
observadas en la salida.

Concepto de control

entrada

salida
proceso

Valor de
referencia

Lazo de
retroalimentacin

Muestra de
La salida

Esquemas metodolgicos tradicionales de

la Auditora

Auditoria de cumplimiento un enfoque reactivo

auditoria del Cumplimiento de un estndar
Auditora de Cumplimiento de una mejor prctica
Auditoria del Cumplimiento de la opinindelauditor
Auditoria del desarrollo de sistemas un enfoque
proactivo
Aseguramiento interno un enfoque coactivo

Modelos de Control

Orientados a:
Control gerencial
Control Informtico
Apoyar los controles anteriores

02

Modelos de Control

02

Control Gerencial - Gobierno Corporativo

Control Interno

Tecnologa Informtica

Seguridad Informtica

Apoyo

Modelos de Control y Alineamiento

02

Control Gerencial - Gobierno Corporativo

(OCDE, Basel II, Sarbanes-Oxley, HIPAA, PIPEDA, GLBA, )

Control Interno
(COSO, CoCo, Cadbury, )

Apoyo
Risk Management
[AS/NZS:4360/1999,
MAGERIT, MGs]

Tecnologa Informtica
(Gobierno de TI, COBIT, Net Centric,Control-Self Assessment
CMM/SW, CMM-I, MAGERIT)
Project Management
Seguridad Informtica
(Gobierno de Seguridad, ISO-17799,
BS-7799-2, NIST, Octave, )

Quality Assurance

Modelos de Control Gerencial Corporate Governance

Necesidad de establecer un Sistema de Control
Interno
OCDE (Organizacin para la cooperacin y el desarrollo
econmicos)
Principios para mantener la confianza de los
inversionistas y atraer capitales estables y a largo
plazo en pases en va de desarrollo

Sarbanes Oxley
Exactitud y transparencia de la informacin financiera
para empresas que cotizan en Bolsa

Modelos de Control Gerencial

Control Interno
Especificacin de un Sistema de Control
Interno
Definicin
Proceso, llevado a cabo por la Junta Directiva, la direccin u
otro personal de la entidad, y el resto del personal,
personal diseado
para proveer seguridad razonable sobre el logro de los
siguientes tipos de objetivo:

Efectividad y eficiencia de las operaciones

Confiabilidad de la informacin financiera

Cumplimiento de leyes y regulaciones

Salvaguarda de activos

COSO
Componentes

INFORMACIN Y
COMUNICACIN

MONITOREO

ACTIVIDADES DE CONTROL
VALORACIN DE RIESGOS
AMBIENTE DE CONTROL

Control Interno
Ambiente de Control
Integridad y valores ticos
Incentivos y tentaciones
Gua de comportamiento moral
Acuerdos de competencias
Comit de auditora
Filosofa de administracin
Estructura organizacional
Asignacin de autoridad y responsabilidad
Polticas y prcticas de recursos humanos

Coco: Esquema
Una persona ejecuta una tarea guiada por el entendimiento de:

Objetivo
Entorno
Compromiso

Seguimiento y
aprendizaje
Capacidad
Accin

Modelos Informticos
Tecnologa Informtica

Objetivos
Recursos
Procesos
Objetivos de Control

Ambiente Informtico

Objetivos

Efectividad

Se refiere a la informacin que es

relevante para el negocio y que debe ser
entregada de manera correcta, oportuna,
consistente y usable.

Eficiencia

Se refiere a la provisin de informacin a

travs del ptimo (ms productivo y
econmico) uso de los recursos.

Confidencialidad

Relativa a la proteccin de la
informacin sensitiva de su revelacin
no autorizada.

Integridad

Se refiere a la exactitud y completitud de

la informacin, as como su validez, en
concordancia con los valores y
expectativas del negocio.

Objetivos

Disponibilidad

Se refiere a la que la informacin debe

estar disponible cuando es requerida por
los procesos del negocio ahora y en el
futuro. Involucra la salvaguarda de los
recursos y sus capacidades asociadas.

Cumplimiento

Se refiere a cumplir con aquellas leyes,

regulaciones y acuerdos contractuales, a
los que estn sujetos los procesos del
negocio.

Confiabilidad

Se refiere a la provisin de la
informacin apropiada a la alta gerencia,
para operar la entidad y para ejercer sus
responsabilidades finacieras y de
cumplir con los reportes de su gestin.

Recursos
Seguridad de la
informacin

Microcomputador o terminal
==========================
Aplicaciones en funcionamiento
(1),(2),(3),(4),(8),(10),(11)

Seguridad fsica

(1) Sistemas Operacionales

(2) Software de Seguridad
(3) Sistemas Manejadores de Bases de Datos
y Diccionarios de Datos

Equipo central
=========================
Operacin del sistema
(1),(2),(6),(7),(8),(9)

(4) Monitores de Teleprocesamiento

(5) Ayudas para el desarrollo de programas
(6) Control del Cambio y Administracin de
libreras
(7) Editores en lnea
(8) Software de Telecomunicaciones
(9) Sistema de soporte a operaciones
(10) Sistemas de oficina

Sistema de comunicaciones
(8),(11)

Red local
===============
(1),(2),(3),(4),(5),(6),
(7),(8),(9),(10),(11)

(11) Intercambio electrnico de datos

Procesos

Planeacin y
Organizacin

Adquisicin e
Implementacin

Definir un plan estratgico de TI

Definir la arquitectura de informacin
Determinar la direccin tecnolgica
Definir la organizacin y relaciones de TI
Manejo de la inversin en TI
Comunicacin de directrices Gerenciales
Administracin del Recurso Humano
Asegurar el cumplir requerimientos externos
Evaluacin de Riesgos
Administracin de Proyectos
Administracin de Calidad
Identificacin de soluciones
Adquisicin y mantenimiento de SW aplicativo
Adquisicin y mantenimiento de arquitectura TI
Desarrollo y mantenimiento de Procedimientos de TI
Instalacin y Acreditacin de sistemas
Administracin de Cambios

Procesos

Servicios y
Soporte

Seguimiento

Definicin del nivel de servicio

Administracin del servicio de terceros
Administracin de la capacidad y el desempeo
Asegurar el servicio continuo
Garantizar la seguridad del sistema
Identificacin y asignacin de costos
Capacitacin de usuarios
Soporte a los clientes de TI
Administracin de la configuracin
Administracin de problemas e incidentes
Administracin de datos
Administracin de Instalaciones
Administracin de Operaciones
Seguimiento de los procesos
Evaluar lo adecuado del control Interno
Obtener aseguramiento independiente
Proveer una auditora independiente

Objetivos de Control

Una declaracin de resultado deseado o propsito a ser

alcanzado por medio de la implementacin de
procedimientos de control en una actividad Particular de TI

318 objetivos de control (de 3 a 30 objetivos por cada uno de

los procesos)

2.3 Contratos con Terceros

Con respecto a las relaciones con los proveedores de servicios
como terceras partes, la Gerencia deber asegurar que los acuerdos
de seguridad (por ejemplo, los acuerdos de no - revelacin) sean
identificados, declarados explcitamente y acordados, que stos
concuerden con los estndares de negocios universales y estn en
lnea con los requerimientos legales y regulatorios, incluyendo
obligaciones.

Modelos Informticos
Seguridad Informtica

Fundamentos de Seguridad Informtica

Elementos de un Framework de Seguridad
Tcnicas

Fundamentos de Seguridad Informtica

NIST Common Criteria

Confidencialidad
Integridad Disponibilidad

Auditabilidad
Identificacin
Autenticacin

Riesgo
Amenaza
Vulnerabilidad

Elementos de un Framework de Seguridad

ISO 17799 - Areas principales

Poltica de Seguridad

Organizacin de la
Seguridad

Control y clasificacin
de activos

Seguridad del personal

Seguridad fsica y ambiental

Administracin de las
comunicaciones y
operaciones

Control de acceso

Desarrollo y
mantenimiento de
sistemas

Administracin de la
continuidad del negocio

Cumplimiento

Tcnicas

ValoracindeRiesgos
Riesgo=VulnerabilidadxAmenazaxValordelActivo
Riesgo=ImpactoxProbabildad

IdentificacindeActivos
IdentificacindeInventarios
ClasificacindeDatos
DocumentacindeHardware
http://net-services.ufl.edu/security/policy/workshops/documentation-workshop.ppt

ValoracindeVulnerabilidades
http://csrc.nist.gov/publications/nistpubs/800-55/sp800-55.pdf

Modelos de Apoyo

Risk Management
Control-Self Asessment
Project Management

Conclusiones

Modelos, Modelos, Modelos .

Actualizacin Investigacin

03

Bibliografa

Universidad Catlica de Colombia

Facultad de PostGrados
Bogot
Proyecto Estado del Arte de la Auditora de Sistemas

04

PREGUNTAS?

Muchas gracias por su

atencin