ing. elizabeth guerrero. amenaza una persona o cosa vista como posible fuente de peligro o...
TRANSCRIPT
Unidad 3: Proceso de Auditoría
Ing. Elizabeth Guerrero
Definiciones
Amenaza una persona o cosa vista como posible fuente de peligro o catástrofe (inundación, incendio, robo de datos, sabotaje, agujeros publicados, etc.)
Vulnerabilidad la situación creada, por la falta de uno o varios controles, con los que la amenaza pudiera acaecer y así afectar al entorno informático (falta de control de acceso logico, de versiones, inexistencia de un control de soporte magnético, etc.).
Definiciones
Riesgo la probabilidad de que una amenaza llegue a acaecer por una vulnerabilidad (los datos estadísticos de cada evento de una base de datos de incidentes).
Exposición o Impacto la evaluación del efecto del riesgo. (es frecuente evaluar el impacto en términos económicos, aunque no siempre lo es, como vidas humanas, imágenes de la empresa, honor, etc.).
Determinación del área a auditar. Riesgos y contingencias
Tópicos generales
Determinación del área a auditar Planificar el área a Auditar es fundamental,
pues habrá que hacerla desde el punto de vista de los dos objetivos:
◦ Evaluación de los sistemas y procedimientos. ◦ Evaluación de los equipos de cómputo.
Para analizar y dimensionar la estructura por auditar se debe solicitar:
A NIVEL DEL ÁREA DE INFORMÁTICA.- Objetivos a corto y largo plazo.
RECURSOS MATERIALES Y TECNICOS.- Solicitar documentos sobre los equipos, número de ellos, localización y características.◦ Estudios de viabilidad.◦ Número de equipos, localización y las características (de los equipos instalados
y por instalar y programados)◦ Fechas de instalación de los equipos y planes de instalación.◦ Contratos vigentes de compra, renta y servicio de mantenimiento.◦ Contratos de seguros.◦ Convenios que se tienen con otras instalaciones.◦ Configuración de los equipos y capacidades actuales y máximas.◦ Planes de expansión.◦ Ubicación general de los equipos.◦ Políticas de operación.◦ Políticas de uso de los equipos.
Determinación del área a auditar
SISTEMAS◦ Descripción general de los sistemas instalados y de
los que estén por instalarse que contengan volúmenes de
◦ información.◦ Manual de formas.◦ Manual de procedimientos de los sistemas.◦ Descripción genérica.◦ Diagramas de entrada, archivos, salida.◦ Salidas.◦ Fecha de instalación de los sistemas.◦ Proyecto de instalación de nuevos sistemas.
Determinación del área a auditar
El análisis de riesgo, también conocido como evaluación de riesgo, es el estudio de las causas de las posibles amenazas y probables eventos no deseados y los daños y consecuencias que éstas puedan producir.
Análisis de Riesgos
El primer paso del análisis es identificar los activos a proteger o evaluar.
La evaluación de riesgos involucra comparar el nivel de riesgo detectado durante el proceso de análisis con criterios de riesgo establecidos previamente.
Los resultados obtenidos del análisis, van a permitir aplicar alguno de los métodos para el tratamiento de los riesgos, que involucra identificar el conjunto de opciones que existen para tratar los riesgos, evaluarlas, preparar planes para este tratamiento y ejecutarlos.
Análisis de Riesgos
Tipos de riesgo
Riesgo inherente Riesgo de Control Riesgo de detección
RIESGO INHERENTE Cuando un error no se puede evitar
que suceda porque no existen controles compensatorios relacionados que se puedan establecer.
RIESGO DE CONTROL Cuando un error material no puede
ser evitado o detectado en forma oportuna por el sistema de control interno.
RIESGO DE DETECCIÓN Es el riesgo de que el auditor realice
pruebas exitosas a partir de un procedimiento inadecuado. El auditor puede llegar a la conclusión de que no existen errores materiales cuando en realidad los hay.
• Etapa 1Cuestionario
• Etapa 2Identificar los riesgos
• Etapa 3Caldular el impacto
• Etapa 4Identificar las contramedidas y el coste
• Etapa 5Simulaciones
• Etapa 6Creación de los informes
Esquema básico de un proceso de análisis de riesgos
Esquema básico de un proceso de análisis de riesgos
Se identifican vulnerabilidades y riesgos en base a cuestionarios y se evalúa el impacto para luego identificar las contramedidas y el
coste. La siguiente etapa es la más importante,
mediante el juego de simulación (¿Qué pasa SI…?) se analiza el efecto de las distintas contramedidas en la disminución de los
riesgos analizados, eligiendo de esta manera un plan de contramedidas (plan de
seguridad) que compondrá el informe final de evaluación
Riesgos de integridad◦ Interfaz de usuario◦ Procesamiento◦ Procesamiento de errores◦ Interfaz◦ Administración de cambios◦ Información
◦ Ver documento Riesgos Informáticos y seguridad
Riesgos relacionados con la informática
Adobe Acrobat Document
Riesgos de relación Riesgos de acceso
◦ Procesos de negocio◦ Aplicación◦ Administración de la información◦ Entorno de procesamiento◦ Redes◦ Nivel Físico
Riesgos relacionados con la informática
Riesgos de utilidad Riesgos de infraestructura
◦ Planeación organizacional◦ Definición de las aplicaciones◦ Administración de seguridad◦ Operaciones de red y computacionales◦ Administración de sistemas de bases de datos◦ Información / Negocio
Riesgos de seguridad general (eléctrico, incendio, niveles inadecuados de energía eléctrica, radiaciones, mecanicos)
Riesgos relacionados con la informática
Plan de contigencia
Es una estrategía planificada constituida por:• Un conjunto de recursos de respaldo• Una organización de emergencia y• Unos procedimientos de actuación
Encaminaminada a conseguir una restauración progresiva y ágil de los servicios de negocio
afectados por una paralización total o parcial de la capacidad operativa de la empresa
Un Plan de contingencias contiene las medidas técnicas, humanas y organizativas necesarias para garantizar la continuidad del negocio y las operaciones de una empresa.
Un plan de contingencias es un caso particular de plan de continuidad del negocio aplicado al departamento de informática o tecnologías.
Dada la importancia de las tecnologías en las organizaciones modernas, el plan de contingencias es el más relevante.
Plan de Contingencia
Fase 1
•Análisis y Diseño: para su desarrollo se diferencias dos familias metodológicas:•Análisi
s de Riesgos
• Impacto de Negocio
Fase 2
•Desarrollo del Plan
Fase 3
•Pruebas y Mantenimiento
Fases de un plan de contingencia
Se estudia la problemática, las necesidades de recursos, las alternativas de respaldo, y se analiza el coste/beneficio de las mismas.
Familias metodológicas:1. Análisis de Riesgo: se basan en el estudio de los
posibles riesgos desde el punto de vista de probabilidad de que los mismos sucedan.
2. Impacto de Negocio: se basan en el estudio del impacto (pérdida económica o de imagen) que ocaciona la falta de algun recurso de los que soporta la actividad del negocio. Permiten hacer estudios coste/beneficio que justifican las inversiones con más rigor que los estudios de probabilidad que se obtienen con los análisis de riesgos
Fase 1. Análisis y Diseño
Se desarrolla la estrategia seleccionada, implantándose hasta el final todas las acciones previstas.
Se analiza la vuelta a la normalidad, dado que pasr de la situación normal a la alternativa debe concluirse con la restitución de la situación inicial antes de la contingencia.
Fase 2: Desarrollo del Plan
Se definen las pruebas, sus caracterísiticas y sus ciclos, y se realiza la primera prueba como comprobación de todo el trabajo realizado, asi como mentalizar al personal implicado
Se define la estrategia de mantenimiento, la organización destinada a ello y la normativa y procedimientos necesarios para llevarlo a cabo.
Fase 3. Pruebas y mantenimiento
Por ejemplo, la empresa sufre un corte total de energía o explota, ¿Cómo sigo operando en otro lugar?
Lo que generalmente se pide es que se hagan Backups de la información diariamente y que aparte, sea doble, para tener un Backup en la empresa y otro afuera de ésta.
Una empresa puede tener unas oficinas paralelas que posean servicios básicos (luz, teléfono, agua) distintos de los de la empresa principal, es decir, si a la empresa principal le proveía teléfono Telecom, a las oficinas paralelas, Telefónica.
En este caso, si se produce la inoperancia de Sistemas en la empresa principal, se utilizaría el Backup para seguir operando en las oficinas paralelas.
Los Backups se pueden acumular durante dos meses, o el tiempo que estipule la empresa, y después se van reciclando.
Plan de Contingencia Ejemplo
Las partes de un plan auditor informático:
Plan Auditor Informático
•Describir las funciones de forma precisa, y la organización interna del departamento, con todos sus recursos
Funciones•Para las distintas tareas de auditoría
Procedimientos
•Auditoría completa de un área
•Limitada a un aspecto
•Comprobación de acciones correctivas de auditorías anteriores
Tipos de Auditorías
•Definir varios aspectos a evaluar como gestión de recursos, cumplimiento de normas.
•Realizar una evaluación global de resumen para toda la auditoría
•Niveles: Bien, Regular o Mal (grado de gravedad)
Sistema de Evaluación
Nivel de Exposición Evaluación Frecuencia Visitas
10-9 B 18 meses
R 9 meses
M 6 meses
8 -7 B 18 meses
R 12 meses
M 9 meses
6 – 5 B 24 meses
R 18 meses
M 12 meses
4 -1 B 36 meses
R 24 meses
M 18 meses
Ciclos de Auditorías
El valor del nivel de exposición significa la suma de factores como impacto, peso del área, situación de control en el área
En la tabla anterior se aprecia un numero del 1 al 10 definido subjetivamente y que permite en base a la evaluación final de la última auditoría realizada definir la fecha de la repetición de la misma auditoría.
Nivel de exposición
Plan Auditor Informático
Lista de distribución de informes
Seguimiento de las acciones correctoras
•Todas las áreas a auditar deben corresponderse con cuestionarios metodológicos y deben repetirse en 4 o 5 años
Plan quinqueenal
•Deben estimarse tiempos de manera racional y componer un calendario que una vez terminado nos dé un resultado de horas de trabajo previstas y, por lo tanto, de los recursos que se necesitarán
Plan de trabajo anual