JORNADA NACIONAL DE

SEGURIDAD INFORMTICA
2004
ACIS UNIVERSIDAD CATLICA

Modelos de Control, Seguridad y

Auditora: Herramientas para
profesionales en Seguridad
Informtica
Junio 24 de 2004 Bogot
Jorge Hernndez Cordba
Fernando Ferrer Olivaes
 Agenda

01 Introduccin
02 Modelos
03 Conclusiones
04 Bibliografa

2 Universidad Catlica
 Definiciones de Auditora... 01

Revisin independiente de alguna o algunas

actividades, funciones especficas, resultados u
operaciones de una entidad administrativa,
realizada por un profesional de la Auditora, con
el propsito de evaluar su correcta realizacin y
con base en este anlisis poder emitir una
opinin autorizada sobre la razonabilidad de sus
resultados y el cumplimiento de sus
operaciones.

3 Universidad Catlica
 Otra definicin

Auditora interna es una actividad

independiente y objetiva de
aseguramiento y consulta, concebida
para agregar valor y mejorar las
operaciones de una organizacin. Ayuda
a una organizacin a cumplir sus
objetivos aportando un enfoque
sistemtico y disciplinado para evaluar y
mejorar la eficacia de los procesos de
gestin de riesgos, control y gobierno

4 Universidad Catlica
 Auditora de Sistemas de Informacin

El propsito fundamental es evaluar el

uso adecuado de los sistemas para el
correcto ingreso de los datos, el
procesamiento adecuado de la
informacin y la emisin oportuna de sus
resultados en la institucin, incluyendo la
evaluacin en el cumplimiento de las
funciones, actividades y operaciones de
funcionarios, empleados y usuarios
involucrados con los servicios que
proporcionan los sistemas
computacionales a la empresa
5 Universidad Catlica
 Control: Base para el desarrollo de la
Auditora

El control es una de las fases del proceso administrativo, le

corresponde:
comparar los resultados obtenidos contra los resultados
determinados en el proceso de planeacin de la estrategia
organizacional y de sus actividades tcticas y operativas con
el fin de
determinar el nivel de cumplimiento y
ajustar los diferentes parmetros y caractersticas de los
procesos mediante los cuales se busca el cumplimiento de
los objetivos organizacionales.

6 Universidad Catlica
 Concepto de Control

Cualquier forma de control est basada en el

uso de un lazo de retroalimentacin
(feedback) mediante el cual se compara la
salida (output) del proceso o sistema
controlado contra valores de referencia, de
modo que al presentarse desviaciones, por
exceso o por defecto, se produce una seal
de correccin que debe ser alimentada al
proceso para corregir las desviaciones
observadas en la salida.

7 Universidad Catlica
 Concepto de control

entrada
salida

proceso

Valor de
referencia

Muestra de
Lazo de La salida
retroalimentacin

8 Universidad Catlica
 Esquemas metodolgicos tradicionales de
la Auditora

Auditoria de cumplimiento un enfoque reactivo

auditoria del Cumplimiento de un estndar
Auditora de Cumplimiento de una mejor prctica
Auditoria del Cumplimiento de la opinin del auditor
Auditoria del desarrollo de sistemas un enfoque
proactivo
Aseguramiento interno un enfoque coactivo

9 Universidad Catlica
 Modelos de Control 02

Orientados a:
Control gerencial
Control Informtico
Apoyar los controles anteriores

10 Universidad Catlica
 Modelos de Control 02
Control Gerencial - Gobierno Corporativo

Control Interno Apoyo

Tecnologa Informtica

Seguridad Informtica

11 Universidad Catlica
 Modelos de Control y Alineamiento 02
Control Gerencial - Gobierno Corporativo
(OCDE, Basel II, Sarbanes-Oxley, HIPAA, PIPEDA, GLBA, )

Control Interno Apoyo

(COSO, CoCo, Cadbury, ) Risk Management
[AS/NZS:4360/1999,
MAGERIT, MGs]
Tecnologa Informtica
(Gobierno de TI, COBIT, Net Centric, Control-Self Assessment
CMM/SW, CMM-I, MAGERIT)
Project Management
Seguridad Informtica
Quality Assurance
(Gobierno de Seguridad, ISO-17799,
BS-7799-2, NIST, Octave, )

12 Universidad Catlica
 Modelos de Control Gerencial -
Corporate Governance

Necesidad de establecer un Sistema de

Control Interno

OCDE (Organizacin para la cooperacin y el desarrollo

econmicos)
Principios para mantener la confianza de los
inversionistas y atraer capitales estables y a largo
plazo en pases en va de desarrollo

Sarbanes Oxley
Exactitud y transparencia de la informacin financiera
para empresas que cotizan en Bolsa

13 Universidad Catlica
 Modelos de Control Gerencial
Control Interno

Especificacin de un Sistema de Control

Interno

Definicin
Proceso, llevado a cabo por la Junta Directiva, la direccin
u otro personal de la entidad, y el resto del personal,
diseado para proveer seguridad razonable sobre el logro
de los siguientes tipos de objetivo:
o Efectividad y eficiencia de las operaciones
o Confiabilidad de la informacin financiera
o Cumplimiento de leyes y regulaciones
o Salvaguarda de activos

14 Universidad Catlica
 COSO
Componentes

MONITOREO

ACTIVIDADES DE CONTROL

INFORMACIN Y
COMUNICACIN VALORACIN DE RIESGOS

AMBIENTE DE CONTROL

15 Universidad Catlica
 Control Interno
Ambiente de Control

Integridad y valores ticos

Incentivos y tentaciones
Gua de comportamiento moral
Acuerdos de competencias
Comit de auditora
Filosofa de administracin
Estructura organizacional
Asignacin de autoridad y responsabilidad
Polticas y prcticas de recursos humanos

16 Universidad Catlica
 Coco: Esquema

Una persona ejecuta una tarea guiada por el entendimiento de:

Objetivo
Entorno

Compromiso
Seguimiento y
aprendizaje
Capacidad
Accin

17 Universidad Catlica
 Modelos Informticos
Tecnologa Informtica

Objetivos
Recursos
Ambiente Informtico
Procesos
Objetivos de Control

18 Universidad Catlica
 Objetivos

Se refiere a la informacin que es

relevante para el negocio y que debe ser
Efectividad entregada de manera correcta, oportuna,
consistente y usable.

Se refiere a la provisin de informacin a

Eficiencia travs del ptimo (ms productivo y
econmico) uso de los recursos.

Relativa a la proteccin de la
Confidencialidad informacin sensitiva de su revelacin
no autorizada.

Se refiere a la exactitud y completitud de

la informacin, as como su validez, en
Integridad concordancia con los valores y
expectativas del negocio.
19 Universidad Catlica
 Objetivos

Se refiere a la que la informacin debe

estar disponible cuando es requerida por
Disponibilidad los procesos del negocio ahora y en el
futuro. Involucra la salvaguarda de los
recursos y sus capacidades asociadas.

Se refiere a cumplir con aquellas leyes,

regulaciones y acuerdos contractuales, a
Cumplimiento los que estn sujetos los procesos del
negocio.

Se refiere a la provisin de la
informacin apropiada a la alta gerencia,
Confiabilidad para operar la entidad y para ejercer sus
responsabilidades finacieras y de
cumplir con los reportes de su gestin.
20 Universidad Catlica
 Recursos
Microcomputador o terminal
==========================
Seguridad de la Aplicaciones en funcionamiento
informacin (1),(2),(3),(4),(8),(10),(11)

Seguridad fsica

(1) Sistemas Operacionales

(2) Software de Seguridad
(3) Sistemas Manejadores de Bases de Datos
Equipo central
y Diccionarios de Datos
=========================
Operacin del sistema (4) Monitores de Teleprocesamiento
(1),(2),(6),(7),(8),(9) (5) Ayudas para el desarrollo de programas
(6) Control del Cambio y Administracin de
libreras
(7) Editores en lnea
(8) Software de Telecomunicaciones
(9) Sistema de soporte a operaciones
(10) Sistemas de oficina
(11) Intercambio electrnico de datos
Sistema de comunicaciones Red local
(8),(11) ===============
(1),(2),(3),(4),(5),(6),
(7),(8),(9),(10),(11)
21 Universidad Catlica
 Procesos

Planeacin y Definir un plan estratgico de TI

Organizacin Definir la arquitectura de informacin
Determinar la direccin tecnolgica
Definir la organizacin y relaciones de TI
Manejo de la inversin en TI
Comunicacin de directrices Gerenciales
Administracin del Recurso Humano
Asegurar el cumplir requerimientos externos
Evaluacin de Riesgos
Administracin de Proyectos
Administracin de Calidad

Adquisicin e Identificacin de soluciones

Implementacin Adquisicin y mantenimiento de SW aplicativo
Adquisicin y mantenimiento de arquitectura TI
Desarrollo y mantenimiento de Procedimientos de TI
Instalacin y Acreditacin de sistemas
Administracin de Cambios

22 Universidad Catlica
 Procesos

Servicios y Definicin del nivel de servicio

Soporte Administracin del servicio de terceros
Administracin de la capacidad y el desempeo
Asegurar el servicio continuo
Garantizar la seguridad del sistema
Identificacin y asignacin de costos
Capacitacin de usuarios
Soporte a los clientes de TI
Administracin de la configuracin
Administracin de problemas e incidentes
Administracin de datos
Administracin de Instalaciones
Administracin de Operaciones
Seguimiento
Seguimiento de los procesos
Evaluar lo adecuado del control Interno
Obtener aseguramiento independiente
Proveer una auditora independiente

23 Universidad Catlica
 Objetivos de Control

Una declaracin de resultado deseado o propsito a ser

alcanzado por medio de la implementacin de
procedimientos de control en una actividad Particular de TI
318 objetivos de control (de 3 a 30 objetivos por cada uno de
los procesos)
2.3 Contratos con Terceros
Con respecto a las relaciones con los proveedores de servicios
como terceras partes, la Gerencia deber asegurar que los acuerdos
de seguridad (por ejemplo, los acuerdos de no - revelacin) sean
identificados, declarados explcitamente y acordados, que stos
concuerden con los estndares de negocios universales y estn en
lnea con los requerimientos legales y regulatorios, incluyendo
obligaciones.

24 Universidad Catlica
 Modelos Informticos
Seguridad Informtica

Fundamentos de Seguridad Informtica

Elementos de un Framework de Seguridad

Tcnicas

25 Universidad Catlica
 Fundamentos de Seguridad Informtica
NIST Common Criteria

Confidencialidad
Riesgo
Amenaza
Integridad Disponibilidad Vulnerabilidad

Auditabilidad
Identificacin
Autenticacin

26 Universidad Catlica
 Elementos de un Framework de Seguridad
ISO 17799 - Areas principales

Organizacin de la
Poltica de Seguridad
Seguridad

Control y clasificacin
Seguridad del personal
de activos

Administracin de las
Seguridad fsica y ambiental comunicaciones y
operaciones

Desarrollo y
Control de acceso mantenimiento de
sistemas

Administracin de la
Cumplimiento
continuidad del negocio

27 Universidad Catlica
 Tcnicas

Valoracin de Riesgos
Riesgo = Vulnerabilidad x Amenaza x Valor del Activo
Riesgo = Impacto x Probabildad

Identificacin de Activos
Identificacin de Inventarios
Clasificacin de Datos
Documentacin de Hardware
http://net-services.ufl.edu/security/policy/workshops/documentation-workshop.ppt
Valoracin de Vulnerabilidades
http://csrc.nist.gov/publications/nistpubs/800-55/sp800-55.pdf

28 Universidad Catlica
 Modelos de Apoyo

Risk Management
Control-Self Asessment
Project Management

29 Universidad Catlica
 Conclusiones 03

Modelos, Modelos, Modelos .

Actualizacin Investigacin

30 Universidad Catlica
 Bibliografa 04

Universidad Catlica de Colombia

Facultad de PostGrados
Bogot

Proyecto Estado del Arte de la Auditora de Sistemas

31 Universidad Catlica
 PREGUNTAS?

32 Universidad Catlica
 Muchas gracias por su
atencin

33 Universidad Catlica