Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnol贸gico de Morelia jcolivar@itmorelia.edu.mx 19.72388 lat, -101.1848 long
Disclaimer Some material in this presentation has been obtained from various sources, each of which has intellectual property, so in this presentation will only have some rights reserved. These slides are free, so you can add, modify, and delete slides (including this one) and slide content to suit your needs. They obviously represent a lot of work on my part. In return for use, I only ask the following: if you use these slides (e.g., in a class) in substantially unaltered form, that you mention their source.
Outline Auditing Phases Planning Preliminar Review Detailed Review Exam and Evaluation of Information. Tests of User Control Sustantive Test System Assesment according to Risk. Preliminar Investigation Staff Participant
Objectives of the Session • The students will know the basis of planning and make plans for Information Audit Project
Planning • Itinerary • Estimation • Tracking
Planning • The first step for planning consist in replanning all the time. • The estimation is a dificult activity because we manage impredictible sources such as time, money and people. • The tracking process is an especial activity who is a critical factor for sucessfully development a project
Itinerary • It consist of a serie of activities which some order, duration and other resources assignations. • Results: • • • • •
Plan Diagram Activity Matrix Gant Chart PERT/CPM Program
Itinerary • Resources Matrix • Estimation is implicit in the process. • The most important estimation are time, cost, human resources, among others. • Tracking is realized in a especial period of time called milestone. Tracking is a control process inside planning process.
Activity • Make the planning for a vacation trip (your choose the place) this must be include all planning elements described in this class. • Where we must be to beginning? • Homework: Make a planning for an IT Auditing Process at Instituto Tecnológico de Morelia.
Preliminar and Detailed Review • In this Phase we works with documents information systems and other resources. • Preliminar Review is fast and acts as a filter. Detailed Review is important because we assurance the process.
Exam and Evaluation of Information • The most important thing in a organization is asset, frecuently information assets. • What are the principal assets in a Telecomunication Firm such as AT&T, Telmex, etc.? • Cupper in 1976 60% • Cupper, Fiber and Infraestructure 30% aprox. in 2008
Exam and Evaluation of Information • Where are the rest of the money? • Information System • What is the most important thing in Coca-Cola? • The Secret Formula. It’s the same since 1886, only 3 pesons in the world know it. • This formula is patented like a comercial secret
Test of User Control’s • What’s a User Control? • It’s a control which applied to final user or employees. • This process is important because a lot of firms are interesting in their relations with theirs user, employees, providers and third-parts. • In Programming the User Controls are the User Interface (UI). Remember for a end user, the UI is the system.
Substantive Test • Substantive testing is the stage of an audit when the auditor gathers evidence as to the extent of misstatements in client's accounting records. • This evidence is referred to as substantive evidence and is an important factor in determining the auditor's opinion on the financial statements as a whole.
Substantive Test • For example, the substantive test in an Inventory System consists of: • Physically examine inventory on balance date as evidence that inventory shown in the accounting records actually exists (validity assertion); • Arrange for suppliers to confirm in writing the details of the amount owing at balance date as evidence that accounts payable is complete
Substantive Test • And make inquires of management about the collectibility of customers' accounts as evidence that trade debtors is accurate as to its valuation. Evidence that an account balance or class of transaction is not complete, valid or accurate is evidence of a substantive misstatement.
Activity • In a Spreadsheet (electronic or paper) obtain de Standard Deviation of the follow numbers: 1, 3, 5, 7, 9, 11, 13, 21, and the last 2 digit of yours control number.
• For the first number (until 21) SD = 6.36 • This is an example of compliance test
Activity • • • • • • • • • •
What did the next pseudocode do? W, X, Y, Z: real READ W, X Z=1 While (z > 0.01) do Y = X – (((X*X) – W)/ (2*X)) Z = abs(X – Y) X=Y End While Print X
Activity • Realized a desktop test or paper run of the algoritm with some values.
Risk Assesment • In auditing, risk assessment is a very crucial stage before accepting an audit engagement. • According to ISA315 Understanding the Entity and its Environment and Assessing the Risks of Material Misstatement, "the auditor should perform risk assessment procedures to obtain an understanding of the entity and its environment, including its internal control"
Risk Assessment • Auditor obtains initial evidence regarding the classes of transactions at the client and the operating effectiveness of the client’s internal controls. • In auditing, audit risk includes inherent risk, control risk and detection risk.
Risk Assessment • What’s a Risk? • It`s a probability of activity occurs. • It’s related with Threats, Vulnerabilities, Impact and Exposures. • All activities have a risk.
Risk Assesment What’s the probability of ocurrence of this activity?
Risk Assesment • There are a lot of Methodologies for Calculating Risk but all are dependents of the user. • Risk are calculating in three levels: high, medium and low. • Risk are calculating by dimension like Impact and Frecuency of Ocurrence.
Risk Assesment
Simulators • Assurance-Life: • 194.224.248.32/simuladores/ * • • • •
Business: http://www.gameonsoftware.com/index.htm http://www.beer-war.com/ * http://www.riskybusiness.com/
Riesgo
Calculado por el producto de la probabilidad de ocurrencia de la amenaza vs los impactos que tendrĂa el activo de materializarse dicha amenaza.
27
Controles
Es una tecnologĂa, polĂtica, proceso o procedimiento que contrarresta una amenaza y por consecuencia mitiga los riesgos asociados a un activo.
28
Modelo de Riesgos
Protecci贸n contra
Controles Implementan
Explotan
Amenazas Au m
en ta
Vulnerabilidades Au
a nt e m
Exponen
Activos
Riesgo
Reduce
E
b le a t s
ce
Requerimientos de seguridad
Au me
Tiene nt a
Valor del activo
Impacto en la organizaci贸n 29
Objetivo
El análisis de riesgos debe contar con el soporte de la alta dirección • Implementación de controles que ayuden a mitigar los riesgos. • Monitoreo de la efectividad de los controles y su impacto (reducción) en los riesgos
30
Análisis de Riesgos • ¿Quién debe participar? – Se debe formar un equipo interdisciplinario que debe estar conformado por al menos las siguientes funciones: • Dueños de los activos • Custodios de los activos • Seguridad de Información – Se pueden incluir según sea el caso: • Recursos Humanos • Legal / Regulatorio • Finanzas
31
Responsabilidades de Dueños y Custodios de activos • Responsabilidades de los dueños: – Últimos responsables de los activos – Responsables de los riesgos asociados a los activos – Responsables de la valuación de activos – Responsables de la clasificación de activos • Responsabilidades de los custodios: – Operación y mantenimiento de los activos (incluyendo sus servicios asociados) – Operación de los controles asociados a los activos • Monitoreo, respaldos, análisis de bitácoras, etc. 32
Análisis de Riesgos
• Existen dos tipos de análisis de riesgos: – Cualitativo • Se utilizan escenarios, juicios, percepciones e incluso la intuición para el calculo de los valores de los elementos que conforman el proceso. • Se asume que el personal que participa en los análisis son expertos en las funciones que les compete. 33
Análisis de Riesgos • Existen dos tipos de análisis de riesgos: – Cuantitativo • Se realizan cálculos numéricos para la estimación de todos los elementos que conforman el proceso, tales como: – El valor de los activos. – La probabilidad de ocurrencia de las amenazas. – Los impactos en el negocio. • Un análisis cuantitativo “puro” no es posible dada la naturaleza cualitativa de los elementos que conforman el proceso. 34
Cualitativo vs. Cuantitativo
Ventajas
Cuantitativo
Cualitativo
Se asignan prioridades a los riesgos según las repercusiones financieras; se asignan prioridades de los activos según los valores financieros. Los resultados facilitan la administración del riesgo por el rendimiento de la inversión en seguridad. Los resultados se pueden expresar en términos de negocio (ejemplo: perdidas financieras, costos anuales) La precisión tiende a incrementarse con el tiempo a medida que se gana experiencia y se acumula información histórica.
Permite la visibilidad y la comprensión de la clasificación de riesgos. Resulta más fácil lograr el consenso. No es necesario cuantificar la frecuencia de las amenazas. No es necesario determinar los valores financieros de los activos. Resulta más fácil involucrar a personas que no sean expertas en seguridad o en informática.
35
Cualitativo vs. Cuantitativo
Desventajas
Cuantitativo
Cualitativo
Los valores de impacto asignados a los riesgos se basan en las opiniones subjetivas de los participantes. Los procesos para alcanzar el consenso y resultados creíbles consumen mucho tiempo. Los cálculos pueden ser complejos y lentos. Los resultados sólo se presentan en términos monetarios y pueden ser difíciles de interpretar por algunas personas. El proceso requiere experiencia, los participantes no pueden ser educados con facilidad a través del proceso.
No hay una distinción suficiente entre los riesgos importantes. Es difícil de justificar la inversión en la implementación de los controles debido a que no hay bases de un análisis costo-beneficio. Los resultados dependen de la calidad del equipo que este trabajando en el proceso.
36
Modelos Cuantitativos, pasos a seguir 1- Asignar valor a los activos 2- Estimar pérdida potencial por riesgo Calcular SLE (single loss expectancy) SLE = Valor del Activo * EF (EF= % de pérdida de activo causada por identificar amenazas)
3- Ejecutar un análisis de amenazas Calcular ARO (annualized rate of ocurrence) Es la frecuencia esperada donde una amenaza pueda ocurrir en base anualizada
4- Derivar la pérdida potencial global por amenaza Calcular ALE (annualized rate of ocurrence) ALE = SLE * ARO
5- Reducir, asignar o aceptar el riesgo 37
Modelos Cualitativos de Análisis de Riesgos • No asigna números reales o valores monetarios a componentes y perdidas. • Analizan diversos escenarios de posibilidades de riesgo y “rankean” la seriedad de las amenazas y la validez de las diversas posibles contramedidas. • Es necesario usar juicios, intuición y experiencia Se usan técnicas como: Brainstorming Focus Groups Encuestas Cuestionarios Checklists Entrevistas 38
Modelo de Análisis de Riesgos de TI Enfoques:
Relativa Frecuencia, “A priori”, deducción lógica, Subjetividad
Análisis de Riesgos Identificación de Amenazas Identificación de Vulnerabilidad Identificación de Impactos
Amenaza: Código Malicioso Si se materializa: Pérdida del Servicio, Pérdida de Información
Riesgo
(A,M,B)
Son necesarios Controles de Seguridad para mitigar riesgos, pueden ser: Procesos, Directrices, Mecanismos tecnológicos, Políticas, Etc.
CONTROLES -Respaldo de Información
-Política de Email
-Separación de ambiente de desarrollo y de producción
39vs troyanos - Controles
Modelo de ANÁLISIS DE RIESGO
Datos de Entrada Selección de Amenazas
Plan de Acción
Matriz de Riesgo
Análisis de Controles
VoBo
Caso de Negocios
40
Rechazado
Matriz de Riesgos Riesgo = Vulnerabilidad * Impacto
Explotan
Amenazas Protegen de
Exponen
Aumentan
Controles
Reducen
Vulnerabilidades
Aumentan
Riesgos
Bienes
41
Matriz de Riesgos Determinaci贸n del nivel de Vulnerabilidad ante amenazas de TI Nivel
Definici贸n de Ocurrencia
Alto
La amenaza tiene una gran probabilidad de ocurrencia, y los controles que previenen esta vulnerabilidad son inefectivos.
Medio
La amenaza tiene probabilidad de ocurrencia, pero los controles actuales pueden impedir que se explote dicha vulnerabilidad.
Bajo
La amenaza es de muy baja probabilidad o los controles existentes evitan que suceda. 42
Determinación de nivel de Impactos ante explotación de vulnerabilidades de TI Magnitud del Impacto
Definición del Impacto
Alto
Si se explota la vulnerabilidad: 1.Existe una pérdida monetaria de los activos tangibles o recursos más importantes de la empresa 2.Se ve afectada la misión, reputación o interés de la empresa 3.Existen pérdidas humanas o lesiones mayores
Medio
Si se explota la vulnerabilidad: 1.Puede resultar en la pérdida monetaria de activos o recursos 2.puede violar o impedir la misión, reputación o interés de la empresa 3.Puede resultar en una lesión
Bajo
Si se explota la vulnerabilidad: 1.Puede resultar en la pérdida de algunos recursos o activos 2.Puede llegar a afectar de manera casi imperceptible la misión, reputación o interés de la empresa
43
Determinaci贸n de nivel de riesgo Riesgo = Vulnerabilidad * Impacto Nivel de Riesgo
Impacto
Vulnerabilidad
Muy Alto
Alto
Alto
Alto
Alto
Medio
Alto
Medio
Alto
Medio
Alto
Bajo
Medio
Medio
Medio
Medio
Medio
Bajo
Medio
Bajo
Alto
Medio
Bajo
Medio
Bajo
Bajo
Bajo 44
Matriz derivada del análisis de riesgos Activo de Información
Amenaza
Justificación Vulnerbilidad Impacto
Riesgo
WEB Server
Acceso no autorizado
B
A
M
Se puede presentar el caso en el que personal no autorizado accese al equipo a nivel hardware o software durante el trayecto del Servicio hacia el sitio del Cliente, por lo cual impactaría en el desempeño adecuado del activo.
Front END Server
Falla de Hardware
M
A
A
Puede presentarse el caso en que alguna de las partes del activo funcione en forma deficiente, con lo cual afectaría en su funcionamiento general y afectaría también al aprovisionamiento adecuado del servicio.
WEB Server
Negación de Servicio
A
A
MA
Puede presentarse un ataque DoS dada la popularidad del sitio y la falta de controles para mitigar este ataque, si deja de responder el servicio causaría daños graves financieros45 y de imagen
Información previa a la ejecución del Análisis de riesgos • Definición de las reglas de negocio del servicio • Lista del inventario de activos de información que forman parte del servicio. • La identificación y clasificación de la información para los activos de Información. • Los flujos de información entre activos de información. • Los usuarios de la información y/o activos. • Información de impactos (financieros, legal, imagen, etc.) 46
Reglas de Negocio Ejemplos más estructurados: Reglas de Operación - 24x7 monitoreo y atención a fallas - Equipo y solución de filtrado operada en XYZ por el equipo de Operaciones - Cliente dueño de la cuenta, tiene privilegios para realizar cambios a los perfiles de sus usuarios vía el WEBKIT - Filtrado esta dentro de la solución de los switches de Cache - Perfiles definidos por el usuario no pueden cambiar ni modificar los perfiles. Tampoco pueden solicitar apoyo para cambiar perfiles, solo el usuario administrados puede hacer esto.
Atención a Clientes - Solamente el dueño (administrador) de la cuenta puede pedir cambios - Soporte por medio del centro de atención para clientes de Internet Dial-Up
Facturación - Facturación plana, adicional a la cuota de Dial-Up - Puede ofrecerse un mes de prueba gratis - Ajuste proporcional al tiempo que se utilizo cuando no entra la solicitud en los ciclos de facturación
Entrega de Servicios - Entrega hecha por parte de TMK (adicional a Dial-Up cuando se solicite en conjunto) - No requiere configuración del lado del cliente - Cliente se le da una clave de acceso para configurar los accesos adicionales con los perfiles que el requiera. 47
Lista del inventario de activos de información Elemento Sistema Aplicación
/ Descripción de / Requerimientos Hardware
Descripción requerimientos de Software
Rol del Activo
Networker Server
Servidor Ultra 60
OS Solaris 2.8 Parches recomendados for Solaris LEGATO Networker 9.1.1
Servidor que realiza la administración de los respaldos y que recibe las peticiones de los cliente
Storage Node
SUN Ultra 450
Networker Client 8.33
Storage nodes incrementa el paralelismo y la capacidad de recuperación de una configuración de networker. Un storage node puede estar conectado a un uno o varios storage devices.
Networker Client
Por dispositvo
Networker Client 6.1 para sistemas operativo
Agente que se instala en todos los servidores en los cuales se requiere realizar el respaldo 48
Identificación y clasificación de la información para los activos de Información Activo
Información
Clasificación Información
Networker Server
Información de configuración del servidor Propietaria ( restringida) Parámetros para los sistemas cliente que vaya a respaldar (horario y lineamientos) Índices de los archivos de esos clientes Base de datos de todos los volúmenes donde los datos de back up están almacenados. Metadatos
Storage Node
Información de configuración del respaldo para Propietaria ( restringida) servidor local y de clientes distribuidos
Networker Client
Configuración de cliente Información a respaldar
Propietaria ( restringida)
49
Los flujos de información entre activos de Información Aplicación / Sistema Origen
Aplicación o Sistema Destino
Protocolo utilizado
Razón del flujo
Networker Server
Network Client
TCP / UDP ( Puertos variables)
Generación de respaldo
Network Client
Networker Server
TCP / UDP ( Puertos variables)
Restauración de información
Storage Node
Network Client
TCP / UDP ( Puertos variables)
Generación de respaldo cuando aplique
Networker Server
Storage Node
TCP / UDP ( Puertos variables)
Generación de respaldo cuando aplique
50
Los usuarios de la información y/o activos Usuarios/ Organización
Aplicación / Sistema al cual requiere acceso
Permiso ( Lectura / Escritura) y a que parte de la información se refiere
Naturaleza de Acceso
Ubicación del Acceso
Operación de Servicios
GSX.VOIC E GATEWAY
Lectura/Es critura
Configuración de Troncales ,
TELNET, WEB, CLI
RED Gestión
Administrador del sistema
Ruteadore s de los clientes
Lectura/ Escritura
Sistema Operativo, Configuración de Rutas, Configuración WAN, Configuración de Usuarios y Accesos
TELNET, WEB, CLI Intefase
RED Interna
51
Informaci贸n de impactos
(Financieros)
Datos crudos de las unidades de negocio, Servicio XYZ Descripci贸n Tipo de cliente
Hoy
4to. Cuarto de 2004
Empresarial
Empresarial
Porcentaje de Mercado
8.8 %
9.1%
Numero de clientes de XYZ al cierre de Abril 2004
6,712
7,098
Volumen de ventas en retenci贸n
$ 88,160,000
$ 88,160,000
Volumen estimado de ventas de adquisici贸n
N/A
$ 45,510,000
Total de ventas anuales en (promedio)
$ 88,160,000
$ 133,670,000
Total de ventas mensuales (promedio)
$ 7,346,666
$ 11,139,166
Total de ventas diarias entrantes (promedio)
$ 244,888
$ 371,30552
USD
Informaci贸n de impactos
(Financieros)
USD K MILES 25,000 20,000 15,000 10,000 5,000 15min 1 1h2
3h 3 12h 4 1d 52d
1sem 6 7 2sem8 1mes 9 2mes 10
En la Gr谩fica de Impactos financieros vs indisponibilidad en el servicio XYZ, se muestra la p茅rdida en el ingreso considerando un evento de afectaci贸n total del servicio 53
Información de impactos (Legal, Ejemplo) Existe la posibilidad que a causa de una falla en el servicio XYZ , los clientes puedan reclamar legalmente la reparación de un daño financiero. Lo anterior es considerado si el servicio de XYZ a consecuencia de algún incidente no deseado o a consecuencia de la falta de capacidad de la infraestructura destinada a ofrecerlo pueda afectar el proceso de facturación y registro de llamadas, además del proceso de análisis de trafico, provocando inconsistencia en la información necesaria para realizar adecuadamente este proceso, afectando así las funcionalidades requeridas por los clientes. Esto creará inconformidad en la relación Empresa-Cliente, ya que se les estará cobrando algún dato o trafico que no les corresponde, además que sería un factor de deserción y por consecuencia de la perdida porcentual de mercado que se pretende mantener y obtener. 54
Información de impactos (Imagen, Ejemplo) Existe la posibilidad que a consecuencia de una falla en el servicio XYZ se tenga un impacto negativo en la imagen de la empresa. Se podría ante una falla en el servicio afectar en forma muy significativa las relaciones con diversas organizaciones así como en la sociedad en general ante una publicidad adversa ampliamente distribuida a nivel nacional, lo que afectará en los pronósticos realizados para retener y obtener un porcentaje mayor del segmento de mercado. 55
Créditos: Ing. Ricardo Morales González, MCSI, CISA, CISM, ISO27001 Auditor Diseño y Programación Miguel Angel Reynosa Castro
56
References • Senft, S. And Gallegos, F. (2008) Information Technology Control and Audit, Third Edition, CRC Press, United States
多Preguntas?