Administraci贸n de la Seguridad M.C. Juan Carlos Olivares Rojas Septiembre 2009
• • • • • • • • •
Agenda
La vulnerabilidad Las amenazas Los riesgos Los ataques Los recursos a proteger Control de acceso Detección de intrusos Detección de código malicioso Auditorias de seguridad
Síntomas de Riesgo
• Un síntoma es la salida de una función normal que indica una posible anormalidad. Un síntoma es subjetivo, es observado por el paciente y no medible • Los síntomas pueden ser crónicos, retardados o esporádicos. Se pueden mejorar o empeorar. • Un signo es notificado por otras personas
Administración de Riesgos
• La administración de riesgos es una etapa crucial para el aseguramiento de los activos de información. • La administración de riesgos incluye la detección de riesgos y el control de los mismos. • ¿Qué es el riesgo? • Es la probabilidad de que una actividad no deseada ocurra.
Administraciรณn del Riesgo
โ ข Todas las actividades tienen riesgo. No existe una actividad 100% ni 0% riesgosa.
La vulnerabilidad
• Es un factor interno caracterizado por un hueco de seguridad (una debilidad del sistema) que puede ser aprovechada por una amenaza. • Las vulnerabilidades deben ser los elementos que deban atender los controles de seguridad para asegurar a los activos de información.
Las amenazas
• Son factores externos que pueden aprovechar las vulnerabilidades de un sistema para exponer a un activo de información. • Las amenazas son más difíciles de prevenir dado que ya no podemos anticiparnos del todo. • Los controles tienden a minimizar amenazas y vulnerabilidades.
las
Los ataques
• Se dan cuando se combina una amenaza con una vulnerabilidad. • Los ataques son cuantificados al impacto que pueden producir, generalmente expresados en dinero. • El impacto puede darse por ejemplo al no tener un recurso disponible causando pérdidas económicas al no poder trabajar o bien un daño de imagen social.
Los riesgos • Calculado por el producto de la probabilidad de ocurrencia de la amenaza vs los impactos que tendrĂa el activo de materializarse dicha amenaza.
Administración del Riesgo ¿Cuál es la probabilida d de que este evento ocurra?
Evaluación del Riesgo
• Existen muchas metodologías para calcular el riesgo. Todas ellas dependen de los usuarios. • Los riesgos se calculan en tres niveles: alto, medio y bajo. • Los riesgos son calculados por dimensiones como impacto y frecuencia de ocurrencia.
Evaluaci贸n del Riesgo
Modelado de Riesgos
Protecci贸n contra
Controles Implementan
Explotan
Amenazas Au m
en ta
Vulnerabilidades Au
a nt e m
Exponen
Activos
Riesgo
Reduce
E
b le a t s
ce
Requerimientos de seguridad
Au me
Tiene nt a
Valor del activo
Impacto en la organizaci贸n
Modelado de Riesgos
• Deben intervenir además del personal de seguridad, los dueños, custodios y usuarios de los activos de información. • Existen dos tipos de análisis de riesgo: Existen dos tipos de análisis de riesgos: • Cualitativo y cuantitativo.
Modelado de Riesgos
Ventajas
Cuantitativo
Cualitativo
Se asignan prioridades a los riesgos según las repercusiones financieras; se asignan prioridades de los activos según los valores financieros. Los resultados facilitan la administración del riesgo por el rendimiento de la inversión en seguridad. Los resultados se pueden expresar en términos de negocio (ejemplo: perdidas financieras, costos anuales) La precisión tiende a incrementarse con el tiempo a medida que se gana experiencia y se acumula información histórica.
Permite la visibilidad y la comprensión de la clasificación de riesgos. Resulta más fácil lograr el consenso. No es necesario cuantificar la frecuencia de las amenazas. No es necesario determinar los valores financieros de los activos. Resulta más fácil involucrar a personas que no sean expertas en seguridad o en informática.
Modelado de Riesgos
Desventajas
Cuantitativo
Cualitativo
Los valores de impacto asignados a los riesgos se basan en las opiniones subjetivas de los participantes. Los procesos para alcanzar el consenso y resultados creíbles consumen mucho tiempo. Los cálculos pueden ser complejos y lentos. Los resultados sólo se presentan en términos monetarios y pueden ser difíciles de interpretar por algunas personas. El proceso requiere experiencia, los participantes no pueden ser educados con facilidad a través del proceso.
No hay una distinción suficiente entre los riesgos importantes. Es difícil de justificar la inversión en la implementación de los controles debido a que no hay bases de un análisis costo-beneficio. Los resultados dependen de la calidad del equipo que este trabajando en el proceso.
Matriz de Riesgos Nivel
Definici贸n de Ocurrencia
Alto
La amenaza tiene una gran probabilidad de ocurrencia, y los controles que previenen esta vulnerabilidad son inefectivos.
Medio
La amenaza tiene probabilidad de ocurrencia, pero los controles actuales pueden impedir que se explote dicha vulnerabilidad.
Bajo
La amenaza es de muy baja probabilidad o los controles
Matriz de Riesgos Magnitud del Impacto
Definición del Impacto
Alto
Si se explota la vulnerabilidad: 1.Existe una pérdida monetaria de los activos tangibles o recursos más importantes de la empresa 2.Se ve afectada la misión, reputación o interés de la empresa 3.Existen pérdidas humanas o lesiones mayores
Medio
Si se explota la vulnerabilidad: 1.Puede resultar en la pérdida monetaria de activos o recursos 2.puede violar o impedir la misión, reputación o interés de la empresa 3.Puede resultar en una lesión
Bajo
Si se explota la vulnerabilidad: 1.Puede resultar en la pérdida de algunos recursos o activos 2.Puede llegar a afectar de manera casi imperceptible la misión, reputación o interés de la empresa
Matriz de Riesgos Nivel de Riesgo
Impacto
Vulnerabilidad
Muy Alto
Alto
Alto
Alto
Alto
Medio
Alto
Medio
Alto
Medio
Alto
Bajo
Medio
Medio
Medio
Medio
Medio
Bajo
Medio
Bajo
Alto
Medio
Bajo
Medio
Bajo
Bajo
Bajo
Matriz de Riesgos WEB Server
Acceso no autorizado
B
A
M
Se puede presentar el caso en el que personal no autorizado accese al equipo a nivel hardware o software durante el trayecto del Servicio hacia el sitio del Cliente, por lo cual impactaría en el desempeño adecuado del activo.
Front END Server
Falla de Hardware
M
A
A
Puede presentarse el caso en que alguna de las partes del activo funcione en forma deficiente, con lo cual afectaría en su funcionamiento general y afectaría también al aprovisionamiento adecuado del servicio.
WEB Server
Negación de Servicio
A
A
MA
Puede presentarse un ataque DoS dada la popularidad del sitio y la falta de controles para mitigar este ataque, si deja de responder el servicio causaría daños graves financieros y de imagen
Reglas del Negocio Ejemplos más estructurados: Reglas de Operación - 24x7 monitoreo y atención a fallas - Equipo y solución de filtrado operada en XYZ por el equipo de Operaciones - Cliente dueño de la cuenta, tiene privilegios para realizar cambios a los perfiles de sus usuarios vía el WEBKIT - Filtrado esta dentro de la solución de los switches de Cache - Perfiles definidos por el usuario no pueden cambiar ni modificar los perfiles. Tampoco pueden solicitar apoyo para cambiar perfiles, solo el usuario administrados puede hacer esto.
Atención a Clientes - Solamente el dueño (administrador) de la cuenta puede pedir cambios - Soporte por medio del centro de atención para clientes de Internet Dial-Up
Facturación - Facturación plana, adicional a la cuota de Dial-Up - Puede ofrecerse un mes de prueba gratis - Ajuste proporcional al tiempo que se utilizo cuando no entra la solicitud en los ciclos de facturación
Entrega de Servicios - Entrega hecha por parte de TMK (adicional a Dial-Up cuando se solicite en conjunto) - No requiere configuración del lado del cliente - Cliente se le da una clave de acceso para configurar los accesos adicionales con los perfiles que el requiera. 21
Simuladores de Riesgo
• Seguros de Vida: • 194.224.248.32/simuladores/ *
• Simuladores de Negocios: • http://www.gameonsoftware.com/index.htm • http://www.beer-war.com/ * • http://www.riskybusiness.com/
Pasos Recomendados en una Estrategia de Seguridad
Evaluaci贸n de Activos
Los recursos a proteger
• Los recursos a proteger son muy variados. • El análisis de riesgos es una herramienta que nos va a permitir tomar mejores decisiones sobre que activos de información se deben de proteger y en que orden. • En algunas ocasiones se revisa el control interno de la organización para determinar el valor de sus activos.
Control de acceso
• Es una tecnología, política, proceso o procedimiento que contrarresta una amenaza y por consecuencia mitiga los riesgos asociados a un activo. • Los controles de acceso se encargan de asegurar que los activos de información los utilicen quien debe de utilizarlos. Nótese que no se valida su correcto funcionamiento.
Controles de A. ISO 27000
• A.11.1 Business requirement for access control Objetivo: una política de control de acceso debe ser establecida, documentada y revisada en base a los requerimientos de negocio. • A.11.2 User access management Los temas que se norman en términos generales son: Habilitación de cuentas y registro de usuarios, mediante proceso un formal y expedito que incluya: altas, bajas, suspensiones y cambios de los mismos…
Controles de Acceso
• A.11.3 User responsibilities • Objetivo: Prevenir acceso no autorizado y evitar comprometer o el robo de información Uso de contraseñas, se deben seguir las mejores prácticas en la selección y uso de contraseñas. Escritorio limpio y equipo no atendido, los usuarios deben guardar en forma segura la información crítica del negocio que esté en cualquiera de sus.
Control de Acceso
• A.11.5 Operating system access control • Los accesos específicos a los sistemas operativos de la infraestructura de TI deben ser controlados por procedimientos de identificación y autenticación robustos, se debe minimizar el desplegar una vez que los usuarios tienen acceso a estos sistemas información del tipo y versión del sistema operativo para evitar brindar información innecesaria…
Control de Acceso
• A.11.6 Application and information access control: El acceso a la información y sistemas de información ya sea por usuarios o personal de soporte debe ser restringido de acuerdo con el proceso de asignación de privilegios. La infraestructura de cómputo de los sistemas de información con información sensitiva debe ser separada para evitar accesos no autorizados. Se debe limitar y registrar el número de intentos fallidos de conexión de los usuarios de los sistemas de información.
Base Line
• Un base line es un conjunto de reglas establecidas que forman una base de normas o prácticas sobre un proceso o sistema. • Estas normas o prácticas son establecidas normalmente como una base de comparación entre organizaciones o empresas para verificar un nivel de cumplimiento.
Base Line
• Para poder establecer un base line, se requieren varios elementos: • basarse en algunos estándares internacionales o mejores prácticas, • normas publicadas por algunas organizaciones reconocidas internacionalmente y • experiencias obtenidas por la práctica en las organizaciones.
Base Line
• Establecer un base line en seguridad de información, requiere mucha experiencia y madurez, no es muy práctico solo “copiar” base line de otras organizaciones dado que cada organización es diferente, tiene necesidades diferentes de acuerdo a sus niveles de madurez y necesidades. • Generalmente están listados en orden de importancia aunque pueden no serlo.
Base Line Control Acceso
• Para cada activo de información y sistema de información debe existir una bitácora externa al mismo para el registro de usuarios autorizados para acceder a los mismos. • Debe establecerse procedimientos para verificar que el nivel de acceso concedido es apropiado para el propósito de negocio y que sea consistente con la directriz de control de accesos
Base Line Control de Acceso
• El procedimiento de creación de usuarios debe indicar como se otorga la autorización requerida antes de otorgar el acceso solicitado. • El formato de solicitud de autorización para dar de alta o modificación de un usuario a un activo con los siguientes campos: – Nombre del usuario – Sistema o aplicación al cual requiere acceso, revocación o modificación.
Base Line Control de Acceso
– Organización a la que pertenece – Privilegios solicitados – Gerencia que solicita el acceso
• El usuario final que se le brinda el acceso debe recibir una notificación con el permiso otorgado, privilegios y responsabilidades asociadas a la cuenta o en su defecto la razón por la que fue denegado el acceso
Base Line Control de Acceso
• Se debe asegurar no proporcionar accesos hasta no completar los procedimientos de autorización establecidos. • Se debe mantener un registro formal de todas las personas registradas con derecho a usar los activos de información o sistemas de información.
Base Line Control de Acceso
• La autorización del acceso al sistema debe realizarse por el administrador de a cargo de la custodia del activo de información o sistema de información y debe registrarse en la bitácora de usuarios autorizados • La bitácora de registro de usuarios debe tener al menos los siguientes campos: – Nombre usuario – Organización a la que pertenece – Identificador del usuario en el sistema
Base Line Control de Acceso
– Grupo al que pertenece (en caso que los privilegios se administren por grupo) – Rol del usuario en el sistema: Administrador, Desarrollador de software, Operador de respaldo, etc. – Usuario de aplicación – Privilegios otorgados en el sistema o aplicación – Fecha en que fueron otorgados – Estado actual del usuario – Fecha del último cambio en los accesos – Persona que autorizó la creación de usuario y los privilegios otorgados
Base Line Control de Acceso
• En el caso que un activo de información o sistema de información se entregue en custodia a una determinada organización se debe firmar una carta responsiva en la cual acepta la responsabilidad de la custodia del activo de información así como de las operaciones autorizadas a ejecutar
Base Line Control de Acceso
• La organización usuaria debe notificar al custodio del activo de información o del sistema de información cuando un usuario haya cambiado de rol o haya salido de la compañía para la revocación inmediata del acceso. • Se debe remover inmediatamente los derechos de acceso cambiado de área de trabajo o abandonado la organización.
Base Line Control de Acceso
• Se debe de verificar periódicamente las cuentas de los usuarios y remover aquellos identificadores de usuarios que resulten redundantes. • Métricas: • Número de Altas y Bajas de usuarios • Número de autorizaciones para dar de alta o modificación de un usuario a un activo de información • Número de usuarios con acceso permitido.
Detección de intrusos
• La detección de intrusos es una actividad díficil de llevarse acabo. • Se puede realizar la detección de intrusos con herramientas como la auditoria, los controles de acceso entre otras. • Más que la detección aseguramiento del activo.
nos
interesa
el
Detección de código malicioso • La detección de código malicioso también es una actividad complicada de llevar acabo dado que no tenemos la certeza de las actividades que va a realizar un software hasta que este se ejecuta. • Basándose en ese principio nuestra seguridad está condicionada a los efectos visibles (patrones o firmas) que se presenten y aun conociéndolos no tenemos la certeza absoluta que pueda ser malicioso.
Ejercicio de Análisis de Riesgos
• Para los siguientes problemas, realizar el análisis de riesgo de todos los activos de información encontrados en la empresa. • Proponer controles que ayuden salvaguardar los activos de información.
a
• ¿Qué métricas permitirían ver que tan efectivo es el control implementado?
Ejercicio 2
• Entre los incidentes más recientes en el Hospital Santa Cecilia se cuentan los siguientes: • Se han detectado numerosos equipos a los cuales los empleados le han instalado aplicaciones como “Hotbar” y “Messenger Plus”. Otros tienen instalados utilerías que les permiten ver la temperatura de la ciudad en su desktop. Sin embargo, estas aplicaciones son “shareware” y no están soportadas.
Ejercicio 2 • Se han reportado clientes del hospital notificando la recepción de un mail con una liga que les solicita la actualización de los datos para ingresar al portal del Laboratorio. El hospital nunca ha enviado mensajes de ese tipo. • Su portal de banca electrónica estuvo sobrecargado durante dos días imposibilitando a sus clientes acceder al mismo.
Ejercicio 2
• Existe software no licenciado instalado en los equipos del hospital. • Un empleado de sistemas fue despedido y en represalia copió el archivo de contraseñas de acceso al sistema de información de pacientes. • Se detectó virus en diversos equipos a pesar de contar con software antivirus instalado.
Ejercicio 2 • Se han detectado accesos no autorizados a los sistemas. • ¿Qué eventos de los explicados en la sesión han afectado al hospital? • ¿Con base en tu experiencia que harías para corregir esta situación?
Ejercicio 3
• Identifica qué principio y activo es el más importante para cada una de las siguientes organizaciones. Justifica tu respuesta. • • • • •
Secretaría de Hacienda Ejército Empresa farmacéutica Amazon.com Sistema de Escolar de una Universidad
Ejercicio 3 • • • • •
Sistema de emergencias telefónica 066 Su equipo de cómputo personal. Banco Carrier de telecomunicaciones. Coca Cola.
Ejercicio 4 • La empresa Alfa-2030 ha estado trabajando en los últimos años desarrollando servicios on-line de seguros de todo tipo para empresas. Su negocio está basado en transacciones en Internet a través de su portal de Internet donde los clientes realizan todas sus transacciones como contratación de los seguros, pagos electrónicos en línea, renovaciones, reclamaciones, cancelaciones, etc.
Ejercicio 4 • Esta empresa ha experimentado desde hace meses ciertos incidentes en materia de seguridad de información, que a continuación se describen: • Recién se ha creado el equipo de seguridad de información de la empresa, sus procesos operativos de Seguridad son incipientes (respaldos de información, manejo de capacidad, controles de acceso lógico, etc.).
Ejercicio 4 • La tecnología para proteger la seguridad de información ha estado poco ausente de hecho este equipo de Seguridad ha iniciado con planes de adquirir tecnologías. • El presidente de la empresa ha solicitado a un experto en seguridad de información que estime los riesgos para cada una de las siguientes amenazas:
Ejercicio 4 • Acceso no autorizado a la información de los clientes. • Software malicioso que afecte principales sistemas de la empresa
a
los
• Denegación de servicios a su portal de Internet
Ejercicio 4 • A partir del caso anterior, escriba un reporte donde determine los riesgos (niveles) para cada una de las amenazas descritas, tendrá que justificar sus respuestas en cuanto a describir las vulnerabilidades y sus impactos. • De manera adicional, escriba un reporte, donde mencionen al menos 5 controles de Seguridad de información que mitiguen las
Ejercicio 5 • La empresa Alfa-2030 ha decidido iniciar con un programa formal de Seguridad de información como una función importante y su propio presupuesto en la organización, Ricardo Aranguren ha sido nombrado como Director de Seguridad de Información dependiendo en forma directa de la Dirección General, de momento sólo se la ha asignado a tres personas para esta nueva función.
Ejercicio 5 • Lo primero que la dirección genera le ha solicitado al Director de seguridad de información es establecer una política específica del uso del e-mail dado que han ocurrido últimamente incidentes en el mismo tales como virus y gusanos que han causado pérdidas al negocio, además hay personal que al parecer abusa de este servicio haciendo mal uso del mismo.
Ejercicio 5 • Escribe un reporte con está política especifica con un mínimo de 6 párrafos (cuerpo de la política). Asegúrate que este documento contenga estas secciones: • • • • •
Antecedentes Objetivo Cuerpo del documento Responsabilidades Definición de términos
Ejercicio 6 • La empresa Alfa-2030 ha estado trabajando en los últimos años desarrollando servicios on-line de seguros de todo tipo para empresas. Su negocio está basado en transacciones en Internet a través de su portal de Internet donde los clientes realizan todas sus transacciones como contratación de los seguros, pagos electrónicos en línea, renovaciones, reclamaciones, cancelaciones, etc.
Ejercicio 6 • El Director general ha solicitado realizar un plan de trabajo para desarrollar los procedimientos operativos de Seguridad de información para su portal de Internet. • Se debe realizar un reporte que seleccione la prioridad del desarrollo de los siguientes procedimientos operativos (justifiquen su respuesta):
Ejercicio 6 • Procedimientos de respaldos de Información • Procedimientos de control de acceso lógico a la información • Procedimientos de control de cambios • Procedimientos malicioso
de
control
de
software
Ejercicio 7
• EL Hospital “El Milagro” ha estado desarrollando actividades en el medio por más de 5 años, el director del Hospital le ha llamado a un equipo especializado en seguridad de información debido a que se ha sentido frustrado por haber invertido mucho dinero en seguridad de información sin tener resultados positivos. • EL director en una entrevista mencionó lo siguiente (en resumen):
Ejercicio 7
• El área de seguridad depende del área de redes • Al parecer nunca le alcanza al Hospital el dinero que se solicita para inversiones en el área de seguridad. • Los usuarios de los sistemas de información tienen la impresión que la función de seguridad nunca los ha tomado en cuenta.
Ejercicio 7
• El gasto de inversión en equipos de seguridad como Firewalls, licencias de antivirus, detectores de intrusos, etc. se ha disparado. • Al parecer estos equipos no han sido efectivos dado que han ocurrido incidentes de Seguridad y no se ha protegido al Hospital de estos impactos causados. • Hace poco un auditor externo mencionó que no vio ningún procedimiento operativo de seguridad.
Ejercicio 7 • El encargado de redes batalla mucho para que le apruebe los proyectos el Hospital dado que el lenguaje que usa es muy técnico. • Realizar un comentario que brinde consejos al Director General para poder ir armando la estrategia de la función de Seguridad de Información, favor de justificar sus respuestas.
Ejercicio 7 • De manera adicional se deben realizar las siguientes actividades: • Visión de seguridad de información (a 5 años) • Misión de seguridad de información • Que dimensión será la más relevante en un Hospital (Disponibilidad, confidencialidad, Integridad, autenticidad y no repudiación) • Establecer 5 objetivos de seguridad de información.
Ejercicio 8 • Retomando el caso del Hospital Santa Cecilia y de acuerdo a la información proporcionada en el mismo realiza lo siguiente: • Escribe una política de seguridad corporativa (Máximo tres párrafos). • Identifica tres políticas específicas que consideras deben de desarrollarse.
Ejercicio 8 • Lista tres recomendaciones que harías a los empleados del hospital en cuanto a: • • • •
Respaldo de información Correo electrónico Manejo de usuarios y contraseñas Uso de equipo de cómputo.
Auditorias de seguridad
Audit and Information Audit Concepts
• There are a lot of definition about what Audit and Infromation Audit means. • Activity: in pairs try to discuss what’s the diference among Audit, Consult and Advisory. • Audit is an evaluation of a person, organization, system, process, project or product.
Audit
• Audits are performed to ascertain the validity and reliability of information, and also provide an assessment of a system's internal control. • The goal of an audit is to express an opinion on the person/organization/system etc. under evaluation based on work done on a test basis. • Information Audit is “review the existing system of information management, identify
Information Audit
• Other definition of Information audit is “an analysis of the communications (processes and information) that take place between agents (people) in a social context (the organisation) using a variety of media and channels (technology).” • Information Audit (IA) is focused in describe how things are done instead of existence; for example, use of a database rather than exist a database.
Information Audit
• The IA contex have to set organizational goals and costraints.
against
• The IA has to try to solve question such as: • What is the purpose of the audited system? • Does it accomplish its purpose? • Is the purpose in line with the purpose and philosophy of the organisation as a whole?
Information Audit
• How effectively are resources used? • How are resources accounted for and safeguarded? • How useful is the information system supporting the organisation? • How reliable is the information system? • Does the system comply with regulations and standards?
In Sum…
• The goal of the Audit project • Compare what is, • To what should be • To bring the two together
• The process is:
• Establish what should be • Get support • Find out what is • Create results and recommendations.
Types of Auditing
• Exist diferent clasification of Auditing. • By deep Level: General and Technical • General Auditing includes an assesment of diferent areas (i.e., financial, administrative, quality, etc.) in a company at the same time. • Technical Audits are specific Information System Audit.
such
as
Internal and External Audits
• Internal Audits are realized by Individual of the Organization. The advantages are most knowledge of Internal Control and less time in the audit process. The disadvantages can be non-Ethical Reports. • External Audit or Superior Control Audit is realized by Third-People. This is recommended type of audit because is most Ethical and Efficient but required more time.
Field of Information Audit
• What are Business Process?
• It’s a collection of related, structured activities or tasks that produce a specific service or product (serve a particular goal) for a particular customer or customers. • Activity: Indicate what are the Business Process in a University such as Instituto Tecnologico de Morelia
Business Process
• Some Business Process are very similar. • What’s the diference? • It’s the business rules. These are statements that define or constrain some aspect of the business • Activity: What are the business rules of ITM? Describe the rules of some sport or game such as Soccer, Tenis, Tetris, etc.
What is Audited?
• The Information that leads to knowledge • Resources for making information • How info is used • The people who need and create info • Info capture, management and presentation tools • How info is valued
What’s the Point?
• Understand information – What is it? – How does it move?
• Manage information
– What should we spend on it? – How should it flow?
• Give information its rightful place as something we pay attention to. – Money – Material goods – Processes
Internal Control
• It’s defined as a process effected by an organization's structure, work and authority flows, people and management information systems, designed to help the organization accomplish specific goals or objectives. • It is a means by which an organization's resources are directed, monitored, and measured.
Internal Control
• It plays an important role in preventing and detecting fraud and protecting the organization's resources, both physical (e.g., machinery and property) and intangible (e.g., reputation or intellectual property such as trademarks). • Internal control is a key element of the Foreign Corrupt Practices Act (FCPA) of 1977 and the Sarbanes-Oxley Act of 2002, which required improvements in internal control in United States public corporations.
Internal Control
• The governance is a very important activity inside organizations because drive and direct the Internal Control. • Procurement plays and importan role in the modern organization because need mechanism to regularize the practices and maintance the justice. • External Control is supported by Goverment Legislation.
Control Models using in Information Audit
• Discussion About Methodologies:
• ISACA (Information System Audit and Control Association) • COBIT (Common OBjectives for Information and related Technologies) • ITIL (Information Technologies Infraestructure Library)
• COSO
Other Methodologies
• ISO/IEC 17799:2000 • ISO/IEC 13335 • ISO/IEC 15408 • TickIT • NIST 800-14
An Audit Project
• What are the goals of the project? • What is the overall process? • What are the deliverables? • What does the plan look like?
What Are The Goals? • To assess what information and flow the org needs • To assess what information and flow the org now has • To make recommendations about how to get the two to match
What’s the Overall Process?
1. Analyze objectives for ideal process 2,3 Get a mandate and support 4 Plan the audit 5 Perform the audit 6,7 Interpret and Present the results 8,9 Take action 10 Repeat
What are the Deliverables? 1. Analyze objectives
•One or more readiness deliverables •A Goals-Knowledge-Info taxonomy
2,3 Get support
•One or more mandate deliverables •Guardian and stakeholder profiles
4. Plan
•Audit methods plan •Staging plan
5. Perform
•Information Analyses
6,7 Interpret and present
•Reports and presentations
8,9 Act
•Follow-up plan
Deliverables: A GoalsKnowledge-Info Taxonomy
• Organizational objective 1 – Knowledge requirement 1.1
• Info that supports requirement
– Containers for the information
• People who need to know it • Flow – Creation – Use – Disposal
– Knowledge requirement 1.2
• Organizational objective 2
Deliverables: Guardian and Stakeholder Profiles
Who will you approach in the org and how?
• What: Word files, a spreadsheet or Db records – Who are they? – How will you approach them? – What do you know without asking?
• How:
– Asking around – Quick email or other communication – Org charts or readiness results
Deliverables: Audit Methods Plan What are the available methods ?
• Analysis of docs and Dbs • Observation • Trying yourself • Interviews • Meetings • Surveys • Mapping
Deliverables: Audit Methods Plan How will you assess the information resources of •
•
organization?
What: Word, spreadsheet or Db – Analysis, resource, method – Date, time, and staff
How
– Try each method – Discuss with guardians and stakeholders – Design for change
your
Deliverables: Staging Plan
In what order should groups and information resources be done? •
•
What: Word Doc, spreadsheet or DB – Groups and sources identified – Dates, times and staff for each
How
– Arranged by
• Strategic importance and potential for a win • Amount of support and ease or simplicity • Fair representation of all information
Deliverables: Information Analyses
The assessment of each dimension of the organization's information. • What? Word, spreadsheet or Db – Data collected – Standard set of – Information Resources
• How
– Apply methods and plan – Collect data, analyze and revisit if needed
Deliverables: Reports and Presentations
What are the analysis methods available? • Side-by-side comparison • SWOT • CATWOE
– Clients – Actors – Transformations – Ownership – Environment
Finding the Diferences
Deliverables: Reports and Presentations The official results of the audit • What
– Word files, Slide decks – Email messages, meeting agendas
• How
– Lots of trial inside the team – Test results to supporters – Trial presentations to insiders – Multiple methods to communicate
Deliverables: Follow-Up Plan
What should the org do and how will its success be measured? • What
– Word file, project plan – Action – Preliminary scope, schedule, and budget
• How – – – –
Work with appropriate guardians and execs Focus on highest return projects first Give lots of leeway to the formation of the exact solution Caveat the heck out of your estimates
• Audit manager
The Team
– Understands the org’s business – Ability to listen – Respected
• Auditors
– Technology analysts – Interviewers – SME (Subject Matter Experts)
• Tool designers
– Survey construction – Data analysis and presentation techniques
• Consultants
– Specialist support in the background
Other IA Methodology
• Initial review and evaluation of the area to be audited, and the audit plan preparation • Detailed review and evaluation of controls • Compliance testing • Analysis and reporting of results
Review of System Documentation
• The auditor reviews documentation such as narrative descriptions, flowcharts, and program listings. In desk checking the auditor processes test or real data through the program logic. • Audit throug the Computer: the process of reviewing and evaluating the internal controls in an electronic data processing system.
Audit with The Computer
• The utilization of the computer by an auditor to perform some audit work that would otherwise have to be done manually.
Test
• Test Data: The auditor prepares input containing both valid and invalid data. Prior to processing the test data, the input is manually processed to determine what the output should look like. The auditor then compares the computer-processed output with the manually processed results.
Test Data Computer Operations
Auditors PrepareTest Test Prepare Transactions Transactions AndResults Results And
Transaction Transaction TestData Data Test
Computer Computer Application Application System System
Computer Computer Output Output
Auditor Compares
Manually Manually Processed Processed Results Results
Types of Testing
• Compliance Testing: Auditors perform tests of controls to determine that the control policies, practices, and procedures established by management are functioning as planned. This is known as compliance testing. • Substantive testing is the direct verification of financial statement figures. Examples would include reconciling a bank account and confirming accounts receivable.
Parallel Simulation
• The test data process data through real programs. With parallel simulation, the auditor processes real client data on an audit program similar to some aspect of the client’s program. The auditor compares the results of this processing with the results of the processing done by the client’s program.
Parallel Simulation Computer Operations
Auditors Actual Actual Transactions Transactions
Computer Computer Application Application System System
Auditor’s Auditor’s Simulation Simulation Program Program Auditor Compares
ActualClient Client Actual Report Report
Auditor Auditor Simulation Simulation Report Report
Audit Software
•
Computer programs that permit computers to be used as auditing tools include:
•
Generalized audit software (CAATS – Computer Assistant Audit Tools and Techniques) P.C. Software (support)
•
Records
• Extended Records: Specific transactions are tagged, and the intervening processing steps that normally would not be saved are added to the extended record, permitting the audit trail to be reconstructed for these transactions • Snapshot: A snapshot is similar to an extended record except that the snapshot is a printed audit trail
Principles Applied to Information Auditors
• The Auditor word comes of the auditorium which means “listend”
greek
• Auditor was a person who main fuction was listening problems of people in a town and tacke back the Taxes and represent the intereses of Imperial Country.
Managers and Auditors Responsabilities
• Support the implementation of, and encourage compliance with, appropriate standards, procedures and controls for information systems.Perform their duties with objectivity, due diligence and professional care, in accordance with professional standards and best practices.Serve in the interest of stakeholders in a lawful and honest manner, while maintaining high standards of conduct and character, and not engage in acts discreditable to the profession.Maintain the privacy and
• Itinerary • Estimation • Tracking
Planning
Planning
• The first step for planning replanning all the time.
consist
in
• The estimation is a dificult activity because we manage impredictible sources such as time, money and people. • The tracking process is an especial activity who is a critical factor for sucessfully development a project
Itinerary
• It consist of a serie of activities which some order, duration and other resources assignations. • Results: • • • • •
Plan Diagram Activity Matrix Gant Chart PERT/CPM Program
Itinerary
• Resources Matrix
• Estimation is implicit in the process. • The most important estimation are time, cost, human resources, among others. • Tracking is realized in a especial period of time called milestone. Tracking is a control process inside planning process.
Preliminar and Detailed Review
• In this Phase we works with documents information systems and other resources. • Preliminar Review is fast and acts as a filter. Detailed Review is important because we assurance the process.
Test of User Control’s
• What’s a User Control? • It’s a control which applied to final user or employees. • This process is important because a lot of firms are interesting in their relations with theirs user, employees, providers and third-parts. • In Programming the User Controls are the User Interface (UI). Remember for a end user, the UI is the system.
Substantive Test
• Substantive testing is the stage of an audit when the auditor gathers evidence as to the extent of misstatements in client's accounting records. • This evidence is referred to as substantive evidence and is an important factor in determining the auditor's opinion on the financial statements as a whole.
Substantive Test
• For example, the substantive test in an Inventory System consists of: • Physically examine inventory on balance date as evidence that inventory shown in the accounting records actually exists (validity assertion); • Arrange for suppliers to confirm in writing the details of the amount owing at balance date as evidence that accounts payable is complete
Substantive Test
• And make inquires of management about the collectibility of customers' accounts as evidence that trade debtors is accurate as to its valuation. Evidence that an account balance or class of transaction is not complete, valid or accurate is evidence of a substantive misstatement.
Activity
• In a Spreadsheet (electronic or paper) obtain de Standard Deviation of the follow numbers: 1, 3, 5, 7, 9, 11, 13, 21, and the last 2 digit of yours control number.
• For the first number (until 21) SD = 6.36 • This is an example of compliance test
• • • • • • • • • •
Activity
What did the next pseudocode do? W, X, Y, Z: real READ W, X Z=1 While (z > 0.01) do Y = X – (((X*X) – W)/ (2*X)) Z = abs(X – Y) X=Y End While Print X
Activity
• Realized a desktop test or paper run of the algoritm with some values.
Compilation of Organizational Information
• It’s important for the correct management of Auditing Process. • Before of making a Report is necessary the information that sustain the ideas. This information is knowed such as Evidence. • Remeber the first step is know organizational context of a Firm.
the
Compilation of Organizational Information
• It’s important to manage an eficient way to recollect information such as logs, databases, control sheet and cross-documents. • The retrieval information must be the most quickly as posible. • In the research process this activity is highlyconsumer of time (Theoretical Frame and State-of-Art)
Human Resources Assesment • This action is very important because some firms have and excelente organization and planning but in practice have a bad execution and directions (CONTROL) • There are two kinds of human resources evalution: • Activity and Resposability of a Employee in an organization (For Example a Bad Director or Boss).
Human Resources Assesment
• Assesment of Organization about their People (asking about a good working conditions). • One technique of Human Resources Assesment is the elaboration and application of questionaries. • Questionaries are a good option when there are not enough time, but are dificult because it needs a correct design and processing.
Interviews with Informatic Personal
• Interview is a vital process inside auditing. • We must recollect and store this information such as Evidence but in most of the time is dificult because it’s not a legal process and some Employee can’t or doesn’t like talking about some topic in these circunstances. • Interviews are dificult in application but are crucial.
design
and
Interviews with Informatic Personal
• Interviews provide the correct specification about a process. Auditors could be aimed by Personal in some process which are dficult to understand. • There are a lot of kinds of Interviews. The most important thing in Interview Process is the script. The interviewer should be and excelent improviser and carismatic person.
Budget and Financial Situation • Budget is an important element because Auditors have some constraints, and the most important is Financial. • Ideally, the audit budget should be created after the audit schedule is determined.
API BruteForce
• Develop a Java program which can access in a System with Login Screen (Username and Password). • The user must indicate the initial point or area of the first field. Must indicate the max length of words (update it for variable length*) • Probe it with a Real Program or Simulate Program. If the screen changed the program
API Brute Force
• Optional make a statistic module for calculating iterations and time of obtaininig pasword. • Optional Include a Search (depends of Language).
Dicctionary
Jawa.awt.Robot M.C. Juan Carlos Olivares Rojas
Introducción • La clase java.awt.Robot permite definir un objeto que puede realizar acciones de manera automatizada sobre la interfaz gráfica del sistema. • Cuenta en general con métodos para mover el ratón, presionar botones del ratón, presionar teclas, capturar imágenes, entre otras funcionalidades.
Ejemplo
import java.awt.AWTException; import java.awt.Robot; import java.awt.event.InputEvent; import java.awt.event.KeyEvent; public class Aplicacion { public static void main (String args []) { new Aplicacion(); }
Ejemplo
Aplicacion() { try { Robot robot = new Robot(); // Simula un click con el ratón robot.mousePress(InputEvent.BUTTON1_MASK ); robot.mouseRelease(InputEvent.BUTTON1_M ASK); // Simula presionar una tecla
Ejemplo
robot.keyPress(KeyEvent.VK_O); robot.keyRelease(KeyEvent.VK_O); } catch (AWTException e) { e.printStackTrace(); } } }
API • La clase cuenta con dos constructores: • Robot() sin argumentos crea un objeto que opera en toda la pantalla. • Robot(GraphicsDevice screen) Construye un objeto Robot en las coordenadas indicadas. • A continuación se describe cada uno de los
API
• java.awt.image.BufferedImage createScreenCapture(Rectangle s) Crea una imagen de las coordenadas indicadas. • void delay(int ms) El objeto se duerme un tiempo especificado de ms milisegundos. • int getAutoDelay() Obtiene el tiempo en que el Robot se está durmiendo.
API
• Color getPixelColor(int x, int y) Reegresa el color del punto señalado. • boolean isAutowaitForIdle() Checa si el Robot ejecuta waitForIdle() después de un evento. • void keyPress(int keycode) Presiona una tecla.
API
• void keyRelease(int keycode) Libera una tecla. • void mouseMove(int x, int y) Mueve el puntero del ratón a las coordenadas indicadas. • void mousePress(int buttons) Presiona uno o más botones del ratón.
API
• void mouseRelease(int buttons) cuando se libera un botón del ratón.
Ocurre
• void mouseWheel(int wheelAmt) cuando gira la rueda del ratón.
Ocurre
• void setAutoDelay(int ms) Configura el tiempo de retardo que existe entre cada evento del Robot.
API
• void setAutowaitForIdle(boolean isOn) Configura el tiempo en que el Robot ejecuta un waitForIdle(). • java.lang.String toString() Convierte el Robot en una cadena de texto. • void waitForIdle() Espera a que todos los eventos de la cola de eventos hayan sido despacahdos.
Brute Force Attack
• Moodle Case
• http://antares.itmorelia.edu.mx/~jcolivar/mo • Exist many user created by machines (spam) • Solutions? • What happend with Eco Server Audit Case?
Budgets The most important coordination.
thing
is
budget
Budget is an important constraint tha auditor should considered in the assesment. For example a small ofice (PyME) doesn’t have enough money to buy a Hardware Firewall and the small company only implement a individual Firewall through Operating System.
Financial and material Resources.
• Those elements are important because we need it for working in auditing. • Material Resources used by an Auditor could be: Papers Formats (collection), PDA, Mobile Phone, Laptop or Notebook (paper). • Depending of the information assest the tools are variable for example a cable testing in Computer Network Audits.
ERP Case
• Reading the papers “RECREATION, INC. AN INFORMATION TECHNOLOGY RISK ASSESSMENT CASE STUDYOF ENTERPRISE RESOURCE PLANNING (ERP) SYSTEMS” and IT Audit Basics Auditing Security and Privacy in ERP Applications • In 3-Person Teams redacts a Wiki (paper format). The wiki must contain 5 good ideas and 5 bad ideas.
ERP Case
Rubric • Una rúbrica es un elemento que nos permite definir en forma tabular los requisitos que debe tener un producto en general y evaluarlos en base a un criterio determinado.
Ejemplo de RĂşbrica
Actividad
• Definir una rúbrica para evaluar galletas de chispas de chocolate, definir al menos 5 características, ubicar porcentajes a cada una. • Distribuir la rúbrica a sus demás compañeros para que puedan evaluar y sacar un promedio de las especificaciones. • Competencias a Desarrollar: Trabajo en Equipo, Análisis y Síntesis, Evaluación
Reporte de Auditoria
• El informe general debe contener el objetivo de la auditoria, los responsables encargados, lo que se evaluó (referencia a la norma si es muy grande el control o activo de información evaluado), el hallazgo encontrado y la evidencia sustantiva que sustente lo que se encontró de prefería anexando la evidencia física (documento, video u otro).
Referencias
• Senft, S. And Gallegos, F. (2008) Information Technology Control and Audit, Third Edition, CRC Press, United States • Hall, H, Information Auditing, School of Computing, Napier University, 2009. • Boiko, UW iSchool, Information Audits, ischool.washington.edu, 2009.
多Preguntas?