Auditoria de Sistemas Operativos

Page 1

PROGRAMAS Y SEGURIDAD DE SISTEMAS OPERATIVOS

Contenido • Conceptos Básicos de Auditoría Informática • Justificación • Objetivos y Programa • Normas

Primero: ¿Qué es la auditoría? Es la revisión independiente que realiza un auditor profesional, aplicando técnicas, métodos y procedimientos especializados, a fin de evaluar el cumplimiento de funciones, actividades, tareas y procedimientos de una organización, así como dictaminar sobre el resultado de dicha evaluación.

Justificación

Aumento de la vulnerabilidad

Automatización de los procesos y prestación de servicios

Beneficios para alcanzar los objetivos

Recursos TIC´s Aumento de la productividad

Información como recurso estratégico

Magnitud de los costos e inversiones TIC

“La productividad de cualquier organización depende del funcionamiento ininterrumpido de los sistemas TIC, transformando a todo el entorno en un proceso crítico adicional”

Evidencias 1

El crecimiento del acceso a Internet y de usuarios conectados incrementa la posibilidad de concreción de amenazas informáticas.

2

Crecimiento de la información disponible de empresas y sus empleados en redes sociales Ingeniería Social.

3

Mensajes de e-mail que contienen attachments que explotan vulnerabilidades en las aplicaciones instaladas por los usuarios.

4

Robo de credenciales o captura ilegal de datos.

5

Acceso a redes empresariales a través de códigos maliciosos diseñados para obtener información sensitiva.

6

En el 2009 los sectores financiero, proveedores de servicios TIC, comercios, seguros, comunidad de Internet, empresas de telecomunicaciones y el gobierno han sido los más vulnerables ante las amenazas informáticas.

7

En el 2009 Symantec identificó 240 millones de programas maliciosos, un aumento del 100% con respecto al 2008.

Se requiere contar con una efectiva administración de los RIESGOS asociados con las TIC

Rol Básico de la Función de Auditoría Informática

Supervisión de los CONTROLES IMPLEMENTADOS y determinación de su eficiencia

Factores que propician la Auditoría Informática  Leyes gubernamentales.  Políticas internas de la empresa.  Necesidad de controlar el uso de equipos computacionales.  Altos costos debido a errores.  Pérdida de información y de capacidades de procesamiento de datos, aumentando así la posibilidad de toma de decisiones incorrectas.  Valor del hardware, software y personal.  Necesidad de mantener la privacidad y confidencialidad de las transacciones de la organización.

Objetivos generales de la Auditoría en Informática • Asegurar la integridad, confidencialidad y confiabilidad de la información. • Minimizar existencias de riesgos en el uso de Tecnología de información • Conocer la situación actual del área informática para lograr los objetivos. • Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático, así como también seguridad del personal, los datos, el hardware, el software y las instalaciones.

Riesgo Informático La Organización Internacional de Normalización (ISO) define riesgo tecnológico (Guías para la Gestión de la Seguridad) como: La probabilidad de que una amenaza se materialice de acuerdo al nivel de vulnerabilidad existente de un activo, generando un impacto específico, el cual puede estar representado por pérdidas y daños.

Amenaza Acciones que pueden ocasionar consecuencias negativas en la plataforma informática disponible: fallas, ingresos no autorizados a las áreas de computo, virus, uso inadecuado de activos informáticos, desastres ambientales (terremotos, inundaciones), incendios, accesos ilegales a los sistemas, fallas eléctricas.

Pueden ser de tipo lógico o físico.

Vulnerabilidad Condiciones inherentes a los activos o presentes en su entorno que facilitan que las amenazas se materialicen. Se manifiestan como debilidades o carencias: falta de conocimiento del usuario, tecnolog铆a inadecuada, fallas en la transmisi贸n, inexistencia de antivirus, entre otros.

Impacto Consecuencias de la ocurrencia de las distintas amenazas: financieras o no financieras. Perdida de dinero, deterioro de la imagen de la empresa, reducci贸n de eficiencia, fallas operativas a corto o largo plazo, p茅rdida de vidas humanas, etc.

Administración de Riesgos Luego de efectuar el análisis de riesgo-impacto, el ciclo de administración de riesgo finaliza con la determinación de las acciones a seguir respecto: •Controlar el riesgo fortaleciendo los controles existentes o agregar nuevos controles. •Eliminar el riesgo. •Compartir el riesgo mediante acuerdos contractuales traspasando el riesgo a un tercero (Ejemplo: seguro, outsourcing de informática). •Aceptar el riesgo, determinando el nivel de exposición.

Y...¿Qué es el control interno? Es un proceso, mediante el cual la administración, los directivos y/o la alta gerencia le proporcionan a sus actividades, un grado razonable de confianza, que le garantice la consecución de sus objetivos, tomando en cuenta: la eficacia y eficiencia de las operaciones, fiabilidad de la información financiera y cumplimiento de las leyes y normas aplicables, con la finalidad de dotar a la organización medidas preventivas, detección y corrección de errores, fallos y fraudes o sabotajes

Normas de Auditoría Informática disponibles • COSO (Committee of Sponsoring Organizations of the Treadway Commission, EEUU 1992). • ITIL (Information Technology Infrastructure Library, Inglaterra 1990). • ISO/IEC 17799:2000 (International Organization for Standardization/International Electrotechnical Commission, Inglaterra 2000). • COBIT (Control Objectives for Information and Related Technology IT, EEUU 1998).

Marco de Trabajo de Control COBIT Para que la TI tenga éxito en satisfacer los requerimientos del negocio, la dirección debe implantar un sistema de control interno o un marco de trabajo. El marco de trabajo de control COBIT contribuye a estas necesidades de la siguiente manera: • Estableciendo un vínculo con los requerimientos del negocio. • Organizando las actividades de TI en un modelo de procesos generalmente aceptado. • Identificando los principales recursos de TI utilizados. • Definiendo los objetivos de control gerencial a ser considerados.

Las mejores prácticas de TI se han vuelto significativas debido a un número de factores: • Directores de negocio y consejos directivos que demandan un mayor retorno de la inversión en TI. • Preocupación por el creciente nivel de gasto en TI. • La necesidad de satisfacer requerimientos regulatorios para controles de TI en áreas como privacidad y reportes financieros y en sectores específicos como el financiero, farmacéutico y de atención a la salud.

Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados. PLANEAR Y ORGANIZAR Cubre los siguientes cuestionamientos típicos de la gerencia: ¿Están alineadas las estrategias de TI y del negocio? ¿La empresa está alcanzando un uso óptimo de sus recursos? ¿Entienden todas las personas dentro de la organización los objetivos de TI? ¿Se entienden y administran los riesgos de TI? ¿Es apropiada la calidad de los sistemas de TI para las necesidades del negocio?

Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados. MONITOREAR Y EVALUAR Abarca las siguientes preguntas de la gerencia: •¿Se mide el desempeño de TI para detectar los problemas antes de que sea demasiado tarde? •¿La Gerencia garantiza que los controles internos son efectivos y eficientes? •¿Puede vincularse el desempeño de lo que TI ha realizado con las metas del negocio? •¿Se miden y reportan los riesgos, el control, el cumplimiento y el desempeño?

Ejemplo: Supongamos la siguiente situación… Procedimient os de Selección del Software

Establecimiento inadecuado de los requerimientos funcionales

Se detectan fallas en la puesta en marcha del sistema automatizado

Debido a las fallas los usuarios se resisten a utilizar el sistema

Evaluación del cumplimiento de los objetivos de control basados en la Norma COBIT ¿DOMINIO?

Objetivos de Control

(PO) Planear y Organizar

(AI1) Identificar soluciones automatizadas

(ME) Monitorear y Evaluar

(AI2) Adquirir y mantener software

(ES) Entregar y dar soporte

(AI3) Adquirir y mantener infraestructura TIC

(AI) Adquirir e Implementar

(AI4) Facilitar operación y uso

Norma COBIT COBIT es la fusión entre prácticas de informática (ITIL, ISO/IEC 17799) y prácticas de control (COSO), las cuales plantean tres tipos de requerimientos de negocio para la información: •De calidad (calidad, costo y entrega de servicio). •Fiduciarios (efectividad y eficiencia de operaciones, confiabilidad de la información y cumplimiento de las leyes y regulaciones). •De Seguridad (confidencialidad, integridad y disponibilidad).

Terminología COBIT Efectividad: Se refiere a que la información relevante sea pertinente para el proceso del negocio, así como la entrega oportuna sea correcta, consistente y de manera utilizable ante terceros, para poder cumplir con parte del requerimiento fiduciario. Eficiencia: Siguiendo los requerimientos del negocio de la información, en cuanto a calidadcosto, la eficiencia viene dada a través de la utilización óptima (más productiva y económica) de recursos.

Terminología COBIT Confidencialidad: Se refiere a la protección de información sensible contra divulgación no autorizada. Cumple con el principio de calidad. Integridad: Para el requerimiento de seguridad, la integridad es la precisión y suficiencia de la información, así como a su validez de acuerdo con los valores y expectativas del negocio. Disponibilidad: Se trata de la oportunidad de entrega de la información cuando ésta sea requerida por el proceso de negocio ahora y en el futuro. También se refiere a la salvaguarda de los recursos necesarios y capacidades asociadas.

Terminología COBIT Cumplimiento: Se refiere al cumplimiento de aquellas leyes, regulaciones y acuerdos contractuales a los que el proceso de negocios está sujeto, por ejemplo, criterios de negocio impuestos externamente. Confiabilidad de la información: Es la provisión de información apropiada para la administración con el fin de operar la entidad y para ejercer sus responsabilidades de reportes financieros y de cumplimiento.

Bibliografía Referencial •AUDITORIA DE SISTEMAS DE BARCELONA CONSULTORES (2004). Auditoria de Sistemas. Home page URL: http://www.auditoriasistemas.com (Consulta: Noviembre 2006). •ECHENIQUE GARCÍA, JOSÉ (2001). Auditoría en Informática. 2da Edición. McGraw Hill. México. •INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION (1998). COBIT, marco referencial, objetivos de control para la información y tecnología afines. 2da Edición. •MUÑOZ RAZO, CARLOS. 2002. Auditoría Computacionales. Pearson-Prentice Hall. México.

en

Sistemas

•RODRÍGUEZ R., FERNANDO (2006). Auditoría Informática en la Administración: un reto para los profesionales TIC. Tecnimap. Comunicación No. 043. España. •PIATTINI, MARIO Y EMILIO DEL PESO (1998). Auditoría en Informática. Un enfoque práctico. Editorial RAMA. España. •RUIZ GONZÁLEZ, FRANCISCO (1999). Planificación y Gestión de Sistemas de Información. 2da. Edición. COBIT-Universidad de Castilla. España. •SYMANTEC ENTERPRISE SECURITY (2010). Symantec Internet Security Threat Report. Trends for 2009. Vol XV. USA. Fuente: www.symantec.com •VEGA, JAIME (2003). Auditoría de sistemas. Sección 9. Capítulo 53. Enciclopedia de Auditoría. Editorial Océano Centrum. España.

Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.