Dominio 1 El Proceso de Auditoria de Sistemas
Download
Report
Transcript Dominio 1 El Proceso de Auditoria de Sistemas
Aspectos importantes en
la seguridad y riesgo de la
información digitalizada
en los Sistemas
Informáticos
Gerardo Alejandro Santéliz García
Auditor de Sistemas
Términos importantes
Dato
El dato es una representación simbólica (numérica, alfabética,
algorítmica, entre otros) de un atributo o característica de una
entidad. Los datos describen hechos empíricos, sucesos y
entidades.
» 796,807
Los datos aisladamente pueden no contener información
humanamente relevante. Sólo cuando un conjunto de datos se
examina conjuntamente a la luz de un enfoque, hipótesis o
teoría se puede apreciar la información contenida en dichos
datos.
Definición
En programación, un dato es la expresión general que describe las
características de las entidades sobre las cuales opera un algoritmo.
En Estructura de datos, es la parte mínima de la información.
Un dato por sí mismo no constituye información, es el
procesamiento de los datos lo que nos proporciona
información.
Términos importantes
Información
En sentido general, la información es un conjunto organizado de
datos procesados, que constituyen un mensaje que cambia el
estado de conocimiento del sujeto o sistema que recibe dicho
mensaje.
Para Gilles Deleuze, la información es un sistema de control, en
tanto que es la propagación de consignas que deberíamos de creer
o hacer que creemos. En tal sentido la información es un
conjunto organizado de datos capaz de cambiar el estado de
conocimiento en el sentido de las consignas trasmitidas.
Definición
Desde el punto de vista de la ciencia de la computación, la información
es un conocimiento explícito extraído por seres vivos o sistemas
expertos como resultado de interacción con el entorno o percepciones
sensibles del mismo entorno. En principio la información, a diferencia de
los datos o las percepciones sensibles, tienen estructura útil que
modificará las sucesivas interacciones del ente que posee dicha
información con su entorno.
Sistemas de Información
Entrada
De
Datos
Interface
automátic
a de
entrada
Proceso
Almacén
Reportes e
Informes
Interface
automátic
a de
entrada
Sistemas de Información
1) Automatización de procesos operativos.
2) Proporcionar información que sirva de apoyo al proceso de toma
de decisiones
3) Lograr ventajas competitivas a través de su implantación y uso.
Sistemas de Información
1) Automatización de procesos operativos.
Sistemas Transaccionales. Sus principales características son:
i.
ii.
iii.
iv.
v.
A través de éstos suelen lograrse ahorros significativos de
mano de obra, debido a que automatizan tareas operativas
de la organización.
Con frecuencia son el primer tipo de Sistemas de
Información que se implanta en las organizaciones. Se
empieza apoyando las tareas a nivel operativo de la
organización.
Son intensivos en entrada y salida de información; sus
cálculos y procesos suelen ser simples y poco sofisticados.
Tienen la propiedad de ser recolectores de información, es
decir, a través de estos sistemas se cargan las grandes
bases de información para su explotación posterior.
Son fáciles de justificar ante la dirección general, ya que
sus beneficios son visibles y palpables.
área de ventas, finanzas, marketing, administración y recursos humanos
Sistemas de Información
1)
Automatización de procesos operativos.
2) Proporcionar información que sirva de apoyo al proceso de toma
de decisiones
Sistemas de Apoyo de las Decisiones. Suelen introducirse después de haber
implantado los Sistemas Transaccionales más relevantes de la empresa, ya que estos
últimos constituyen su plataforma de información.
i.
La información que generan sirve de apoyo a los mandos intermedios y a la
alta administración en el proceso de toma de decisiones.
ii.
Suelen ser intensivos en cálculos y escasos en entradas y salidas de
información. Así, por ejemplo, un modelo de planeación financiera requiere
poca información de entrada, genera poca información como resultado, pero
puede realizar muchos cálculos durante su proceso.
iii. No suelen ahorrar mano de obra. Debido a ello, la justificación económica
para el desarrollo de estos sistemas es difícil, ya que no se conocen los
ingresos del proyecto de inversión.
iv. Suelen ser con altos estándares de diseño gráfico y visual, ya que están
dirigidos al usuario final.
v.
Apoyan la toma de decisiones, por ejemplo, un Sistema de Compra de
Materiales que indique cuándo debe hacerse un pedido al proveedor.
programación de la producción, compra de materiales, flujo de fondos, proyecciones
financieras, modelos de simulación de negocios, modelos de inventarios, etcétera
Sistemas de Información
1)
2)
Automatización de procesos operativos.
Proporcionar información que sirva de apoyo al proceso de toma de decisiones
3) Lograr ventajas competitivas a través de su implantación y uso.
Sistemas Estratégicos. Sus principales características son:
i.
Su función primordial no es apoyar la automatización de procesos operativos ni
proporcionar información para apoyar la toma de decisiones.
ii.
Suelen desarrollarse in house, es decir, dentro de la organización, por lo tanto no
pueden adaptarse fácilmente a paquetes disponibles en el mercado.
iii. Típicamente su forma de desarrollo es a base de incrementos y a través de su
evolución dentro de la organización. Se inicia con un proceso o función en particular y
a partir de ahí se van agregando nuevas funciones o procesos.
iv. Su función es lograr ventajas que los competidores no posean, tales como ventajas en
costos y servicios diferenciados con clientes y proveedores.
i.
En este contexto, los Sistema Estratégicos son creadores de barreras de entrada
al negocio. Por ejemplo, el uso de cajeros automáticos en los bancos en un
Sistema Estratégico, ya que brinda ventaja sobre un banco que no posee tal
servicio. Si un banco nuevo decide abrir sus puerta al público, tendrá que dar
este servicio para tener un nivel similar al de sus competidores.
v. Apoyan el proceso de innovación de productos y proceso dentro de la empresa.
Amenazas a que estamos
expuestos
Las empresas tienen dos tipos de entornos: el interno y el externo.
A.
Los entornos internos están controlados por la compañía y pueden incluir elementos como
la estructura de la organización y la fuerza de trabajo.
B.
Los entornos externos, sin embargo, existen fuera de la compañía y no están bajo su
control. Como tal, las compañías pueden ser vulnerables a muchas amenazas que los
entornos externos pueden imponer.
Amenazas a que estamos
expuestos
Económicas
Competidores
Medio Ambiente
Político
Nueva Tecnología
spam, malware, virus, adware, troyanos, keyloggers, spywares, sniffing,
phishing, robo de identidad, robo de información, alteración de información
Amenazas a que estamos
expuestos
¿Por qué debería la empresa temer las amenazas internas?
i.
El 30-40% del tiempo que se gasta en internet en el trabajo no está relacionado con
éste
ii.
El 25.5% de los empleados considera que las horas de trabajo son el mejor momento
para el manejo online de sus asuntos personales; el 75% de ellos no siente
remordimiento alguno por ello.
iii. El 57% de los empleados que tiene una cuenta en una red social pasa tiempo de
trabajo en ellas
iv. Estos empleados pasan un promedio de 40 minutos al día en redes sociales, lo que
representa alrededor de una semana de pérdida de tiempo al año.
v.
El 23% de los empleados de las empresas británicas se marcha con datos personales
de los clientes cuando sale del trabajo
vi. La misma investigación indica que alrededor del 17% de los empleados se marcha con
información y planos del producto manufacturado
Estos datos proceden de las estadísticas de Morse, Internacional Data Corp. And Harris Interactive
Amenazas a que estamos
expuestos
Julian Assange
Wikileaks y otros
El caso más famoso de fuga de datos es el asunto de la página web de Wikileaks, donde se
publicaron despachos diplomáticos de varios países del mundo. Parte de estos despachos
procedían del ejército de EEUU, sacados por el cabo Manning, quien enmascaraba los CD
haciéndolos pasar por música de Lady Gaga. El proyecto Wikileaks incluso ha anunciado que
también se centrará en el sector privado. Dos ex empleados de la rama británica de T-Mobile han
robado un registro de millones de clientes. El ICO británico, que es el encargado de velar por la
seguridad de los datos, les ha impuesto una multa de 73.000 libras esterlinas. La compañía TMobile por su parte no impuso ninguna sanción pues según la empresa había desarrollado
previamente
suficientes mecanismos de
corrección y minimizaron
la pérdida.
Que incluso una señora de la limpieza pueda ser una amenaza para la seguridad de los datos,
tal y como ocurrió en el hospital Motod de Praga hace dos años, debería servir de alerta. En vez
de limpiar, la mujer y su cómplice cogieron tres ordenadores que contenían datos personales de
los pacientes y de sus procedimientos quirúrgicos.
Estos datos proceden de las estadísticas de Morse, Internacional Data Corp. And Harris Interactive
Acciones a implantar
Detección de fraudes
La gerencia es el principal responsable de establecer, implementar y mantener un marco y un diseño de
controles para alcanzar los objetivos de control interno. estar alertas a las posibles oportunidades que
permiten que se materialice un fraude.
El uso de tecnología de la información para el negocio ha beneficiado inmensamente a las empresas en
términos de una calidad de entrega de información significativamente mayor. Sin embargo, el uso extendido
de la tecnología de información y de Internet adolece de riesgos que permiten que se perpetren errores y
fraudes.
– Riesgo inherente.
– Riesgo de control.
– Riesgo de detección.
– Riesgo de auditoría general.
Las posibles opciones para tratamiento del riesgo incluyen:
– Aplicar los controles apropiados para reducir los riesgos.
– Aceptar los riesgos a sabiendas y objetivamente, a condición que los mismos satisfagan
claramente la política y los criterios de la organización para aceptación de riesgos.
– Evitar riesgos al no permitir acciones que causarían que ocurrieran los riesgos.
– Transferir los riesgos asociados a otras partes.
Acciones a implantar
Las siguientes son técnicas para la recopilación de evidencia:
•
•
•
•
•
•
•
•
Revisión de las estructuras organizacionales de SI.
Revisión de políticas y procedimientos de SI.
Revisión de los estándares de SI.
Revisión de la documentación de SI.
Entrevistas al personal apropiado.
Observación de procesos y desempeño de empleados.
Repetición de ejecución.
Inspección y verificación.
Regulaciones Internacionales
ISO/IEC 27000 Series
Este Grupo de estándares son conocidos como la serie ISO/IEC 27000, siendo las mejores prácticas de la industria para la administración de controles de
seguridad de manera transversal en organizaciones de todo el mundo.
ISO/IEC 27000: Overview and vocabulary
ISO/IEC 27001: ISMS requeriments
ISO/IEC 27002: Code of practice for information security management
ISO/IEC 27003: Guideline for ISMS implementation
ISO/IEC 27004: Guideline for information security management measurement and metrics framework
ISO/IEC 27005: Guideline for information security risk management
ISO/IEC 27006: Guideline for bodies providing audit and certification of ISMS.
ISO/IEC 27011: Information security management guidelines for telecomunications organizations
ISO/IEC 27031: Guideline for information and communications technology readiness for business continuity
ISO/IEC 27033-1: Guideline for network security
ISO 27799: Guide for information security management in health organizations
The following ISO/IEC standards are in develpment:
ISO/IEC 27007: Guideline for information security management systyems auditing
ISO/IEC 27013: Guideline on the integrated implementation of ISO/IEC 20000-1 and ISO/IEC 27001
ISO/IEC 27014: Guideline for information security governance
ISO/IEC 27015: Information security management guidelines for the finance and insurance setors.
ISO/IEC 27032: Guideline for cybersecurity
ISO/IEC 27033: Guideline for IT network security, a multipart standard based on ISO/IEC 18028:2006
ISO/IEC 27034: Guideline for application security
ISO/IEC 27035: Guideline for security incident management
ISO/IEC 27036: Guideline for security of outsourcing
ISO/IEC 27037: Guideline for identification, collection, and/or acquisition and preservation of digital evidence.
Preguntas y
Respuestas
Muchas Gracias
Gerardo Alejandro Santéliz García
[email protected]