Transcript Control de acceso mediante biometría.
AUDITORIA TECNOLOGIAS DE INFORMACION Seguridad y Auditoria de Sistemas Ciclo 2009-1
Ing. Yolfer Hernández, CIA
Temario – Auditoria TI
• Auditoria de Sistemas de Información: Objetivos, roles y retos del auditor TI.
• Áreas Específicas de Auditoria: Aplicaciones Desarrollo de Proyectos Explotación Sistemas Comunicaciones / Redes Seguridad Continuidad de Negocios.
• Ejemplos de Programas de trabajo y Pruebas de auditoria.
• Estándares internacionales principales
Auditoría TI
“Proceso de recolección y evaluación de evidencias para determinar si un sistema computacional resguarda los recursos, mantiene la integridad de los datos, permite el logro de los objetivos de la organización y emplea eficientemente estos recursos”.
(Weber)
Auditoría
Auditoría tradicional Gerencia de sistemas Auditoría de sistemas Ciencias de la Computación Ciencia del comportamiento Ingeniero de sistemas
Impacto de la auditoría TI
Auditoría de SI Mejorar la integridad de datos Organizaciones Mejorar la salvaguarda de los activos Mejorar la eficiencia del sistema Mejorar la efectividad del sistema
Retos del auditor
• Comprensión
negocio.
del modelo del
• Comprensión del papel de las TIC. • Conocimiento sobre cómo actúan las
TIC sobre el proceso del negocio.
• Conocimientos de tecnologías de
información.
• Conocimiento del impacto de sus
recomendaciones
Roles y funciones del Auditor TI
Evaluar el significado de control dentro de un sistema y ajustar las pruebas necesarias.
Revisión de centros de procesamientos de datos.
Revisión de plataformas, sistemas operativos, sistemas en producción, redes, etc.
Participar en el Ciclo de Vida de Desarrollo del Sistema.
Preparar y ejecutar Computer Assisted Audit Techniques (CAATs).
Participar en auditorías integradas.
Auditoría TI
Areas Específicas de Auditoria
Desarrollo de Proyectos
Aplicaciones
Explotación
Infraestructura de Sistemas
Seguridad
Continuidad operativa
Desarrollo de Proyectos
El Auditor puede participar
•
Como “miembro” del equipo de desarrollo para identificar fallas o debilidades en etapas tempranas .
•
En revisiones de postimplementación
•
En revisiones de los procesos en sí.
Desarrollo de Proyectos
Requerimientos del usuario.
Análisis Funcional.
Diseño.
Análisis y Diseño Técnico.
Desarrollo (Programación).
Entregables Normas Estándares
Pruebas.
Implementación ( Entrega a explotación ) .
Auditoria de Aplicaciones
Verificar y/o asegurar:
Adecuado servicio a requerimientos del Negocio Nivel de documentación de sistemas y programas.
Pruebas, aprobaciones, y documentación de los cambios a programas y procesos.
Entender el flujo de transacciones y la estructura básica de control, incluyendo los aspectos de procesos manuales, automatizados e interfaces Controles de Acceso a librerías de programas, documentación, y archivos.
Segregación de funciones y responsabilidades dentro de la función de TI y todas las áreas con las que interactúan.
Auditoria de Aplicaciones
Revisión de Diseño
Especificaciones funcionales: Requerimientos de transacciones, cálculos, flujos de control, etc.
Diseño Funcional Diseño de Interfaces con usuarios (E/S) Diseño de Procesos Diseño de Bases de Datos
Auditoria de Aplicaciones
Desarrollo de pruebas
Estrategias de pruebas Diseño de datos de pruebas Caja Negra: Pruebas de especificaciones funcionales Caja Blanca: Cobertura completa, a nivel de Instrucciones, Rutas de lógica Valores Límite: con datos para probar la ejecución de límites mayores, menores e iguales a lo indicado en el programa.
Pruebas de esfuerzo operativo y técnico.
Auditoría de Explotación
Control de entrada de datos.
Gestión de Cambios (Planificación y recepción de aplicaciones).
Centro de control y monitoreo de eventos Centro de atención de Usuarios y resolución de problemas Planificacion de procesos Control de resultados.
Auditoría de Infraestructura de sistemas
Software de comunicaciones.
Sistemas Operativos.
Software básico y herramientas.
Administración de Bases de Datos.
Auditoría de Comunicaciones
Diseño de la infraestructura de las redes Monitoreo de tráfico y disponibilidad de las redes -> alertas Servicios de transporte y balanceo de tráfico Pruebas de los enlaces de contingencia Inventario de equipos de comunicaciones y servidores de infraestructura y aplicativos Pruebas de vulnerabilidad de la segmentación de redes Proveedores: disponibilidad para escalamiento, upgrades, mantenimiento, costos, etc Detección, registro y resolución de problemas Participación en el diseño de aplicaciones online.
Pruebas de acceso a redes y/o servidores según perfiles
Auditoría de Seguridad
Seguridad Física
Seguridad Lógica
Seguridad Operativa / Funcional.
Seguridad Técnica.
Auditoría de Seguridad
Evaluación de arquitectura
Revisar la metodología para la evaluación de riesgos y compararla con las mejores prácticas para determinar las brechas.
Compruebe que la arquitectura de seguridad reconoce los riesgos e implementa mitigadores, procesos y procedimientos que proveen controles apropiados.
Auditoría de Seguridad
Evaluación de arquitectura
La arquitectura de seguridad de la empresa separa la información en zonas de redes lógicas para proteger los datos y para aislar a los usuarios.
La arquitectura debe proveer servicios de autenticación, autorización, auditoría, detección de intrusos y diseñada utilizando las mejores prácticas y análisis de los riesgos del negocio.
Auditoría de Seguridad
Evaluación del plan de seguridad
Basado en las mejores prácticas recomendadas en las 11 secciones de la ISO 17799 Planes de Seguridad: proceso de publicación, documentación, revisión y mantenimiento.
Los planes deben ser conocidos y aprobados por el dueño del negocio y que están de acuerdo en los riesgos y controles Identificación de los activos de información significativos, que tengan la evaluación de riesgos y controles que lo mitigan Verificar el nivel de concientización por el personal y la responsabilidad de los controles de seguridad Verificar el cumplimiento de las políticas y de la normativa relacionada.
Verificar el cumplimiento y valoración de los controles
Auditoría de Seguridad
Evaluacion de un sistema PKI
Revisar el certificado de autoridad y los controles y políticas que la organización mantiene. Probar los sistemas de distribución y administración de certificados para certificar que son procesos claros y bien administrados.
Auditoría de Seguridad
Evaluacion de acceso biométrico
Explore la existencia de planes de contingencia en caso el control falle. Evalúe el proceso de registración, porque en este punto se establece la identidad.
Revise oportunidades existentes para evitar estos controles y la aceptación de los empleados.
Auditoría de Continuidad de Negocios
Existencia de un Plan de Continuidad de Negocios:
Servicios críticos
Organización y Procedimientos Pruebas de los Planes de Contingencia:
Sistema de recuperacion Infraestructura alternativa Atención de servicios Retorno a la Normalidad
Auditoría Informática Ejemplos de Programas de Trabajo
Aplicaciones Controles Generales
Estándares de Auditoría
En el mundo, han evolucionado las siguientes organizaciones profesionales: American Institute of Certified Public Accountants (AICPA) Canadian Institute of Chartered Accountants (CICA) Institute of Internal Auditors (IIA) Information Systems Audit and Control Association (ISACA) U.S. General Accounting Office.
Estándares de Auditoría
Informe COSO - ( Committee of Sponsoring Organizations ), de la Comisión de Estudios de Controles Internos -> Para la Gerencia
SAC - ( Systems Auditability and Control ), de la Fundación de Investigación del IIA -> Para los Auditores Internos.
SAS 55 y SAS 78 - Consideraciones de la estructura de Controles Internos en los Informes de los Estados Financieros, del Instituto Americano de Contadores Públicos (AICPA) -> Auditores Externos
COBIT ( Control Objectives for Information and related Technology ), de la Fundación de Auditoría y Control de Sistemas de Información ->Auditores de TI.
Programas de certificación
CISA: Certified Information System Auditor.
CISM: Certified Information Security Manager.
ESI: European Software Institute.
CIA: Certified Internal Auditor.