TODOS LOS FACTORES DE LA PIRAMIDE

INTERVIENEN EN LA COMPOSICION DE UNA

CONTRAMEDIDA
LA NORMATIVA
Debe definir de forma clara y precisa todo lo
que debe existir y ser cumplido , tanto desde el
punto de vista conceptual, como prctico, desde
lo general a lo particular.
Debe inspirarse en :
Polticas
Marco jurdico
Politicas y normas de la empresa
Experiencia
Prcticas profesionales

LA ORGANIZACION
La integran las personas con funciones
especificas y con actuaciones concretas,
procedimientos definidos metodolgicamente y
aprobados por la direccion de la empresa. Sin
el nada es posible.
Funciones
Procedimientos
Planes (seguridad, contingencia,
auditoras, etc.)
LAS METODOLOGIAS
Son necesarias para desarrollar
cualquier proyeto que nos propongamos
de manera ordenada y eficaz.
LOS OBJETIVOS DE
CONTROL
Son los objetivos a cumplir en el control de
procesos y solamente de un planteamiento
correcto de los mismos saldrn unos
procedimientos eficaces y realistas.
LOS PROCEDIMIENTOS DE
CONTROL
Son los procedimientos operativos de las
distintas reas de la empresa, obtenidos con
una metodologa apropiada, para la
consecucin de uno o varios objetivos de
control, y por lo tanto deden estar
documentados y aprobados por la Direccin.
TECNOLOGIA DE SEGURIDAD
Dentro de la tecnologa de seguridad estn los
elementos, ya sean hardware o software, que
ayudaran a controlar un riesgo informtico.
(cifradores, autentificadores, equipos
tolerantes al fallo etc.)
LAS HERRAMIENTAS DE
CONTROL
Son elementos software que permiten
definir uno o varios procedimientos de
control para cumplir una normativa y un
objeto de control.
Organizacin interna de la
Seguridad Informtica
Comit de Seguridad de la Informacin
Seguridad corporativa.
Control Interno.
Dpto. de Informtica.
Dpto. de Usuarios.
Direccin del Plan de Seguridad
Auditora Informtica
Plan Auditor
Dictamenes de Auditoria
Control Informtico
Responsable de Ficheros
Controles generales Informticos

METODOLOGIAS DE
EVALUACION DE SISTEMAS

DOS METODOLOGIAS A EVALUAR:
Auditora Informtica solo indentifica el
nivel de exposicin por falta de controles.
Analisis de Riesgos facilita la evaluacin
de los riesgos y recomienda acciones en
base al costo-beneficio de las mismas.
Definiciones para profundizar
en estas metodologas
Amenaza una persona o cosa vista como
posible fuente de peligro o catstrofe
(inundacin, incendio, robo de datos, sabotaje,
agujeros publicados, etc.)
Vulnerabilidad la situacin creada, por la falta
de uno o varios controles, con los que la
amenaza pudiera acaecer y as afectar al
entorno informtico (falta de control de acceso
logico, de versiones, inexistencia de un control
de soporte magntico, etc.).
Definiciones para profundizar
en estas metodologas
Riesgo la probabilidad de que una amenaza
llegue a acaecer por una vulnerabilidad (los
datos estadsticos de cada evento de una base
de datos de incidentes).
Exposicin o Impacto la evaluacin del efecto
del riesgo. (es frecuente evaluar el impacto en
trminos econmicos, aunque no siempre lo es,
como vidas humanas, imgenes de la empresa,
honor, etc.).
TIPOS DE METODOLOGIAS
Cuantitativas basadas en un modelo
matemtico numrico que ayuda a la
realizacin del trabajo.
Cualitativas basadas en un criterio y
raciocinio humano capaz de definir un
proceso de trabajo, para seleccionar en base
a experiencia acumulada.
METODOLOGIAS MAS
COMUNES
Las metodologas ms comunes de
evaluacin de sistemas que podemos
encontrar son de anlisis de riesgos y de
diagnsticos de seguridad, las de plan de
contingencias, y las de auditora de
controles generales.
PLAN DE CONTINGENCIAS
Una estrategia planificada constituida
por:
Recursos de respaldo
Organizacin de emergencia
Procedimientos de actuacin
restauracin progresiva y gil de los servicios
de negocio por una paralizacin total o parcial
de la capacidad operativa de la empresa.
FASES DE UN PLAN
Fase 1: Anlisis y diseo
Fase 2: Desarrollo del plan
Fase 3: Pruebas y mantenimiento

CONTROL INTERNO INFORMATICO. SUS MTODOS
Y PROCEDIMIENTOS. LAS HERRAMIENTAS DE
CONTROL.
La Funcin de Control

La tendencia generalizada es contemplar al lado de la figura del auditor informtico, la de control interno
informtico.
I.S.A.C.A. ( INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION )

La funcin de Control Informtico Independiente debera ser en primer lugar independiente del , la seguridad
de sistemas abarca un campo mucho mayor de lo que es la seguridad lgica, podramos decir que:
El rea Informtica monta los procesos informticos seguros.
El Control Interno monta los controles.
La Auditoria Informtica evala el grado de control.

Existen claras diferencias entre las funciones de control informtico y las de auditora informtica.


DIFERENCIAS ENTRE AUDITORIA Y
CONTROL INTERNO INFORMTICO

LA AUDITORA INFORMTICA

* Tiene la funcin de vigilancia y evaluacin mediante dictmenes y todas las metodologas van encaminadas a esta funcin.
- * Tiene sus propios objetivos distintos a los auditores de cuentas.
- * Los auditores de cuentas la necesitan para utilizar la informacin de sus sistemas para evaluaciones financieras y operativas.
* Evalan eficiencia, costo y seguridad en su ms amplia visin.
- * Operan segn el plan auditor.
- * Establecen planes con tiempos definidos y ciclos completos.
- * Sistemas de evaluacin de repeticin de auditora por nivel de exposicin del rea auditada y el resultado de la ltima
auditoria de esta rea.
* Funcin de soporte informtico de todos los auditores.
CONTROL INTERNO INFORMTICO

CONTROL INTERNO INFORMTICO

* Funciones de control dual con otros departamentos.
- * Funcin normativa y del cumplimiento del marco jurdico.
- * Tiene funciones propias ( Administracin de la Seguridad lgica , etc ...)
* Responsable del desarrollo y actualizacin del plan de contingencias, manuales de procedimientos y plan de seguridad.
- * Dictar normas de seguridad informtica.
- * Definir los procedimientos de control.
- * Control de soportes fsicos.
- * Control de informacin sensible o comprometida.
- * Control de calidad del servicio informtico.
- * Definicin de requerimientos de seguridad en proyectos nuevos.
Control de cambios y versiones.

El control informtico es el componente de la actuacin segura entre los usuarios, la informtica y control interno , todos ellos
auditados por auditora informtica.
CLASIFICACIN DE LA
INFORMACION
ENTIDAD DE INFORMACIN: Objetivo a proteger en el entorno informtico, y que la clasificacin de la
informacin nos ayudar a proteger especializando las contramedidas segn el nivel de confidencialidad o
importancia que tengan.

Est metodologa de del tipo cualitativo/subjetivo , y tiene listas de ayuda con el concepto abierto, esto es, que
el profesional puede aadir en la herramienta niveles o jerarquas, estndares y objetivos a cumplir por nivel y
ayudas de contramedidas.

Las jerarquas se clasifican de la siguiente manera:

- Altamente Confidencial.
- Confidencial
- Restringida
No sensible
METODOLOGA
LOS PASOS DE LA METODOLOGA SON LOS SIGUIENTES:

1. Identificacin de la informacin.
2. Inventario de entidades de informacin residentes y operativas ( Programas, Ficheros de Datos,
Estructuras
de Datos, Soportes de Informacin, etc...
3. Identificacin de Propietarios ( Los que necesitan para su trabajo, usan o custodian la informacin )
4. Definicin de jerarquas de Informacin. ( Antes mencionadas )
5. Definicin de la matriz de Clasificacin.
6. Confeccin de la matriz de Clasificacin.
7. Realizacin del plan de Acciones.
8. Implantacin y Mantenimiento.
METODOLOGA

Fase 1.- Definicin de Objetivos de Control. ( Tres Tareas )

Tarea 1. Anlisis de la Empresa.- Estudio de los procesos, organigramas y funciones

Tarea 2. Recopilacin de Estndares.- Todas las fuentes de informacin necesarias para conseguir definir los
objetivos de control a cumplir. ( ISO, ITSEC, CISA )

Tarea 3. Definicin de los Objetivos de Control.
METODOLOGA
METODOLOGA
Fase II.- Definicin de los Controles

Tarea 1. Definicin de los Controles.- Con los Objetivos de Control Definidos, analizamos los procesos y
vamos definiendo los distintos controles que se necesiten.

Tarea 2. Definicin de Necesidades Tecnolgicas ( HW y Herramientas de control )

Tarea 3. Definicin de los Procedimientos de Control.- Se desarrollan los distintos procedimientos que se
generan en las reas usuarias, informtica, control informtico y control no informtico.

Tarea 4.- Definicin de las Necesidades de Recursos Humanos
Fase III.- Implantacin de los Controles

Ya definidos los controles, las herramientas de control y los recursos humanos necesarios, no resta mas que implantarlos en
forma de acciones especficas.


Una vez terminada la implantacin habr que documentar los procedimientos nuevos y revisar los afectados de cambio. Los
procedimientos resultantes sern:


- Procedimientos propios de Control de la Actividad Informtica
- Procedimiento de distintas reas usuarias de la informtica, mejorados.
- Procedimientos de reas informticas, mejorados.
- Procedimientos de control dual entre control interno informtico y el rea informtica ,los usuarios informticos, y el
rea de control no informtico.
METODOLOGA
LAS HERRAMIENTAS DE CONTROL
Las herramientas de control son elementos SW que por sus caractersticas funcionales permiten vertebrar un
control de una manera ms actual y ms automatizada.

Las herramientas de control mas comunes son :

- Seguridad lgica del sistema.
- Seguridad lgica complementaria al sistema ( Desarrollado a medida )
- Seguridad lgica para entornos distribuidos.
- Control de acceso fsico. Control de Presencia.
- Control de copias
- Gestin de soportes magnticos.
- Control de proyectos.
- Control de versiones.
Control de cambios.
ANLISIS DE PLATAFORMAS
Consiste en inventariar las mltiples plataformas actuales y futuras ( Windows ,Unix, etc...) que mas
tarde nos servirn para saber que productos del mercado nos pueden ser vlidos, tanto los productos
actuales como los futuros planes que tengan los fabricantes.
CATALOGO DE REQUERIMIENTOS PREVIOS DE IMPLANTACIN
Esta herramienta inventara las limitaciones, as como lo necesario para la implantacin, inventariado
como acciones y proyectos, calendarizados, y su duracin para seguimiento y desarrollo.

ANLISIS DE APLICACIONES
Se trata de inventariar las necesidades de desarrollar INTERFASES con los distintos SW de seguridad
de las aplicaciones y bases de datos. Estos desarrollos deberan entrar como proyectos a desarrollar en
el plan. En este punto conviene ver si el producto / interfases soporta el tiempo real, o el proceso batch, o
sus posibilidades de registros de actividad.
INVENTARIO DE FUNCIONALIDADES Y PROPIETARIOS

Tratar de definir los controles que se deberan tener, ya sea de usuarios de las aplicaciones como de los
usuarios de los sistemas y el uso de las herramientas.

Es importante tomar en cuenta el punto de la situacin de la administracin de la seguridad lgica en los
distintos entornos y las caractersticas de las contraseas, as como la operativa tanto de los usuarios como de
los distintos sistemas como de las distintas administraciones de seguridad y el control de entrada y reportes.

Todo esto para hacer un anlisis de mejoras y prdidas o limitaciones en los nuevos escenarios con los
SW de control de los entornos distribuidos, segn convenga para elegir el mejor en costo/beneficio.
ADMINISTRACIN DE LA SEGURIDAD

Tenemos que considerar si los sistemas nos permiten realizar todas las actividades normales con los criterios
de seguridad fsica y lgica requerida por la organizacin.
Definir los perfiles y las comunicaciones con cada rea de la empresa para llevar un completo control sobre
los miembros de la organizacin.
SEGURIDAD
SEGURIDAD
SEGURIDADES:
Aqu se usa lo clsico en cada producto, que cada persona tenga su password con lmites de longitud
para el acceso a dicho producto.

ADQUISICION, INSTALACIN E IMPLANTACION, MANUALES DE PROCEDIMIENTOS DE
CONTROL.
Con todos los pasos anteriores, lo nico que queda por hacer es comprar el producto, instalarlo e
implantar su nuevo esquema de seguridad y desarrollar los procesos de control.
TIPOS DE CONTROLES
TIPOS DE CONTROLES PARA UNA METODOLOGIA DE AUDITORIA EN UNA APLICACIN:

Antes que nada se debe programar una revisin y estos son los pasos para elaborarla:
1) Identificar el rea a revisar
2) Identificar las informaciones necesarias para la auditoria y para las pruebas
3) Obtener informacin sobre el sistema, aqu se definen los objetivos y el alcance de la auditoria
4) Obtener un conocimiento detallado de la aplicacin del sistema
5) Identificar los puntos de control crticos en el sistema
6) Diseo y elaboracin de los procedimientos de la auditoria
Ejecucin de pruebas en los puntos crticos de control.
TIPOS DE CONTROLES
CONTROLES DE PREPARACION DE DATOS:

Aqu se revisan los procedimientos escritos para iniciar, autorizar, recoger, preparar y aprobar los
datos de entrada en la forma de un manual de usuario, as como revisar los documentos fuente.
Comprobar la existencia y seguimiento de calendarios de entrada de datos y de distribucin de
informes.
Revisar los procedimientos de correccin de errores.
TIPOS DE CONTROLES
CONTROLES DE ENTRADA DE DATOS:
Establecer los procedimientos de entrada y control de datos que explican las revisiones necesarias
de entradas y salidas, con fecha lmite.
Verificar el uso de mtodos preventivos para evitar la entrada incorrecta de datos funciones de
ayuda a la pantalla
Determinar que los datos se verifican en el momento de su entrada al sistema
Revisar los procedimientos de correccin de errores.
TIPOS DE CONTROLES
CONTROLES DE ENTRADA DE DATOS:
Establecer los procedimientos de entrada y control de datos que explican las revisiones necesarias
de entradas y salidas, con fecha lmite.
Verificar el uso de mtodos preventivos para evitar la entrada incorrecta de datos funciones de
ayuda a la pantalla
Determinar que los datos se verifican en el momento de su entrada al sistema
Revisar los procedimientos de correccin de errores.
CONTROLES DE TRATAMIENTO Y
ACTUALIZACION DE DATOS:
CONTROLES DE SALIDA DE DATOS:
v Ver si hay establecidos controles internos automatizados de proceso de validacin.
v Restriccion de la posibilidad de pasar por encima de procesos de validacin
v Aceptacin por los usuarios finales de todas las transacciones y clculos de la aplicacin
Ver los controles sobre la entrada de datos.
CONTROLES DE TRATAMIENTO Y
ACTUALIZACION DE DATOS:
CONTROLES DE DOCUMENTACION:
Comprobar que los jefes de rea se informen de faltas de documentacin adecuada para sus
empleados.
Destruccin de toda la documentacin de antiguos sistemas.
La existencia de documentacin de sistemas, programas, de operacin y de usuario para cada aplicacin
ya implantada.
CONTROLES DE TRATAMIENTO Y
ACTUALIZACION DE DATOS:
CONTROLES DE BACKUP Y REARRANQUE
Existencia de un plan de contingencia
Identificacin de aplicaciones y ficheros de datos crticos para el plan de contingencia
Revisar los contratos del plan de contingencia y backup para determinar su adecuacin y actualizacin.
Existencia de procesos manuales para sistemas crticos en el caso de fallo de contingencia
Actualizacin del plan de contingencia cuando es necesario; pruebas anuales.
CONTROLES DE TRATAMIENTO Y
ACTUALIZACION DE DATOS:
CONTROLES SOBRE PROGRAMAS DE AUDITORIA:
Uso de SW de auditoria nicamente por personas autorizadas.
Participacin del auditor en la adquisicin o modificacin de paquetes de SW de auditora.
Revisin de tablas de contraseas para asegurar que no se guardan identificaciones y contraseas de
personas que han causado baja.
CONTROLES DE TRATAMIENTO Y
ACTUALIZACION DE DATOS:
CONTROLES DE LA SATISFACCION DE LOS USUARIOS:
oDisponibilidad de polticas y procedimientos sobre el acceso y uso de la informacin.
oResultados fiables, completos, puntuales y exactos de las aplicaciones.
oSatisfaccin de los usuarios con la informacin que produce la aplicacin.
Se elaboran las conclusiones basadas sobre la evidencia; lo que deber ser suficiente, relevante, fiable,
disponible, comprobable y til.
CONTROLES DE TRATAMIENTO Y
ACTUALIZACION DE DATOS:
INFORME PREVIO:
Para mantener una buena relacin con el rea auditada se emite un informe de los principales
puntos de la revisin, esto a a los responsables del rea revisada la posibilidad de contribuir en la
elaboracin del informe final.
INFORME FINAL DE LA REVISION:
Se emite el informe final despus de una reunin con los responsables del rea implicados en la
revisin, y el contenido del informe deber describir los puntos de control interno de la siguiente
manera:
a) Opinin global (conclusiones)
b) Problemas especficos
c) Explicacin de la violacin de cuantos controles internos, planes organizacionales, estndares y
normas.
Descripcin de los riesgos, exposicin o prdidas que resultaran de las violaciones.