CAPITULO N 03

METODOLOGAS DE CONTROL INTERNO, SEGURIDAD Y AUDITORA INFORMTICA

3.1. INTRODUCCIN A LAS METODOLOGAS

Metodologa: Metodologa : Conjunto de mtodos que se siguen en una
investigacin cientfica o en una exposicin doctrinal. doctrinal. Las Metodologas usadas por un profesional dicen mucho de su forma de entender su trabajo y estn directamente relacionadas con su experiencia profesional acumulada como parte del comportamiento humano de acierto/error. acierto/error. La metodologa es necesaria para que un equipo de profesionales alcance un resultado homogneo tal como si lo hiciera una solo, por lo que resulta habitual el uso de metodologas en las empresas auditoras/consultoras auditoras/consultoras. .

3.1. INTRODUCCIN A LAS METODOLOGAS

Seguridad de los Sistemas de Informacin: Informacin: es la doctrina
que trata de los riesgos informticos o creados por la informtica. informtica . La informtica crea unos riesgos informticos de los que hay que proteger y preservar a la entidad con un entramado de contramedidas, y la calidad y la eficacia de las mismas mismas. . Para explicar este aspecto diremos que cualquier contramedida nace de la composicin de varios factores expresados en el siguiente grafico: grafico:

3.1. INTRODUCCIN A LAS METODOLOGAS

NORMAS ORGANIZACION METODOLOGA OBJETIVOS DE CONTROL PROCESAMIENTO TECNOLOGIAS DE SEGURIDAD HERRAMIENTAS DE CONTROL NORMATIVA, debe definir todo lo que debe existir y ser cumplido tanto desde el punto de vista conceptual, cmo prctico. ORGANIZACIN, es la que integran personas con funciones especficas y con actuaciones concretas; ste es el aspecto ms importante, dado que in l, nada es posible. METODOLOGAS, son necesarias para desarrollar cualquier proyecto que nos propongamos de manera ordenada y eficaz.

3.1. INTRODUCCIN A LAS METODOLOGAS

NORMAS ORGANIZACION METODOLOGA OBJETIVOS DE CONTROL PROCESAMIENTO TECNOLOGIAS DE SEGURIDAD HERRAMIENTAS DE CONTROL OBJETIVOS DE CONTROL, son los objetivos a cumplir en el control de procesos , este es el segundo ms importante. PROCESAMIENTO, son los procedimientos operativos de las distintas reas de la empresa, la tendencia habitual de los informticos es la de dar ms peso a las herramientas que al control o contramedida, pero no debemos olvidar que: UNA HERRAMIENTA NUNCA ES UNA SOLUCION SINO UNA AYUDA PARA CONSEGUIR UN CONTROL MEJOR

3.1. INTRODUCCIN A LAS METODOLOGAS

NORMAS ORGANIZACION METODOLOGA OBJETIVOS DE CONTROL PROCESAMIENTO TECNOLOGIAS DE SEGURIDAD HERRAMIENTAS DE CONTROL TECNOLOGAS DE SEGURIDAD, es donde estn todos los elementos ya sean Hardware o software, que ayudan a controlar un riesgo informtico.

LAS HERRAMIENTAS DE CONTROL, son elementos software que permiten definir uno o varios procedimientos de control para cumplir una normativa y un objetivo de control

3.1. INTRODUCCIN A LAS METODOLOGAS

Plan de Seguridad Seguridad: : es una estrategia planificada de acciones y
productos que lleven a un sistemas de informacin y sus centros de proceso de una situacin inicial determinada a una situacin mejorada. mejorada. en el siguiente grafico se observar la tendencia actual en la organizacin de la seguridad de sistemas en la empresa. empresa.

Organizacin Interna de la Seguridad Informtica

Comit de Seguridad de la Informacin Seguridad corporativa Control Interno Dpto. de Informtica Dpto. de Usuarios Direccin del plan de seguridad Auditoria Informtica Plan Auditor

Control Informtico Responsable de Ficheros

3.2 Metodologas de Evaluacin de Sistemas

3.2.1 Conceptos Fundamentales
Anlisis de Riesgos Auditoria Informtica

3.2.1 Conceptos Fundamentales

Definiciones para profundizar las metodologas Amenaza Vulnerabilidad Riesgo Exposicin o Impacto

3.2.1 Conceptos Fundamentales

Todos los riesgos que se presentan podemos: Evitarlos Transferirlos Reducirlos Asumirlos

3.2.2 Tipos de Metodologas

3.2.2.1 Metodologas cuantitativas Basadas en un modelo matemtico numrico que ayuda a la realizacin de trabajo.

3.2.2.1 Metodologas Cualitativas/Subjetivas

Basadas en mtodos estadsticos y raciocinio humano. Precisan de la involucracin de un profesional experimentado. Pero requieren menos recursos humanos que las metodologas cuantitativas.
CUANTITATIVA P R O S C O N T R A S Enfoca pensamientos mediante el uso de nmeros. Facilita la comparacin de vulnerabilidades muy distintas . Proporciona una cifra justificante para cada copntramedida Estimacin de probabilidad depende de estadsticas fiables inexistentes. Estimacin de las perdidas potenciales solo si son valores cuantificables. Metodologas estndares. Difciles de mantener o modificar. Dependencia de un profesional. CUALITATIVA / SUBJETIVA Enfoca lo amplio que se desee. Plan de trabajo flexible y reactivo. Se concentra en la identificacin de eventos. Incluye lectores intangibles. Dependencia fuertemente de la habilidad y calidad del personal involucrado. Puede excluir riesgos significantes desconocidos (depende de la capacidad del profesional para usar el checkcheck-list/gua). Identificacin de eventos reales ms claros al no tener que aplicarles probabilidades complejas de calcular. Dependencia de un profesional.

3.2.1 Metodologas ms comunes

3.2.3.1 Metodologas de Anlisis de Riesgos
Funcionamiento Esquemtico bsico de cualquier paquete
Cuestionario Identificar los riesgos Calcular el impacto Identificar las contramedidas y el coste Simulaciones Creacin de los informes Etapa 1

Etapa 2 Etapa 3 Etapa 4 Etapa 5 Etapa 6

3.2.1 Metodologas ms comunes

3.2.3.1 Metodologas de Anlisis de Riesgos
De forma genrica las metodologas existentes se diferencian en: Si son cuantitativas o cualitativas, o sea si para el Qu pasa s? utilizan un modelo matemtico o algun sistema cercano a la eleccin subjetiva. Y adems se diferencian en el propio sistema de simulacin.

Tipos de metodologas de anlisis de riesgo

se considera la frecuencia, esta basada en las diferentes bitcoras, logs y reportes de incidentes. El impacto se determina en forma cuantitativa (valores Econmicos). Lo ideal es poder expresar el impacto en trminos econmicos.

Metodologas cuantitativas :

Basadas en FIPS 65 Mtodo de IBM : basado en tcnica de DELPHI = consenso de expertos para determinar los costos. RISKCALC BDSS Metodologas cualitativas:

LAVA: Los Alamos Vulnerability/ Risk Assessment RISKPAC No se tiene en cuenta la frecuencia para valorar los riesgos. MARION La tabla muestra un claro ejemplo donde se emplea una matriz impacto/posibilidad de ocurrencia de una amenaza para CRAMM
Probabilidad de ocurrencia

determinar el nivel de riesgo que se tiene. "Aqu el riesgo indica las prdidas ante la posibilidad de presentarse la amenaza

A =riesgos que requieren pronta atencin, B =no es prioritario la toma de medidas

Tipos de metodologas de anlisis de riesgo

Marion-Francia Mtodo de evaluacin que ofrece dos productos: Marion AP+ Marion RSX Sistemas individuales Sistemas distribuidos

Mtodo cuantitativo basado en una encuesta anual al CLUSIF(base de Incidentes francesa) * No contempla probabilidades. * Contempla esperanzas matemticas (aprox. numricas)

Tipos de metodologas de anlisis de riesgo

Marion

Comprende seis etapas: 1. Identificar los incidentes e impactos sobre el SI. 2. Decidir la perdida mxima aceptable y por lo tanto los incidentes a cubrir. 3. Estimar la calidad de medidas de seguridad existentes (a partir de una lista cuestionario), identificando vulnerabilidades y contra-medidas a implementar. 4. Identificar los factores financieros que dificulten la implementacin de las contra-medidas. 5. Producir una lista priorizada de contra-medidas 6. Desarrollar un plan de accin. Presenta resultados en forma grfica, tabular y provee un gestionador del proyecto de seguridad.

Tipos de metodologas de anlisis de riesgo

Marion

Utiliza cuestionarios para valorar la seguridad (SI=4,NO=0,No_aplicable=3). Parmetros correlacionados (representan graf. Distintas soluciones de contramedidas) en cada uno de los factores(27 en 6 categoras) categora de factores 1. Seguridad informtica general 2. Factores socioeconmicos 3. Concienciacin sobre la seguridad de soft 4. Concienciacin sobre la seguridad de materiales. 5. Seguridad en explotacin. 6. Seguridad en desarrollo.

Tipos de metodologas de anlisis de riesgo

Marion Valores de ponderacin para diferentes sectores (ejemplos):
Sector 1 CATEGORA Establecimientos financieros bancos

Agricultura 2 Energa Construccin Metalrgica

Transporte Comercio Hospedaje

Tipos de metodologas de anlisis de riesgo

Marion

El anlisis de riesgo lo hace bajo 10 reas problemas: Riesgos materiales Sabotajes fsicos Averas Comunicaciones. Errores de desarrollo Errores de explotacin Fraude Robo de informacin Robo de software Problemas de personal.

Tipos de metodologas de anlisis de riesgo

Marion

Tipos de metodologas de anlisis de riesgo

Marion

Nota: - Las prdidas posibles no deben nunca sobrepasar el VALOR DE RIESGO MAXIMO ADMISIBLE

Valor dado por un estudio del banco de Francia para las distintas reas sectoriales

Tipos de metodologas de anlisis de riesgo

RISCKPAC

Metodologa aplicada en

Herramientas de software

Profile Analysis Corporation con DATAPRO(1994) enfoque cualitativa subjetiva resultados exportables a procesadores de texto BD. Hojas de clculo sistemas grficos

Tipos de metodologas de anlisis de riesgo

RISCKPAC Calcula para cada aplicacin un factor de riesgo: 1= nominal, ..., 5 = catastrofe.
Facilidades Del sistema

estructurada como cuestionario en 3 niveles

Entorno Procesador Aplicaciones

Hardware Amb. Fsico Comunicacin acceso

divididos en 26 categoras de Riesgo en cada nivel

Riesgos relacionados Integridad, fraude Lgica de control De acceso

Tipos de metodologas de anlisis de riesgo

CRAMM-Reino Unido Desarrollado en 1985-1987 por BIS y CCTA(Central Computer& Telecomunication Agency Risk Analisis & Management Method, England) Implantado en mas de 750 Org. En europa Metodologa cualitativa y permite hacer anlisis (que pasa si?) PRIMA (Prevencin de Riesgos Informticos con Metodologa Abierta) metodologa espaola(1990) enfoque subjetivo Caractersticas Cubrir necesidades de los proyectos de un plan de seguridad Adaptable Cuestionarios para identificar fallas de controles Proporciona un sistema de ayuda Informes finales Lista de ayuda y cuestionarios son abiertos

Tipos de metodologas de anlisis de riesgo

Toma de accin Identificacin de debilidades Amenazas Vulnerabilidades

Ponderacin

Anlisis del impacto Y riesgo

Definicin de contramedidas Prioridad Costo Dificultad duracin

valoracin de contramedidas

Preparacin del Plan de accin Riesgos Plan de accin Plan de proyectos

Informe final

Fases de la metodologa PRIMA