2 TITULO: La Seguridad Informtica de las aplicaciones y el Control Interno.
AUTORA: MSc. Concepcin Casal Gonzlez.
CARGO: Especialista en Ciencias Computacionales.
UNIDAD ORGANIZATIVA: Gerencia de Auditora. Direccin de Control Corporativo. ETECSA DIRECCION: guila No. 565 Esq. Dragones 3er. Piso Centro Habana.
TELEFONOS y CORREO: 8607622,8623670 ccasal@etecsa.cu
TEMA: Seguridad de las aplicaciones y control interno. RESUMEN
El entorno operacional de las modernas operadoras de telecomunicaciones se caracteriza por un alto porciento de informatizacin de sus procesos, lo cual a primera vista agrega ventajas significativas sin embargo, trae aparejados los llamados riesgos de la automatizacin, los cuales al no ser identificados y tratados adecuadamente, han ocasionado fuga de ingresos en muchos componentes del ciclo de ingresos y la aparicin de diversas modalidades de fraudes y delitos informticos. ETECSA, operadora de telecomunicaciones de Cuba, no est excepta de los riesgos enunciados, por lo que en el presente trabajo se parte de la hiptesis de tratar la seguridad de las aplicaciones como importante aspecto de control interno a considerar por las entidades con alto porciento de automatizacin de sus operaciones. Su basamento metodolgico y legal parte del empleo e instrumentacin principalmente de la Resolucin 297/03 del Ministerio de Finanzas y Precios y la Norma ISO/IEC 17799 Seguridad Informtica en todas las etapas del ciclo de vida de un software.
CONCLUSIONES
La seguridad de las aplicaciones debe ser considerado un importante aspecto de control interno en las entidades con alto porciento de automatizacin de sus operaciones ya que se corresponden totalmente los objetivos enunciados en la normativa de control interno vigente (Resolucin 297/03 del Ministerio de Finanzas y Precios) y la norma de seguridad informtica internacionalmente reconocida (Norma ISO/IEC 17799). En tal sentido, es un proceso integrado no solo inherente a las unidades organizativas que tienen como funcin explicita la seguridad informtica y el control en una organizacin, sino que involucra desde la alta direccin hasta todo el personal que proyecta, disea, administra y gestiona los aplicativos. Considerando lo anteriormente expuesto para el logro de una seguridad razonable en un ambiente automatizado es menester hacer cumplir los componentes de control interno y al menos, los criterios de informacin confidencialidad, integridad y disponibilidad, en todas las etapas del ciclo de vida de un aplicativo. 3
El logro de la eficiencia econmica, mediante procesos de mejoras continuas, el enfoque integral para la administracin de riesgos y el trato focalizado al cliente constituyen los principales retos para la moderna empresa de telecomunicaciones.
Como consecuencia, el entorno informtico de la mayora de esta compaas est caracterizado por la existencia de mltiples aplicaciones de mltiples proveedores, donde los sistemas legacy o perifricos coexisten con las nuevas aplicaciones integradas ERP, interconectados por una compleja red de interfases.
Esta situacin que a primera vista agrega ventajas significativas en la operaciones trae aparejados los llamados riesgos de la automatizacin, los cuales al no ser identificados y tratados adecuadamente, han ocasionado fuga de ingresos en muchos componentes del ciclo de ingresos y la aparicin de diversas modalidades de fraudes y delitos informticos.
Estudios de firmas consultoras internacionales han determinado entre las causas fundamentales de las prdidas, la falta de seguridad de la informacin y unido a esto la falta de consistencia en la informacin almacenada en las bases de datos, as como la no efectividad de los Sistemas de Gestin de Clientes y Provisin del Servicio.
ETECSA, operadora de telecomunicaciones de Cuba, no est exenta de los riesgos enunciados. En cuanto a prdidas de ingresos, en los resultados de un estudio realizado por el grupo de Integridad de la Facturacin se observaron problemas de confiabilidad en la informacin contenida en las bases de datos, as como incorrecta configuracin de servicios, entre otras causas.
Por otra parte las investigaciones realizadas en auditorias internas y externas a los aplicativos que automatizan los procesos objetos de control, han encontrado vulnerabilidades que comprometen la confidencialidad, disponibilidad e integridad de la informacin contentiva en los mismos que incluso propician la ocurrencia de hechos presumiblemente delictivos.
Nuestro trabajo de investigacin pretende dar respuesta al planteamiento siguiente:
1. Cmo establecer adecuados mecanismos de control interno que garanticen seguridad razonable de las aplicaciones informticas?
Se parte de la hiptesis de que se lograr seguridad razonable de las aplicaciones si estas son tratadas como importante mecanismo de control interno a considerar por las entidades con alto porciento de automatizacin de sus operaciones.
5 En tal sentido, este trabajo tiene como objetivos:
Demostrar que para el logro de una seguridad razonable en un ambiente automatizado es menester hacer cumplir los componentes de control interno, y al menos los criterios de informacin, confidencialidad, disponibilidad e integridad , en todas las etapas del ciclo de vida de un aplicativo. Aportar los aspectos fundamentales a considerar.
Su basamento metodolgico y legal parte del empleo e instrumentacin principalmente de la Resolucin 297/03 del Ministerio de Finanzas y Precios y la Norma ISO/IEC 17799 Seguridad Informtica en todas las etapas del ciclo de vida de un software.
Para el desarrollo del mismo se emplearon tcnicas de investigacin tales como bsqueda bibliogrfica, anlisis y sntesis.
6 DESARROLLO.
En la Resolucin 297/03 del Ministerio de Finanzas y Precios se define como control interno: .proceso integrado a las operaciones efectuado por la direccin y el
resto del personal de una entidad para proporcionar una seguridad razonable al logro de los objetivos siguientes:
Confiabilidad de la informacin. Eficiencia y eficacia de las operaciones. Cumplimiento de las leyes, reglamentos y polticas, establecidas Control de los recursos de todo tipo, a disposicin de la entidad.
Por su parte la norma ISO/IEC 17790 enuncia que La informacin es un activo que, como otros importantes activos de negocios, tiene valor para una organizacin y en consecuencia necesita ser debidamente protegido. La seguridad informtica protege la informacin de un amplio rango de amenazas con el objetivo de asegurar la continuidad de negocios, minimizar el dao comercial y maximizar el reembolso de las inversiones y oportunidades comerciales.
La informacin y los procesos, sistemas y redes de apoyo son importantes activos de negocios. La confidencialidad, integridad y disponibilidad de la informacin puede ser esencial para mantener la competitividad, el flujo de efectivo, la ganancia, la conformidad legal y la imagen comercial.
Realizando una breve comparacin de los objetivos expuestos en cada normativa, resulta evidente que la seguridad informtica de los sistemas, en los cuales las aplicaciones juegan un papel primordial, se corresponde totalmente con el control interno.
En tal sentido, es un proceso integrado no solo inherente a las unidades organizativas que tienen como funcin explicita la seguridad informtica y el control en una organizacin, sino que involucra desde la alta direccin hasta todo el personal que proyecta, disea, administra y gestiona los aplicativos.
Considerando lo anteriormente expuesto para el logro de una seguridad razonable en un ambiente automatizado es menester hacer cumplir los componentes de control interno y al menos, los criterios de informacin confidencialidad, integridad y disponibilidad, en todas las etapas del ciclo de vida de un aplicativo.
A continuacin se expone un anlisis un poco mas detallado que puede ser tomado como referencia o lnea general, ya que cada automatizacin tiene en si sus propias caractersticas y por lo tanto es imprescindible su adecuacin.
7
Ambiente de Control Seguridad Informtica Aspectos fundamentales a considerar El ambiente o entorno de control constituye el andamiaje para el desarrollo de las acciones y refleja la actitud asumida por lo alta direccin en relacin con la importancia del control interno y su incidencia sobre las actividades de la entidad y resultados, por lo que debe tener presente todas las disposiciones, polticas y regulaciones que se consideren necesarias para su implantacin y desarrollo exitoso Poltica de seguridad, objetivos y actividades que reflejen los objetivos comerciales. Enfoque hacia la implementacin de la seguridad que sea consistente con la cultura organizacional. Apoyo visible y compromiso de la administracin. Adecuado entendimiento de los requerimientos de seguridad, el anlisis de riesgos y la gestin de riesgos. Efectiva divulgacin de seguridad entre directivos y empleados. Distribucin de guas de informacin sobre la poltica y las normas de seguridad informtica a todos los empleados y contratantes. Entrenamiento y educacin adecuadas. Sistema de medidas abarcador y balanceado que se use para evaluar el comportamiento de la gestin de seguridad de la informacin y sugerencias de retroalimentacin para el perfeccionamiento. Establecimiento del Plan Estratgico de TI, acoplado a los lineamientos estratgicos de la Entidad. Organizacin y estructura para el gobierno de las TI de acuerdo a procesos, donde se definan adecuadamente autoridades y responsabilidades. Establecimiento y cumplimiento de las polticas de seguridad informtica de las aplicaciones. Adecuado conocimiento y conciencia del tema desde la alta direccin de la entidad.
8 Evaluacin de Riesgos Seguridad Informtica Aspectos fundamentales a considerar El control interno ha sido pensado esencialmente para limitar los riesgos que afectan las actividades de las entidades. A travs de a investigacin y anlisis de los riesgos relevantes y el punto hasta el cual el control vigente los neutraliza, se evala la vulnerabilidad del sistema. Una vez identificados los riesgos, su anlisis incluir: Una estimacin de su importancia y trascendencia Una evaluacin de la probabilidad y frecuencia. Una definicin del modo en que habrn de manejarse. Cambios en el entorno Redefinicin de la poltica institucional Reorganizaciones o reestructuraciones internas. Ingreso de empleados nuevos o rotacin de los existentes. Nuevos sistemas, procedimientos y tecnologas. Aceleracin del crecimiento. Nuevos productos, actividades o funciones.
Los requerimientos de seguridad se identifican mediante un anlisis metdico de los riesgos de seguridad. El gasto en controles necesita ser balanceado contra el dao comercial potencial derivado de fallas de seguridad. Las tcnicas de anlisis de riesgo pueden ser aplicadas a toda la organizacin o solo a partes de esta, adems de a sistemas informticos individuales, componentes o servicios especficos donde esto sea realizable, realista y til.
La evaluacin de riesgos es la consideracin sistemtica de:
a) el dao comercial potencial derivado de una falla de seguridad, tomando en cuenta las consecuencias potenciales de una prdida de confidencialidad, integridad y disponibilidad de la informacin y otros activos.
b) la probabilidad real de que dicha falla ocurra a la luz de amenazas y vulnerabilidades existentes y los controles actualmente implementados.
Levantamiento de riesgos asociados fundamentalmente a:
Riesgo de que personal no autorizado conozca y/o modifique informacin sensible. (CONFIDENCIALIDAD) Riesgo de no disponer de la informacin cuando sta es requerida por el proceso de negocio y no salvaguardar adecuadamente los recursos y capacidades asociadas. (DISPONIBILIDAD) Riesgo de no garantizar precisin, suficiencia y validez de la informacin, de acuerdo con los valores y expectativas del negocio (INTEGRIDAD) 9
Actividades de Control Seguridad Informtica Aspectos fundamentales a considerar Las actividades de control son procedimientos que ayudan a asegurarse que las polticas de la direccin se llevan a cabo, y deben estar relacionadas con los riesgos que ha determinado y asume la direccin. En su sentido general abarcan: - Anlisis efectuados por la direccin. - Seguimiento y revisin por parte de los responsables de las diversas actividades. -Comprobacin de las transacciones en cuanto a su exactitud, totalidad, autorizacin pertinente: aprobaciones, revisiones, cotejos. reclculos, anlisis de consistencia, prenumeraciones. -Controles fsicos patrimoniales: arqueos, conciliaciones, recuentos, -Dispositivos de seguridad para restringir el acceso a los activos y registros. -Segregacin de funciones. -Aplicacin de indicadores de rendimiento.
Deben seleccionarse e implementarse los controles para asegurar que riesgos se reduzcan hasta un nivel aceptable. Los controles debern seleccionarse basados en el costo de la implementacin en relacin con los riesgos que se reduzcan y las prdidas potenciales si existiera una brecha en la seguridad. Factores no monetarios como la perdida de reputacin tambin debern tomarse en cuenta. Los controles considerados prctica comn ms eficaz para la seguridad de la informacin incluyen:
a) Documentos sobre las polticas de seguridad informtica. b) Asignacin de responsabilidades. c) Educacin y entrenamiento. d) Informe de incidentes de seguridad. e) Gestin de la continuidad de negocios
Confidencialidad - Procedimientos y acuerdos entre reas para alta, baja y modificacin de usuarios. - Implementacin de polticas de usuarios donde se limiten adecuadamente el acceso a funciones y datos. - Implementacin de adecuadas polticas de contraseas.
Disponibilidad - Procedimientos y acuerdos entre reas para el establecimiento de salvas de la informacin de acuerdo a las necesidades del negocio. - Procedimientos ante contingencias, que garanticen una adecuada restauracin del servicio con la prdida mnima de datos.
Integridad - Establecimiento de controles de integridad referencial de acuerdo a las necesidades del negocio. - Controles preventivos, detectivos y correctivos que garanticen razonablemente la adquisicin, procesamiento y salida de la informacin.
10
Informacin y comunicacin Seguridad Informtica Aspectos fundamentales a considerar La Informacin relevante debe ser captada, procesada y trasmitida de tal modo que llegue a todos los sectores y permita asumir las responsabilidades individuales. Los informes deben transmitirse adecuadamente a travs de una comunicacin eficaz, incluyendo una circulacin multidireccional de la informacin: ascendente, descendente y transversal.
Los datos de salida de un sistema de aplicaciones debern validarse para asegurar que el procesamiento de la informacin almacenada es correcto y se adecua a las circunstancias. La validacin de los resultados puede incluir: a) chequeos para probar si los datos resultantes son razonables. b) conteos de control de reconciliacin para asegurar el procesamiento de todos los datos. c) brindar informacin suficiente para un lector o un sistema de procesamiento para determinar la exactitud, totalidad, precisin y clasificacin de la informacin. d) procedimientos para responder a las pruebas de validacin de los resultados. e) definir las responsabilidades de todo el personal involucrado en el proceso de obtencin de datos.
- Identificacin e implementacin del intercambio de informacin en las relaciones usuarios-aplicactivos y aplicativos- aplicativos. - Controles preventivos, detectivos y correctivos que garanticen razonablemente que la salida de la informacin sea precisa y oportuna, as como asequible a todos los niveles de la organizacin requeridos.
11
Supervisin o Monitoreo Seguridad Informtica Aspectos fundamentales a considerar Las actividades de monitoreo permanente incluyen actividades de supervisin realizadas de forma permanente, directamente por las distintas estructuras de direccin.
Las evaluaciones separadas son actividades de monitoreo que se realizan en forma no rutinaria. como las auditorias peridicas efectuadas por los auditores internos.
La poltica deber tener un responsable que se encargar de su mantenimiento y revisin de acuerdo a un proceso de revisin definido. Dicho proceso deber asegurar que se realicen revisiones en respuesta a cambios que afecten las bases del anlisis de riesgos original, como por ejemplo: incidentes de seguridad significativos, nuevas vulnerabilidades o cambios a la infraestructura organizacional o tcnica. Se debern programar adems revisiones peridicas de lo siguiente: a) la efectividad de la poltica, demostrada por la naturaleza, nmero y dao de incidentes de seguridad registrados. b) costo e impacto de los controles en la eficiencia de la empresa. c) efectos de cambios a la tecnologa. Se debern monitorear los sistemas para detectar la desviacin de la poltica de control de acceso y registrar los hechos que se pueda para brindar evidencia en caso de incidentes de seguridad. El monitoreo del sistema permite que se verifiquen la efectividad de los controles adoptados y la conformidad a un modelo de poltica de acceso.
-Establecimiento de indicadores de desempeo que permitan medir la eficacia y calidad de las operaciones. -Establecimiento de conciliaciones entre actividades que permitan la deteccin y correccin oportuna de anomalas en las transacciones. - Implementacin de trazas de operacin que permitan la investigacin de las actividades de mayor impacto en un periodo determinado. - Existencia de personal encargado de la supervisin y monitoreo operativo y sistemtico.
12 CONCLUSIONES.
La seguridad de las aplicaciones debe ser considerado un importante aspecto de control interno en las entidades con alto porciento de automatizacin de sus operaciones ya que se corresponden totalmente los objetivos enunciados en la normativa de control interno vigente (Resolucin 297/03 del Ministerio de Finanzas y Precios) y la norma de seguridad informtica internacionalmente reconocida (Norma ISO/IEC 17799).
En tal sentido, es un proceso integrado no solo inherente a las unidades organizativas que tienen como funcin explicita la seguridad informtica y el control en una organizacin, sino que involucra desde la alta direccin hasta todo el personal que proyecta, disea, administra y gestiona los aplicativos.
Considerando lo anteriormente expuesto para el logro de una seguridad razonable en un ambiente automatizado es menester hacer cumplir los componentes de control interno y al menos, los criterios de informacin confidencialidad, integridad y disponibilidad, en todas las etapas del ciclo de vida de un aplicativo.
La literatura estudiada evidencia que el tema abordado es de novedad internacional, pero principalmente manejado por entidades consultoras y auditoras las cuales lo consideran know how.
Por otra parte y considerando el estado actual de las normativas nacionales sobre el tema, constituye un aporte al logro de la implementacin real del tratamiento de los riesgos de automatizacin en la entidad, lo cual le aporta valor tcnico y contribuye a minimizar las vulnerabilidades y sus consecuencias.
Los aspectos tratados, as como los resultados obtenidos son aplicables principalmente a entidades con alto porciento de automatizacin de sus operaciones.
Es menester sealar que los aspectos fundamentales propuestos a implementar para cada componente de control han sido puestos en prctica en un porciento considerable en ETECSA, al ser recomendados en las auditorias internas realizadas.
En el orden empresarial fueron objeto de aceptacin para su anlisis e implementacin a partir de su presentacin en el Primer Simposio de Seguridad Informtica celebrado en ETECSA, donde fue propuesto por el Comit Organizador para participar en el Evento Nacional de Seguridad Informtica convocado por Segurmtica, previo al VIII SEMINARIO IBEROAMERICANO DE SEGURIDAD EN TECNOLOGIAS DE INFORMACION Y COMUNICACIONES.
13 DATOS PERSONALES.
AUTORA: MSc. Concepcin Casal Gonzlez.
CARGO: Especialista en Ciencias Computacionales.
UNIDAD ORGANIZATIVA: Gerencia de Auditora. Direccin de Control Corporativo.
DIRECCION: guila No. 565 Esq. Dragones 3er. Piso Centro Habana.