Auditoría Informatica I. Concepto

CEF
Temas31,32y33.Auditora
31. Auditora Informtica I: Concepto y contenidos. Administracin, planeamiento, organizacin, infraestructuratcnicayprcticasoperativas 1. Introduccin. 2. Administracin,planificacin. 3. Organizacin,infraestructuratcnica. 4. Prcticasoperativas. Bibliografa.
1. INTRODUCCIN
La Auditora de los SSII debe entenderse como una herramienta ms que ayudar a las organizaciones a supervisar su sistema de control, a gestionar sus riesgos. El objetivo que se persigue es conseguir establecer una relacin de confianza en el uso de las tecnologas de la informacin y de las comunicaciones y a reforzar la gestin de su seguridad y calidad. DEFINICIN: Auditora de los Sistemas de Informacin incluye a la auditora informtica, y consiste en el examen de los SSII de la organizacin con el objetivo de facilitar la consecucin de los objetivos de negocio que se han establecido. En la auditora Informtica, el objeto a auditar es un producto o proceso informtico y su gestin. Por este motivo se considera una auditora parcial de la organizacin, la importancia estratgica y el carcter transversal de las TIC tecnologas de la informacin y las comunicaciones en el mundo moderno confieren a este tipo de auditora una relevancia creciente. Definicin de ISACA: la auditora de los sistemas de informacin es cualquier auditora que abarca la revisin y evaluacin de todos los aspectos de los sistemas automticos de procesamiento de la informacin (o una parte de ellos), incluidos los procedimientos no automticos relacionados con ellos y las interfaces correspondientes.
1.1 Historia
Revolucin neoltica: Sociedad nmada sedentaria. Revolucin industrial: Sociedad rural urbana. Revolucin de la informacin: Sociedad industrial sociedad de la informacin, el objeto fundamental del cambio ha sido el ordenador y la materia prima la informacin. Entre las caractersticas ms destacables de esta revolucin informtica podemos citar algunas de carcter social (globalizaciones econmica y cultural, nuevas leyes proteccin datos, propiedad intelectual, reformas cdigo penal contemplando la informtica, firma digital..., y empresarial (dependencia de las TIC, automatizacin de funciones, reduccin de
EMOTEne2010 P g i n a |1
CEF
costes, nuevos modelos de negocio (ej. Bancos...) La diferencia ms notable respecto a los otros hitos histricos ha sido la alta velocidad de transicin. Ninguna revolucin fue tan vertiginosa en toda la Historia. En las organizaciones, la informacin y la tecnologa que la soporta representan los activos ms valiosos. La productividad de cualquier organizacin depende del funcionamiento ininterrumpido de sus sistemas de informacin, lo que conlleva la transformacin de todo el entorno en un proceso crtico adicional. Dependencia de los SSII, y de las TICs. Se habla de anlisis y gestin de los riesgos asociados a las TIC, y la funcin auditora asociada a estas actuaciones. Es necesario identificar los objetivos del rea informtica, en lnea con los objetivos de negocio de la organizacin: la idea es asumir compromisos por el rea TIC que deben ser satisfechos en unos plazos y con una calidad predeterminada. Algo de H En un primer momento la orientacin era la deteccin y prevencin del fraude y errores; despus se us para evaluar situacin financiera (la deteccin y prevencin del fraude y errores era un objetivo menor). Simultneamente se ha producido una evolucin metodologa: Hasta s. XIX se realiza un examen exhaustivo; Despus s. XIX: se emplean tcnicas de muestreo de datos, y revisin de los controles internos. Egipto-Roma: aparece el concepto de auditora. Surgen figuras como terratenientes /aparceros. Se produca la Liquidacin verbal de cuentas con los auditores (los que oyen). Edad Media: en Castilla los veedores de cuentas. s. XVIII, surge la Sociedad Annima en Holanda; aparece el concepto de separacin de la propiedad y una nueva profesin, la gerencia. Aparecen tambin los fraudes para aparentar buen funcionamiento, lo que hace necesarios: 1) la creacin de un mtodo y de un sistema normalizado de contabilidad, y 2) expertos independientes para controlar a los gestores y revisar las cuentas. En 1862, la Ley Britnica de Sociedades Annimas, reconoce la auditora como profesin. En 1880 se crea, en Inglaterra, la Primera Sociedad de Auditores. Hasta 1905 la auditora floreci como profesin en Inglaterra. En 1900 se introduce en EE.UU. En 1912 aparece en Espaa con el Colegio de Contadores Pblicos. En 1954 se crea el primer sistema de contabilidad informatizada. En esta poca, la Auditoria gira alrededor del ordenador (se comprobaban las salidas en funcin de las entradas). En los aos 60 la atencin se centra en el CPD (Centro de Proceso de Datos). Se produce una revolucin cuantitativa: muchas operaciones, gestin versus Propiedad; se presenta un nuevo enfoque: es imposible verificar TODA la informacin por lo que se analizan extractos. En los aos 70 el foco se dirige a los programas y su lgica interna. En 1977, se publica la Primera edicin de Control Objetives, antecesor de CobiT (Control objectives for Information and Related Technology). Tambin el perfil del auditor ha sufrido paralelamente una evolucin temporal: Al principio el auditor, sobre todo auditor de cuentas, se limitaba a revisar la informacin que obtena del ordenador con una metodologa semejante a la del resto de actuaciones que desarrollaba.
CEF
Posteriormente, el auditor comienza a emplear tcnicas especficas para analizar los sistemas de informacin, como las pistas o trazas de auditora. Con la revolucin TIC, el auditor se apoya cada vez ms en el ordenador como instrumento de trabajo. Gracias a la tecnologa es posible acceder directamente a los sistemas de informacin auditados y desarrollar en ellos, de forma completa o parcial, tareas de comprobacin (lenguajes de programacin y consulta a BBDD). Finalmente el auditor aplica directamente tcnicas de auditora especficas para SSII y servicios informticos, con objeto de determinar la eficacia y eficiencia de su funcionamiento. Se usan medios informatizados para los procedimientos de auditora (CAAT, Computed-Assisted Audit Techniques). La auditora informtica debe cumplir cinco funciones que enumeramos a continuacin: 1. Velar por la eficacia y eficiencia del sistema informtico, de forma que se alcancen con el menor coste posible los objetivos que le han sido establecidos. 2. Verificar el cumplimiento de las normas y estndares vigentes en la organizacin. 3. Verificar la calidad de los sistemas de informacin y proponer mejoras en los mismos. La Administracin General del Estado ha fijado por Real Decreto Real Decreto 951/2005, de 29 de julio, por el que se establece el marco general para la mejora de la calidad en la Administracin General del Estado. 4. Supervisar los mecanismos de control interno establecidos en los centros de proceso de datos y en la organizacin en su conjunto para proteger los recursos informticos humanos y materiales y para mantener la integridad de los datos. 5. Comprobar e impulsar la seguridad de los sistemas de informacin (es decir, garantizar la disponibilidad de las infraestructuras de informacin, la integridad y la confidencialidad de los datos, su autenticidad y la identidad de las partes que los usan). Las tres normas bsicas en la auditora de los sistemas de informacin son pues: Planificacin y supervisin Estudio y evaluacin del sistema de control interno Obtencin de evidencia suficiente y adecuada (justificacin del trabajo realizado y la opinin expresada)
1.2 Conceptodecontrolenlasorganizaciones
La planificacin y el control se incluyen como funciones directivas desde las reflexiones de los primeros tericos de la organizacin como Fayol. El Control Interno es cualquier actividad manual o automtica empleada para prevenir y corregir errores que puedan afectar al funcionamiento de un sistema en relacin a la consecucin de sus objetivos. El Control Interno Informtico controla que todas las actividades del SI (Sistema de Informacin) sean realizadas cumpliendo los procedimientos, estndares y normas de la direccin as como las normas legales. El control consiste en un proceso de observacin y medida que compara sistemticamente los objetivos con los resultados y que tiene la capacidad necesaria para regular los sistemas con la intencin de que sean alcanzados los objetivos. Una nueva definicin de Auditora Informtica: el Proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, cumple eficazmente los fines de la organizacin, y hace uso eficiente de los recursos.
EMOTEne2010
P g i n a |3
CEF
El auditor es responsable de informar a la Direccin de la organizacin sobre el diseo y funcionamiento de los controles implantados y sobre la fiabilidad de la informacin suministrada. Los controles deberan ser: Simples y fiables Revisables Adecuados Rentables Los controles pueden clasificarse atendiendo a diferentes caractersticas: CLASIFICACIN Por el momento en que actan CONTROLES Preventivos: a priori, ej. Impedir accesos no autorizados Reactivos: a posteriori Concurrente o concomitante (establecido durante la realizacin del proceso que se observa y mide). Contino Peridico Espordico Generales (organizativos y operativos, de desarrollo y mantenimiento de aplicaciones, de hardware, de software, de acceso, de procedimiento). De aplicacin (controles de entrada, de proceso, de salida). De desarrollo que comprueba que el resultado obtenido concuerda con las especificaciones iniciales De proceso que asegura que la explotacin se realiza con la versiones adecuadas de los programas y de los datos De continuacin que determinara que se evita la prdida o corrupcin de informacin, efectuando las salvaguardas y recuperaciones necesarias
Por su frecuencia Por su naturaleza
Otra clasificacin
Adems podemos hablar de controles Detectivos o Correctivos. Como reaccin ante escndalos cuyos indicios no fueron debidamente detectados o evaluados, se publica en 1992 el informe COSO.
http://www.erm.coso.org/Coso/coserm.nsf/frmWebCOSOExecSum?ReadForm. El principal objetivo del Control Interno es garantizar que la empresa alcance sus objetivos. En este sentido, el Control Interno (CI) puede actuar de 2 distintas maneras: 1. Evitar que se produzcan desviaciones con respecto a los objetivos establecidos; 2. Detectar, en un plazo mnimo, estas desviaciones. En el primer caso, el Control Interno evita que estas desviaciones se produzcan. Un ejemplo practico podra ser el caso de una empresa que, establecidos unos objetivos en trminos de exposicin de sus cuentas a cobrar, analiza cada cliente antes de concederle crdito, evitando de esta forma que se produzcan situaciones de cuentas impagadas. En el segundo caso, por el contrario, el Control Interno no evita que se produzcan estas desviaciones, pero por lo menos hace saltar la alarma, de tal forma que la direccin de la empresa puede reaccionar rpidamente.
Este informe define el control interno como un proceso efectuado por el Consejo de Administracin, la direccin y el resto del personal de una entidad, diseado con el objeto de
EMOTEne2010
P g i n a |4
CEF
proporcionar un grado de seguridad razonable en cuanto a la consecucin de objetivos dentro de las siguientes categoras: Eficacia y eficiencia de las operaciones, Fiabilidad de las operaciones financieras, Cumplimiento de las leyes y normas que le sean aplicables.
1.3 Clasesdeauditora
Una auditora consiste en la realizacin de un anlisis metdico de la situacin de una organizacin en cooperacin con los interesados con el fin de verificar la concordancia de la realidad con lo preestablecido y la adecuacin de los resultados obtenidos por la organizacin a los objetivos perseguidos por la misma. Por ejemplo: cumplimiento de cierta normativa legal o estndar. Los objetivos de control y auditora estn directamente relacionados: los auditores supervisan el sistema de control interno de la organizacin, detectando las debilidades que presenten los controles establecidos y recomendando actuaciones necesarias para reforzarlos; durante el desarrollo de la auditora los auditores suelen reproducir los controles ordinarios establecidos por la organizacin para determinar su efectividad adems de realizar actividades de control adicionales. CLASIFICACIN Segn el sujeto que la realiza Segn su amplitud TIPOS DE AUDITORA Interna: realizada por personal de la propia entidad Externa: la realizan profesionales ajenos a la entidad Total: afecta a toda la organizacin Parcial: slo a determinados departamentos o actividades de la organizacin, restringindose en funcin de su mbito territorial o funcional Peridica, por ejemplo anual o bienal Ocasional Auditoras de regularidad: auditorias de cumplimiento, orientadas a verificar el cumplimiento de la normativa aplicable; o auditoras financieras o contables, emiten un juicio sobre el estado financiero de la entidad Auditoras operativas o de gestin: evalan la eficacia en la consecucin de objetivos y la eficiencia en los recursos empleados para alcanzarlos Auditoras forenses: especializadas en descubrir fraudes y delitos, en obtener evidencias vlidas para su uso por las autoridades competente, policiales o judiciales Auditoras de los SSII: realizan el examen y verificacin del correcto funcionamiento y control del sistema informtico de la organizacin
Por su frecuencia Segn fines su contenido y
1.4 EstrategiadelaauditoradelosSSII
La organizacin comprende y gestiona los riesgos asociados con la implementacin de las nuevas tecnologas. El equipo directivo tiene un conocimiento bsico de los riesgos y los lmites de las TIC con objeto de proveer una direccin eficaz y los controles adecuados.
EMOTEne2010
P g i n a |5
CEF
Existe un decisin estratgica en cuanto a cul es la inversin razonable en seguridad y control, y cmo balancear el riesgo y el control de las inversiones, es imprescindible que el rgano de direccin entienda la implicacin de una gestin de riesgos en general, y los relacionados con las TIC en particular, y aseguren el establecimiento de un sistema de control interno apropiado para la organizacin que dirige. La organizacin tiene definida, documentada, pblica para todo el personal y aplicada, una poltica de control. En el ciclo de gestin de control la auditora tiene la misin de analizar la implementacin de los controles y corregir la gestin con la propuesta de mejoras. En la siguiente figura se esquematiza el ciclo de gestin de control.
Nivel Estratgico
Poltica de Seguridad Poltica de Calidad Manual de Calidad Normas de Planes de Seguridad Seguridad y Calidad
Especificaciones de Seguridad y Calidad
Nivel Tctico
Estndares de Seguridad
Guas de Seguridad y Calidad
Procedimientos de Seguridad y Calidad
Instrucciones de Seguridad y Calidad
Nivel Operativo
Registros de Seguridad y Calidad
Polticas: Declaracin de intenciones de alto nivel, refleja los objetivos de la organizacin (qu y por qu), deben estar debidamente documentadas y establecer criterios de medicin de resultados. Deben ser aprobadas por la alta direccin de la organizacin, perdurables en el tiempo (mantenerse al margen de la tecnologa empleada) y conocidas por toda la organizacin. Misin y visin de la organizacin. Normativas: Reglas generales que desarrollan las polticas de alto nivel, de obligada aplicacin para las personas de la organizacin. Sern definidas por el rgano de direccin responsable de su supervisin. Se ajustarn al despliegue tecnolgico, y sern conocidas por los usuarios de los sistemas. Por ejemplo, se podrn tener definidas o adoptadas normas sobre: control de presencia, control de acceso a los sistemas de informacin, estndares y normas tcnicas del mercado que sean de aplicacin, requerimientos legales, etc. Procedimientos: Sealan el marco de actuacin en los distintos campos de las TIC para resolver situaciones concretas. Deben ser desarrollados por la unidad responsable de su implementacin y estar ajustados a normas, estar documentados y tener unos contenidos mnimos ajustados a la materia, deben mantenerse actualizados y han de ser conocidos por los encargados de ejecutarlos y por los usuarios. Como ejemplo de procedimientos, se podrn tener sobre: gestin de usuarios, resolucin incidencias, copias de seguridad, pruebas a realizar en desarrollos, etc. Instrucciones: Detallan tcnicamente la forma precisa de actuar para implementar un procedimiento, sealando los pasos de obligado cumplimiento que deben seguirse. Deben estar documentadas y ser conocidas por los tcnicos responsables. Como ejemplo de instrucciones sealamos las relativas a: seguimiento actividad vrica, instalacin de actualizaciones, restablecimiento de sistemas, backups, etc.
EMOTEne2010
P g i n a |6
CEF
1.5 AuditoradeSSIIenlasAAPP
La funcin de control de la Administracin Pblica espaola se desarrolla en tres mbitos: Control poltico ejercido por el Parlamento Control judicial ejercido por los Tribunales de Justicia Control administrativo ejercido por rganos administrativos Centrndose en el control administrativo encontramos los siguientes rganos especializados: Tribunal de Cuentas: rgano supremo fiscalizador de las cuentas y de la gestin econmica del Estado y del sector pblico, controla la actividad econmica y presupuestaria. Es un rgano externo, de carcter administrativo que tambin tiene atribuidas funciones de alcance contable, y cuyo destinatario principal es el Parlamento. Intervencin General de la Administracin del Estado (IGAE): un rgano interno de la Administracin que examina la gestin del gasto pblico por parte de los organismos gestores. Comenz examinando exclusivamente los aspectos legal y financiero del gasto pblico, pero desde 1984 debe elaborar anualmente un Plan de Auditoras. Las Normas Tcnicas de Auditora Pblica constituyen el ncleo de sus procedimientos de trabajo, clasifican sus actuaciones en dos grandes grupos: auditoras de regularidad y auditoras operativas. La Ley General Presupuestaria de 47/2003, de 26 de noviembre, refrenda el papel de la IGAE en el control interno, delimitando sus funciones interventora, de control financiero permanente y de auditora pblica. Inspecciones Generales de los Servicios, segn Real Decreto 799/2005, de 15 de julio, son los rganos de la Administracin General del Estado especializados en el control interno y en la evaluacin de los servicios de cada uno de los Ministerios y de sus organismos pblicos dependientes. Su funcin es supervisar el funcionamiento de los rganos administrativos, lo que incluye el seguimiento de objetivos y el anlisis de riesgos y debilidades. En el artculo 2 del RD se recogen entre sus funciones, la de realizar auditoras internas. En el Real Decreto 951/2005 de 29 de julio, por el que se establece el marco general para la mejora de la calidad en la Administracin General del Estado, se les atribuyen competencias en la evaluacin de calidad de las organizaciones. La coordinacin de la actividad de las Inspecciones Generales de los distintos Ministerios se realiza por un rgano colegiado, la Comisin Coordinadora de Inspecciones Generales de Servicios. Inspeccin General del Ministerio de Economa y Hacienda y Servicio de Auditora interna de la Agencia Tributaria, sus procedimientos de actuacin estn regulados por el Real Decreto 1733/1998. Le corresponde la evaluacin y el control del funcionamiento interno del Ministerio de Economa y Hacienda, la inspeccin del modo y eficacia con que se gestionan los tributos cedidos a las Comunidades Autnomas y la coordinacin de la alta inspeccin referente a la aplicacin de los sistemas fiscales concertados y convenidos. A la Agencia Estatal de Administracin Tributaria (AEAT) le corresponde facilitar a los contribuyentes el cumplimiento de sus obligaciones, recaudando los tributos exigibles y desarrollando los programas de control fiscal y prevencin del fraude y la elusin fiscal. La AEAT dispone desde su creacin (Ley 31/1990 de los Presupuesto Generales del Estado para 1991) de un Servicio de Auditora Interna (SA, con rango de direccin adjunta, que desempea funciones de control interno, evaluacin de los sistemas de seguridad y de control interno de la AEAT, apoyo a los rganos rectores de la Agencia en el cumplimiento de los objetivos, y presupuestacin, anlisis y seguimiento de los ingresos tributarios, as como prevencin y deteccin de las conductas irregulares de los empleados de la organizacin, adems de formar parte de la Unidad Operativa del Consejo de Defensa del Contribuyente, que atiende las quejas y sugerencias y hace efectivo el derecho de
EMOTEne2010
P g i n a |7
CEF
los ciudadano a expresar su disconformidad con el funcionamiento de los servicios pblicos. Agencia Estatal de Evaluacin de Polticas Pblicas y de la Calidad de los Servicios, desarrolla una actividad institucional en la que se une la voluntad de mejorar la calidad de los servicios pblicos con la de racionalizar el uso de los recursos pblicos y rendir cuentas ante los ciudadanos. La Agencia es un organismo pblico regulados en la Ley 28/2006, de 18 de julio, de Agencias estatales para la mejora de los servicios pblicos. La Agencia tiene como propsito contribuir a: mejorar los servicios pblicos y el conocimiento de los efectos en la sociedad de las polticas y programas pblicos, promover una mayor racionalidad del gasto pblico y la optimizacin en el uso de los recursos, favorecer la productividad y competitividad de la economa espaola eliminando trabas burocrticas, aumentar la rendicin de cuentas respecto a los ciudadanos y la calidad democrtica, promoviendo la transparencia y la participacin. La evaluacin de polticas pblicas tiene antecedentes en numerosos pases y actividades, en este sentido en Espaa, se crea el Observatorio de la Calidad de los Servicios pblicos, regulado por el Real Decreto 951/2005, que debe informar peridicamente del nivel de calidad con que se prestan los servicios pblicos, presentando y difundiendo anualmente un informe de evaluacin global de los servicios analizados. Consejo Superior de Administracin Electrnica, creado por Real Decreto 589/2005 de 20 de mayo, es un rgano colegiado adscrito al Ministerio de Administraciones Pblicas y encargado de la preparacin, elaboracin, desarrollo y aplicacin de la poltica y estrategia del Gobierno en materia de tecnologas de la informacin, as como del impulso e implantacin de la Administracin electrnica en la Administracin General del Estado (AGE). Puede actuar en Pleno y en Comisin Permanente. Entre sus funciones destaca: el desarrollo de polticas y estrategias en materia de tecnologas de la informacin, la planificacin y elaboracin de directrices generales que sirvan de base a los planes estratgicos departamentales en materia de tecnologas de la informacin, asesoramiento y consultora en materia presupuestaria, recursos humanos y organizacin de las tecnologas de la informacin, cooperacin con las comunidades autnomas y entidades locales en la puesta en marcha de servicios pblicos nter administrativos, as como con la Unin Europea y con organizaciones internacionales, funciones de seguridad en colaboracin con el Centro Criptolgico Nacional del Centro Nacional de Inteligencia, difundiendo medidas de seguridad de tecnologas de informacin, adquisicin de material de cifra y formando especialistas en seguridad de los sistemas, organizando conferencias y otras actividades para el intercambio de experiencias, anlisis y estudio de la situacin de la administracin electrnica, actuando como Observatorio de la Administracin Electrnica. Entre otras actividades de produccin y difusin de estndares y recomendaciones (METRICA v3, SICRES, Guas tcnicas aplicables a la contratacin de bienes y servicios de tecnologas de la informacin y las comunicaciones) cabe citar los relacionados con la seguridad de los sistemas de la informacin: los Criterios SNC, aprobados por Resolucin de 28 de mayo de 2003, MAGERIT v2 y su herramienta PILAR, procedimiento informtico-lgico para el anlisis y la gestin de los riesgos de un sistema de informacin; el consejo impulsa tambin el proyecto del Esquema Nacional de Evaluacin y Certificacin de la Seguridad de los Sistemas de Informacin a travs de un Grupo ad hoc del Comit Tcnico de Seguridad de los Sistemas de Informacin y Proteccin de datos (SSITAD). El Centro Criptolgico Nacional tiene un notable protagonismo en este proyecto como organismo de certificacin, segn lo dispuesto en la Ley 11/2002 de 6 de mayo reguladora del Centro Nacional de Inteligencia y en el Real Decreto 421/2004 de 12 de mayo, por el que se regula el Centro Criptolgico Nacional.
EMOTEne2010
P g i n a |8
CEF
Para resumir podemos concluir que en la Administracin se desarrollan funciones de auditora de sistemas de informacin en dos modelos principales: auditora interna, formando parte de los rganos de control, o si forma parte de los centro informticos. En funcin del tamao de la organizacin, la funcin de auditora informtica no necesariamente recaer en una unidad especfica, sino que podr ser una especializacin dentro de una unidad con ms alcance, como pueden ser las Inspecciones de los Servicios en la Administracin General del Estado (AGE). En el caso concreto de la AP que presta servicios electrnicos a los ciudadanos, se requiere el establecimiento de medidas tanto tcnicas como organizativas, que aseguren el mantenimiento de las garantas en los procedimientos y fortalezcan la confianza de los usuarios y administrados. El auditor informtico debe colaborar, para ello debe comprender los procesos de los servicios pblicos, evaluar programas y polticas pblicas para la mejora de la calidad de los servicios (con referencia a los modelos EFQM y EVAM), evaluar cartas de servicios, analizar la demanda de los usuarios, evaluar la satisfaccin de los usuarios, etc.
2. ADMINISTRACIN,PLANIFICACIN
Uno de los marcos de referencia ms utilizados en auditora informtica es COBIT (http://www.isaca.org/cobit.htm), se trata de una institucin americana, dependiente del IT Governance Institute que naci en 1996. Su misin y objetivos es investigar, desarrollar y promocionar objetivos de control relacionados con las Tecnologas de la Informacin a nivel internacional. COBIT se caracteriza por su orientacin al negocio, recopila un juego internacional de objetivos de control actualizados que cuentan con amplia aceptacin para su uso diario por parte de los encargados del negocio y de los encargados de Tecnologas de la Informacin.
EMOTEne2010
P g i n a |9
CEF
Recoge indicadores clave de rendimiento asociados a la mejora de procesos. Otro referente claro es ITIL. Originalmente creado por el gobierno del Reino Unido, ITIL resume las mejores prcticas de implementacin en la gestin de los procesos de Tecnologas de la Informacin. Define los procesos para desplegar y mantener servicios de TI (asimilables normalmente a aplicaciones) centrando su foco en el negocio. La filosofa ITIL gira alrededor de la gestin de incidencias como plataforma de comunicacin y de una base de datos que centraliza la de gestin de la configuracin (CMDB).
EMOTEne2010
P g i n a |10
CEF
En un vistazo general parece que COBIT se solapa considerablemente con ITIL, sin embargo COBIT tiene una clara influencia por el rea de seguridad: fusiones y adquisiciones, subcontratacin, auditora, son captulos clave en el marco de referencia COBIT.
2.1Procesodeunaauditora
Corresponde a la alta direccin de la organizacin soportar el mantenimiento de la funcin de auditora de sistemas de informacin para el control de los recursos propios. Hay que definir la estructura organizativa donde se lleven a cabo las auditoras, bien internas, con el mandato o procedimiento de la funcin de auditora interna (indicando lo que se audita y lo que no se audita), bien externa, con el mandato para la auditora externa, siempre ser ste la norma que regular el proceso de auditora.
Como referencia la implantacin de una norma como la ISO 9001 exige como uno de los 4 procedimientos principales el de auditoras internas.
2.2Estndaresynormastcnicas
Los instrumentos de normalizacin y estndares son amplios y variados, en funcin del sector a auditar, citaremos algunos de ellos: NORMAS DEL SECTOR PBLICO Normas de Auditora del Sector Pblico de la IGAE: www.igae.pap.meh.es/Internet/Cln_Principal/ClnPublicaciones/ClnNormasAuditoria Resolucin de 23 de junio de 2003, del Instituto de Contabilidad y Auditora de Cuentas, por la que se publica la norma tcnica de auditora sobre la auditora de cuentas en entornos informatizados. Serie del Centro Criptogrfico Nacional Seguridad de las Tecnologas de la Informacin (consultar CCN-STIC en https://www.ccn-cert.cni.es. Information Technology Infrastructure Library (ITIL) desarrollada por Office of Government Commerce del H.M.Teasury de UK Government, constituye una gua de las mejores prcticas para la gestin de servicios de tecnologas de la informacin (disponible en www.ogc.gov.uk). Serie de Publicaciones Especiales del Instituto Nacional de Estndares y Tecnologa de EE.UU. (NIST Special Publications disponibles en http://csrc.nist.gov/publications/nistpubs/index.html). RECOMENDACIONES DE ORGANIZACIONES INTERNACIONALES Control Objectives for Information and Related Technologies (COBIT) de la Asociacin de Auditora y Control de Sistemas de Informacin (ISACA), establecen un marco para la auditora informtica y son un referente empleado por muchas organizaciones: http://www.isaca.org/Template.cfm?Section=COBIT6&Template=/TaggedPage/Tagge dPageDisplay.cfm&TPLID=55&ContentID=7981. IS Standards, Guidelines and Procedures for Auditing and Control Professionals de ISACA, define los procedimientos a realizar en determinadas actuaciones de auditora informtica e incluye su cdigo de tica profesional (www.isaca.org). Instituto SANS (SysAdmin, Audit, Network, Security), publica varios programas (www.sans.org). NORMAS INTERNACIONALES Cdigo de buenas prcticas para la gestin de la seguridad de la informacin, actual ISO/IEC 27002. Especificaciones para los sistemas de gestin de la seguridad de la informacin (SGSI) ISO/IEC 27001:2005. Criterios comunes de evaluacin de la seguridad de las tecnologas de la informacin ISO/IEC 15408:2005 (Common Criteria for Information Technology Security Evaluation
CEF
Versin 2.3 Agosto 2005, disponible en http://www.oc.ccn.cni.es/ccv2.3_es.html), desarrollados por los organismos de normalizacin CSE - Canad, SCSI - Francia, BSI Alemania, NLNCSA - Holanda, CESG - Reino Unido, NIST - EE.UU. y NSA - EE.UU.). Gestin de la seguridad de las tecnologas de la informacin y las comunicaciones ISO/IEC 13335:2004. Metodologa para la evaluacin de la seguridad de los sistemas de informacin ISO/IEC 18045:2005. PROCEDIMIENTO ADMINISTRATIVO Real Decreto 263/1996, de 16 febrero 1996, que regula la utilizacin de tcnicas electrnicas, informticas y telemticas por la Administracin General del Estado (publicado en el BOE de 29/02/1996). Legislacin sobre registros telemticos: Real Decreto 72/1999 que regula la presentacin de solicitudes, escritos y comunicaciones ante la AGE, la expedicin de copias de documentos y devolucin de originales y el rgimen de registros; Real Decreto 209/2003 que regula los registros y notificaciones telemticas, utilizacin de medios telemticos para la sustitucin de certificados, y la Orden PRE/1551/2003 que desarrolla su disposicin final primera. Resolucin de la Secretara de Estado de Administracin Pblica del 26 de mayo de 2003 que dispone la publicacin del acuerdo del Pleno de la Comisin Interministerial de Adquisicin de Bienes y Servicios Informticos que aprob los criterios de seguridad, normalizacin y conservacin de las aplicaciones utilizadas por la AGE en el ejercicio de sus potestades (disponible en www.csi.map.es/csi/pg5c10.htm). MAGERIT Versin 2, Metodologa de anlisis y gestin de riesgos de los sistemas de informacin (www.csi.map.es/csi/pg5m20.htm). PROTECCION DE DATOS DE CARCTER PERSONAL Ley Orgnica 15/1999, de proteccin datos de carcter personal. RD 1729/2007 Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgnica 15/1999, de 13 de diciembre, de proteccin de datos de carcter personal. Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el mbito de la Administracin Electrnica.
2.3Planificacin
La planificacin consiste en la fijacin de objetivos y metas, as como en la propuesta de estrategias, polticas y programas tendentes a alcanzarlos. Las actuaciones de Auditora Informtica requieren una planificacin en tres niveles En el primero de ellos se define qu se debe auditar (estableciendo prioridades): Requerimientos legales. El resultado de un anlisis de riesgos. El resultado de auditoras anteriores. En el segundo nivel se decide cundo auditar, priorizando las actuaciones a realizar, y ajustando el alcance de las mismas a los recursos disponibles. Por ltimo, en el tercer nivel se estipula el detalle de cmo realizar las actuaciones previstas en ese plan, que se materializarn en actuaciones concretas.
EMOTEne2010
P g i n a |12
CEF
Debe obtenerse toda la informacin preliminar sobre la actividad llevada a cabo por el rea sujeta a la actuacin de auditora, en especial el esquema organizativo de control interno, contra el cual se efectuar la evaluacin: polticas, normas, procedimientos e instrucciones tcnicas aplicables al alcance de la actuacin. De no existir un marco de control definido en la organizacin se podrn emplear como referencia estndares y/o buenas prcticas (ISO, Instituto Sans, COBIT, NIST, Serie CCN-STIC del CNI, etc.). Con toda la informacin el equipo auditor podr definir los objetivos, proponer un calendario, identificar los interlocutores, establecer el tipo de informacin a recopilar y las verificaciones o pruebas de campo a efectuar durante la actuacin. En definitiva, estructurar los contenidos en un Guin de la Actuacin que se emplear para sistematizar las tareas.
2.4 Auditora asistida por ordenador y software de auditora informatizada.

Existen herramientas que facilitan la generacin de muestras, se emplean para interrogar a los SSII o para extraer informacin que luego ser tratada por otra herramienta de anlisis. No tienen por qu ser productos especficos, se pueden emplear los SSOO y SGBD que recogen datos de controles implementados en los logs. El empleo de herramientas asegura independencia en la recoleccin de los datos, y suelen tener las siguientes caractersticas: Acceso a distintas estructuras o formato de datos; Reorganizacin de archivos, incluyendo indexacin, clasificacin fusin y cruce; Seleccin de datos, filtrado y aplicacin de criterios de bsqueda; Funcionalidades estadsticas (muestreo, estratificacin y frecuencias); Funcionalidades aritmticas. Las ventajas del uso de herramientas de auditora informtica son: Disminucin del riesgo propio del proceso de auditora en la recoleccin de datos; Mayor independencia; Mayor cobertura y ms consistentes al poder emplear un alto nmero de datos, analizando ms y mayores muestras; Mayor disponibilidad; Ahorro de costes con el tiempo. Existen productos de software, suelen denominarse CAATT (herramientas y tcnicas de auditora asistida por ordenador) que permiten realizar auditoras informatizadas en varias plataformas. Estos productos pueden realizar las siguientes funciones: Anlisis de riesgos Planificacin de auditoras, Generacin y gestin de los papeles de trabajo, Generacin de informes, Procedimientos de tramitacin de los informes, Obtencin de copias para archivo, Estadsticas de las actuaciones, Administracin y gestin de la seguridad del producto. Suelen incorporan adems las tcnicas ms sofisticadas de anlisis de ficheros y extraccin de datos, con objeto de detectar la manipulacin o fraude y permitir el seguimiento continuo de los procesos de las organizaciones. Cuentan con herramientas como: Cuestionario general inicial. Cuestionarios Checklist. Estndares. Monitores. Simuladores (Generadores de datos).
CEF
Paquetes de auditora (Generadores de Programas).
3. ORGANIZACIN,INFRAESTRUCTURATCNICA
En casi todas las organizaciones, los auditores internos se organizan en un Departamento de Auditora Interna separado, dependiente de la alta direccin y que constituye un rgano especializado de control. El tamao de este departamento depende del tipo de organizacin y de las funciones de control interno (como ej. la Administracin Tributaria debera contar con un 0,5 a 1 % del personal de la organizacin). Las funciones desempeadas por este departamento suelen ser: establecer, mantener y mejorar controles efectivos (evaluando su eficacia y eficiencia), contribuir al establecimiento, mantenimiento y mejora del sistema de gestin de riesgos, velar por el mantenimiento de la seguridad en la organizacin (sugiriendo mejoras aplicables a la seguridad de los activos, y la seguridad fsica y lgica), regulacin de normas de conducta del personal (promocin de valores ticos, prevencin y deteccin de conductas irregulares), y por ltimo ejercer como rgano de asesora y consultora al servicio de la direccin de la organizacin.
3.1 Esquema Organizativo de la Funcin de Auditora. Modelos Organizativos.

En un primer modelo, los auditores de SSII forman parte de los rganos de control, supervisin o auditora interna (intervenciones, inspecciones generales, servicios de auditora, etc.). Esta opcin permite una mayor independencia del auditor al distanciarse en mayor medida del sujeto de su actuacin. El otro modelo incluye el trabajo de los auditores informticos en los propios centros informticos. En este caso, las actividades de auditora se suelen concebir como un instrumento utilizado por los responsables directivos del centro para garantizar la seguridad y la calidad de las operaciones e identificar y mitigar los riesgos. En este caso hay una implicacin ms directa en las tareas destinadas a mejorar la calidad y asegurar el funcionamiento de los sistemas de informacin, que se llevan a cabo en los propios Centros Informticos. En cualquier modelo organizativo se han de cumplir unos principios necesarios para que la funcin de auditora pueda desarrollarse con xito: Independencia: sin funciones operativas + no preparacin y desarrollo de procedimientos, o tomar decisiones ejecutivas que comprometieran su funcin en auditoras posteriores. Autoridad: acceso no restringido a la informacin, datos, informes, actividades y al personal de todas las unidades sujetas a auditar.
3.2Elauditorinformtico.Perfiltcnico.ticaprofesional.
Perfil tcnico En el mbito del sector privado existen organizaciones profesionales que habilitan a un profesional como auditor informtico mediante la certificacin profesional que gestionan. En general, las reas de conocimiento requeridas para cubrir el perfil profesional de un auditor pueden ser: Tcnica o metodologa de auditora informtica. Gestin, planificacin y organizacin de las tecnologas de la informacin.
EMOTEne2010
P g i n a |14
CEF
Infraestructura tcnica, prcticas operativas y proteccin de activos informticos. Recuperacin de desastres y continuidad de la actividad soportada por los sistemas de informacin. Desarrollo, adquisicin, implementacin y mantenimiento de sistemas de informacin. Evaluacin de procesos de negocio y gestin de riesgos. La certificacin se obtiene despus de aprobar un examen sobre esas materias, acreditar una experiencia profesional adecuada en el campo de las TIC y aceptar un cdigo de tica profesional; y se mantiene acreditando una formacin continua. Ej. de certificaciones profesionales (destacan las emitidas por la Asociacin de Auditora y Control de Sistemas de Informacin (Information Systems Audit and Control Association, ISACA): CISA, Auditor Certificado de Sistemas de Informacin (Certified Information Systems Auditor). CISM, Gestor Certificado de Seguridad de la Informacin (Certified Information Security Manager). tica profesional Ej. cdigo de tica profesional definido por ISACA, de obligado cumplimiento para sus miembros y para los poseedores de las certificaciones CISA y CISM: Apoyar el establecimiento y cumplimiento de normas y controles en los SSII Cumplir las normas de auditoras de los SSII Actuar en inters de los empleadores, accionistas, clientes y pblico en general, de forma diligente, leal y honesta Confidencialidad de la informacin recogida (no se podr utilizar en beneficio propio o divulgarla a terceros no legitimados) Independencia y objetividad Competencia en auditora y SSSII Obtener y documentar material suficiente para poder soportar las conclusiones y recomendaciones Informar a las partes involucradas del resultado de la auditoria Apoya la educacin de la gerencia, cliente y pblico en general, para la mejor comprensin de la auditora y los SSII Estndares de conductas: actividades profesionales y privadas
Para los profesionales de la Administracin Pblica no existe un cdigo de estas caractersticas, pero como funcionarios estn sujetos a mantener una conducta y diligencia profesional adecuada: El Real Decreto 33/1986, de 10 de enero, aprueba el Reglamento de Rgimen Disciplinario en la AGE en el que se estipulan las faltas, que podran suponer la aplicacin de sanciones disciplinarias. Entre ellas se citan: Adopcin de acuerdos manifiestamente ilegales que causen perjuicio a la Administracin. No guardar el debido sigilo respeto a los asuntos que conozca por razn de su cargo. Descuido o negligencia en el ejercicio de sus funciones. Incumplimiento de sus deberes y obligaciones. Los Subsecretarios de los Departamentos ministeriales son los que ostentan la competencia para ordenar la incoacin del expediente disciplinario. Ley del Estatuto Bsico del Empleado Pblico (7/2007 de 12 de abril) de los deberes bsicos de los empleados pblicos, fundados en principios ticos y reglas de comportamiento, constituye un autntico cdigo de conducta con unos principios ticos a los que los empleados pblicos debern ajustar sus actuaciones.
EMOTEne2010
P g i n a |15
CEF
4. PRCTICASOPERATIVAS
El proceso de una auditora TIC tiene diferentes fases: Planificacin de la auditora. Desarrollo de la auditora: examen y evaluacin de la informacin obtenida en la fase previa. Comunicacin de los resultados. Seguimiento de las recomendaciones. PLANIFICACION DE UNA AUDITORIA Consiste en su preparacin, se materializa en la elaboracin de un guin de auditora o plan de trabajo (meno denso que el guin) en el que se recogen los objetivos y el alcance de la auditora, la metodologa a seguir, y las actividades a desarrollar. La metodologa se disea para obtener las pruebas que sustenten evidencias o hallazgos suficientes, relevantes y competentes para cumplir con los objetivos de la auditora. El trabajo de planificacin concluye con la confeccin de un plan de trabajo o guin de auditora: identificacin de los aspectos tcnicos, riesgos, procesos y actuaciones que deben revisarse; naturaleza y extensin de las pruebas requeridas; definicin de los procedimientos de auditora que deben aplicarse para captar, analizar e interpretar la informacin; documentos e instrumentos que se van a utilizar en las actuaciones de auditora, en particular las muestras que deben tomarse y la forma de obtenerlas; cronograma detallado de las actividades a realizar junto con el personal del equipo de auditora asignado a cada tarea. FORMALIZACIN DEL INICIO DE LA ACTUACIN El inicio de la actuacin debe formalizarse mediante una notificacin del responsable de la unidad de auditora de la organizacin dirigida al responsable de la unidad auditada, en la que se identifique al equipo auditor y el objeto de la accin a llevar a cabo. Durante la entrevista, convenida de mutuo acuerdo y en las instalaciones de la unidad auditada, el equipo auditor describir el proceso a llevar a cabo, el tipo de auditora a realizar, la informacin que necesitar recopilar durante la actuacin, las pruebas y verificaciones que se harn y la colaboracin requerida por parte del personal del rea para que haga accesible la informacin solicitada y permita la realizacin de las comprobaciones que determine el equipo auditor. Se designar el interlocutor del rea auditada para ayudar al equipo auditor, y se identificarn el resto de los interlocutores. Durante la auditora se obtiene, analiza y documenta informacin de diversas fuentes, como registros informticos, informacin documental, informacin testimonial (entrevistas, cuestionarios, informes solicitados,..) que requieren un trabajo de campo. TRABAJOS DE CAMPO En esta fase del proceso de auditora, el equipo auditor recopilar informacin adicional con el fin de obtener evidencias e identificar hallazgos que reflejar como conclusiones de la actuacin. Si existiera una auditora previa, el esfuerzo se centrar en identificar los cambios operacionales o tcnicos desde la ltima actuacin, si no, hay que recoger toda la informacin desde el principio (supone un mayor esfuerzo). Evidencia: cualquier informacin empleada por el auditor para determinar si el proceso que se est auditando cumple con los criterios y objetivos de la auditora. RAE. certeza clara y manifiesta de la que no se puede dudar, y en una acepcin ms jurdica como prueba determinante en un proceso.
EMOTEne2010
P g i n a |16
CEF
Las conclusiones del informe de auditora, debern estar basadas en evidencia suficiente, relevante y competente: Suficiente: En la cantidad necesaria para que puedan soportar las conclusiones del auditor, es decir que sean suficientes para persuadir a una persona razonable de la validez del resultado. Se pueden emplear mtodos estadsticos para determinar el tamao de las muestras o la cantidad de pruebas a realizar. Relevante: Si tiene relacin lgica y ajustada al objeto de la actuacin. Competente: Que sea vlida, tenga calidad, y ser consistente con el hecho a demostrar. La forma de determinar la suficiencia, relevancia y competencia de una evidencia depender del origen de la misma: Datos obtenidos por el equipo auditor. Datos recogidos por los auditados. El grado de fiabilidad de las evidencias que se obtengan depender de una serie de factores: Independencia del proveedor de la evidencia, una fuente externa al rea auditada ser en un principio ms confiable. Cualificacin del entrevistado (formacin y experiencia). Objetividad (priman las evidencias objetivas frente a las subjetivas). Tiempo de disponibilidad. Segn su naturaleza, las evidencias se pueden clasificar en: Fsicas: fotografas, dibujos o esquemas, muestras fsicas. Documentales. Testimoniales: resultado de entrevistas, cuestionarios o listas de verificacin. Analticas: mediante comparaciones, separacin de informacin en componentes, clculos o empleo de argumentos razonados. Finalmente sealar que en todo caso, si se demuestra la existencia de errores en los datos que no podrn soportar la evidencia como vlida, ser necesario: Buscar otras fuentes de evidencia. Redefinir los objetivos de la auditora para eliminar la necesidad de contar con datos. Usar los datos, pero sealando en el informe las limitaciones de los mismos, evitando hacer conclusiones o recomendaciones sin garantas. Tcnicas para la recoleccin de evidencias Revisin de documentos: los documentos a estudiar en primer lugar sern aquellos solicitados en la entrevista que formaliz el inicio de la actuacin organigramas, polticas, normas y estndares, documentacin de SSII Entrevistas: obtencin de informacin y averiguar el grado de conocimiento de los entrevistados sobre el sistema de control que ser objeto de la auditora. Material de apoyo: cuestionarios, listas de verificacin 5. Segn el momento en que se realicen y el tipo de informacin recopilada, se pueden clasificar en: Preeliminares: Se mantienen con interlocutores de nivel directivo alto/medio. En esta fase se documentarn las entrevistas, se solicitarn organigramas, documentos de planificacin general, y documentacin sobre el sistema de control aplicado. De detalle: Se mantienen con los mandos con responsabilidad directa en la ejecucin de los controles y con responsables tcnicos. Se podr solicitar cumplimentar un cuestionario detallado o una encuesta, y podr requerirse documentacin detallada sobre el proceso evaluado (normas, procedimientos y estndares reconocidos). De seguimiento: Durante todo el proceso de la auditora se podrn mantener reuniones breves con la direccin del rea auditada para informarle sobre los hechos observados en la actuacin, y aclarar dudas o corregir malos entendimientos e inexactitudes. Pruebas y verificaciones de campo
EMOTEne2010
P g i n a |17
CEF
Pruebas de cumplimiento: Orientadas a comprobar que se cumplen determinados procedimientos de control o procesos establecidos y que funcionan segn lo esperado. Pruebas sustantivas (o de validacin): Se aplican para detectar la presencia o ausencia de errores en los procesos o controles. Hallazgos: criterios, condiciones y efectos que permitan documentar los problemas encontrados, que dependern del objeto de la auditora. Se entiende por criterio un estndar empleado para determinar si el objeto de la revisin cumple las expectativas para lo que fue pensado, por ejemplo, estndares o normas tcnicas. Por condicin se hace referencia a la situacin que existe y se ha determinado y documentado durante la entrevista, por ejemplo, la falta de elementos de extincin de incendios. Por efecto entendemos las consecuencias de una condicin, que pueden variar un criterio identificado en la auditora, y evidencian la necesidad de medidas correctivas, como por ejemplo, la falta de extintores aumenta el riesgo de no poder controlar un conato de incendio. Impacto de un hallazgo segn su materialidad Bajo => descripcin del hallazgo como vulnerabilidad a la que se expone el sistema. Medio => se refleja en el informe como posible debilidad del sistema de control. Alto => se identifica como una debilidad que debe compensarse o anularse con ms controles, o haciendo los existentes ms estrictos. EVALUACIN DE LA INFORMACIN Se revisa toda la informacin recopilada as como los hallazgos. En esta fase se valorar el cumplimiento de las normas, procedimientos y estndares reconocidos, y se determinar si los procedimientos tienen una estructura de control adecuada, que sea efectiva en trminos econmicos, y que provea una adecuada seguridad para que las tareas se realicen segn lo previsto, y que el objetivo o punto de control se cumple. Todo el anlisis debe estar justificado con evidencias recogidas en la actuacin. COMUNICACIN DE LOS RESULTADOS La comunicacin de los resultados obtenidos en la auditora se realiza mediante informes de auditora. Al final del proceso de la auditora se mantendr una reunin de cierre con el mximo responsable de la unidad auditada (quien haya participado en la reunin de lanzamiento), con objeto de comunicar los principales hallazgos de la actuacin. Se redacta el borrador del informe, que incluir todos los hechos, hallazgos, conclusiones y recomendaciones. La redaccin debe ser clara y concisa. Los informes de auditora deben someterse a un procedimiento de tramitacin, generalmente contradictorio. Esto significa que el rgano o entidad auditada tienen la posibilidad de plantear, en un plazo prefijado, observaciones o alegaciones al informe preliminar, que son evaluadas por los auditores al elevar el informe definitivo. SEGUIMIENTO CONTINUO En el informe se podr sealar que las recomendaciones que deben ser llevadas a cabo en un perodo de tiempo determinado a contar tras su recepcin, o ser la direccin de la organizacin quien decida cundo y cmo llevar a cabo las recomendaciones. En las recomendaciones el auditor propone soluciones a los problemas detectados basadas en su experiencia profesional y plantea mejoras con vistas a conseguir que la organizacin cumpla sus objetivos. No suelen ser directamente ejecutivas (de obligado cumplimiento por parte del auditado).
EMOTEne2010
P g i n a |18
CEF
4.1 Guas de Auditora de los sistemas de informacin (guin, puntos decontrol)

Aunque cada auditora es nica, se pueden encontrar similitudes entre ellas para los mismos objetivos de control, y en especial si tienen un carcter peridico. El guin, los documentos preliminares empleados para su elaboracin, y los documentos en que se apoyarn las evidencias que se recogern durante los trabajos de campo, constituyen los conocidos como papeles de trabajo, que tienen los siguientes fines: Son el principal soporte para la elaboracin del informe de auditora. Ayudan al auditor a llevar a cabo la auditora. Permitiran a terceros evaluar la calidad de las acciones realizadas. El guin elaborado en la fase inicial de la auditora es un documento vivo que puede verse modificado. Por lo tanto, durante la actuacin el guin ir reflejando las actividades realmente desarrolladas en la actuacin, y la versin final deber incluir: Objetivos, alcance y metodologa empleada, sealando los criterios a utilizar para recoger las muestras a emplear en la realizacin de las pruebas. Documentar el trabajo realizado para soportar las conclusiones del informe. Evidencias para la revisin del trabajo realizado, sealando las referencias al resto de los papeles de trabajo. Punto de control: seala el objetivo de control a supervisar para ver en qu forma se tienen identificados y bajo control los riesgos asociados. En funcin del objetivo y alcance de la actuacin podrn definirse varios puntos de control, que sern las consideraciones genricas a tener presentes durante la actuacin. Directriz de auditora: para cada punto de control identifica qu tareas deben efectuarse con carcter previo o durante la actuacin, desde la obtencin de la comprensin del entorno a auditar (incluida la obtencin de evidencias), la evaluacin de los controles existentes, la valoracin de la suficiencia y adecuacin de los mismos, y la justificacin de los hallazgo. El nivel de detalle de las directrices depender de los puntos de control, determinar los medios y las tcnicas de auditora que deben emplearse, lo que condicionar el calendario de la actuacin. Identificacin de medios: se identificarn con qu medios humanos y tcnicos se llevar a cabo la actuacin. Tcnicas a emplear: Identifican cmo se desarrollarn las tareas durante la actuacin. Solicitud y revisin de documentacin. Entrevistas. Encuestas. Observacin del trabajo realizado. Pruebas de cumplimiento: Comprobaciones para determinar qu procedimientos o controles especficos estn adecuadamente establecidos, recogiendo evidencias de registros, documentos, observacin del funcionamiento de pruebas especficas. Pruebas sustantivas: Comprobacin de la existencia o ausencia de errores o irregularidades. Uso de herramientas informticas: pueden ser especficas para la generacin de muestras, o las de la organizacin obtener informacin de los SSII existentes. Calendario: planificacin de las tareas identificadas sealando en qu momento de la actuacin se llevarn a cabo. Como ejemplo, COBIT cuenta con una directriz genrica para elaborar el guin de una actuacin. El Comit Directivo de COBIT y el IT Governance Institute han elaborado el documento Directrices de Auditora, que seala para cada uno de los 34 objetivos de control de alto nivel los pasos a seguir, indica las directrices de auditora detalladas a tener en cuenta y las herramientas de auditora a emplear en la actuacin. Aunque dado lo genrico del planteamiento de COBIT, el auditor debe adecuar lo sealado por la metodologa y hacerlo aplicable al entorno de la organizacin auditada.
CEF
COBIT cuenta tambin con los puntos de control que se obtienen a partir de los 34 objetivos de control de alto nivel, los que a su vez se subdividen en otros con mayor detalle. En COBIT los objetivos de control se agrupan en cuatro dominios que se corresponden con un ciclo de control de cuatro etapas: planificacin, implementacin, revisin y mejora. Cabran consideraciones similares al emplear otras referencias metodolgicas que sealan las mejores prcticas, como ITIL para la gestin de servicios TIC, o ISO/IEC 27002 para los sistemas de gestin de la seguridad de la informacin. Considerando que las auditoras informticas suelen enfocarse en el anlisis de situaciones de riesgos informticos en reas de actividades concretas, por ejemplo la seguridad fsica de los locales del centro de tecnologas de la informacin o la seguridad lgica de los sistemas de informacin, en este apartado se sealarn los principales puntos de control a tener en cuenta segn la naturaleza de la auditora. A continuacin algunos controles asociados a tipos de auditoras. Auditora de la direccin de tecnologas de la informacin: evaluar las reas de riesgo relativas a cmo se planifican, organizan, coordinan y controlan las actividades propias del rgano con responsabilidad y competencias en TIC. Los controles a tener en cuenta sern: Planificacin: Comit para la planificacin y seguimiento de actividades TIC, existencia de un Plan Director o Estratgico de Sistemas de Informacin y Comunicaciones, otros planes relacionados. Organizacin y coordinacin: Ubicacin de la Unidad con competencias TIC dentro de la Organizacin, descripcin de funciones y responsabilidades de la Unidad TIC, marco metodolgico, recursos humanos, gestin econmica, gestin de proyectos. Proteccin contra delitos informticos: medidas preventivas y controles sobre los sistemas de informacin para evitar su uso no autorizado o el de los datos, ya sea por personal propio, personal de apoyo o terceros. Control interno: Definicin de polticas y su desarrollo normativo, seguimiento, directrices de auditora interna, ajuste a la normativa vigente. Auditora de la seguridad: evaluar la funcin de seguridad en la Organizacin, y cmo se articulan las medidas para controlar las vulnerabilidades de los entornos fsicos y lgicos TIC. Prcticas Comunes de Seguridad: Aspectos organizativos, polticas de Seguridad aplicados a los sistemas TIC, planes para contingencias y desastres, programas de seguridad, aspectos de personal, seguridad en los accesos de terceras partes a los sistemas TIC, cesin de datos e intercambio de informacin con terceras partes, gestin de incidencias, documento de seguridad de los datos de carcter personal. Objetivos de la Seguridad Fsica: Entornos fsicos e inventario de activos a proteger, establecimiento de reas seguras, proteccin contra siniestralidad natural y delictiva, proteccin contra el fuego, suministro elctrico, permetro de seguridad fsica y su proteccin contra la intrusin, controles de accesos a las instalaciones, proteccin de medios empleados para el respaldo de la informacin, seguridad en la reutilizacin o eliminacin de equipos y soportes magnticos, actuacin en caso de sustraccin de equipos, contratos de soporte, asistencia, servicios de seguridad y plizas de seguros, mecanismos para la resolucin de incidencias. Objetivos de la Seguridad Lgica: Inventario de activos a proteger, proceso de autorizaciones, restricciones de acceso lgico a los sistemas, gestin de cambios en el software, mecanismos para el respaldo del software y datos seguridad de los datos, monitoreo y deteccin de actividades ilcitas. Auditora del equipamiento informtico: Planificacin de la infraestructura tecnolgica: determinar el ajuste y la evolucin de la infraestructura a los cambios tecnolgicos y al soporte de la actividad de la organizacin, plataforma HW y plataforma SW. Inventario: detectar el ajuste de los medios empleados a la legalidad vigente, y su uso como herramienta para la planificacin de otras reas, registro de los componentes, requerimientos legales y contractuales, planificacin de recursos.
EMOTEne2010
P g i n a |20
CEF
Mantenimiento HW: analizar los procedimientos seguidos para asegurar la correcta operatividad del equipamiento informtico, adecuacin del personal propio, garantas de los productos, gestin de los contratos de mantenimiento, gestin de incidencias. Puestos de trabajo: anlisis de la especializacin, la proteccin de los recursos, los estndares de hardware y software, la proteccin de programas de ordenador, el almacenamiento de informacin, la formacin, el soporte a usuarios, etc. Redes de rea local: evaluacin de los controles establecidos para minimizar los riesgos asociados en las reas centradas en desarrollo, explotacin, seguridad y comunicaciones, arquitectura y organizacin, aplicaciones soportadas en red, gestin de la red, seguridad de la red. Auditora de la explotacin de los sistemas de informacin: asegurar la correcta y segura operacin de los recursos para el tratamiento de la informacin. Procedimientos y responsabilidades de operacin: Documentacin de los procedimientos operativos, control de cambios operacionales, procedimiento de gestin de incidencias. Planificacin de los trabajos. Segregacin de tareas dentro de la Unidad. Proteccin contra software malicioso en productos externos o en desarrollos propios. Utilizacin y seguridad en los soportes de informacin. Intercambio de informacin con el exterior. Proteccin contra fraudes informticos: medidas tcnicas y organizativas adoptadas para evitar el uso fraudulento de datos o aplicaciones, o para contrarrestar posibles ataques informticos (caballo de Troya, puertas falsas, ataques internos, ataques externos, sustitucin de la identidad, pinchado de lneas, etc.) Auditora de la contratacin de bienes y servicios TIC: se verificarn las polticas y los procedimientos de adquisicin establecidos por la Organizacin. Dado que en la Administracin Pblica los organismos estn sujetos al marco que establece la Ley de Contratos, su reglamento, as como otras disposiciones normativas; la auditora se centrar en verificar el cumplimiento de los mismos. Adems, debe asegurarse que la interpretacin del marco legal se ha implementado con procedimientos internos adecuados, y que los mismos aseguran los principios de transparencia e igualdad de oportunidades para que los posibles oferentes puedan realizar la oferta ms conveniente para la Organizacin. Organizacin de la contratacin: Se analizar la fluidez y operatividad de las relaciones con otras unidades de la Organizacin o externas que intervienen en el proceso de contratacin. Criterios seguidos en la planificacin de las contrataciones: rea responsable, ajuste a los planes estratgicos y partidas presupuestarias, mecanismos para hacer frente a las demandas extraordinarias, criterios usados para la determinacin de los techos presupuestarios. Polticas y criterios para la adquisicin de bienes y servicios informticos: Formacin en contratacin TIC del personal tcnico directivo, criterios de contratacin (tipos de contratos), objeto del contrato con adecuado nivel de detalle, requisitos mnimos detallados y cuantificados, criterios de adjudicacin objetivos, clausulado especial incluido en los pliegos de clusulas especficas, criterios seguidos para la adjudicacin de los contratos. Otros tipos de auditoras de sistemas de informacin Control de accesos Bases de datos Tcnica de sistemas Calidad de los productos desarrollados Seguridad en las comunicaciones Gestin de la continuidad del servicio informtico Acreditacin de servicio de confianza.
EMOTEne2010
P g i n a |21
CEF
Tambin se debe hacer mencin a las actuaciones de auditora de sistemas de informacin que cubran requerimientos dados por la normativa vigente en Espaa, tales como: Proteccin de datos: analizar el grado de cumplimiento a las directrices establecidas por la Ley Orgnica 15/1999, de proteccin datos de carcter personal (LOPD) y por su reglamento. Aprobacin de programas que ejercen potestades: Se deber comprobar que los programas se adecuan a los procedimientos, segn lo establecido en el Real Decreto 263/1996, por el que se regula la utilizacin de tcnicas electrnicas, informticas y telemticas por la Administracin General del Estado, y su adecuacin a los criterios de seguridad, normalizacin y conservacin sealados por la Resolucin de la Secretara de Estado de Administracin Pblica del 26 de mayo de 2003. Registros Telemticos: Se deber identificar su existencia y comprobar el cumplimento de la legislacin asociada. Esquema Nacional de Seguridad.
4.2Informesdeauditora
El objetivo fundamental del Informe de Auditora es la comunicacin de los resultados de la actuacin a los usuarios u rganos directivos competentes de la organizacin. Su redaccin debe ser clara para evitar en lo posible que se preste a interpretaciones diferentes a las que el auditor hubiese concluido. El informe adems servir para facilitar el seguimiento y comprobar posteriormente que se han tomado las acciones correctivas adecuadas. Asunciones: todo lo que se refleje en el informe de auditora debe ser consecuencia de asunciones explcitas, probadas y que puedan ser desafiadas. El informe debe redactase con la habilidad suficiente para que la organizacin pueda ser capaz de ejecutar los resultados segn lo esperado. Leguaje empleado: se cuidar el lenguaje y la gramtica. Se evitar el empleo de tecnicismos propios de las TIC, en especial cuando los destinatarios del informe no sean tcnicos en la materia. Versiones del informe: la primera versin de la redaccin ser el borrador del informe, que debera ser cumplimentado lo antes posible, e incluir todos los hechos, conclusiones y recomendaciones. El borrador se remitir a la direccin del rea auditada, sujeto a revisin, y su calidad de documento reservado. Al final del perodo de respuesta, y despus de revisar y en su caso tomar en consideracin las observaciones remitidas por el rea auditada sobre el borrador, se elaborar el informe final de la auditora. Si el equipo de auditora no coincidiese con alguno de los comentarios realizados sobre el borrador, debern ser explicadas las razones e incluidas en el informe final, que a su vez incluir la respuesta recibida. Distribucin del informe: El informe se distribuir a quienes, en funcin de la normativa interna establecida, sean competentes para conocerlo. Cuando los contenidos del informe sean considerados como sensibles para los intereses de la organizacin, se asegurar la restriccin de la circulacin del informe, que se reflejar en el propio informe para garantizar el grado de confidencialidad requerido. Otros entregables: Las recomendaciones incluidas en el informe podrn dar lugar a instrucciones en un documento independiente, que sern dirigidas a la direccin de la unidad auditada, sugiriendo acciones para resolver las incidencias detectas en el sistema de control. Si el informe es muy extenso o muy tcnico, sera conveniente la preparacin de un resumen ejecutivo para que pueda ser analizado con detenimiento por los rganos de direccin. CONTENIDO DEL INFORME Todos los informes contendrn unos apartados comunes con unos contenidos mnimos. Ttulo: univoco + mbito + alcance + unidad auditada + fecha + cdigo de identificacin, archivo y recuperacin posterior.
EMOTEne2010
P g i n a |22
CEF
ndice: todos los apartados incluidos con referencia a las pginas de su ubicacin + anexos. Introduccin: razones por las que se realiza la actuacin de auditora. Objetivo y alcance del trabajo desarrollado: objetivo perseguido y tipo de auditora efectuada. El alcance de la actuacin deber estar en consonancia con los objetivos, sealando la profundidad del trabajo realizado, mencionando expresamente las tcnicas empleadas y el tipo de comprobaciones efectuadas para evaluar la informacin. Establecer tanto dentro del alcance, como fuera del alcance. Metodologa: descripcin de las tareas realizadas en el curso de la actuacin: tcnicas de muestreo (aleatorias o no), prcticas realizadas (reuniones, entrevistas, encuestas, verificaciones, etc.), identificar los interlocutores por su cargo o puesto (y no por su nombre), indicar los documentos solicitados al rgano auditado (se incluirn en los anexos si contribuyen a la motivacin de la exposicin). Resultados de la actuacin: se describir y documentar las actuaciones realizadas y las evidencias obtenidas, que darn lugar a las conclusiones y propuestas del informe. Debern documentarse los resultados para cada punto de control incluido en el alcance. Para estructurar los resultados de una forma convincente se podr seguir el siguiente proceso en la exposicin de los elementos: Criterio: Descripcin de los estndares empleados para determinar si un programa de control alcanza los resultados esperados. Condicin: Situacin encontrada, que ha sido determinada y documentada durante la auditora. Efecto: Puede ser la medida de la consecuencia positiva o negativa de la variacin de la condicin respecto de los criterios determinados, o bien el impacto logrado por la aplicacin de un programa para cambiar ciertas condiciones. Causa: Motivo de la desviacin de los rendimientos fijados (auditoras operativas conclusiones claramente expresadas) o del cumplimiento de pautas preestablecidas (auditora de cumplimiento debilidades detectadas son deficiencias + fortalezas). Se incluirn en el informe todos los incumplimientos y abusos significativos que hayan sido detectados durante o en conexin con la auditora. El trmino incumplimiento comprende actos ilegales e inobservancia de normas o controles internos. Por abuso se entender toda conducta que se desva de las expectativas de conducta deseable. Si el informe se realiza como consecuencia de una auditora anterior, cada epgrafe sealar las medidas que el gestor haya decidido adoptar como consecuencia de las conclusiones y recomendaciones contenidas en los anteriores informes. Conclusiones y recomendaciones: formulacin de propuestas, siendo sin duda la parte ms relevante y probablemente la ms leda del informe. Las conclusiones deben redactarse de forma que se puedan comprender sin necesidad de acudir al resto del informe, o a sus anexos, y recogern todos los hechos significativos detectados en la actuacin. Con objeto de facilitar el seguimiento de las recomendaciones de una auditora anterior, en el informe se deber manifestar la situacin en que se encuentran los defectos significativos puestos de manifiesto entonces y no corregidos, as como identificar las posibles consecuencias negativas que pudieran derivarse de no corregir las deficiencias sealadas en la ocasin anterior. Las conclusiones se pueden redactar de forma: Descriptiva: Descripcin de los hechos ms significativos. Se podrn orientar a evaluar la eficacia o eficiencia de los controles implementados. Este criterio es aplicable en auditoras operativas o de cumplimiento. Dictamen: Juicio crtico que determinar el grado de ajuste de los controles a lo esperado Favorable/cumple, desfavorable/no cumple, cumple parcialmente.
CEF
Grado de madurez: Evaluacin de los controles de las reas auditadas. En este caso, para cada punto de control se aplicar una escala de medicin incremental sobre la forma en que se gestiona el riesgo. Este criterio es aplicable en auditoras operativas. Las recomendaciones se efectuarn cuando supongan una potencial mejora en el funcionamiento y harn referencia a las conclusiones de las que se derivan. Deben tener un carcter ejecutivo, es decir, comprometern a la organizacin para su realizacin, ya que ponen en evidencia deficiencias del sistema de control. Sern descripciones de las tareas ms importantes a realizar para asegurar los mejores controles posibles, y sern tanto ms tiles cuanto que se dirijan a resolver las causas de los problemas detectados, deben guardar una debida proporcin en materia coste-beneficio con la escala de la organizacin. El informe no slo reflejar desviaciones negativas, sino que har constar los logros ms notables alcanzados por la unidad auditada, en particular cuando las mejoras de las prcticas puedan ser aplicables por otras reas de la organizacin. En todo caso, deber ponerse en conocimiento de la alta direccin o del Servicio Jurdico las prcticas irregulares detectadas. Si durante el transcurso de la actuacin se descubrieran cuestiones importantes no relacionadas con el objeto de la auditora que se est realizando y que requieran un trabajo adicional, debern researse en el informe junto con las razones que justifiquen un trabajo suplementario posterior, de cara a que se tenga en cuenta en la planificacin de auditoras futuras. Anexos: detalles e informaciones adicionales que contribuyan a una mejor comprensin de los aspectos ms importantes incluidos en el informe. OTRAS CONSIDERACIONES Fecha de emisin y firma: el informe deber estar fechado, con la fecha del momento final de su elaboracin, y firmado en todas sus pginas por el auditor encargado del trabajo, y podr contener las condiciones profesionales del equipo de trabajo. Plazo de entrega: deber presentarse en las fechas establecidas. Si los hechos identificados durante fueran considerados de importancia, se podrn emitir informes previos parciales, de carcter provisional, ya que puede ser conveniente una actuacin correctiva inmediata. Alegaciones de los auditados: los responsables del rea auditada revisan el borrador del informe y formulan las alegaciones y comentarios que consideren oportunos. Al incluir las alegaciones de los auditados se logra que los informes no slo indiquen lo que se descubre y la opinin de los auditores acerca de tales hechos, sino tambin lo que piensan sobre ello los responsables y qu es lo que se proponen hacer al respecto. Las alegaciones deben constar por escrito, sern evaluadas objetivamente e introducidas en el informe final. Cuando estos comentarios sean contrarios a los juicios y conclusiones que aparecen en el borrador del informe, al auditor debe considerar las siguientes alternativas: Si se consideran justificadas, se introducirn las oportunas modificaciones antes de elevar el informe definitivo, no sin antes obtener la suficiente evidencia que soporte el cambio de posicin. Si no se est conforme con los comentarios recibidos deber sealarse esa circunstancia en el informe, aadiendo las observaciones de por qu no se aceptan las alegaciones del rgano auditado. Una vez transcurrido el plazo concedido para que la Unidad auditada realice las alegaciones y no hubiere contestado, los auditores debern elevar el borrador del informe a informe definitivo, haciendo constar especialmente en l las razones por las que no se incluyen las alegaciones.
EMOTEne2010
P g i n a |24
CEF
BIBLIOGRAFA
www.wikipedia.org Mdulo Auditora y Sistemas de Informacin, II Curso de Auditoras de Sistemas de Informacin (INAP), impartido por Vicente Peirats Cuesta en 2006. Mdulo Mtodo y Prctica de la Auditora de Sistemas de Informacin, II Curso de Auditoras de Sistemas de Informacin (INAP), impartido por Fernando Rodrguez Rivadulla en 2006. Mdulo Confianza en los sistemas de informacin y Criterios de Seguridad, Normalizacin y Conservacin de las aplicaciones usadas en el ejercicio de Potestades, II Curso de Auditoras de Sistemas de Informacin (INAP), impartido por Miguel ngel Amutio Gmez en 2006. Information _Espanol.pdf www.auditoresdesistemas.com. Institute of Internal Auditors: Model Curriculum for Information System Auditing, Agosto 1992. ISBN 0-89413-274-1 IGAE: Normas de Auditora del Sector Pblico. www.igae.minhac.es/Normas_Auditoria_Sector_Publico.htm Instituto de Contabilidad y Auditora de Cuentas: Norma Tcnica de Auditora sobre la auditora de cuentas en entornos informatizados. www.icac.mineco.es/consultas/ENTIN.HTM Auditora Informtica, Un Enfoque Prctico 2 Edicin, Mario G. Piattini y Emilio del Peso, Editorial RA-MA. ISBN 8478972935 Auditora de los Sistemas de Informacin, Rafael Bernal Montas y scar Coltell Simon, Editorial Universidad Politcnica de Valencia. ISBN 8477213933. Normas de Auditora del Sector Pblico. IGAE. www.igae.pap.meh.es/Internet/Cln_Principal/ClnPublicaciones/ClnNormasAuditoria Instituto de Auditores Internos de Espaa, www.iai.es Consejo Superior de Administracin Electrnica. MAP, www.csi.map.es (criterios de seguridad, normalizacin y conservacin de las aplicaciones utilizadas para el ejercicio de potestades; magerit; normativa sobre uso de tcnicas electrnicas, informticas y telemticas en la Administracin General del Estado; normativa sobre proteccin de datos de carcter personal). Instituto para el Gobierno de las Tecnologas de la Informacin. IT Governance Institute (ITGI), www.itgi.org 01CC - Auditora y Calidad del Software Curso 06/07 Universidad de Murcia dis.um.es/~jsaez/acs/curso0607/ Sans Institute : www.sans.org Systems Audit and Control Foundation: COBIT 4th Edition. www.isaca.org/Content/NavigationMenu/Members_and_Leaders/COBIT6/Obtain_COBIT/CobiT4
EMOTEne2010
P g i n a |25
CEF
32.AuditoraInformticaII:Proteccindeactivosde informacin, recuperacin de desastres y continuidaddelnegocio. 1. Proteccindeactivosdeinformacin. 2. Recuperacin de desastres y continuidad del negocio.
1. PROTECCINDEACTIVOSDEINFORMACIN
La seguridad de la informacin abarca un campo ms amplio que la seguridad informtica tradicional, a la hora de hablar de seguridad de la informacin todo gira en torno a un eje temtico: la gestin del riesgo (equilibrar el riesgo a asumir, frente al coste que suponen sus medidas de control). Tras la gestin del riesgo aparecen los planes de continuidad del negocio, que podemos definir como la capacidad estratgica y tctica, aprobada por la direccin de una organizacin, para planificar la respuesta a incidentes e interrupciones del negocio con objeto de continuar con las operaciones dentro de un nivel aceptable previamente definido. (Fuente BS 25999, Standard for Business Continuity Management).
Se entiende por incidente, cualquier evento que no es parte de la operacin normal de un servicio y el cual causa, o puede causar, una interrupcin o reduccin en la calidad de ste: servicio no disponible; corrupcin de Software; fallo hardware; deteccin de un virus; cada de un sistema; uso no autorizado de la cuenta de un usuario; uso no autorizado de Privilegios de acceso al sistema; desfase de una o ms Pginas Web; ejecucin de cdigo malicioso que destruye datos, una inundacin o un incendio en el CPD, la interrupcin en el suministro de energa elctrica, un calentamiento excesivo que provoque que falle un sistema, un desastre
EMOTEne2010
P g i n a |26
CEF
natural Por ello se hace necesario gestionar estos incidentes con el objetivo de restablecer las operaciones normales tan rpido como sea posible con el menor impacto sobre el negocio y sobre el usuario, de una manera eficaz en trminos econmicos. Se pueden clasificar los incidentes segn la estimacin de sus daos en: Incidente sin importancia: No causa dao perceptible o significativo (ej. cada breve del SO, corte de energa momentneo si existe UPS) Eventos menores: tienen importancia relativa, no presentan impacto material o financiero Incidentes mayores: tienen impacto material negativo sobre los procesos de negocio, afectando a otros sistemas, departamentos o clientes. Crisis: incidente mayor con impacto material serio sobre el funcionamiento continuo del negocio u otros sistemas. Se puede definir desastres como las interrupciones que ocasionan que los recursos crticos de informacin queden inoperantes por un periodo de tiempo.Los desastres requieren esfuerzos de recuperacin para restaurar el estado operativo, su origen puede ser: Desastres naturales Origen humano Indisponibilidad de servicios externos Causas Comunes de Indisponibilidad Inundaciones (11 %) Incendios (10 %) Sabotajes (5 %) Actos Vandlicos (5 %) Fallos Hw / Sw (8 %) Cortes prolongados de suministro elctrico (27 %)
Las vulnerabilidades por capas se pueden expresar:
Las organizaciones necesitan definir planes de emergencia para evitar prdidas de vidas humanas, para favorecer su evacuacin. Basados en la valoracin de los daos, estos planes deben preparar un entorno de continuidad en condiciones precarias.
CEF
Necesitan adems un plan de recuperacin para conseguir la nueva puesta en marcha del negocio (sitios fros, templados o calientes (espejos)). Segn un estudio de la Universidad de Minnesota (1996), el periodo mximo de paro de una empresa sin poner en peligro su supervivencia es de: Sector Seguros: 5,6 das Sector Fabricacin: 4,9 das Sector Industrial: 4,8 das Sector Distribucin: 3,3 das Sector Financiero: 2,0 das
Para la ISO17799 los diez dominios de control a contemplar en el Plan de Continuidad son los siguientes:
La ISO1799 presenta adems diez claves para asegurar la eficacia de los planes de continuidad: 1. Probar las copias de seguridad. 2. Invertir en hardware / software de backup. Balance entre tiempo / coste. 3. Separacin fsica de las copias peridicamente. Armarios ignfugos 4. Aislamiento de equipos (sala de servidores). Refrigeracin, armarios homologados (rack), cableado estructurado. 5. Ubicacin sala de servidores. No caeras, no accesible con vehculos, no zona de paso... 6. No descartar amenazas; priorizarlas por nivel de criticidad para la empresa (direccin), por probabilidad e impacto. 7. Describir acciones para cada amenaza materializable.
EMOTEne2010
P g i n a |28
CEF
8. Formacin y concienciacin: seminarios, circulares... 9. Ejecutar simulacros. Tirar del cable. 10. Escribir el protocolo (secuencia temporal) con datos concretos: nombres, telfonos... Continuidad de Negocio no es lo mismo que Recuperacin frente a desastres. Continuidad de Negocio son los procesos orientados a disminuir el riesgo en el negocio evitndolos o mitigndolos; manteniendo un nivel mnimo de servicio que soporte las funciones crticas. Recuperacin ante desastres es la parte reactiva y es un subconjunto del BCP (Plan de Continuidad del Negocio) constituido por los procedimientos seguidos por los departamentos de TIC para recuperar la capacidad de proceso.
1.1Introduccinalaseguridad.
La importancia de la seguridad ha crecido en los ltimos aos, la sensibilizacin de los directivos hacia este tema ha dado un giro importante. La empresa depende de sus datos y necesita asegurarlos. Hay tres principios bsicos a contemplar: el ataque siempre se produce al eslabn ms dbil, la caducidad del secreto: slo proteger el dato hasta que deje de ser importante y la eficiencia y eficacia de las medidas empleadas para protegerlos. Con respecto a los aspectos de seguridad, CobiT identific tres elementos clave: la confidencialidad, la integridad y la disponibilidad, estos mismos elementos son empleados a nivel mundial para describir los requerimientos de seguridad. En COBIT el dominio ms directamente implicado es Delivery and Support (Entrega y Soporte) y en concreto los procesos DS4 Aseguramiento de servicio continuo, y DS5 Garantizar la seguridad de los sistemas.
1.2Tiposdeseguridad
La evolucin es hacia una convergencia de Modelos; si empleamos una Visin Holstica debemos contemplar: Cumplimiento legal y estndares Polticas, normativas y procedimientos Red de comunicaciones Sistemas electrnicos de proteccin perimetral
CEF
Tarjetas de identificacin y acreditacin Cerraduras y claves jerarquizacin Control de identidad y presencia Logging de visitas y accesos autorizados Centro de control de alarmas e incidencias Proteccin y salvaguarda Una clasificacin de la seguridad en funcin de los medios empleados para su consecucin: lgica (claves, cifrado, firma_e) y fsica (catstrofes naturales, candados, cmaras videovigilancia, deteccin y extincin, SAI). Las dimensiones de seguridad son: ACID (para SNC y MAGERIT) y ACID+T (para el ENS). En ambos casos necesitamos normativas y polticas de seguridad en Espaa tenemos entre otras: LOPD (Ley 15/99), LSSI (Ley 34/2002), Ley Firma Digital (59/2003), Esquemas Nacionales de Interoperabilidad y Seguridad
1.3Anlisisderiesgosygestindelriesgo.
La mayor dependencia de los medios informticos, electrnicos y telemticos de las organizaciones, supone grandes beneficios, pero tambin conllevan grandes riesgos que hay que minimizar para ello es necesario realizar un anlisis de riesgos con el objetivo de poder gestionarlos. Ver MAGERIT Ver SNC Ver ENS Definiciones: Riesgo: estimacin del grado de exposicin a que una amenaza se materialice sobre uno o ms activos causando daos o perjuicios a la Organizacin. El riesgo indica lo que le podra pasar a los activos si no se protegieran adecuadamente. Para ello es necesario analizar cada sistema: Anlisis de riesgos: proceso sistemtico para estimar la magnitud de los riesgos a que est expuesta una Organizacin sabiendo la situacin hay que tomar decisiones: Gestin del riesgo: seleccin e implantacin de salvaguardas para conocer, prevenir, impedir, reducir o controlar los riesgos identificados.
EMOTEne2010
P g i n a |30
CEF
EMOTEne2010
P g i n a |31
CEF
El hecho es que del establecimiento de un buen rbol de relaciones entre activos depende en gran medida la obtencin de resultados significativos en el anlisis de riesgos. Este rbol debe incluir todas las elaciones significativas que permitan acumular el valor de los activos Superiores sobre los activos de nivel inferior a travs de los cuales aquellos pueden ser atacados, pero al mismo tiempo hay que incluir solamente aquellas relaciones que son significativas desde esta perspectiva de acumulacin de valor. A la hora de hablar de riesgos es necesario hablar de costes: la idea es encontrar el equilibro entre lo que la organizacin est dispuesta a gastar y las prdidas econmicas o de imagen que el dao en los activos pueden ocasionar.
El riesgo se puede eliminar, reducir, asumir, transferir, o asegurar. El Coste Total es igual a la suma del Coste de Interrupcin y el Coste de Recuperacin: CT = CI + CR El Coste de Interrupcin es funcin del tiempo de duracin de la interrupcin. Los factores que intervienen son: Inactividad, Lucro cesante, Demora, Indirectos CT = F(t,lna,Lc,D,Ind) El Coste de Recuperacin es el asociado a la existencia de un plan de continuidad del negocio. Son necesarios recursos para: - Su elaboracin - Su implantacin - Pruebas y mantenimiento
EMOTEne2010
P g i n a |32
CEF
Con objeto de Gestionar el Riesgo debemos establecer unos controles que nos faciliten esta tarea. Los controles se pueden clasificar de diversas maneras (como ejemplo los controles establecidos por COBIT). Una posible clasificacin sera:
EMOTEne2010
P g i n a |33
CEF
2. RECUPERACINDEDESASTRESYCONTINUIDADDELNEGOCIO.
En SSII, la estrategia ms habitual de recuperacin es aquella que implica la activacin de una rplica de la infraestructura en otro sitio alejado del emplazamiento habitual, donde haya podido acontecer el desastre. As hablamos de sitios calientes, templados, fros y sitios espejo calientes. Por lo tanto hay que definir la estrategia ms adecuada segn la relacin efectividad/coste. No todos los datos requieren el mismo tratamiento: 15% son datos de Misin Crtica Datos asociados a los procesos crticos de la organizacin. Deben ser retenidos por motivos legales. 20% son datos vitales Son datos usados en procesos considerados normales y son de importancia para la organizacin, aunque no sean requeridos de forma inmediata para la continuidad del negocio. 25% Datos sensibles Datos que son usados de forma normal, pero para los cuales existe otra fuente alternativa y por tanto son fcilmente reconstruibles. 40% Datos No-Crticos Datos que pueden ser reconstruidos fcilmente.
2.1Parmetrosparadefinirlarecuperacin(RTO,RPO,)
Tolerancia a desastre Ventana de interrupcin Es la brecha de tiempo en la cual el negocio puede aceptar indisponibilidad de los servicios de Tecnologas de la Informacin (TI). Es el tiempo que una organizacin puede esperar desde el punto de fallo hasta la recuperacin de los servicios crticos. Despus de este tiempo, las prdidas progresivas causadas por la interrupcin no son permisibles. El nivel de servicios a proveer durante el modo de proceso alterno hasta que se restaure la situacin normal. Tiempo mximo que la organizacin puede soportar procesar en modo alterno. Despus de este punto, pueden surgir diferentes problemas, en especial, si el SDO alterno es inferior al SDO habitual. Se determina en base a la prdida aceptable de datos en caso de interrupcin de las operaciones. El RPO cuantifica la cantidad permitida de prdida de datos en caso de interrupcin. Existirn "Catchup data" o "puesta al da de los datos" (transacciones existentes entre el RPO y la interrupcin, que debern volver a realizarse tras la
Objetivo de entrega de servicio (Service Delivery Objective SDO) Costes mximos tolerables Objetivo de Punto de Recuperacin (RPORecovery Point Objective)
EMOTEne2010
P g i n a |34
CEF
Objetivo de Tiempo de Recuperacin (RTORecovery Time Objective):
recuperacin), y datos hurfanos, son aquellos que se perdern tras recuperar las transacciones perdidas. Es el tiempo mximo tolerable de interrupcin. Indica el punto ms prximo en el tiempo en que deben recuperarse las operaciones tras la aparicin del desastre. Cuanto ms bajo sea el RTO ms baja ser la tolerancia ante el desastre. A menor RTO, ms bajo ser el tiempo de recuperacin requerido (RTO/RPO) y ms elevado ser el costo de las estrategias de recuperacin. Si el RPO est en minutos, el mirroring o la duplicacin de datos ser la estrategia de recuperacin ms aconsejable.
Requerimientos de los procesos crticos de negocio > Tiempo mximo de recuperacin (RTO) > Prdida mxima de informacin (RPO)
2.2Tiposdeplanesdecontinuidaddenegocio.
Las caractersticas principales de un Plan de Continuidad de negocio son las siguientes: Es un proceso de mejora continua de la gestin de riesgos de la organizacin. Est orientado a recuperar los procesos de negocio crticos. Es diseado para integrarse con el resto de elementos de seguridad. Permite la automatizacin de tareas para evitar su planificacin en momentos de crisis. Tipos de planes relacionados con el objetivo de recuperacin, continuidad de negocio, contingencia Plan de continuidad de negocio (PCN/BCP): conjunto de planes de actuacin, financieros, de comunicacin, de contingencias, etc.; destinados a "mitigar el impacto" provocado por la concrecin de determinados riesgos sobre la informacin y los procesos de negocio de una compaa. Disaster Recovery Plan (DRP): estrategia planificada en fases cuyo objetivo es recuperar todos los servicios TIC y los recursos que los conforman en el menor tiempo posible, a partir de un evento que ocasiona una interrupcin en su funcionamiento.
EMOTEne2010
P g i n a |35
CEF
Bussiness Resumption Plan (BRP): plan que organiza la reanudacin de los procesos de negocio de la organizacin que se hayan visto afectados por un fallo o incidente. Plan de Continuidad de Operaciones (COOP): su objetivo es conseguir la continuidad en las funciones estratgicas de una organizacin desempeadas en sus instalaciones corporativas. Plan de Contingencia (CP): su objetivo es conseguir la recuperacin de los servicios y recursos de TI despus de un desastre que provoca una interrupcin en su funcionamiento. Plan de Respuesta de Emergencia: salvaguarda de los empleados, el pblico, el medio ambiente, as como del resto de activos de la organizacin ante una situacin de desastre.
2.3AlternativasparalaRecuperacin
Existen diferentes alternativas de recuperacin en funcin de los parmetros que la Organizacin est dispuesta a asumir (RTO/RPO). HOT SITES Totalmente configurados Tiempo de recuperacin pequeo. Listo para operar en varias horas. Equipos, red y SW deben ser compatibles con la instalacin respaldada. Solo necesitan personal, programas, archivos de datos y documentacin. Costes elevados: Coste bsico de suscripcin, cuota mensual, cargos de prueba, costes de activacin y cargos por uso por hora o por da. El contrato debe incluir: la cantidad de tiempo que se necesita, la frecuencia y el tiempo especificado para pruebas. Destinado para: operaciones de emergencia durante un periodo limitado de tiempo y no para uso prolongado (es un medio de lograr la continuidad de las operaciones esenciales durante varias semanas despus del desastre o emergencia). RTO aprox. de minutos. Parcialmente configurados Instalacin con cableado, electrnica de red, equipos bsicos. Falta HW principal o de menor capacidad. RTO de 2- 7 das. La ubicacin e instalacin de la CPU y otras unidades no disponibles llevar varios das o semanas. Menos costoso que un Hot Site. Instalacin alternativa con cableado, falsos suelos, acondicionado y potencia elctrica. RTO + de 1 semana. Listo para recibir los equipos, pero no ofrece ningn componente en el lugar antes de necesitarse su uso. Su activacin llevar varias semanas. Lugares de recuperacin dedicados preparados para la interrupcin, respalda las aplicaciones crticas. La instalacin es completa con replicacin de datos y/o balanceo de carga. El RTO es inmediato. Puede adoptar varios formatos: desde Hot site listo y en espera, hasta contrato recproco para uso de la instalacin de otra empresa.
WARM SITES
COLD SITES
INSTALACIONES REDUNDANTES
EMOTEne2010
P g i n a |36
CEF
Principios de viabilidad: o No sujeto a los mismos desastres naturales que el sitio principal. o Compatibilidad de HW/SW entre Principal y Respaldo. Disponibilidad de recursos: Monitorizacin de las cargas de trabajo. Necesidad de acuerdos respecto a la prioridad de agregar aplicaciones hasta que se hayan utilizado plenamente todos los recursos de recuperacin Necesidad de pruebas peridicas. SITIOS MVILES Remolque diseado que puede ser transportado rpidamente a un lugar de negocio. Alternativa til en el caso de un desastre expandido. Alternativa eficiente en costes para duplicar las instalaciones de procesamiento de informacin de una organizacin con mltiples oficinas. Mirrored : Centro duplicado del entorno primario tanto en lo referente al software como a los datos. Standby : Centro en el cual existe total o parcialmente el software y la actualizacin de los datos se realiza cada cierto periodo de tiempo. Split Workload : La carga se reparte entre dos centros, aunque todo el entorno se puede respaldar en uno. Los participantes acuerdan mutua provisin de tiempo de cmputo en caso de emergencia. Ventajas: Bajo coste. Desventajas: Ausencia de obligatoriedad. Diferentes configuraciones. Cambios no notificados en configuraciones o cargas de trabajo.
ATENDIENDO A SU DISPONIBILIDAD
ACUERDOS RECPROCOS CON OTRAS ORGANIZACIONES
EMOTEne2010
P g i n a |37
CEF
2.4Planificacindelacontinuidaddelnegocio.
Creacin de una Poltica de Continuidad del Negocio. Anlisis de Impacto sobre el Negocio. Clasificacin de las operaciones y anlisis de criticidad. Desarrollo del Plan de Continuidad del Negocio. Prueba e implementacin del Plan. Mantenimiento.
Instalacin y configuracin de infraestructura de contingencia: hw, sw, comunicaciones, Evaluacin Incidentes Desastre: Identificacin de las causas y alcance de los daos (Parcial/Total) Comit de Emergencia: Reponsables de la activacin del plan y de la toma de decisiones Staff de emergencia: Personal involucrado en la recuperacin (sistemas, comunicaciones, etc.) Recursos necesarios: HW, SW, dispositivos de comunicaciones, etc. Contactos con soporte, proveedores, etc. Procedimientos de Recuperacin de Sistemas/Servicios: Procedimientos especficos de recuperacin ante desastres y adicionales a la operacin diaria
EMOTEne2010
P g i n a |38
CEF
Procedimientos de Recuperacin de Comunicaciones Procedimientos de Recuperacin de reas de Usuarios Pruebas y simulacros Validacin del entorno de contingencia: infraestructuras, procedimientos y requisitos del BIA (procesos, tiempos y datos) Metodologa de mantenimiento del Plan Gestin On-site: de sistemas, aplicaciones y comunicaciones Gestin Remota Algunas soluciones tecnolgicas:
EMOTEne2010
P g i n a |39
CEF
EMOTEne2010
P g i n a |40
CEF
EMOTEne2010
P g i n a |41
CEF
El concepto de failover extendido a varias localizaciones se convierte en una solucin de recuperacin automtica ante desastres. Las mismas tareas realizadas en el CPD A pueden ser realizadas en el CPD B de forma automatizada y viceversa. Algunas de las opciones que nos proporciona la tecnologa actual para llegar a este objetivo (ver Bloque IV de comunicaciones al completo): GSLB Global Server Load Balancing (implementados histricamente basados en DNS, tambin en BGP-Border Gateway Protocol). Routing dinmico Entradas DNS Mltiples Extensin de VLANs Extensin de VLANs - Resumen Para todo lo anterior es necesario llevar una serie de actuaciones como Creacin de una poltica continuidad del negocio de Compromiso y apoyo de la direccin. Elaborar un caso de negocio para buscar apoyo. Vender la necesidad de un PCN. Generar concienciacin. Aproximacin Top-Down. Amplio conocimiento del Negocio Identificar los activos crticos Anlisis de Riesgos Identificar los eventos Tiempos crticos de recuperacin Determinar los costes de recuperacin Gestin de Riesgos Asignar prioridades a los sistemas Crtico: No pueden ser reemplazadas por mtodos manuales. La tolerancia a interrupcin es muy baja. El coste de la interrupcin es muy alto. Vital: Pueden realizarse manualmente por un breve periodo de tiempo (5 das o menos). Mayor tolerancia a la interrupcin. Costes de la
P g i n a |42
Anlisis de impacto en el negocio (BIA)
Clasificar activos y su criticidad
EMOTEne2010
CEF
Definicin de recuperacin
la
estrategia
de
interrupcin ms bajos. Sensible: Se pueden realizar manualmente, a un coste tolerable y por un periodo prolongado de tiempo; pero es un proceso difcil que requiere de personal adicional. No crtico Combinacin de medidas preventivas, detectivas y correctivas: si es posible eliminar la amenaza, pero tambin minimizar la probabilidad de la ocurrencia y el impacto. Identifican: la mejor forma de recuperar un sistema en caso de interrupcin. Proveen: una orientacin basada en qu procedimientos detallados de recuperacin se pueden desarrollar. Se desarrollan diferentes estrategias y se presentan a la direccin. La alta direccin: selecciona la estrategia ms apropiada y acepta el riesgo residual inherente. Utilidad: desarrollar el Plan detallado de Continuidad del Negocio.
EMOTEne2010
P g i n a |43
CEF
2.5Estructuraydesarrollodelplan
El Plan de Contingencia hay que considerarlo como un proceso evolutivo. Debe ser actualizado en funcin de las necesidades que aparezcan como consecuencia de cambios en las instalaciones, nuevas funcionalidades soportadas, etc. El Plan de Continuidad de Negocio (PCN) contempla acciones precisas que van orientadas a recuperar las funciones crticas del negocio. En este punto es necesario distinguir entre un plan de contingencias y un plan de continuidad de negocio. En un Plan de Contingencias se presume que hay una interrupcin de los servicios durante un tiempo, sobre el cual se declara la emergencia, y entran a operar una serie de procedimientos que permiten que el servicio se restablezca en el menor tiempo posible. El enfoque del plan de contingencia se basa en la minimizacin del impacto y del tiempo de parada y se concentra en la recuperacin de los sistemas causantes de la interrupcin del servicio. El Plan de Continuidad est orientado, como su nombre indica, a asegurar la continuidad de los servicios ofrecidos a pesar de una catstrofe, como puede ser un terremoto, un incendio, una inundacin. Su objetivo es alcanzar una disponibilidad total para la infraestructura crtica, lo que implica que el sistema siempre estar disponible. Por PCN se entienden las acciones de alto nivel emprendidas con la aparicin de un evento de tipo catastrfico, y conducentes a preparar los medios humanos y tcnicos con el fin de recuperar las operaciones de la organizacin con el nivel de servicio acordado. Incluye: el procedimiento de activacin del equipo de direccin de la recuperacin y su colaboracin con otras unidades de negocio involucradas.
EMOTEne2010
P g i n a |44
CEF
Planes de Contingencia Operativa (PCO) tienen que ver con la recuperacin tecnolgica de los Servicios proporcionados por Sistemas de Informacin y Redes de Comunicaciones. E fundamental la revisin peridica del Plan de Continuidad de Negocio para mantener su operatividad y vigencia. Es por ello por lo que se requiere la realizacin de pruebas peridicas para adecuarlo a las necesidades que aparezcan como consecuencia de cambios en las instalaciones, nuevas funcionalidades soportadas, cambios en la organizacin que lo pudieran afectar, etc. La metodologa seguida en la definicin del Plan de Continuidad se ajusta a lo establecido en el estndar britnico BS7799 (antes ISO/IEC 17799, hoy ISO/IEC 27002).
CentrodeRespaldo
Un centro de respaldo por s slo no basta para hacer frente a una contingencia grave. Es necesario disponer de un Plan de Contingencias corporativo. Este plan contiene tres subplanes que indican las medidas tcnicas, humanas y organizativas necesarias en tres momentos clave: El plan de respaldo. Contempla las actuaciones necesarias antes de que se produzca un incidente. Esencialmente, mantenimiento y prueba de las medidas preventivas. El plan de emergencia. Contempla las actuaciones necesarias durante un incidente. El plan de recuperacin. Contempla las actuaciones necesarias despus de un incidente. Bsicamente, indica cmo volver a la operacin normal. Diseo de un centro de respaldo Un centro de respaldo se disea bajo los mismos principios que cualquier CPD, pero bajo algunas consideraciones ms: En primer lugar, debe elegirse una localizacin totalmente distinta a la del CPD principal con el objeto de que no se vean ambos afectados simultneamente por la misma contingencia: a unos 10 y 20 kilmetros del CPD principal, en funcin de las necesidades de telecomunicaciones entre ambos centros. En segundo lugar, el equipamiento electrnico e informtico del centro de respaldo debe ser absolutamente compatible con el existente en el CPD principal. No no es necesario duplicar todo el equipamiento, ni mantener el mismo nivel de servicio en caso de emergencia. La Sala tcnica de un centro de respaldo recibe estas denominaciones en funcin de su equipamiento: Sala blanca cuando el equipamiento es exactamente igual al existente en el CPD principal. Sala de back-up cuando el equipamiento es similar pero no exactamente igual. En tercer lugar, el equipamiento software debe ser idntico al existente en el CPD principal: mismas versiones y parches del software de base y de las aplicaciones que estn en explotacin en el CPD principal. De otra manera, no se podra garantizar totalmente la continuidad de operacin. Por ltimo, es necesario contar con una rplica de los mismos datos con los que se trabaja en el CPD original. Sincronismo de datos Existen dos polticas o aproximaciones a este problema: La copia sncrona de datos Se asegura que todo dato escrito en el CPD principal tambin se escribe en el centro de respaldo antes de continuar con cualquier otra operacin. La copia asncrona de datos No se asegura que todos los datos escritos en el CPD principal se escriban inmediatamente en el centro de respaldo, por lo que puede
CEF
existir un desfase temporal entre unos y otros. Puede ser off-line, en base a la ltima copia de seguridad existente. Esta opcin es viable para negocios no demasiado crticos, donde es ms importante la continuidad del negocio que la perdida de datos (ej. cadenas de supermercados o pequeos negocios) pero es inviable en negocios como la banca, donde es impensable la prdida de una sola transaccin econmica. En los dems casos, la poltica de copia suele descansar sobre la infraestructura de almacenamiento corporativo: redes SAN y cabinas de discos con suficiente inteligencia como para implementar dichas polticas. Tanto para la copia sncrona como asncrona, es necesaria una extensin de la red de almacenamiento entre ambos centros: un enlace de telecomunicaciones entre el CPD y el centro de respaldo. En caso de copia sncrona es imprescindible que dicho enlace goce de baja latencia. Motivo por el que se suele emplear un enlace de fibra ptica, que limita la distancia mxima a decenas de kilmetros. Existen dos tecnologas factibles para la copia de datos en centros de respaldo: iSCSI o Fiber Channel Resumimos los factores a considerar en el desarrollo del Plan: Estar preparado antes del desastre, cubriendo la gestin de respuestas a cualquier tipo de incidentes. Procedimientos de evacuacin. Procedimientos para declaracin del desastre. Circunstancias bajo las cuales se debe declarar el desastre (no todas las interrupciones son desastres). Identificacin de responsables y responsabilidades en el Plan. Identificacin de informacin de los contratos. Identificacin de los procesos a recuperar. Identificacin de los diversos recursos requeridos para la recuperacin. Aplicacin paso por paso de la etapa de recuperacin.
Componentes de un BCN: Plan de Recuperacin del Negocio (BRP) Plan de Continuidad de Operaciones (COOP) Plan de Soporte de la Continuidad / Plan de Contingencia de TI Plan de Comunicaciones de crisis Plan de Respuesta a incidentes Plan de Recuperacin ante desastre (DRP) Plan de Emergencia de Ocupantes (OEP)
En la Introduccin del Plan debemos reflejar: Objetivos Requerimientos previos Hiptesis (mapa de negocio, mapa de servicios, time frame, ) Instrucciones de uso Lista de ejemplares distribuidos Organizacin de los equipos de emergencia Inventario de equipos Descripcin de personal Directorio de contacto por equipos Localizacin de emergencia (CPD primario o de respaldo) Plan de Acciones Estrategia global
CEF
Estrategia por equipos de emergencia Comunicaciones (CPD principal y respaldo) Inventario de lneas Mapas de la red Equipos de comunicaciones Software de comunicaciones Anexos Anexo I : Directorio de Suministradores Anexo II : Directorio de Usuarios Otros Documentos Estrategia por entorno de negocio Estrategia por equipo de emergencia Estrategia de vuelta a la normalidad Organizacin de Responsabilidades (se puede utilizar la matriz RASCI): Equipo de emergencia accin ante Es el primer equipo de respuesta. Responsable de la evacuacin ordenada del personal y de garantizar vidas humanas Evala el grado de los daos una vez ocurrido el desastre. Adems, sus miembros deben tener capacidad de estimar el tiempo requerido para las operaciones de recuperacin en el lugar afectado. Responsable de coordinar las actividades de los dems equipos y de la toma de decisiones clave. Determina la activacin del BCP. Responsable de obtener y enviar los medios y los registros a las instalaciones de recuperacin. Responsable de restaurar el SW del sistema y sus actualizaciones. Se desplaza al lugar de recuperacin del sistema y restaura los paquetes y programas de aplicacin de usuario. Monitoriza el sistema de seguridad y los enlaces de comunicacin, resolviendo cualquier conflicto. de Operadores de turno que administrarn las operaciones del sistema durante todo el desastre y los proyectos de recuperacin. Responsable del redireccionamiento del trfico de datos y voz de la WAN. Restablece acceso al lugar de recuperacin del sistema. Establece una red LAN en el lugar de recuperacin. Responsable de coordinar el transporte de los empleados de la compaa al sitio de recuperacin. de Actualiza la base de datos de aplicaciones desde los terminales instalados en el sitio de recuperacin.
Equipo de evaluacin de daos
Equipo de administracin de la emergencia Equipo de almacenamiento en sede alternativa (offline) Equipo de sw Equipo de sw de aplicaciones
Equipo de seguridad Equipo de emergencia operaciones
Equipo de recuperacin de red
Equipo de comunicaciones Equipo de transporte Equipo de preparaciones datos y registros
Equipo de soporte administrativo Equipo de suministros

EMOTEne2010
Apoya al equipo de HW, contactando con vendedores y

P g i n a |47
CEF
coordinando los suministros TI y de oficina. Equipo de reubicacin Equipo de coordinacin Equipo de asuntos legales Equipo de pruebas recuperacin Coordina el traslado al sitio alternativo, o bien, a la ubicacin original restaurada. Coordina los esfuerzos de recuperacin en caso de diversas oficinas distribuidas geogrficamente.
de
Segn la norma BS25999-1 Code of practice for business continuity management, todos los documentos deberan incluir los siguientes apartados comunes: Propsito y alcance Funciones y responsabilidades del personal Procedimiento o normas de activacin Propietario y responsable del mantenimiento del plan Para los Planes de Gestin de Crisis en particular, la norma BS25999-1 establece adems: Acciones o tareas Contacto con las personas Contacto con los medios Contacto con los principales implicados (gobiernos, accionistas, etc.) Centro de gestin de crisis Anexos (planos, listas de contactos internos y externos, etc.) En cuanto a los Planes de Continuidad de Negocio, (PCNs) la norma BS25999-1 establece adems de lo anterior: Lista de tareas Requerimientos de recursos Informacin vital Personas responsables Formularios y Anexos El ltimo componente de una estrategia de BCM efectiva es un personal formado, entrenado y concienciado. Pueden emplearse variedad de mtodos para conseguirlo, como aplicaciones Intranet, simulacros y sesiones de formacin. En Plan debe contener un directorio del personal clave que necesario para iniciar y llevar a cabo los esfuerzos de recuperacin. Jefes de equipo Proveedores Hardware/Software Suministradores Instalaciones alternativas Almacenamiento en el centro alternativo Compaas de seguros Empresas contratadas Agencias legales y gubernamentales El desarrollo del plan quedara como sigue:
EMOTEne2010
P g i n a |48
CEF
Fases del Plan de Continuidad de Negocio Acciones en situacin de emergencia Notificacin Declaracin de emergencia Recuperacin de sistemas Recuperacin de la red Recuperacin de operaciones Operaciones de salvamento Procedimientos de reubicacin
2.6PruebaeimplementacindelPlan.
Las fases que hay que llevar para probar correctamente: Programacin de la prueba: Durante un periodo que minimice las interrupciones a las operaciones normales. Personal: Es importante que los miembros clave del equipo de recuperacin participen en el proceso de prueba y se les conceda tiempo para tal actividad. Objetivos de la prueba del Plan de Continuidad de Negocio Verificar que la documentacin es completa y exacta Evaluar el rendimiento del personal involucrado en el ejercicio Evaluar la coordinacin entre el equipo de contingencia y los proveedores Medir la capacidad de recuperacin Evaluar el estado y cantidad de consumibles reubicados en la sede alternativa Medir el rendimiento general de las actividades para mantener la capacidad del negocio Tipos: en papel, preparacin, operativa Fases de la prueba: preparacin, prueba y anlisis de resultados Mtrica de resultados: tiempo, cantidad, calidad y exactitud
EMOTEne2010
P g i n a |49
CEF
EQUIPO DE PRUEBAS: Director del Plan de Contingencias Coordinador del Plan de Contingencias Al menos el Responsable y un componente de los siguientes equipos o grupos : Operaciones Soporte Tcnico Bases de Datos Logstica Control de la Produccin Sistemas Comunicaciones Aplicaciones (un componente por aplicacin)
2.7MantenimientodelPlan.
Es necesario debido a: Estrategias emergentes Nuevas aplicaciones Modificaciones en Estrategia de negocio Cambios de la infraestructura Debe existir un Coordinador que realice las siguientes funciones: Elaboracin de los procedimientos de mantenimiento Planificacin anual del mantenimiento Elaboracin de presupuestos para mantenimiento Elaboracin peridica de versiones actualizadas del documento de Plan de Contingencias Planificacin de las pruebas a realizar Direccin de las pruebas del plan Confeccin y distribucin (controlada con una lista cerrada de destinatarios) de informes sobre pruebas (tiempos, cobertura, adecuacin de procedimientos, )
EMOTEne2010
P g i n a |50
CEF
Herramientas de Soporte
Son herramientas que facilitan la formalizacin, el mantenimiento y la gestin del Plan de Contingencias. Carecen de aplicacin en las fases iniciales del Plan (no cubren el trabajo de campo). Su utilizacin como herramientas de apoyo a la toma de decisiones no excluye la necesidad de contar con Comits de decisin al ms alto nivel durante la realizacin del Plan. Actividades de mantenimiento Programa de revisiones peridicas Revisiones no programadas Actualizacin en 30 das Anlisis de adecuacin del plan Adiestramiento del personal Registro de actividades de mantenimiento Actualizacin cambios del personal
EMOTEne2010
P g i n a |51
CEF
BIBLIOGRAFA
Mdulo Auditora del desarrollo e implantacin de sistemas de informacin, de adquisiciones, infraestructuras y procedimientos operativos; y de planes de contingencias, recuperacin de desastres y continuidad de negocios, II Curso de Auditoras de Sistemas de Informacin (INAP), impartido por Miguel Reg Fernndez en 2006. "Planes de Contingencia. La continuidad del negocio en las organizaciones.", de Juan Gaspar Martnez. Documentos de trabajo. Ministerio de Administraciones Pblicas.
EMOTEne2010
P g i n a |52
CEF
33.AuditoraInformticaIII:Desarrollo,adquisicin, implementacin y mantenimiento de sistemas de Evaluacindeprocesosygestinderiesgos. 1. Auditora del desarrollo, adquisicin mantenimiento. 2. Evaluacindeprocesosygestinderiesgos.
1. AUDITORA DEL DESARROLLO, ADQUISICIN
MANTENIMIENTO.
La necesidad de que una organizacin cuente con procedimiento de control interno se acepta como garanta de una gestin eficaz orientada a la consecucin de objetivos marcados. La funcin auditora es precisamente la encargada de comprobar la existencia de estos procedimientos de control y de verificar su correcta definicin y aplicacin, determinando las deficiencias que existan al respecto y los riesgos asociados a estas carencias de control. En concreto la funcin auditora aplicada al rea de desarrollo y mantenimiento abarca todas las fases que se deben seguir desde que aparece la necesidad de disponer de un Sistema de Informacin (SI) hasta que ste es construido, implantado y entra en mantenimiento (en el contexto del tema el desarrollo no incluye. Para delimitar el mbito de este tema sobre la explotacin y la retirada de las aplicaciones). El desarrollo y mantenimiento de sistemas es un proceso costoso. Por este motivo, el auditor informtico debera ser tenido en cuenta en el diseo y construccin de controles en los sistemas, asesorando sobre cules seran los ms adecuados, segn el caso. Las tareas del auditor cuando realice una revisin en esta rea sern: comprender adecuadamente y evaluar la metodologa seguida en el desarrollo del S.I., identificar las fases de dicha metodologa, evaluar la adecuacin entre el proceso de desarrollo de aplicaciones y los objetivos de la organizacin, revisar el cumplimiento de estndares y normas de control interno en el desarrollo o adquisicin de aplicaciones y determinar si se cumplen las normas de seguridad y control de cambios.
1.1 Importancia de la auditora del desarrollo. Planteamiento y Metodologa.

Existen una serie de circunstancias que hacen especialmente importante el rea de desarrollo y mantenimiento de sistemas y por tanto, tambin a su auditora, frente a otras funciones o reas dentro del departamento de informtica: El gasto destinado al sw supera al del hw. El sw como producto es muy difcil de validar (control del proceso y del producto calidad del proceso y del producto). Las aplicaciones informticas son el soporte para el negocio, convirtindose en un factor esencial para la gestin y la toma de decisiones. La etapa de mantenimiento consume la mayor parte de los recursos empleados en un proyecto software (a considerar la necesidad de auditora en esta etapa). La
CEF
mantenibilidad es el factor crtico de estudio de la auditoria de mantenimiento del SI. Entendiendo por mantenibilidad, al factor de calidad que engloba todas aquellas caractersticas del software destinadas a hacer que el SI sea ms fcilmente mantenible y por tanto se consiga una mayor productividad. El ndice de proyectos de desarrollo que no alcanzan los objetivos es demasiado alto esto implica la inexistencia o mal funcionamiento de los controles en este proceso. Para tratar la auditora del rea de desarrollo es necesario en primer lugar acotar las funciones o tareas que son responsabilidad del rea: Planificacin del rea y participacin en funcin del plan director de informtica o plan estratgico de informtica. Desarrollo de nuevos sistemas y mantenimiento de los existentes. Incluir para cada uno de los sistemas, la planificacin y viabilidad, anlisis, diseo, construccin, implantacin y mantenimiento. Estudio y adopcin de nuevos lenguajes, tcnicas, metodologas, estndares, herramientas, etc. relacionadas con el desarrollo. Establecimiento de un plan de formacin para el personal adscrito al rea. Establecimiento de normas y controles para todas las actividades que se realizan en el rea y comprobacin de su observancia. Una vez conocidas las tareas que se realizan en el rea de desarrollo y mantenimiento, se abordar la auditora de la misma desglosndola en: a. Auditora de la organizacin y gestin del rea mantenimiento. b. Auditora de la planificacin y gestin del proyecto. c. Auditora de la fase del estudio de viabilidad. d. Auditora de la fase de anlisis. e. Auditora de la fase de diseo. f. Auditora de la fase de construccin. g. Auditora de la fase de implantacin. h. Auditora de la fase de mantenimiento. de desarrollo y
La metodologa que se puede aplicar es la propuesta por la ISACA (Information Systems Audit and Control Association), que est basada en COBIT (Control Objectives tor Information and Related Technologies). COBIT en este caso analiza los riesgos de proceso de desarrollo o mantenimiento del SSII y determinan una serie de objetivos de control de alto nivel que minimicen esos riesgos. Para cada objetivo de control de alto nivel, agrupados segn Mtrica v3, se especifican uno o ms objetivos de control que contribuyen a lograr el cumplimiento de dicho objetivo (se sigue la propuesta del autor Rodero 2001) Ser la funcin del auditor determinar el grado de cumplimiento y madurez de cada uno de ellos. El estudio global de todas las conclusiones, pruebas y evidencias obtenidas sobre cada control permitirn al auditor obtener el nivel de satisfaccin de cada objetivo de control, as como cules son los puntos fuertes y dbiles del mismo. Con esa informacin, y teniendo en cuenta las particularidades de la organizacin en estudio, se determinarn cules son los riesgos no cubiertos, en qu medida los son y qu consecuencias se pueden derivar de esa situacin. Estas conclusiones, junto con las recomendaciones formuladas, sern las que se plasmen en el informe de auditora. Los auditores proporcionan una garanta razonable de que se alcanzan los objetivos de control, identifican si existen debilidades significativas en estos controles, sustanciar el riesgo que puede estar asociado a estas debilidades, y, finalmente, recomendar o asesorar a la Direccin sobre las acciones correctivas que deberan ser tomadas.
CEF
1.2 Auditora de la organizacin y gestin del rea de desarrollo y mantenimiento.

Los proyectos de desarrollo, a pesar de que tengan entidad propia y se gestionen con cierta autonoma, necesitan apoyarse en el personal del rea y los procedimientos establecidos. La importancia de estos aspectos ha motivado que sea necesario establecerse objetivos de control que faciliten la auditoria de la organizacin y gestin del rea.
Objetivo de Control 061: Procesos, organizacin y relaciones: El rea de desarrollo debe tener definidos los procesos del rea, su organizacin y las relaciones con el exterior. OG1-C1
O61-C2
O61-C3 O61-C4
Establecer de forma clara las funciones del rea de desarrollo. La direccin del rea participa en el comit de direccin para determinar prioridades de proyectos, inversin TIC, seguimiento de proyectos Debe especificarse el organigrama con la relacin de puestos del rea, as como el personal adscrito y el puesto que ocupa cada persona, de acuerdo a las necesidades y objetivos del negocio en cada momento. Adems, debe existir un procedimiento para la actualizacin del organigrama y para la promocin de personal. Debe definirse e identificarse al personal TIC clave y minimizarse la dependencia para la realizacin de funciones crticas para el rea en personas individuales. Debe establecerse el marco de trabajo de los procesos del rea de desarrollo que permita la ejecucin y puesta en prctica del plan estratgico (o plan director) de las TIC. Este marco deber incluir la estructura de los procesos y sus relaciones, propiedad, madurez y medidas de rendimiento, mejoras, conformidades, objetivos de calidad y planes para conseguirlos. Las relaciones con el exterior del departamento deben de producirse de acuerdo a un procedimiento. Deben mantenerse contactos con proveedores para recibir informacin suficiente sobre productos que puedan ser de inters. Y debe existir un protocolo para la contratacin de servicios externos (recursos humanos, hardware, software o servicios). Deben establecerse los roles y responsabilidades para la gestin del aseguramiento de la calidad, gestin de riesgos, seguridad y conformidad.
O61-C5
061-C6
Objetivo de Control 062: Gestin de Recursos Humanos TIC. El rea de desarrollo debe contar con unos recursos humanos adecuados para gestionar el desarrollo y mantenimiento de SI. Este proceso es crtico debido a que las personas son uno de los activos ms importantes para toda organizacin, de manera que una buena gestin del rea de desarrollo depender entre otros factores de la motivacin, formacin y aptitud de su personal adscrito.
OG2-C1 O62-C2 O62-C3 OG2-C4 O61-C5
Deben existir procedimientos de contratacin objetivos. Debe existir un plan de formacin que est en consonancia con los objetivos tecnolgicos del rea y alineados con los objetivos del negocio. Debe existir un protocolo de recepcin/abandono o cambio de trabajo de las personas que se incorporan o dejan el rea o que cambian de funcin. Debe existir una biblioteca y una hemeroteca accesibles por el personal del rea as como acceso a Internet. Las relaciones con el exterior del departamento deben de producirse de acuerdo a un procedimiento. Deben mantenerse contactos con proveedores para recibir informacin suficiente sobre productos que puedan ser de inters. Y debe existir
EMOTEne2010
P g i n a |55
CEF
un protocolo para la contratacin de servicios externos (recursos humanos, hardware, software o servicios).
O61-C5
O61-C6
Las relaciones con el exterior del departamento deben de producirse de acuerdo a un procedimiento. Deben mantenerse contactos con proveedores para recibir informacin suficiente sobre productos que puedan ser de inters. Y debe existir un protocolo para la contratacin de servicios externos (recursos humanos, hardware, software o servicios). Deben establecerse los roles y responsabilidades para la gestin del aseguramiento de la calidad, gestin de riesgos, seguridad y conformidad.
Objetivo de Control 063: Plan estratgico de Tecnologas de la Informacin del rea: El rea de desarrollo debe participar en la definicin del plan estratgico o plan director de TIC. O63-C1 El rea debe tener y difundir su propio plan a corto, medio y largo plazo, que ser coherente con el plan director de TIC del departamento de informtica y con el plan de sistemas, si ste existe.
Objetivo de Control 064: Direccin de la Poltica Tecnolgica: El rea de desarrollo debe participar en la direccin de la poltica tecnolgica del departamento de informtica. O64-C1 Debe de analizarse las nuevas regulaciones/reglamentaciones en materia de TIC as como las tecnologas existentes y emergentes y determinar que poltica tecnolgica es la apropiada para la consecucin de los objetivos del rea, y para el desarrollo y adquisicin de nuevos sistemas o mantenimiento de los existentes compatibles con la arquitectura de los sistemas actuales o realizar un estudio de las estrategias de migracin en su caso.
Objetivo de Control 065: Gestin de las Inversiones TIC: El rea de desarrollo debe llevar su propio control presupuestario en lo relativo a la gestin de las inversiones en TIC.
Objetivo de Control 066: Gestin de la Calidad: El rea de desarrollo debe disponer de unos procesos de desarrollo regidos por los estndares y principios de ingeniera del software ampliamente aceptados. OGC-C1 OGC-C2 OGC-C3 OGC-C4 OGC-C5 OGC-C6 OGC-C7 Debe existir un registro de problemas Que se producen en los proyectos del rea, Incluyendo los fracasos de proyectos completos. Debe mantenerse y comunicarse peridicamente al rea las modificaciones del plan global de calidad a fin de promover la mejora continua. Debe existir un mecanismo de creacin y actualizacin de prcticas y estndares de calidad as como de prcticas, estndares de desarrollo y mantenimiento. Debe existir un procedimiento de monitorizacin y medicin del cumplimiento de los estndares y prcticas de calidad as como de los de desarrollo y mantenimiento. Debe practicarse la reutilizacin del software. Debe existir un modelo corporativo de la arquitectura de informacin que se actualice regularmente y defina los sistemas apropiados que optimicen el uso de la informacin. Los lenguajes, compiladores, herramientas CASE, software de pruebas, software de control de versiones, etc. usados en el rea deben ser previamente homologados.
EMOTEne2010
P g i n a |56
CEF
1.3Auditoradeproyectosdedesarrolloymantenimiento.
La auditora de cada proyecto de desarrollo o mantenimiento tendr un plan distinto dependiendo de los riesgos, complejidad del mismo y recursos disponibles para realizar la auditora. Los controles de auditora han sido agrupados por cada una de las fases del ciclo de vida del software identificadas como procesos en Mtrica versin 3, asimismo se especifican uno o ms objetivos de control de detalle o tambin denominadas prcticas de control, que contribuyen a lograr el cumplimiento de dicho objetivo de control de auditora de alto nivel. La auditora de un proyecto de desarrollo se puede hacer en dos momentos distintos: a medida que avanza el proyecto o una vez concluido el mismo. Las tcnicas a utilizar y los elementos a inspeccionar, normalmente los productos y documentos generados en cada fase, sern los mismos en ambos casos. La nica diferencia es que en el primer caso las conclusiones que vaya aportando el auditor pueden afectar al desarrollo del proyecto, aunque nunca participar en la toma de decisiones. Auditora de la gestin y planificacin del proyecto. Los objetivos de control que se consideran en este apartado son los siguientes. Objetivo de Control Pl: El proyecto de desarrollo debe estar aprobado, definido y planificado formalmente. Pl-C1 Pl-C2 Pl-C3 Pl-C4 Debe existir una orden de aprobacin del proyecto que defina claramente los objetivos, restricciones y las unidades afectadas. Debe designarse un responsable o director del proyecto. El proyecto debe ser catalogado y, en funcin de sus caractersticas, se debe determinar el modelo de ciclo de vida que seguir. Una vez determinado el ciclo de vida a seguir, se debe elegir el equipo tcnico que realizar el proyecto y se determinar el plan del proyecto.
Objetivo de Control P2: El proyecto se debe gestionar de forma que se consigan los mejores resultados posibles teniendo en cuenta las restricciones de tiempo y recursos. Los criterios usados sern coherentes con los objetivos de las unidades afectadas. P2-C1 P2-C2 P2-C3 P2-C4 P2-C5 P2-C6 P2-C7 Los responsables de las unidades o reas afectadas por el proyecto deben participar en la gestin del proyecto. Se debe establecer un mecanismo para la resolucin de los problemas que puedan plantearse a lo largo del proyecto. Debe existir un control de cambios a lo largo del proyecto. Cuando sea necesario reajustar el plan del proyecto, normalmente en un hito al finalizar una fase, debe hacerse de forma adecuada. Debe hacerse un seguimiento de los tiempos empleados tanto por tarea como a lo largo del proyecto. Se debe controlar que se siguen las etapas del ciclo de vida adoptado para el proyecto y que se generan todos los documentos asociados a la metodologa usada. Cuando termina el proyecto se debe cerrar toda la documentacin del mismo, liberar los recursos empleados y hacer balance.
EMOTEne2010
P g i n a |57
CEF
Auditora de la fase de estudio de viabilidad. El objetivo del estudio de viabilidad del sistema es el anlisis de un conjunto concreto de necesidades para proponer una solucin a corto plazo, que tenga en cuenta restricciones econmicas, tcnicas, legales y operativas. Objetivo de Control V1: Antes de la definicin del proyecto deben estudiarse los requisitos que se han de satisfacer y estudiarse, si procede, la situacin actual, identificando seguidamente las alternativas de solucin y seleccionando aquella que satisfaga ms eficaz y eficientemente los requisitos identificados, lo cual puede derivar en la definicin de uno o varios proyectos que afecten a uno o varios SI y con soluciones basadas en desarrollo a medida, adquisicin de productos software del mercado o soluciones mixtas. V1-C1 V1-C2 V1-C3 V1-C4 V1-C5 Debe haberse establecido el alcance de las iniciativas requeridas para satisfacer las necesidades planteadas por el cliente o usuario. Debe estudiarse la situacin actual y determinarse los sistemas afectados Los usuarios y responsables de las unidades a las que afecta el nuevo sistema establecern de forma clara los requisitos del mismo. Se deben estudiar y valorar las distintas alternativas de solucin que satisfacen los requisitos identificados anteriormente y analizar sus ventajas e inconvenientes. Debe de seleccionarse la solucin que satisfaga ms eficaz y eficientemente los requisitos identificados.
Auditora de la fase de anlisis. El objetivo de esta fase o proceso es la obtencin de una especificacin detallada del sistema de informacin que satisfaga las necesidades de informacin de los usuarios y sirva de base para el posterior diseo del sistema y de una forma independiente del entorno tcnico. Objetivo de Control A1: Se debe elaborar una especificacin detallada que permita describir con precisin el sistema de informacin. A1-C1 A1-C2 A1-C3 A1-C4 Debe realizarse un plan detallado de sesiones de trabajo con el grupo de usuarios del proyecto y los responsables de las unidades afectadas para recopilar la informacin necesaria. A partir de la informacin obtenida de las entrevistas se debe realizar la descripcin inicial del SI y obtener el catlogo de requisitos detallado del mismo. Se estructura el sistema de informacin en subsistemas de anlisis, para facilitar la especificacin de los distintos modelos y la traza de requisitos. Se debe realizar el modelo del sistema que sirva de base para el diseo. En el caso de anlisis estructurado, mediante la elaboracin y descripcin detallada del modelo de datos y de procesos, y en el caso de un anlisis orientado a objetos, a travs del modelo de clases y el de interaccin de objetos, mediante el anlisis de los casos de uso. Se deben de especificar todas las interfaces entre el sistema y el usuario, tales como formatos de pantallas, dilogos, formatos de informes y formularios de entrada.
A1-C5
EMOTEne2010
P g i n a |58
CEF
Objetivo de Control A2: Se debe garantizar la calidad de los distintos modelos generados en el proceso de anlisis del SI, y asegurar que los usuarios y los analistas tienen el mismo concepto del sistema. A1-C1 A1-C2 Se debe de verificar la calidad tcnica de cada modelo y asegurar la coherencia entre los distintos modelos. Debe realizarse una validacin formal de la especificacin de requisitos y de los modelos del anlisis del sistema.
Auditora de la fase de diseo. El objetivo del proceso o fase de diseo del SI es la definicin de la arquitectura del sistema y del entorno tecnolgico que le va a dar soporte, junto con la especificacin detallada de los componentes del sistema de informacin. Objetivo de Control 01: se debe definir una arquitectura del sistema que sea coherente con la especificacin funcional que se tenga y con el entorno tecnolgico. D1-C1 El particionamiento fsico del sistema de informacin, as como su organizacin en subsistemas de diseo, la especificacin del entorno tecnolgico, y sus requisitos de operacin, administracin, seguridad y control de acceso deben estar definidos de forma clara y ser conformes a los estndares y normas del departamento de informtica. Se debe realizar un diseo detallado de los subsistemas de soporte y del sistema de informacin especfico. Se debe disear la estructura de datos adaptando las especificaciones del sistema al entorno tecnolgico. Debe realizarse una verificacin y aceptacin formal de la arquitectura del sistema.
D1-C2 D1-C3 D1-C4
Objetivo de Control 02: Se deben de generar todas las especificaciones necesarias para la construccin del sistema de informacin D2-C1 Se deben de generar unas especificaciones de construccin. D2-C2 Se debe especificar el procedimiento de migracin y carga inicial de datos as como los requisitos de operacin. D2-C3 Debe realizarse la especificacin tcnica del plan de pruebas. D2-C4 Se debe realizar una aprobacin formal del diseo del sistema por el comit de direccin. Auditora de la fase de construccin. En esta fase se construirn los productos software que satisfagan las necesidades identificadas y cumplan con los requisitos especificados. Asimismo, se pondrn en marcha todos los procedimientos necesarios para que los usuarios puedan trabajar con el nuevo sistema. Objetivo de Control CA-1: Los componentes que se desarrollen deben desarrollarse usando tcnicas de programacin correctas. CA1-C1 CA1-C2 CA1-C3 Se debe preparar adecuadamente el entorno de desarrollo y de pruebas, as como los procedimientos de operacin y seguridad. Se debe programar, probar y documentar cada uno de los componentes identificados en el diseo del sistema. Deben realizarse las pruebas de integracin para verificar si los componentes o subsistemas interactan correctamente a travs de sus interfaces, tanto internas como externas, cubren la funcionalidad establecida, y se ajustan a los
EMOTEne2010
P g i n a |59
CEF
requisitos especificados en las verificaciones correspondientes.
CA1-C4
Deben realizarse las pruebas de sistema para comprobar la integracin del sistema de informacin globalmente.
Objetivo de Control CA-2: Los proyectos de desarrollo deben definir los procedimientos y formacin necesarios para que los usuarios puedan utilizar el nuevo sistema adecuadamente. CA2-C1 El desarrollo de los componentes de usuarios debe estar planificado. CA2-C2 Se deben especificar los perfiles de usuario requeridos para el nuevo sistema. CA2-C3 Se deben desarrollar todos los procedimientos de usuario con arreglo a los estndares del rea. CA2-C4 A partir de los perfiles actuales de los usuarios, se deben definir los procesos de formacin o seleccin de personal necesarios. CA2-C5 Se deben definir los recursos materiales necesarios para el trabajo de los usuarios con el nuevo sistema. Auditora de la fase de implantacin y aceptacin. Esta fase o proceso tiene como objetivo principal la entrega y aceptacin del sistema en su totalidad, y la realizacin de todas las actividades necesarias para el paso a produccin del mismo. Objetivo de Control IA-1: El sistema debe ser aceptado formalmente por los usuarios antes de ser puesto en explotacin. IA1-C1 IA1-C2 IA1-C3 IA1-C4 El plan de implantacin y aceptacin se debe revisar para adaptarlo a situacin final del proyecto. Se deben realizar las pruebas de implantacin y aceptacin del sistema que especificaron en fases anteriores. Se debe determinar los servicios, y niveles para cada uno, que requiere sistema que se va a implantar, y el acuerdo que se adquiere una vez que inicie la produccin. El sistema debe ser aprobado formalmente antes de ponerse en explotacin. la se el se
Objetivo de Control IA-2: El sistema se pondr en explotacin formalmente y pasar a estar en mantenimiento slo cuando haya sido aceptado y est preparado todo el entorno el que se ejecutar. IA2-C1 IA2-C2 IA2-C3 IA2-C4 Se deben instalar todos los procedimientos de explotacin. Si existe un sistema antiguo, el sistema nuevo se pondr en explotacin de forma coordina con la retirada del antiguo, migrando los datos si es necesario. Se debe supervisar el trabajo de los usuarios con el nuevo sistema en las primeras semanas para evitar situaciones de abandono de uso del sistema. Para terminar el proyecto se pondr en marcha el mecanismo de mantenimiento.
EMOTEne2010
P g i n a |60
CEF
Auditora de la fase de mantenimiento. El objetivo de esta fase es la obtencin de una nueva versin de un sistema de informacin desarrollado a partir de las peticiones de mantenimiento que los usuarios realizan con motivo de un problema detectado en el sistema, o por la necesidad de una mejora del mismo. Objetivo de Control M-1: La gestin del proceso de mantenimiento de sistemas de informacin debe ser eficiente y eficaz para conseguir mantener el coste del mantenimiento de los SI del rea bajo control. M1-C1 M1-C2 Debe de existir una estrategia y un plan para la gestin del mantenimiento de los SI del rea y de sus infraestructuras tecnolgicas. Se deben revisar peridicamente los contratos y acuerdos de nivel de servicio y monitorizar su grado de cumplimiento
Objetivo de Control M-2: Todos los cambios, ya sean incidentes, problemas o peticiones de mantenimiento, intuido el mantenimiento correctivo de emergencia o cambios relacionados con la infraestructura tecnolgica del entorno de produccin, deben de ser gestionados formalmente y de una manera controlada a fin de asegurar la mitigacin del riesgo debido a los impactos negativos en la estabilidad e integridad del SI en produccin. M2-C1 Se debe establecer un sistema estandarizado de registro de informacin para las peticiones de mantenimiento, con el fin de controlar y canalizar los cambios propuestos por un usuario o cliente, mejorando el flujo de trabajo de la organizacin y proporcionando una gestin efectiva del mantenimiento. Se debe llevar a cabo un diagnstico y anlisis del cambio para dar respuesta a las peticiones de mantenimiento que son aceptadas. Se debe de identificar de forma detallada cada uno de los elementos afectados por el cambio mediante el anlisis de impacto. Se realiza el seguimiento de los cambios que se estn llevando a cabo en los procesos de desarrollo, de acuerdo a los puntos de control del ciclo de vida del cambio establecidos previamente.
M2-C2 M2-C3 M2-C4
2.Evaluacindeprocesosygestinderiesgos.
Los responsables y los usuarios de la tecnologa de la informacin son conscientes de la necesidad de disponer de instrumentos tales como metodologas que ayuden a la investigacin del estado de seguridad de los sistemas de informacin (SI) y a la seleccin de medidas de seguridad proporcionadas, tanto para paliar las insuficiencias de los sistemas existentes, como para aquellos otros que precisen de reforma o de nuevo desarrollo. La seguridad de los sistemas ha pasado en poco tiempo de ser una faceta ms a controlar, a ser una faceta crtica que debemos controlar o esos sistemas, que son estratgicos para nuestro trabajo, se pueden convertir en una pesadilla. Pero no es posible una aplicacin racional de medidas de seguridad sin antes analizar los riesgos para as implantar las medidas proporcionadas. Para responder a esta necesidad, el Consejo Superior de Administracin Electrnica ha elaborado la Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin, Magerit versin 2, un mtodo para investigar los riesgos que soportan los Sistemas de Informacin, y para recomendar las medidas apropiadas que deberan adoptarse para controlar estos riesgos. (Ver tema MAGERIT) La razn de ser de Magerit est directamente relacionada con la generalizacin del uso de los medios electrnicos, informticos y telemticos, que supone unos beneficios evidentes para
CEF
los ciudadanos, las empresas y la propia Administracin Pblica, pero que tambin da lugar a ciertos riesgos que deben minimizarse con medidas de seguridad que generen confianza en su utilizacin. Existen diversas definiciones del concepto seguridad, en Magerit se define a la seguridad como la capacidad de las redes o de los sistemas de informacin para resistir, con un determinado nivel de confianza, los accidentes o acciones ilcitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles. Las dimensiones de la seguridad: ACID El anlisis de riesgos es una piedra angular de los procesos de evaluacin, certificacin, auditora y acreditacin que formalizan la confianza que merece un sistema de informacin. En anlisis de riesgos proporciona una visin singular de cmo es cada sistema, qu valor posee, a qu amenazas est expuesto y de qu salvaguardas se ha dotado. Es pues el anlisis de riesgo paso obligado para poder llevar a cabo todas las tareas mencionadas. Las evaluaciones permiten medir el grado de confianza que merece o inspira un sistema de informacin. La evaluacin puede llevar a una certificacin o registro de la seguridad del sistema. En la prctica se certifican productos Y se certifican sistemas de gestin de la seguridad. Para la certificacin de productos, la norma internacional ISO/lEC 15408:2005, conocida como los Criterios Comunes, es la norma internacional ms extendida para este propsito. De hecho, la administracin espaola, y otras muchas, reconocen las certificaciones de seguridad emitidas en otros pases en base al "Arreglo sobre el Reconocimiento de los Certificados de Criterios Comunes en el Campo de la Tecnologa de la Informacin". Para la certificacin de sistemas de gestin de la seguridad de sistemas de informacin (SGSI), la norma internacional ISO/IEC 27001 es el referente, est basada en el modelo POCA (Plan-DoCheck-Act) y su utilizacin est ligada a los controles y objetivos de control de la norma ISO/IEC 17799:2005. Sin embargo esta norma internacional an no ha sido adaptada al mbito nacional, con lo Estas caractersticas de seguridad se requieren segn el valor que para la Organizacin tenga el SI. Si por ejemplo el secreto de la informacin es muy importante, slo confiaremos en un sistema que nos asegure un alto nivel de confidencialidad. Con lo que cada una de estas caractersticas sern requeridas o no dependiendo de cada caso. Cuando se requieran lo habitual es que haya que poner medios y esfuerzos para conseguirlos. A racionalizar este esfuerzo se dedican las metodologas de anlisis y gestin de riesgos que comienzan con una definicin: Riesgo: estimacin del grado de exposicin a que una amenaza se materialice sobre uno o ms activos causando daos o perjuicios a la Organizacin. El riesgo indica lo que le podra pasar a los activos si no se protegieran adecuadamente. Es importante saber qu caractersticas son de inters en cada activo, as como saber en qu medida estas caractersticas estn en peligro, es decir, analizar el sistema: Anlisis de riesgos: proceso sistemtico para estimar la magnitud de los riesgos a que est expuesta una Organizacin. sabiendo lo que podra pasar, hay que tomar decisiones: Gestin de riesgos: seleccin e implantacin de salvaguardas para conocer, prevenir, impedir, reducir o controlar los riesgos identificados. Un riesgo tcnico se podr afrontar: evitndolo, reducindolo, transfirindolo o aceptndolo.
EMOTEne2010
P g i n a |62
CEF
El problema del anlisis de riesgos estriba en la complejidad de los sistemas a analizar y la incertidumbre de los datos de que disponemos. Para afrontar la complejidad disponemos de una metodologa como Magerit que permite trabajar ordenadamente e instrumentarla con una herramienta como PILAR. Un tratamiento metodolgico riguroso aporta sustanciales ventajas: Se cubren muchos de los incidentes posibles, olvidando los menos posibles y en todo caso no olvidando los tpicos, frecuentes, recurrentes o que ya hayan ocurrido en circunstancias similares. Permite explicar con fundamento lo que pedimos a la direccin que decida, lo que pedimos a los tcnicos que hagan y cmo le pedimos a los usuarios que acten frente al sistema. Proporciona informacin rigurosa para que la direccin tome decisiones. El resultado del anlisis de riesgos son unos indicadores de impacto y riesgo que se utilizarn para tomar decisiones y monitorizar la evolucin de la seguridad del sistema. El objetivo de Magerit es servir de gua para la Administracin Pblica Espaola de forma que los sistemas administrativos puedan ser objeto de un anlisis de riesgos riguroso que permita gestionar los riesgos prudentemente. Magerit persigue varios objetivos: a) Concienciar a los responsables de los SI de la existencia de riesgos y de la necesidad de atajarlos a tiempo. b) Ofrecer un mtodo sistemtico para analizar tales riesgos. c) Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control. d) Preparar a la Organizacin para procesos de evaluacin, auditora, certcacin o acreditacin, segn corresponda en cada caso. Tipos de informes de un proyecto de anlisis y gestin de riesgos: Modelo de valor. Caracterizacin del valor que representan los activos para la Organizacin as como de las dependencias entre los diferentes activos. Mapa de riesgos. Relacin de las amenazas a que estn expuestos los activos. Evaluacin de salvaguardas. Evaluacin de la eficacia de las salvaguardas existentes en relacin al riesgo que afrontan. Estado de riesgo. Caracterizacin de los activos por su riesgo residual; es decir, por lo que puede pasar tomando en consideracin las salvaguardas desplegadas. Informe de insuficiencias. Ausencia o debilidad de las salvaguardas que aparecen como oportunas para reducir los riesgos sobre el sistema. Plan de seguridad. Conjunto de programas de seguridad que permiten materializar las decisiones de gestin de riesgos
En cuanto a la herramienta PILAR: PILAR (acrnimo de "Procedimiento Informtico-Lgico para el Anlisis de Riesgos" y nombre que se utiliza dentro de la Administracin Pblica Espaola, siendo EAR su nombre comercial e internacional) es una herramienta subvencionada por el Centro Criptolgico Nacional para apoyar a los responsables de seguridad analizando riesgos y cmo un plan de seguridad ayuda a mantenerlos bajo control. Una herramienta de anlisis y gestin de riesgos: Proporciona una forma sistemtica de capturar la informacin y presentarla. Proporciona una forma sistemtica de analizar los datos y derivar los indicadores sin verse perjudicada por el volumen.
EMOTEne2010
P g i n a |63
CEF
PILAR / EAR soporta todas las fases del mtodo Magerit: caracterizacin de los activos: identificacin, clasificacin, dependencias y valoracin caracterizacin de las amenazas Evaluacin de las salvaguardas La herramienta fija un catlogo homogneo o biblioteca para centrar: Clases o tipos de activos. Criterios (codificados) para valorar cualitativamente los activos. Amenazas estndar. Una larga lista de salvaguardas caracterizadas por el tipo de activo que protegen, de qu amenaza le protegen y en qu dimensin (garantas de confidencialidad, de integridad, ... ). Un catlogo es conveniente para que los anlisis de riesgos se puedan compartir y sea, de alguna manera, homologable. Pero adems esta biblioteca se puede extender, adaptndola a escenarios y situacin concretas. Se pueden establecer: Perfiles tpicos de amenazas (frecuencia tasada de ocurrencia y degradacin tpica). Perfiles especficos de seguridad (tales como criterios de acreditacin sectoriales, reglamentos de proteccin de datos personales, que varan de pas en pas, etc.). Protecciones especficas de ciertos tipos de activos (orientado a proporcionar guas de securizacin para operadores, por ejemplo, lo que se debe hacer para tener correo electrnico seguro o una red wifi, etc.), La herramienta evala el impacto y el riesgo, acumulado y repercutido, potencial y residual, presentndolo de forma que permita el anlisis de por qu se da cierto impacto o cierto riesgo. Las salvaguardas se califican por fases, permitiendo la incorporacin a un mismo modelo de diferentes situaciones temporales. Tpicamente se puede incorporar el resultado de los diferentes programas de seguridad a lo largo de la ejecucin del plan de seguridad, monitorizando la mejora del sistema. Los resultados se presentan en varios formatos: informes RlF, grficas y tablas para incorporar a hojas de clculo. De esta forma es posible elaborar diferentes tipos de informes y presentaciones de los resultados.
EMOTEne2010
P g i n a |64
CEF
BIBLIOGRAFA
METRICA v3 COBIT. Controles. ISO/IEC 27001 Information technology -- Security techniques -- Information security management systems - requirements. ISO/IEC 17799 Information technology - Security techniques - Code of practice for information security management. J. A. Maas (2007). Gestin de Riesgos de Seguridad. Gobierno de las Tecnologas y los Sistemas de Informacin. M. Piattini y F. Hervada. Editorial RA-MA: pp: 139-159. F. Lpez, M. A. Amutio, J. candau y J. A. Maas (2005). MAGERIT - Versin 2. Metodologa de Anlisis y Gestin de Riesgos de Sistemas de Informacin -. Madrid, Ministerio de Administraciones Pblicas.
EMOTEne2010
P g i n a |65

Auditoría Informatica I. Concepto

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Auditoría Informatica I. Concepto

Caricato da

Copyright:

Formati disponibili

CEF

Por su frecuencia Por su naturaleza

Por su frecuencia Segn fines su contenido y

Especificaciones de Seguridad y Calidad

Guas de Seguridad y Calidad

Procedimientos de Seguridad y Calidad

Instrucciones de Seguridad y Calidad

Registros de Seguridad y Calidad

2.4 Auditora asistida por ordenador y software de auditora informatizada.

Paquetes de auditora (Generadores de Programas).

3.1 Esquema Organizativo de la Funcin de Auditora. Modelos Organizativos.

4.1 Guas de Auditora de los sistemas de informacin (guin, puntos decontrol)

Las vulnerabilidades por capas se pueden expresar:

Objetivo de Tiempo de Recuperacin (RTORecovery Time Objective):

ACUERDOS RECPROCOS CON OTRAS ORGANIZACIONES

Anlisis de impacto en el negocio (BIA)

Clasificar activos y su criticidad

Equipo de evaluacin de daos

Equipo de seguridad Equipo de emergencia operaciones

Equipo de recuperacin de red

Equipo de comunicaciones Equipo de transporte Equipo de preparaciones datos y registros

Equipo de soporte administrativo Equipo de suministros

Apoya al equipo de HW, contactando con vendedores y

1.1 Importancia de la auditora del desarrollo. Planteamiento y Metodologa.

1.2 Auditora de la organizacin y gestin del rea de desarrollo y mantenimiento.

D1-C2 D1-C3 D1-C4

requisitos especificados en las verificaciones correspondientes.

M2-C2 M2-C3 M2-C4

Potrebbero piacerti anche