1 2007 Universidad de Las Américas - Escuela de Ingeniería - Seguridad Informática - Dr. Juan...

1 2007 Universidad de Las Américas - Escuela de Ingeniería - Seguridad Informática - Dr. Juan José Aranda Aboy

ACI – 425SEGURIDAD INFORMÁTICA

Unidad 2: Gestión de la continuidad del negocio


Objetivos

• Conocer los estándares internacionales de gestión en la continuidad del negocio de manera de poder planear planes de contingencia frente a incidentes, y estimar la probabilidad que ocurran.


Contenidos

• Conceptos: continuidad, evento, incidente, siniestro, riesgo, impacto.

• Planificación y planeación de contingencia.• Recuperación de desastres.• Business Continuity Management (BCM):

definición, y relación con otros modelos de control interno.

• Estándares internacionales.– NIST y DRI.– HB 221:2004 Business Continuity

Management.

• Tipos de planes.


ESTÁNDARES Internacionales y Nacional

NCh 2777, BS 7799 / ISO 17799, COBIT y COSO


Uso de estándares

• Algunos estándares son usados de manera mundial y otros estándares son usados de manera preferida por países, por ejemplo:


Valor para TI de Usar Procesos Basados en Estándares

• Los auditores usan herramientas basadas en estándares: La parte auditada puede saber contra qué requisitos será comparado.

• Se puede aspirar a certificaciones (por ejemplo BS 7799, BS 15000, ISO 9001, European Foundation for Quality Management (EFQM) y TickIT.


COBIT

• Objetivos de Control para la Información y las Tecnologías Relacionadas.

• Misión: “Investigar, desarrollar, publicar y promover un conjunto de objetivos de control en tecnologías de la información con autoridad, actualizados, de carácter internacional y aceptados generalmente para el uso cotidiano de gerentes de empresas y auditores”.

• 34 objetivos de control de alto nivel y 318 objetivos de control detallados para garantizar un sistema adecuado de gobierno y control sobre las tecnologías de la información de una organización.

• Desarrollado originalmente por la Fundación de Control y Auditoria de Sistemas de Información (ISACF) en 1996

• Mantenida por el IT Governance Institute

http://www.isaca.org/Template.cfm?Section=COBIT6&Template=/TaggedPage/TaggedPageDisplay.cfm&TPLID=55&ContentID=7981


Características de la información en COBITDebe satisfacer requerimientos :• De Calidad

– Calidad– Costo– Entrega o Distribución

• Fiduciarios– Efectividad y eficiencia de las operaciones– Confiabilidad de la información– Cumplimiento de las leyes y regulaciones

• De Seguridad– Confidencialidad– Integridad– Disponibilidad


Recursos empleados por las TIidentificados en COBIT

• Para generar información, las TI emplean:– Datos– Sistemas de Aplicación– Tecnología– Instalaciones– Personal


¿ Cómo garantizar los rasgos de lainformación definidos en COBIT ?

• Aplicando medidas de control adecuadas sobre los recursos empleados para generar la información y/o conocimiento.


Dominios de responsabilidad en COBIT

• Los objetivos de control son aplicados en cuatro grandes áreas o dominios de responsabilidad

• Cada dominio tiene definido una serie de procesos, actividades y tareas relacionadas con las tecnologías de la información– Planeación y organización (P&O)– Adquisición e implementación (A&I)– Entrega y soporte (D&S)– Monitoreo (M)


Procesos de TI en Planeación y organización (P&O)• Definir un plan estratégico de sistemas• Definir la arquitectura de información• Determinar la dirección tecnológica• Definir la organización de TI y sus relaciones• Administrar las inversiones en TI• Comunicar los objetivos y aspiraciones de la

gerencia• Administrar los recursos humanos• Asegurar el cumplimiento de requerimientos

externos• Evaluar riesgos• Administrar proyectos• Administrar calidad


Procesos de TI en Adquisición e implementación (A&I)

• Identificar soluciones de automatización

• Adquirir y mantener software de aplicación

• Adquirir y mantener la arquitectura tecnológica

• Desarrollar y mantener procedimientos• Instalar y acreditar sistemas de

información• Administrar cambios


Procesos de TI en Entrega y soporte (D&S)• Definir niveles de servicio• Administrar servicios de terceros• Administrar desempeño y capacidad• Asegurar continuidad de servicio• Garantizar la seguridad de sistemas• Identificar y asignar costos• Educar y capacitar a usuarios• Apoyar y orientar a clientes• Administrar la configuración• Administrar problemas e incidentes• Administrar la información• Administrar las instalaciones• Administrar la operación


Procesos de TI en Monitoreo

• Monitorear el proceso• Evaluar lo adecuado del control interno• Obtener aseguramiento independiente• Proporcionar auditoria independiente


Cobit VS ISO 17799

• En CobiT se tienen cuatro dominios, los cuales tienen, a su vez, procesos.

• Uno de ellos es el proceso DS4, de aseguramiento de la continuidad de las operaciones. Dentro de este proceso se tienen trece actividades que van desde la creación del marco de referencia para la continuidad de las operaciones y la definición de una estrategia y filosofía de continuidad hasta las indicaciones de contenido, implementación, prueba y distribución del mismo.

• El enfoque de ISO 17799 es seguridad en los sistemas de información y el enfoque de CobiT es control de la información y de las tecnologías relacionadas, pero los dos tienen varias similitudes en el caso de continuidad de las operaciones.

• Entre estas similitudes destaca la necesidad de realizar un análisis que nos ayude a entender cuáles son los procesos críticos para la operación del negocio y cuál debería ser la estrategia que la organización debería tomar en este sentido.

• Esta estrategia deberá estar basada en los objetivos de la organización y en el nivel de riesgo que esté dispuesta a afrontar.


COBIT: Referencias en Internet

• http://www.isaca.org/cobit

• http://www.itgi.org


COSO

• ¿Qué significa COSO?C ommitteeO fS ponsoringO rganizations

(of the Treadway Commission)

En 1992, el Committee of Sponsoring Organizations of the Treadway Commission (COSO) desarrolló un modelo para evaluar controles internos.

Este modelo ha sido adoptado y es generalmente aceptado como marco de trabajo para control interno. Además, es ampliamente reconocido como el estándar definitivo con el cual pueden las organizaciones medir la efectividad de sus sistemas de control interno.


Objetivos del Informe COSO

• Establecer una definición común del CONTROL INTERNO: “Marco de Referencia”

• Proporcionar el “marco” para que cualquier tipo de organización pueda evaluar sus SISTEMAS DE CONTROL y decidir cómo mejorarlos

• Ayudar a la dirección de las Empresas a mejorar el CONTROL DE LAS ACTIVIDADES de sus organizaciones


Definición de Control Interno

¿Qué es Control Interno?• Es un proceso efectuado por la Dirección, la alta

gerencia y el resto del personal

¿Para qué?• Para proporcionar un grado de seguridad

razonable en cuanto a la consecución de objetivos

¿En qué niveles? (3 Objetivos del Control Interno)1. Eficacia y Eficiencia en las Operaciones2. Confiabilidad de la Información Financiera3. Cumplimiento con las leyes y normas que sean

aplicables


Eficacia y Eficiencia en las Operaciones

• EFICACIA: Capacidad de alcanzar las metas y/o resultados propuestos.

• EFICIENCIA: Capacidad de producir el máximo de resultados con el mínimo de recursos, energía y tiempo. Se refiere básicamente a los objetivos empresariales:– Rendimiento y rentabilidad– Salvaguarda de los recursos


Confiabilidad de la Información Financiera

• Elaboración y publicación de Estados Financieros confiables, estados contables intermedios y toda otra información que deba ser publicada.

• Abarca también la información de gestión de uso interno.


Cumplimiento con las leyes y normas que sean aplicables

• Cumplimiento con aquellas leyes y normas a las cuales está sujeta la organización.

• De esta forma logra evitar:– Efectos perjudiciales para la reputación

de la organización.– Contingencias.– Otros eventos de pérdidas y demás

consecuencias negativas.


Los cinco Componentes del Control Interno

1. Ambiente de control2. Análisis de Riesgo3. Actividades de Control4. Información y Comunicaciones5. Monitoreo y Supervisión


1: Ambiente de control

• Un adecuado Ambiente de Control se verifica por medio de 7 aspectos:1. Integridad y valores éticos2. Compromiso de competencia profesional3. Filosofía de dirección y el estilo de gestión4. Estructura Organizacional5. Asignación de autoridad y responsabilidad6. Políticas y Prácticas de Recursos Humanos7. Consejo de Administración / Comité de Auditoría


2: Análisis de Riesgos

• Un adecuado Análisis de Riesgo se verifica por medio de 4 aspectos:

1. Objetivos Organizacionales Globales2. Objetivos Asignados a cada Actividad3. Identificación de Riesgos4. Administración del Riesgo y Cambio


3: Actividades de control

• COSO reconoce los siguientes tipos de Actividades de Control:

1. Análisis efectuados por la dirección2. Administración directa de funciones

por actividades3. Proceso de información4. Controles físicos contra los registros5. Indicadores de rendimiento6. Segregación de funciones7. Políticas y procedimientos


4: Información

• Evaluación adecuada de los mecanismos de información:

1. La información interna y externa provee a la Dirección los reportes necesarios para el establecimiento de objetivos organizacionales

2. Es proporcionada información a las personas adecuadas con suficiente detalle y oportunidad para cumplir con sus responsabilidades

3. Los Sistemas de Información están basados en un “plan estratégico” (vinculados a la estrategia global de la organización)

4. Apoyo de la dirección al desarrollo de los sistemas de información necesarios (aporte de los recursos adecuados, tanto humanos como financieros)


4: Comunicación

• Evaluación adecuada de los mecanismos de comunicación:

1. La Comunicación al personal, es eficaz en la descripción de sus funciones y responsabilidades con respecto al control Interno.

2. El establecimiento de canales de comunicación para la denuncia de posibles actos indebidos.

3. La Alta Dirección es receptiva a sugerencias de los empleados.

4. La comunicación a través de toda la empresa es efectiva.

5. Seguimiento oportuno y adecuado de la dirección de la información obtenida de clientes, proveedores, organismos de control y otros terceros.


5: Monitoreo y Supervisión

EVALUACION DE LA SUPERVISIÓN y MONITOREO• Supervisión Continua:1. ¿En qué medida obtiene el personal -al realizar sus

actividades habituales- evidencia del buen funcionamiento del sistema de control interno?

2. ¿En qué medida las comunicaciones de 3ros. corroboran la información generada internamente o advierten problemas?

3. Comparaciones periódicas de importes registrados contra los activos físicos.

4. Receptividad ante las recomendaciones de auditores internos y externos.

5. Grado de comprensión del personal sobre los códigos de ética y conducta (ver si se hacen encuestas periódicas).

6. Eficacia de las actividades de Auditoría Interna.


5: Monitoreo y Supervisión (2)

• Evaluación periódica puntual:1. Alcance y frecuencia2. El proceso de evaluación ¿es el ideal? (si se hace bien)3. La metodología para evaluar el sistema de controles

internos ¿es lógica y adecuada?4. Adecuación de las muestras, son significativas y como

está la calidad de la documentación examinada.

• La comunicación de las deficiencias:1. Mecanismos para recoger y comunicar cualquier

deficiencia detectada en el control interno.2. Los procedimientos de comunicación son los ideales.3. Las acciones de seguimiento y mejora continua del

sistema de Controles Internos son las correctas.


Preguntas de Ejecutivos que siguen sin respuestas

• ¿Cuánta confianza puedo tener en que la información que recibo refleja completamente la posición frente al riesgo de la compañía?

• ¿Cómo sé si mi capacidad de manejo de riesgos es efectiva?

• ¿Qué puedo hacer para mejorar cuando encuentro un problema?


COSO Enterprise Risk Management (ERM)• El ERM de COSO describe un Marco basado

en Principios.• Establece una definición de “administración

de riesgos corporativos”• Provee los principios críticos y componentes

de un proceso de administración de riesgos corporativos efectivo.

• Entrega pautas para las organizaciones sobre como mejorar su administración de riesgos.

• Establece criterios para determinar si la administración de riesgos es efectiva, y si no lo es que se necesita para que lo sea.


Definición de Administración de Riesgo Corporativo

• ¿Qué es Administración de Riesgo Corporativo?

Es un proceso efectuado por el Directorio, Gerencia y otros miembros del personal, aplicado en el establecimiento de la estrategia y a lo largo de la 0rganización.

• ¿Para qué?Es un proceso Diseñado para identificar eventos potenciales que pueden afectar a la organización y para administrar riesgos de acuerdo a su apetito de riesgo, de modo de proveer seguridad razonable en cuanto al logro de los objetivos de la organización.


Conceptos claves

• Administración del Riesgo en la Determinación de la Estrategia

• Eventos y Riesgo• Apetito de Riesgo• Tolerancia al Riesgo• Visión de Portafolio de Riesgos


Conceptos claves (2)

• Esta definición recoge los siguientes conceptos básicos de la gestión de riesgos corporativos:– Es un proceso continuo que fluye por toda la entidad.– Es realizado por su personal en todos los niveles de la

organización.– Se aplica en el establecimiento de la estrategia.– Se aplica en toda la entidad, en cada nivel y unidad, e

incluye adoptar una perspectiva del riesgo a nivel conjunto de la entidad.

– Está diseñado para identificar acontecimientos potenciales que, de ocurrir, afectarían a la entidad y para gestionar los riesgos dentro del nivel de riesgo aceptado.

– Es capaz de proporcionar una seguridad razonable al consejo de administración y a la dirección de una entidad.

– Está orientada al logro de objetivos dentro de unas categorías diferenciadas, aunque susceptibles de solaparse.


ERM de COSO

• Los objetivos de la entidad pueden ser vistos en el contexto de cuatro categorías:

1. Estratégicos2. Operacionales3. Información4. Cumplimiento

• ERM considera actividades en todos los niveles de la organización:

A. EntidadB. DivisiónC. Unidad de NegocioD. Subsidiaria


Administración de Riesgos Corporativo

• Requiere que la entidad tenga una visión de Portafolio de Riesgos.

• Los 8 Componentes interrelacionados son:

1. Ambiente Interno2. Establecimiento de

Objetivos3. Identificación de Eventos4. Evaluación de Riesgos5. Respuesta al Riesgo6. Actividades de Control7. Información y Comunicación8. Monitoreo


1. Ambiente interno

• Es la base fundamental para los otros componentes del ERM, dando disciplina y estructura.

• Incide en:– la concienciación del personal respecto

del riesgo y el control.– el modo en que las estrategias y objetivos

son establecidos, las actividades de negocio son estructuradas y los riesgos son identificados, evaluados y gerenciados.


1. Ambiente interno (2)

Los factores que se contemplan son:• Filosofía de la administración de riesgos• Apetito al riesgo• Integridad y valores éticos• Visión del Directorio• Compromiso de competencia profesional• Estructura organizativa• Asignación de autoridad y responsabilidad• Políticas y prácticas de recursos humanos


2. Establecimiento de objetivos

Objetivos Seleccionados• Condición previa para la identificación de

eventos, evaluación de riesgos y respuesta al riesgo

Objetivos estratégicos• Consisten en metas de alto nivel que se

alinean con y sustentan la misión/visión• Reflejan las elecciones estratégicas de la

Gerencia sobre cómo la organización buscará crear valor para sus grupos de interés


2. Establecimiento de objetivos (2)

Objetivos relacionados• Deben estar alineados con la estrategia seleccionada y con el

apetito de riesgo deseado.• Se pueden categorizar de forma amplia en: operativos,

confiabilidad de la información y cumplimiento.• Cada nivel de objetivos se relaciona con objetivos más

específicos bajo un esquema de cascada.

Tolerancia al Riesgo• La tolerancia al riesgo es el nivel aceptable de desviación en

relación con el logro de los objetivos• Se alinea con el apetito de riesgo (directamente relacionado

con la definición de la estrategia)• Al establecer las tolerancias al riesgo, la Gerencia considera la

importancia relativa de los objetivos relacionados


3. Identificación de eventos

Eventos• Se deben identificar eventos potenciales que afectan la

implementación de la estrategia o el logro de los objetivos, con impacto positivo, negativo o ambos, distinguiendo Riesgos y Oportunidades

• Los eventos con un impacto negativo representan riesgos, los cuales necesitan ser evaluados y administrados

• Los eventos con un impacto positivo representan oportunidades, las cuales son recanalizadas por la Gerencia al proceso de establecimiento de estrategia y objetivos

Factores a Considerar• Los eventos pueden provenir de factores internos y externos.• La Gerencia debe reconocer la importancia de comprender

dichos factores y el tipo de eventos que pueden estar asociados a los mismos.


4. Evaluación de Riesgos

• Permite a la entidad considerar el grado en el cual eventos potenciales podrían impactar en el logro de los objetivos.

• La evaluación de riesgos puede realizarse desde dos perspectivas: probabilidad de ocurrencia e impacto.– Considera que la evaluación se debe realizar

tanto para riesgos inherentes como residuales.– La metodología de evaluación de riesgos

comprende una combinación de técnicas cualitativas y cuantitativas


5. Respuesta al Riesgo

• Una vez evaluado el riesgo, la Gerencia identifica y evalúa posibles respuestas al riesgo en relación al apetito de riesgo de la entidad.

• Evaluando Posibles Respuestas.• Las Respuestas son evaluadas con el

objetivo de obtener un riesgo residual alineado con el nivel de tolerancia definido

• En la evaluación de las respuestas al riesgo, la Gerencia considera varios aspectos


5. Respuesta al Riesgo (2)

Categorías de respuesta al riesgo:• Evitarlo: Se toman acciones de modo de

discontinuar las actividades que generan riesgo.• Reducirlo: Se toman acciones de modo de reducir

el impacto, la probabilidad de ocurrencia del riesgo o ambos.

• Compartirlo: Se toman acciones de modo de reducir el impacto o la probabilidad de ocurrencia al transferir o compartir una porción del riesgo.

• Aceptarlo: No se toman acciones que afecten el impacto y probabilidad de ocurrencia del riesgo.


5. Respuesta al Riesgo (3)

Visión de Portafolio de Riesgos• ERM propone que el riesgo sea considerado

desde una perspectiva de la entidad en su conjunto o de portafolio de riesgos.

• Permite desarrollar una visión de portafolio de riesgos tanto a nivel de unidades de negocio como a nivel de la entidad.

• Es necesario considerar como los riesgos individuales se interrelacionan.

• Permite determinar si el perfil de riesgo residual de la entidad esta acorde con su apetito de riesgo global.


Impacto vs. Probabilidad


6. Actividades de Control

Integración con Respuesta al Riesgo• Son las políticas y procedimientos necesarios para

asegurar que las respuestas al riesgo se llevan a cabo de manera adecuada y oportuna

• La selección o revisión de las actividades de control comprende la consideración de su relevancia y adecuación a la respuesta al riesgo y al objetivo relacionado

• Se realizan a lo largo de toda la organización, a todos los niveles y en todas las funciones

Tipos de Actividades de Control• Preventivas, detectivescas, manuales,

computarizadas y controles gerenciales


7. Información y Comunicación

• La información es necesaria en todos los niveles de la organización para identificar, evaluar y dar una respuesta al riesgo.

• Se debe identificar, capturar y comunicar la información pertinente en tiempo y forma que permita a los miembros de la organización cumplir con sus responsabilidades.

• La información relevante es obtenida de fuentes internas y externas

• La comunicación se debe realizar en sentido amplio, y fluir por la organización en todos los sentidos (ascendente, descendente, paralelo).

• Asimismo, debe existir una comunicación adecuada con partes externas a la organización como ser: clientes, proveedores, reguladores y accionistas.


8. Monitoreo

Implica monitorear que el proceso de Administración de Riesgos mantiene su efectividad a lo largo del tiempo y que todos los componentes del marco ERM funcionen adecuadamente a través de:

• Actividades de monitoreo continuo, que se llevan a cabo durante el curso normal de las operaciones.

• Evaluaciones puntuales, realizadas por personal que no es el responsable directo de la ejecución de las actividades. Su alcance y frecuencia de realización depende de los resultados de la evaluación de riesgos y de la efectividad de las actividades de monitoreo continuo.

• Una combinación de ambas formas


Vinculación entre el ERM y Control interno del COSO• ERM se elabora sobre la base de los conceptos de

control interno establecidos en el Marco Integrado de Control Interno del COSO (MICI).

• ERM incorpora cuatro categorías de objetivos, incluyendo los objetivos estratégicos.

• En el marco ERM, la categoría de objetivos relativa a “Información” es más amplia que la de “Información Financiera” del MICI.

• ERM incluye ocho componentes.• ERM incluye el establecimiento de objetivos como

un componente separado. El MICI considera al establecimiento de objetivos como un prerrequisito para el control interno.

• El marco ERM separa el componente “evaluación de riesgos” del MICI en tres componentes del ERM.


COSO: Referencias en Internet

• Organización: http://www.coso.org/• COSO Internal Control Framework

Resources• COSO Advisory Council considering

Enterprise Risk Management Framework

• Resumen ejecutivo de COSO ERM (en español)


NUEVAS NORMATIVAS o Leyes

BASILEA II, LEY SOX e ITIL


Basilea II

• Propone un método del indicador básico sobre todo el riesgo operativo

• Se percibe como una oportunidad por cuanto va a suponer:– Un impulso a la gestión avanzada de Riesgos.– Convergencia entre capital económico y capital regulatorio.– Mayor estabilidad a medio plazo del Sistema Financiero

Internacional. • Lleva en consulta desde 1999 y el documento final se

presentó en Junio del 2004. • Los elementos se han ordenado en tres pilares

fundamentales: 1. Las ponderaciones de riesgo asignadas a los diferentes tipos de

activos de riesgo. Se incluye aquí, los riesgos operacionales. 2. Supervisión corriente por parte de las Superintendencias, y3. La disciplina del mercado a través de más transparencia.


EFECTOS DE BASILEA II EN AMÉRICA LATINA • El beneficio global de la

propuesta de Basilea II sería: – Creación de incentivos para

mejorar los procedimientos de evaluación de riesgos.

– Mejoras en el sistema de gobierno corporativo. Nuevos modelos internos de riesgo.

– Cambio cultural: Necesidad de concienciar a la dirección.

– La administración de riesgos requerirá nuevas y sofisticadas herramientas de información, y

– Las necesidades de información requieren grandes inversiones en tecnología. Es probable, que las instituciones financieras pequeñas tengan que ser vendidas, fusionadas ó adquiridas.

• Los posibles efectos adversos de la propuesta de Basilea II sería: – Adopción del Acuerdo en los

países industrializados puede tener efecto adverso en los sistemas financieros de los mercados emergentes.

– La falta de reconocimiento de la diversificación internacional, como herramienta para el manejo del riesgo crediticio, podría reducir el volumen de préstamos a América Latina, y

– Posible pérdida de competitividad de entidades financieras latinoamericanas versus subsidiarias de bancos internacionalmente activos.


Referencias sobre Basilea II

• Gómez Castañeda, O.R.: "Basilea I y II" en Observatorio de la Economía Latinoamericana Nº 56, febrero 2006. Texto completo en http://www.eumed.net/cursecon/ecolat/ve/

• http://www.eclac.cl/cgi-bin/getProd.asp?xml=/revista/noticias/articuloCEPAL/5/19425/P19425.xml&xsl=/revista/tpl/p39f.xsl&base=/revista/tpl/top-bottom.xsl

• http://www.sbif.cl/sbifweb/servlet/Biblioteca?indice=6.1&idCategoria=1008


Ley SOX

• La Ley Sarbanes-Oxley (SOX) fue establecida en el año 2002 por el Congreso de los Estados Unidos de América, como respuesta al gran número de escándalos financieros y contables relacionados con algunas de las más importantes y prominentes compañías en este país: Enron, World Com, etc.

• Dichos escándalos repercutieron negativamente sobre la confianza depositada, por parte de los accionistas y el Estado en los procesos contables y las prácticas de reporte financiero de las compañías públicas.

• Es de hacer notar que esta ley, en principio, alcanzó únicamente a a aquellas compañías inscritas en el Security Exchange Comision (SEC) de EEUU.


Objeto principal

• La Ley Sarbanes–Oxley tiene por objeto principal la protección del accionista mediante la prevención del fraude financiero y el aseguramiento de que la información presentada en los mercados sea precisa, completa, fiable, comprensible y se presente en plazo.

• La Ley aumentó las responsabilidades corporativas respecto de la emisión de informes financieros de compañías públicas:– Responsabilidad penal para Ejecutivos.– Establece fuertes reformas en materia de gobiernos

corporativos.– Mayores restricciones a los auditores en materia de

independencia.


Características

• Es una ley severa en materia reglamentaria para la exposición contable, las auditorias, los balances y para los directores de las empresas.

• Aunque incide sobre las empresas estadounidenses, las subsidiarias locales también deben ajustarse a la nueva normativa.

• Incluso, empresas no alcanzadas han aplicado ciertos criterios y procedimientos implícitos en la ley buscando alcanzar máximos niveles de control.

• Esto es así a pesar de que la aplicación de la SOX acarrea altos costos para las empresas, ya que su implementación en el largo plazo puede redundar en beneficios al intensificar la compañía el nivel de control.


TI y Control Interno

• Las TI y el Control Interno constituyen un marco integral para el control y prevención de fraudes financieros.

• El marco de control interno sugerido, para cumplir con los lineamientos establecidos por la Ley SOX, es el diseñado por el Comité of Sponsoring Organization of Treadway Comision (COSO).

• A comienzos de los años 90, el Comité junto con la asesoría de Pricewaterhouse Coopers, realizó un estudio extensivo sobre controles internos, cuyo resultado fue el marco de control interno COSO.


Descripción

• La Ley SOX indica que la conservación y disponibilidad de los documentos en formato digital no pueden ser modificados por un período de 10 años, lo que implica tres puntos esenciales: almacenamiento, aplicaciones y políticas y procedimientos.

• El primero de ellos debe considerar accesibilidad y capacidad de búsqueda para el manejo de datos, con opciones de cinta, disco óptico y magnético para conservar la información.

• Las aplicaciones deben contar con especificaciones como protección de documentos, clasificación en línea y capacidad de auditorías.

• En lo que respecta a procedimientos, se definen las opciones de cómo los datos serán movidos y almacenados, además de cómo y cuándo está autorizado el personal de TI para tener acceso y modificarlo y en qué tiempo se pueden destruir.


Factores para su buen cumplmiento• Para un buen cumplimiento de la ley se necesitan

algunos factores como: – estructura documentada del control interno; – mayor transparencia en la eficacia de los controles; – monitoreo electrónico continuo de las acciones de

mejoramiento; – desarrollo de controles documentados coherentes que se

puedan aprovechar en las múltiples unidades empresariales; y

– procesos acelerados y racionalizados.

• En otras palabras, las empresas se están dando cuenta de que las leyes reglamentarias simplemente significan utilizar buenas prácticas de seguridad.


COSO en apoyo de la Ley SOX


Conclusiones

• La seguridad no es la única parte de la plataforma de software que es necesaria para cumplir la ley.

• La "gestión de información y documentos" tiene que ser lo más transparente y práctica posible, permitiendo además búsquedas asertivas utilizando, por ejemplo, estructuras de datos en Extensible Markup Language (XML).

• También debe ofrecer a los usuarios, operadores y administradores de los sistemas un proceso de alertas y consultas.


Conclusiones (2)

• La comunicación y colaboración entre empleados también debe gestionarse mediante un software de administración que tenga acceso a las bases de datos, además de la posibilidad de compartir proyectos, estados financieros y otro tipo de procesos propios de la empresa moderna.

• En definitiva, lo que la Ley busca no sólo tiene relación con la disponibilidad de la información del negocio a auditores externos y así evitar cualquier tipo de fraude, sino que sea la misma empresa, gracias a sus procesos e infraestructura tecnológica, la que regule negligencias y problemas, mostrándose más transparente en una sistema económico donde existen muchos elementos aún para poder flanquear las regulaciones.


Referencias sobre Ley SOX

• Ley Sarbanes-Oxley Act (SOX, SOA) Federico Iturbide

• Los Fuertes Controles Éticos que Deberán Asumir las Empresas Chilenas

• Ley Sarbanes-Oxley (Ley SOX) César Pallavicini

• LEY SOX, EL NUEVO PANORAMA DEL CONTROL EMPRESARIAL

• ¿Sigue valiendo la pena estar listado en Nueva York? Miércoles, 05 de Abril de 2006 Mundo de la Finanzas, Economía y NegociosCAROLINA SOZA J.


Documentos de SOX (inglés)

• Text of the law (hmtl)• Sarbanes-Oxley SEC Rules &

Regulations • Sarbanes-Oxley Disclosure/Internal

Controls • Sarbanes-Oxley Act of 2002• Sarbanes-Oxley Compliance Manual • Sarbanes-Oxley Act Forum • Wikipedia


ITIL

• Biblioteca de Infraestructura de Tecnologías de Información.

• Ocho libros contentivos de buenas practicas para la gestión de servicios de tecnologías de información

• Su objetivo es presentar una metodología para gestionar de manera efectiva y eficiente el uso de los recursos de tecnologías de información (del gobierno británico)

• Desarrollada por The British Office of Government Commerce (OGC)

http://www.itil.co.uk/


¿Qué es ITIL?

• Desarrollada a finales de 1980, la Biblioteca de Infraestructura de Tecnologías de la Información (ITIL) se ha convertido en el estándar mundial de facto en la Gestión de Servicios Informáticos.

• Iniciando como una guía para el gobierno de UK, la estructura base ha demostrado ser útil para las organizaciones en todos los sectores a través de su adopción por innumerables compañías como base para consulta, educación y soporte de herramientas de software.

• Hoy, ITIL es conocido y utilizado mundialmente. Pertenece a la OGC, pero es de libre utilización.

http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/fundamentos_de_la_gestion_TI/que_es_ITIL/que_es_ITIL.php


¿Qué es ITIL? (2)

• ITIL fue desarrollada al reconocer que las organizaciones dependen cada vez más de la Informática para alcanzar sus objetivos corporativos.

• Esta dependencia en aumento ha dado como resultado una necesidad creciente de servicios informáticos de calidad que se correspondan con los objetivos del negocio, y que satisfaga los requisitos y las expectativas del cliente.

• A través de los años, el énfasis pasó de estar sobre el desarrollo de las aplicaciones TI a la gestión de servicios TI.

• La aplicación TI (a veces nombrada como un sistema de información) sólo contribuye a realizar los objetivos corporativos si el sistema está a disposición de los usuarios y, en caso de fallos o modificaciones necesarias, es soportado por los procesos de mantenimiento y operaciones.



¿Qué es ITIL? (3)

• A lo largo de todo el ciclo de los productos TI, la fase de operaciones alcanza cerca del 70-80% del total del tiempo y del coste, y el resto se invierte en el desarrollo del producto (u obtención).

• De esta manera, los procesos eficaces y eficientes de la Gestión de Servicios TI se convierten en esenciales para el éxito de los departamentos de TI.

• Esto se aplica a cualquier tipo de organización, grande o pequeña, pública o privada, con servicios TI centralizados o descentralizados, con servicios TI internos o suministrados por terceros.

• En todos los casos, el servicio debe ser fiable, consistente, de alta calidad, y de coste aceptable.



ITIL consta de ocho libros:

1. Software Asset Management

2. Service Support3. Service Delivery4. Planning to Implement

Service Management5. ICT Infrastructure

Management6. Application Management7. Security Management Book8. The Business Perspective


Enfoque basado en procesos

• Para gestionar servicios de tecnologías de información

• Define los objetivos, actividades, entradas y salidas de los procesos identificados en los servicios de tecnologías de la información

• Los procesos son estudiados desde tres puntos de vista o niveles:– Estratégico– Táctico– Operacional


Procesos definidos en ITIL relacionadoscon seguridad

• Incident Management• Problem Management• Configuration Management• Change Management• Release Management• Availability Management• IT Service Continuity Management• Service Level Management• Security Management


Gestión de Seguridad de la InformaciónProceso iterativo:• Planeado• Controlado• Evaluado• Mantenido

Consta de siete pasos1. Identificar requerimientos de seguridad2. Determinación de factibilidad de honrarlos3. Negociación entre el cliente y la organización de servicios de

TI. Establecimientos de SLAs4. Negociación de OLAs a lo interno de la organización de

servicios de TI.5. Implementación y monitoreo de los SLAs y OLAs6. Generación de reportes periódicos acerca de la efectividad y

el estado de los servicios de seguridad ofrecidos7. Mantenimiento de los SLAs y OLAs


Modelo ITIL


Modelo ITIL (2)


Gestión de Seguridad de la Información (2)

• Establece la construcción de los documentos de seguridad:– Políticas de seguridad de la información– Planes de seguridad de la información– Manuales de seguridad de la información


ITIL: Referencias en Internet

• http://www.itil.co.uk• http://www.itil.org• http://www.itsmf.com• http://www.pinkelephant.com


RFC 2196 “Site Security Handbook”

• RCF 2196:Guía para desarrollar políticas y procedimientos de seguridad para sitios que tienen sistemas en red

• RFCs: Documentos de la Internet Engineering Task Force (IETF) conteniendo información sobre algún estándar propuesto

• Publicado en septiembre de 1997


Orientación del RFC 2196

Desarrollar un plan de seguridad para un sitio:• Identificar los elementos que deben protegerse

(capital o activo)• Identificar las amenazas: de qué o de quién deben

protegerse (Threats, factores de riesgo)• Explorar las formas en las cuales pueden hacerse

efectivas las amenazas.• Implementar medidas de protección adecuadas

(deben justificarse de acuerdo a un estudio de beneficio-costo)

• Revisar el plan continuamente y realizar mejoras cada vez que una vulnerabilidad sea detectada


Definición de una política de seguridad

Guiada por los riesgosObjetivos de una política de seguridad:• Informar al mayor nivel de detalle a los

usuarios, empleados y gerentes de las normas, procedimientos y mecanismos que deben cumplir y utilizar para proteger los componentes de los sistemas de la organización.

• Proporcionar los criterios para identificar, adquirir, configurar y auditar los sistemas de computación y redes para que estén en concordancia con la política de seguridad.


Componentes de una política deseguridad• Una política de intimidad• Una política de autenticación• Una política de acceso• Una política de contabilidad• Planes para satisfacer las expectativas de

disponibilidad de los recursos del sistema• Una política de mantenimiento para la red y los

sistemas de la organización• Directrices para identificar y adquirir tecnología con

rasgos de seguridad requeridos y/o deseables.• Sanciones para quien infrinjan la política de

seguridad• Una política de reporte de incidentes y de

divulgación de información


Arquitectura de seguridad

• Una política de seguridad especifica las bases sobre las cuales se construirá la arquitectura de seguridad de la organización.

• Una arquitectura de seguridad es la forma como se organizan todos los elementos necesarios para satisfacer los objetivos de seguridad definidos en una organización.


Arquitectura de seguridad (2)

• Protección a varios niveles y contra amenazas accidentales e intencionales:

• Protección del recurso humano– Ante amenazas físicas

• Protección de la infraestructura física– Ante amenazas físicas

• Protección de la de red– Ante ataques pasivos y activos

• Protección de los servicios– Ante ataques internos a la organización– Ante ataques externos a la organización


Servicios, procedimientos y mecanismos de seguridad

• Los servicios y procedimientos de seguridad implementan políticas de seguridad.

• Los servicios y procedimientos de seguridad son implementados a través de mecanismos y tecnologías que han sido desarrollados para prevenir, proteger y neutralizar amenazas de seguridad de un sistema


Manejo de incidentes de seguridad

• Un incidente de seguridad es un evento que involucra la violación de la política de seguridad de la organización

• ¿Cómo identificar un incidente?– Prestar atención a “sintomas” que pueden estar asociados

a incidentes de seguridad• Estrellado del sistema (Crash system)• Cuentas nuevas• Archivos nuevos, modificados o eliminados• Negación de servicios• Rendimiento irregular del sistema• Uso del sistema fuera de los patrones o registros

habituales• Líneas que indican un patrón de ataque en los registros

del sistema– Ayudarse con herramientas de detección de anomalias

(profilers, network monitoring tools, log analyzers, network intusion detection systems)


Manejo de incidentes … (2)

• Debe definirse un plan y una política de manejo de incidentes de seguridad (antes, durante, después)

Objetivos del plan:• Averiguar cómo ocurrió el incidente• Averiguar cómo evitar la generación nuevamente

del incidente• Determinar el impacto y daño del incidente

(limitarlo)• Recuperar el sistema del incidente (retomar el

control)• Actualizar la política de seguridad, sus

procedimientos, servicios, mecanismos y tecnologías empleadas

• Averiguar quién provocó el incidente y ejecutar las sanciones respectivas


Mantenimiento de la seguridad

• Ambiente de redes y sistemas basados en tecnologías de la información constantemente susceptibles a nuevas amenazas y/o vulnerabilidades.

¿Cómo estar al día con el proceso de seguridad?:• Suscribirse a boletines de seguridad con las últimas noticias de amenazas

– http://www.cert.org– http://www.alw.nih.gov/Security/security-advisories.html– http://www.securityfocus.com

• Suscribirse a las listas de distribución de correctivos (patches) de las compañías o instituciones que proveen y mantienen el software y las tecnologías utilizadas en los sistemas e infraestructura de la organización⇒ Aplicar los correctivos de seguridad

• Monitorear las configuraciones de los sistemas para identificar cambios y averiguar su origen⇒ Vigilar y proteger el sistema contra conductas y configuraciones no acordes con los objetivos del plan de seguridad de la organización y con su política de seguridad⇒ Detectar cambios, revertirlos e investigarlos

• Actualizar la política de seguridad– Ante cualquier incidente– En ausencia de incidentes, por lo menos una vez al año

• Auditar regularmente la política de seguridad


RFC 2196: Referencias en Internet

• http://www.ietf.org/rfc/rfc2196.txt?number=2196

• http://www.ietf.org/


Reflexiones y preguntas

1. Suponiendo que su organización fuera atacada con éxito: Identifique cuales son las leyes chilenas violadas de acuerdo con los delitos cometidos. Evalúe el daño total sufrido por su organización.

2. ¿Cómo mostraría y protegería la evidencia del ataque?

3. ¿Puede identificar la fuente del ataque?


Bibliografía

• “Guía Metodológica 2006 – Sistema de Gobierno Electrónico. Programa de Mejoramiento de la Gestión” Gobierno de Chile (http://www.modernizacion.cl/ )

• “Gobierno electrónico en Chile 2000 – 2005” Estado del Arte II (http://www.modernizacion.cl/ )

• “Tecnología de la Información – Código de práctica para la Seguridad de la Información” NCh2777.Of2003 (ISO/IEC 17799 : 2000)

• ''NORMA TECNICA SOBRE SEGURIDAD Y CONFIDENCIALIDAD DEL DOCUMENTO ELECTRONICO'‘ Decreto 83 Fecha de Publicación: 12.01.2005; Fecha de Promulgación: 03.06.2004

• Metodologías y marcos de referencia en gestión de servicios: ITIL, SOX, CoBit, ISO17799, SixSigma


Bibliografía (2)

• “Planes para continuidad de negocio ante desastres. Algunos conceptos” (archivo Gestión BCM.ppt) “Diplomado en Peritaje Informático”– Universidad de Santiago de Chile.

• “Mejores prácticas y estándares internacionales en gestión de riesgos y control interno” Gloria Peña y Lillo (archivo BCM (4742)COSO1.pdf)

• "Planes de Contingencia TIC y continuidad del negocio" Roberto Moya Quiles, Stefano Zanero

• “Enfoque Integral de BCM” Yves Dávila• ¿Garantizan las empresas la Continuidad de su Negocio?

• GOBIERNO DE TI Y CONTINUIDAD DEL NEGOCIO • Business continuity planning• http://www.iso.org• http://www.iec.org• http://www.bsi-global.com


Páginas complementarias

• National Institute for Standards (NIST) National Vulnerabilities Database

• Common Vulnerabilities and Exposures• Business Continuity, Contingency

Planning & Disaster Recovery• The Business Continuity Planning &

Disaster Recovery Planning Directory• Business Continuity Planning: Ten

Common Mistakes


Páginas complementarias (2)

• Acuerdo Capital de Basilea II • http://www.latinbanking.com/pdf/

basilea_2.pdf• Encuesta de los desafios para los

jefes de gerencia en riesgo de instituciones financieras

• Graham-Leach-Bliley Act (GLBA)• Sarbanes-Oxley(SOX).


Herramientas adicionales

• MAGERIT: Metodología de análisis y gestión de riesgos de

los sistemas de información de las Administraciones

Públicas. http://www.csi.map.es/csi/pg5m20.htm

• NIST Special Publication SP 800-12: An Introduction to

Computer Security.The NIST Handbook. National Institute

of Standards and Technology.

http://csrc.nist.gov/publications/nistpubs/800-12/ (disponible

también una versión como libro digital)• Information Security Governance: Guidance for Boards

of Directors and Executive Management. IT Governance Institute.

• Control Objectives for Information and Related Technology (Cobit). http://www.isaca.org/cobit.htm


Textos

• Sandoval López, Ricardo, “Seguridad en el comercio electrónico”, Lexisnexis 2004.

• Kaeo, Merike, “Diseño de seguridad en redes”, Pearson Educación 2003.

• Maiwald, Eric, “Fundamentos de seguridad en redes”, McGraw-Hill Interamericana 2005. Parte II pp 93-186

• Stallings,William “Fundamentos de Seguridad en Redes. Aplicaciones y Estándares”, Pearson 2004


Documentos en CriptoRed

• Jorge Ramió AguirreJorge Ramió Aguirre “LIBRO ELECTRÓNICO DE SEGURIDAD INFORMÁTICA Y CRIPTOGRAFÍA” Documento de libre distribución en Internet a través de CriptoRed, Marzo de 2006 (SegInfoCrip_v41.zip)

• Antonio Villalón Huerta “SEGURIDAD DE LOS SISTEMAS DE INFORMACION” Julio, 2005 (seguridad_sist_inf.zip)


Libros digitales: Seguridad

• National Institute of Standards and Technology “An Introduction to Computer Security: The NIST Handbook”, Special Publication 800-12 ((ebook) computer security handbook.pdf)

• Simson Garfinkel & Eugene H. Spafford “Web Security & Commerce” ISBN: 1-56592-269-7 (O'Reilly - Web Security & Commerce.pdf)

• Mitch Tulloch ”Microsoft Encyclopedia of Security” (eBook.MS.Press.-.Microsoft.Encyclopedia.of.Security.ShareReactor.pdf)

1 2007 Universidad de Las Américas - Escuela de Ingeniería - Seguridad Informática - Dr. Juan...

Documents

Transcript of 1 2007 Universidad de Las Américas - Escuela de Ingeniería - Seguridad Informática - Dr. Juan...