cigras 2013 - auditora y seguridad de ti - estado del arte y aplicacin en entidades bancarias nicols...

7/24/2019 cigras 2013 - auditora y seguridad de ti - estado del arte y aplicacin en entidades bancarias nicols ser.pdf

1/24

Ing. Nicols Serrano

[email protected]


2/24

Detalles del trabajo

Problema

Objetivos

Antecedentes en la FIng

Temas tratados

Estado del arte

Caso de estudioConclusiones


3/24

Tesis de GradoJunio a Diciembre del 2012

Estudiante: Nicols Serrano Tutor: Cristina Mayr

Tribunal: Mara Eugenia Corti Daniel Meerhoff Sebastin Pizard

Centro de estudios: Universidad de la Repblica Facultad de Ingeniera Instituto de Computacin


4/24

La operativade las organizaciones es soportadaporlaTecnologa.

Adems, la informacines un activofundamental(bien intangiblecon el cual la empresa obtiene un beneficio).

Es sumamente importante administrary brindar laseguridadadecuada de los sistemas, infraestructura,procesos, polticas, etc. de TIdentro de stas.

Los Bancostienen un rol muy importante en la sociedad.

Estas instituciones requieren que su soporte tecnolgicoreciba la auditoraadecuada, para evaluar su eficacia,eficiencia, seguridad, gestin, etc.


5/24

Luego de realizar un estudio de estos conceptos, aplicarlos aorganizaciones del tipo bancario.

Estadodelarte

Auditorade TI

ControlInterno de

TI

Riesgo deTI

SeguridadInformtica

Gobiernode TI


6/24

No son temas que se tengan mucho en cuenta anivel de grado.

Se focaliza en otros temas.

Sin antecedente estrechamente relacionado con latemtica en tesis de grado o trabajos similares.

No fue un proyecto de grado fcilmente aceptado en unprincipio.

De igual manera, no existen grupos de trabajo o

investigacin dedicados plenamente a estos temas.

Peroa nivel de posgrado, existen materias msrelacionadas y se desarrollan tesis de maestracercanas en la temtica.


7/24

Administracin del riesgo de TI Basado en la NIST SP 800-30. Identificacin, evaluacin y priorizacin de

vulnerabilidadesy amenazas.

Medidas para evitar, mitigaro reducirsu impacto. Adm. del Riesgo de TI integrado al ciclodevidadelossistemas.

Gestin de la Seguridad de la Informacin Basado en la familia ISO/IEC 27.000. ConfidencialidadIntegridadDisponibilidad. SGSIPDCA. Buenas prcticasAuditora de un SGSIGobierno.


8/24

Control Interno de TI Qu es el Control Interno Controles PreventivosEvitar eventos Controles DetectivosRegistrar eventos Controles ReactivosMec. sistemtico para detectar y

corregir Cobit 4.1COBIT 5 Ms all de que haya cambiado su alcance

Gobierno de TI

Qu es el Gobierno de TI Objetivos AlineacinValorMonitoreo - Etc

Decisiones PrincipiosArqEstrategiasInver.

ISO/IEC 38.500 y MITSloan


9/24

Auditora Misin: Realizar una revisin independiente y

especializada de las tareas, reas o funciones de una

institucin, con el fin de emitir un reporte sobre laeficacia y eficiencia de sus operaciones y resultados.

Interna/Externa

Financiera, Fiscal, Operativa, etc


10/24

Metodologa de la Auditora de TI

Planeacin

Trabajo de campo y documentacin

Deteccin y validacin de problemas

Desarrollo de soluciones

Redaccin y emisin del reportede auditora

Seguimientode los problemas

Valor aportado al Banco


11/24

Focos en la auditora de TI:

Aplicaciones

Estructura,operativa y

administracinde TI

Infraestructurade red

CPD yrecuperacinde desastres

Seguridad dela informacin


12/24

Principales estndares y frameworks

utilizados:

ISO/IEC 27.001

ISO/IEC 27.002

ISO/IEC 27.007

ISO/IEC 27.014

ISO/IEC 38.500

SP 800-30

CobiT 4.1

COBIT 5

TIA 942


13/24

Entidades financieras:

CasasFinancie

-ras

Consor-cios

Bancos IFEs

Coope-rativas

Adm. deCrdito

Casas deCambio

AFAPs

Seguros

Mercadode Valores


14/24

Aspectos tecnolgicos claves:

Core del

NegocioBase de Datos

Redes de

Comunicaciones

Centro deProcesamiento

de Datos

SeguridadInformtica y dela Informacin

Continuidad delNegocio

Gestin yGobierno de TI

Plan Estratgico

Polticas yProcedimientos

Riesgo y ControlInterno de TI

ServiciosTercerizados


15/24

Normativa:AGESIC

Normas tcnicas

Polticas - Guas - Directrices

Marco legal

Artculos - Leyes - Decretos - Etc.

BCU

Comunicaciones

2008/068 - 2008/069

Circulares

RNRCSF (recopilacin de normas de regulacin y control del sistemafinanciero)

Estndares mnimos de gestin

Tareas del Directorio - Tareas de la Alta Gerencia

Tareas para mitigar el Riesgo Operacional - Estndares de TI


16/24

Metodologa:1. Planeacin Objetivos y alcance de la Auditora. Planificacin.

Evaluacin de riesgos.

Entrevistas iniciales.

2. Trabajo de Campo Anlisis de datos. Entrevistas.

Documentacin de hallazgos.

Cumplimiento de los objetivos previamente fijados.

3. Deteccin de Problemas Analizar hallazgos. Validacin de estos.

Medicin de su importancia.


17/24

Metodologa:4. Desarrollo de Soluciones Evaluar en conjunto con auditado las mejores

soluciones para los problemas.

Validar estos planes de accin.

5. Reporte de Auditora Redaccin del informe final.

Entrega a las personas adecuadas.

6. Seguimiento Seguimiento peridico de las debilidades/planes de

accin.


18/24

Auditora de aplicaciones Rastros de auditoraen el core bancario y toda aplicacin sensible.

Seguirle el rastro a las transacciones en caso de algn problema. Tambin para estudiar posibles intentos de fraudeso ataquesa los sistemas,

etc.

En caso de tercerizarel desarrollo de los sistemas, se deberaexigirle al proveedor que implemente esta funcionalidad en laaplicacin.

Auditora de la estructura, operativa y administracin de TI Organizacin de TI claramente definida en el banco, con sus

responsabilidadesy obligacionesbien marcadas.

TI debe ocupar el lugar indicado dentro del Banco, ni muy abajo nimuy arriba en el organigrama, para evitar casos de falta de poderque le impidan tomar decisiones, o casos de demasiado poder endonde TI obstruya al corriente funcionamiento del negocio.

Dentro de la organizacin de TI, se debera velar por una adecuadasegregacinde funciones.


19/24

Auditora de la infraestructura de red Adecuados controles de seguridad y auditora en el accesoremotoa la red

del banco (desde distintas sucursales, o incluso desde casas matrices en elextranjero).

Auditora del centro de procesamiento de datos y recuperacin

de desastres En caso de utilizarse un sitiodecontingencia, el auditor debera visitarlo yasegurarse que cuenta con las medidasdeseguridadadecuada para permitirla reanudacin y continuidad de las operaciones del banco.

Adems, ya que generalmente estos sitiosson compartidoscon otrasempresas, es necesario que el auditor evale las garantas de seguridad,confidencialidady disponibilidadque le ofrece este sitio.

Auditora de la seguridad de la informacin Existen mecanismosdereporteante cualquier situacin problemtica,

incidente, debilidad o malfuncionamiento; por los cuales los empleadospuedan reportaral responsable de Seguridad de la Informacin del Banco.


20/24

Auditora sobre los otros conceptos vistos Administracin del Riesgo de TI Existencia de algn procedimientoo metodologade

Administracin del Riesgo de TI. Evaluar uso de SP 800-30.

Gestin de la Seguridad de la Informacin Se podra utilizarla ISO 27.001, 27.002 o 27.007,

dependiendo de si se tiene o no, un SGSI.

Control Interno de TI Para seguir un marcodetrabajoestructurado, lo ms

recomendable en la prctica, sera utilizar el modelo deControl Interno COSO, y para bajar a nivel de TI, usar CobiT4.1 o COBIT 5.

Gobierno de TI Evaluar las responsabilidadesy decisionesclaves del

Gobierno de TI. Se puede utilizar como marco la ISO 38.500.


21/24

Instituciones:

GAO IEEE ISACA ISF ISO

ITGI NIST Sandia SANS TIA


22/24

Conclusiones del trabajo: El presente trabajo busc explorar nuevos conocimientos en el

campo de la ingeniera en computacin y en la tecnologa, paraluego aplicarlos en un caso de estudio lo ms real posible.

Las organizaciones grandes y complejas (como los bancos),necesitan ser auditados.

Mantener su operativa confiable, segura y eficiente. Es recomendable que estas instituciones se apoyen en estndares,

metodologas y frameworks conocidos y ampliamente aplicados.

Relacionado a la Fing: Generar concienciasobre estos temas en la FIng.

Ms temas en las materias actuales, y ms materias relacionadas(a nivel de grado).

Posibilidad de estructurar perfiles.


23/24

Preguntas?


24/24

Ing. Nicols [email protected]

cigras 2013 - auditora y seguridad de ti - estado del arte y aplicacin en entidades bancarias nicols...

Documents

Transcript of cigras 2013 - auditora y seguridad de ti - estado del arte y aplicacin en entidades bancarias nicols...