M. Sc. Miguel Cotaña Mier Lp, Noviembre 2012

AUDITORIA DE SISTEMAS

INFORMATICOS

UNIVERSIDAD MAYOR DE SAN ANDRES

FACULTAD DE CIENCIAS ECONOMICAS Y FINANCIERAS

CARRERA DE AUDITORIA

1 3. Administración del riesgo

2

Los cambios que ocurren hoy, su complejidad y la velocidad con los que se dan, son las raíces de la incertidumbre y el riesgo que las organizaciones confrontan. Los avances tecnológicos generan un ambiente operativo, cada día más riesgoso y complicado.

INTRODUCCION

3

Es imprescindible en toda organización contar con una herramienta, que garantice la correcta evaluación de los riesgos, a los cuales estan sometidos los procesos y actividades que participan en el area de informática; y por medio de procedimientos de control se pueda evaluar el desempeño del entorno informático.

4

Riesgos financieros: organización expuesta a pérdidas; los elementos que conforman las causas de pérdidas financieras y; un peligro que puede causar la pérdida. Riesgos dinámicos: cambios en la economia Riesgos estáticos: deshonestidad o falla humana; Riesgo especulativo: posibilidad de pérdida o ganancia (situación aventurada o del azar); Riesgo fundamental: pérdidas impersonales, causados por fenómenos economico-sociales; Riesgo particular: son pérdidas que surgen de eventos individuales (incendio, robo);

CLASIFICACION DE LOS RIESGOS

5

Riesgo puro: solo genera pérdida o ganancia (personal, posesión, responsabilidad, fisico, quimico, biológico, psicosocial, ergonómicos) El riesgo puro en la empresa a su vez se clasifica en :

Riesgo inherente; Riesgo incorporado; Riesgo de control; Riesgo de detección.

6

El riesgo inherente es aquel riesgo que por su naturaleza no se puede separar de la situación donde existe. Es propio del trabajo a realizar. Es el riesgo propio de cada empresa de acuerdo a su actividad:

TIPO EMPRESA RIESGO INHERENTE

Transporte Choques, colisiones, vuelco

Minería Derrumbes, explosiones, caídas

atrapamiento

Fabricas de Software Incendios, terremotos,

Metalmecánica Quemaduras, golpes

Construcción Caída distinto nivel, golpes, atrapamiento

7

Los riesgos inherentes en una empresa se deben controlar y/o eliminar los que sean posibles, ya que como estos están en directa relación con la actividad de la empresa si estos no lo asumen no puede existir. Los riesgos incorporados se deben eliminar de inmediato!!!

8

El riesgo incorporado es aquel riesgo que no es propio de la actividad, sino que producto de conductas poco responsables de un trabajador, el que asume otros riesgos con objeto de conseguir algo que cree que es bueno para el y/o para la empresa, como por ejemplo ganar tiempo, terminar antes el trabajo para destacar, demostrar a sus compañeros que es mejor, etc.

9

El riesgo de control es el riesgo por el que un error, que podría cometerse en un área que no pueda ser evitado o detectado y corregido oportunamente por el sistema de control interno. Por ejemplo, el riesgo de control asociado a las revisiones manuales de registros computadorizados es alto debido al volumen de información registrada. El riesgo de control asociado a los procedimientos computarizados de validación de datos es normalmente bajo puesto que los procesos se aplican con regularidad.

10

El riesgo de detección, es el riesgo que se produce cuando los procedimientos sustantivos del ASI no detectan un error que podría ser material, individualmente o en combinación con otros. Por ejemplo, el riesgo de detección asociado a la identificación de violaciones de la seguridad en un sistema es normalmente alto. El riesgo de detección asociado con la identificación de la falta de planes de recuperación ante desastres es normalmente bajo, dado que su existencia puede verificarse con facilidad.

11

Riesgos de Integridad: abarca los riesgos asociados con la autorización, completitud y exactitud de entrada, procesamiento y reportes de las aplicaciones utilizadas. Se manifiestan en un sistema: Interface de usuario: niveles de acceso y

restricciones, validez y completitud; Procesamiento: balance de los controles

detectivos y preventivos. Abarca tambien los riesgos asociados con la exactitud e integridad de los reportes;

RIESGOS EN EL NEGOCIO

12

Procesamiento de errores: se relacionan con los métodos que aseguren cualquier E/proceso de información de errores (Exceptions) sean capturados adecuadamente, corregidos y reprocesados;

Interface: controles preventivos y detectivos que aseguren que la información ha sido procesada adecuadamente;

Administración de cambios; Información.

13

Riesgos de Relación: se refiere al uso oportuno de la información creada por una aplicación. Estos riesgos se relacionan directamente a la información de toma de decisiones (información y datos correctos de una persona/proceso/sistema correcto en el tiempo preciso permiten tomar decisiones correctas)

14

Riesgos de acceso: inapropiado acceso al sistema, datos e información (riesgos de segregación inapropiada de trabajo, riesgos con la integridad de la BD y riesgos con la confidencialidad). Pueden ocurrir en los siguientes niveles:

Procesos de negocio: incompatibilidad; Aplicacion: mecanismos de seguridad; Administracion de la informacion; Entorno de procesamiento; Redes; Nivel fisico.

15

Riesgos de utilidad: Estos riesgos se enfocan en 3 diferentes niveles: Los riesgos pueden ser enfrentados por el

direccionamiento de sistemas antes de que los problemas ocurran;

Técnicas de recuperación/restauración usadas para minimizar la ruptura de los sistemas;

Bachups y planes de contingencia controlan desastres en el procesamiento de la información.

16

Riesgos en la infraestructura: estos riesgos se refieren a que en las organizaciones no existe una estructura de información tecnologica efectiva (Hw, Sw, redes, personas, procesos) : Planeacion organizacional: definición y

verificación de la tecnologia informática; Definicion de las aplicaciones: satisfacen

requerimientos de los usuarios; Administracion de seguridad; Operaciones de red y computacionales; Administracion de BD.

17

Riesgos de seguridad: para disminuir el riesgo: Riesgos de choque eléctrico; Riesgos de incendio; Riesgos de niveles inadecuados de

energia eléctrica; Riesgos de radiaciones; Riesgos mecánicos.

18

Riesgos de auditoria: es la posibilidad de que se emita un informe inadecuado, por no haberse detectado errores o irregularidades significativas a través del proceso de revisión.

19

ANALISIS DE RIESGOS

Es parte de la planeación de auditoria y ayuda a identificar los riesgos y vulnerabilidades para que el ASI pueda determinar los controles que se necesitan para mitigar esos riesgos. Los ASI deben poder identificar y diferenciar los tipos de riegos y los controles usados para mitigarlos. Los ASI deben entender que existe riesgo dentro del proceso de auditoria.

20

“El potencial de que una amenaza determinada se aproveche de las

vulnerabilidades de un activo o grupo de activos y ocasione pérdida o daño a los activos. El impacto o severidad relativos del riesgo es proporcional al

valor de la pérdida/daño y a la frecuencia estimada de la amenaza

para el negocio”.

DEFINICION DE RIESGO

La Organización Internacional de Estandarización (ISO) (Directrices para la Administración de la Seguridad de TI) define como:

21

El riesgo tiene los siguientes elementos: Amenazas a, y vulnerabilidades de los

procesos y/o activos; Impacto sobre los activos basados en

las amenazas y las vulnerabilidades; Probabilidad de amenazas

(combinación de la probabilidad y la frecuencia de que ocurran).

22

El ASI está enfocado en problemas de alto riesgo asociados con la:

Confidencialidad; Disponibilidad; Integridad.

La naturaleza de estas amenazas puede ser financiera, regulatoria u operacional. El impacto del riesgo está en función del daño o perjuicio. Para la evaluación se determina las áreas sensitivas del negocio.

23

Una vez que los activos de información sensitiva y/o crítica están identificados, se realiza un análisis de riesgo para identificar los riesgos y para determinar la probabilidad de ocurrencia, el impacto resultante y las medidas adicionales que mitigarían este impacto a un nivel considerado aceptable por la gerencia.

24

Una(s) persona(s) ú objeto(s) como posible fuente de peligro o catástrofe.

Ejemplos de amenazas: Errores; Ataques maliciosos; Fraude / Robo; Falla de Equipo.

AMENAZA

25

Acciones que pueden ocasionar consecuencias negativas en la plataforma informática disponible: fallas, ingresos no autorizados a las áreas de computo, virus, uso inadecuado de activos informáticos, desastres ambientales (terremotos, inundaciones), incendios, accesos ilegales a los sistemas, fallas eléctricas.

Pueden ser de tipo lógico o físico.

26

Es una debilidad en un sistema por la que un atacante puede entrar o sacar información del mismo (falta de controles)

Ejemplos: Falta de Conocimiento del

Usuario; Falta de Funcionalidad de la

Seguridad; Mala elección de Contraseñas; Transmisión por medio de líneas

no protegidas.

VULNERABILIDAD

27

Exploit. Es una manera, herramienta o código de programación para aprovechar una vulnerabilidad y controlar el sistema vulnerable. Ejecución de código abierto. Es la posibilidad de ejecutar comandos e instrucciones en un sistema sin tener los privilegios de administrador por medio de una vulnerabilidad.

28

VICTIMA ATACANTE Tenemos un equipo VICTIMA con una

vulnerabilidad y un equipo ATACANTE que conoce que el

primer equipo tiene dicho problema.

El equipo ATACANTE manda datos

“explotando” la vulnerabilidad de la

VICTIMA.

La VICTIMA es vulnerable a

determinadas ordenes del

ATACANTE y le envía información propia.

Ejemplo de Vulnerabilidad

29

Desbordamiento de Búffer;

Denegación de servicio (DoS);

Escaladas de privilegios;

Error humano.

Tipos de Vulnerabilidad

30

ATACANTE

(usuario)

VICTIMA

(Servidor web)

www.bolivia.com

(18 caracteres)

El programador del servidor web ha previsto que reciba solo una cantidad razonable de

datos de 150 carácteres (dentro del buffer de memoria).

En cambio, si el atacante manda una cantidad exagerada de datos, sobrepasando el limite

previsto del programador, desbordando el búffer y escribiendo en zonas de memoria donde residen programas, datos, otros procesos, y por lo tanto,

destruyendo dicha información.

www.bolvia.com/qwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmwetuiuhsjhabgahnhanha

mhhahaehe[...]

(500 caracteres)

Desbordamiento de Buffer

ATACANTES VICTIMA

(Servidor web)

USUARIO

ACCIÓN NORMAL: El usuario hace una petición al servidor y éste se la responde.

EXPLOTACIÓN: Varios atacantes aprovechan una vulnerabilidad haciendo que la victima llegue al 100% de la CPU, colapsándolo.

DENEGACIÓN: Cuando un usuario le hace una petición, el servidor esta muy ocupado y éste le deniega el servicio.

Denegación de Servicio (DoS)

32

Inadecuados recursos compartidos;

Vulnerabilidades del S.O. sin parchear;

Vulnerabilidades de SW/HW sin parchear;

Servicios configurados incorrectamente;

Ausencia de actualizaciones del antivirus;

Ausencia de protección de un firewall;

Etc…

ERROR HUMANO

33

Consecuencias de la ocurrencia de las distintas amenazas: financieras o no financieras.

Perdida de dinero, deterioro de la imagen de la empresa, reducción de eficiencia, fallas operativas a corto o largo plazo, pérdida de vidas humanas, etc.

IMPACTO

34

Es el proceso de identificar las debilidades y las amenazas asociados a los recursos de información utilizados por una organización para lograr los objetivos del negocio, y decidir QUÉ contramedidas tomar, si hubiera alguna, para reducir el nivel de riesgo hasta un nivel aceptable. Los objetivos de la gestión de riesgos son identificar, controlar y eliminar las fuentes de riesgo antes de que empiecen a afectar al cumplimiento de los objetivos del negocio.

ADMINISTRACION DEL RIESGO

35

La gestión continuada de los riesgos permite aumentar su eficiencia: Evaluar continuamente lo que pueda ir

mal; Determinar qué riesgos son

importantes; Implementar estrategias para

resolverlos; Asegurar la eficacia de las estrategias.

36

Analisis del riesgo: su objetivo, es desarrollar un plan que controle cada uno de los eventos perjudiciales;

Mitigacion del riesgo: compuesta por métodos (evitar el riesgo, conseguir información acerca del riesgo, planificar el entorno informático, eliminar el origen del riesgo, asumir y comunicar el riesgo);

Evaluación del riesgo: Los riesgos aparecen y desaparecen en informática, por lo que es necesario realizar seguimiento

ACTIVIDADES DE GESTION

37

Evitarlos: Por ejemplo: no instalar redes en

ambientes con interferencia, arriesgarse a hacer una inversión. Puede ser mas negativa; Transferirlos: Por ejemplo, contratar empresa para cableado con fibra optica; Reducirlos: Por ejemplo, sistema de deteccion y extincion de incendios, alarmas,

programas de seguridad, guardias de seguridad; Asumirlos: Que es lo que se hace si no se controla el riesgo en absoluto.

TECNICAS DE ADMINISTRACION

38

Determinar los Objetivos; Identificación de los Riesgos: Herramientas de identificación de riesgos:

registros internos de la organización; listas de chequeo; cuestionarios de análisis de riesgos; flujos de procesos; análisis financiero; inspección de operaciones y; entrevistas.

Aproximación de combinación;

PROCESO DE GESTION DE RIEGOS

39

Evaluación de Riesgos: Riesgos críticos Riesgos importantes Riesgos no importantes

Consideración de alternativas y selección de mecanismos de tratamiento de riesgos;

Implementación de la Decisión, Evaluación y Revisiones;

Responsabilidades Del Administrador De Riesgos.

40

1. Desarrollar politicas de administración: ayuda en la identificación de objetivos y preparación de politicas junto a la alta gerencia;

2. Identificar los riesgos: requiere un gran SI que alertará al administrador;

3. Seleccionar alternativas financieras: el adm. Recomienda el camino a tomar;

4. Negociar el alcance de la seguridad: debe obtener la mejor combinacion entre alcance y costo;

5. Supervisar la adm. Interna: estadisticas de perdida, monitorización y horarios;

6. Administrar funciones de riesgo; 7. Supervisar la prevencion a perdidas

RESPONSABILIDAD: del Adm. Riesgos

41

Evaluar los objetivos y las políticas de la administración de riesgos: medición de programas con éstandares y habilidad de soportar pérdidas. Identificar y evaluar los riesgos: después de que los objetivos han sido definidos y evaluados, el paso siguiente es identificar las exposiciones a riesgos (análisis de operaciones)

AUDITORIA EN ADM. DE RIESGOS

42

Evaluar las decisiones relacionadas a pérdida: incluye una revisión de la extensión de los riesgos. Evaluar las medidas de la administración de riesgos: que han sido implementadas. Evalua decisiones pasadas, verificando que la decisión fue apropiadamente implementada. Recomendar cambios: para el beneficio del programa de auditoria.

Declaración y Contexto del Riesgo;

Evaluación Binaria de Atributos de Riesgo;

Gráfica de Barra de Riesgos;

Clasificación de Riesgos;

Comparación de Rango de Riesgos;

Lista de Acción por Riesgos;

Hoja de Monitoreo de Riesgos;

Hoja de Información de Riesgos.

METODO EN ADM. DE RIESGOS

Identificador:

Nombre del Riesgo Hoja de Información del Riesgo Identificado: Fecha de

identificación del riesgo

Prioridad: Puede ser alta,

media o baja Declaración: Documenta información inicial del riesgo

Probabilidad: Puede ser

alta, media o alta

Impacto: Efecto adverso,

alto medio o bajo

Origen: Persona que

identifica el riesgo

Clase: Riesgo por

experiencia propia o ajena

Asignado a: Responsable de

acciones correctivas

Contexto: Información completa de la declaración del riesgo

Estrategia Correctiva: Estrategía seleccionada para contrarrestar el riesgo

Plan de Contingencia y Activación: Plan de contingencia, evento o tiempo que activa el mismo.

Situación: Provee historia del riesgo y sus cambios Fecha de Situación:

Aprobado: Aprobación de

medidas correctivas o

clausura del riesgo

Fecha de Clausura: Fecha

en que riesgo fue clausurado.

Comentario de Clausura: Comentario de clausura o del

riesgo

Identificador: 1A Hoja de Información del Riesgo Identificado: Fecha de

identificación del riesgo

Prioridad: 2 Declaración: La falta de filtros de correo electrónico puede conllevar a un ataque de

negación de servicio en el que un ruteador o un servidor de correo electrónico están bajo un

continuo ataque; lo que constituye un riesgo de seguridad Probabilidad:Media

Impacto: Bajo Origen:Patricia Arce,

Especialista de Seguridad

Clase: Experiencia de otra

instalación

Asignado a: Patricia Arce,

Especialista de Seguridad

Contexto: Una bomba de correo electrónico es simplemente una serie de mensajes (probablemente miles) enviados a una casilla

de correo. Su tamaño promedio es de 2MB. Su intención es llenar la casilla de correo con basura. De no implementarse filtros de

correo podría conllevar a la negación de servicios y constituir un riesgo de seguridad.

Estrategia Correctiva: 1. Identificación de los paquetes de bombas. 2. Identificación de las aplicaciones de filtros. 3.

Entrenamiento al personal.

Plan de Contingencia y Activación: Plan: Contratar servicios profesionales que proporciones

entrenamiento en la instalación y utilización de filtros de correo. Activación: De no satisfacer la solución

interna

Situación: Casos reportados, tipo de bomba identificada, filtros instalados y Personal

Capacitado.

Fecha de Situación: 21/09/09

Aprobado: Giovanni

Cotaña, Director de

Seguridad de SI

Fecha de Clausura: 22/09/09. Comentario de Clausura: Las acciones fueron emprendidas

inmediatamente.

Identificar Riesgos

Análisis: clasificar y evaluar riesgos

Análisis: Prioridades

Plan: asignar y Aprobar

Plan: define acciones

Monitoreo de Riesgos Control de riesgo

Declaración y contexto del riesgo

Clase, prob., impacto y ocurrencia del riesgo

Prioridad listado de

riesgo

Asignaciones Y planes

aprobados

Plan para contra restar

el riesgo

Reporte de situación

Decisiones

Proceso de implementación