Unidad III a Pdf268019658

METODOLOGÍAS DE CONTROL METODOLOGÍAS DE CONTROL

CAPITULO Nº 03

METODOLOGÍAS DE CONTROL METODOLOGÍAS DE CONTROL INTERNO, SEGURIDAD Y INTERNO, SEGURIDAD Y

AUDITORÍA INFORMÁTICAAUDITORÍA INFORMÁTICA

3.1.3.1. INTRODUCCIÓN A LAS METODOLOGÍASINTRODUCCIÓN A LAS METODOLOGÍAS

MetodologíaMetodología:: ConjuntoConjunto dede métodosmétodos queque sese siguensiguen enen unaunainvestigacióninvestigación científicacientífica oo enen unauna exposiciónexposición doctrinaldoctrinal..

LasLas MetodologíasMetodologías usadasusadas porpor unun profesionalprofesional dicendicen muchomucho dede susuformaforma dede entenderentender susu trabajotrabajo yy estánestán directamentedirectamente relacionadasrelacionadasformaforma dede entenderentender susu trabajotrabajo yy estánestán directamentedirectamente relacionadasrelacionadasconcon susu experienciaexperiencia profesionalprofesional acumuladaacumulada comocomo parteparte deldelcomportamientocomportamiento humanohumano dede acierto/erroracierto/error..

LaLa metodologíametodología eses necesarianecesaria parapara queque unun equipoequipo dedeprofesionalesprofesionales alcancealcance unun resultadoresultado homogéneohomogéneo taltal comocomo sisi lolohicierahiciera unauna solo,solo, porpor lolo queque resultaresulta habitualhabitual elel usouso dedemetodologíasmetodologías enen laslas empresasempresas auditoras/consultorasauditoras/consultoras..


SeguridadSeguridad dede loslos SistemasSistemas dede InformaciónInformación:: eses lala doctrinadoctrinaqueque tratatrata dede loslos riesgosriesgos informáticosinformáticos oo creadoscreados porpor lalainformáticainformática..

LaLa informáticainformática creacrea unosunos riesgosriesgos informáticosinformáticos dede loslos queque hayhay quequeLaLa informáticainformática creacrea unosunos riesgosriesgos informáticosinformáticos dede loslos queque hayhay quequeprotegerproteger yy preservarpreservar aa lala entidadentidad concon unun entramadoentramado dedecontramedidas,contramedidas, yy lala calidadcalidad yy lala eficaciaeficacia dede laslas mismasmismas..

ParaPara explicarexplicar esteeste aspectoaspecto diremosdiremos queque cualquiercualquier contramedidacontramedidanacenace dede lala composicióncomposición dede variosvarios factoresfactores expresadosexpresados enen elelsiguientesiguiente graficografico::


NORMAS

ORGANIZACION

METODOLOGÍA

NORMATIVA , debe definir todo loque debe existir y ser cumplidotanto desde el punto de vistaconceptual, cómo práctico.

ORGANIZACIÓN , es la queintegran personas con funciones

OBJETIVOS DE CONTROL

PROCESAMIENTO

TECNOLOGIAS DE SEGURIDAD

HERRAMIENTAS DE CONTROL

integran personas con funcionesespecíficas y con actuacionesconcretas; éste es el aspecto másimportante, dado que in él, nada esposible.

METODOLOGÍAS , son necesariaspara desarrollar cualquier proyectoque nos propongamos de maneraordenada y eficaz.


NORMAS

ORGANIZACION

METODOLOGÍA

OBJETIVOS DE CONTROL, sonlos objetivos a cumplir en el controlde procesos , este es el segundomás importante.

PROCESAMIENTO, son losprocedimientos operativos de las


PROCESAMIENTO



procedimientos operativos de lasdistintas áreas de la empresa, latendencia habitual de losinformáticos es la de dar más pesoa las herramientas que al control ocontramedida, pero no debemosolvidar que: “UNA HERRAMIENTANUNCA ES UNA SOLUCION SINOUNA AYUDA PARA CONSEGUIRUN CONTROL MEJOR”


NORMAS

ORGANIZACION

METODOLOGÍA

TECNOLOGÍAS DE SEGURIDAD,es donde están todos los elementosya sean Hardware o software, queayudan a controlar un riesgoinformático.


PROCESAMIENTO



LAS HERRAMIENTAS DECONTROL, son elementos softwareque permiten definir uno o variosprocedimientos de control paracumplir una normativa y un objetivode control


•• PlanPlan dede SeguridadSeguridad:: eses unauna estrategiaestrategia planificadaplanificada dede accionesacciones yyproductosproductos queque llevenlleven aa unun sistemassistemas dede informacióninformación yy sussus centroscentros dedeprocesoproceso dede unauna situaciónsituación inicialinicial determinadadeterminada aa unauna situaciónsituación mejoradamejorada..enen elel siguientesiguiente graficografico sese observaráobservará lala tendenciatendencia actualactual enen lalaorganizaciónorganización dede lala seguridadseguridad dede sistemassistemas enen lala empresaempresa..

Organización Interna de la Seguridad Informática

Auditoria InformáticaAuditoria Informática

Plan AuditorPlan Auditor

Comité de Seguridad de la InformaciónComité de Seguridad de la Información

Seguridad corporativaSeguridad corporativa

Control InternoControl Interno

Dpto. de InformáticaDpto. de Informática

Dpto. de UsuariosDpto. de Usuarios

Dirección del plan de seguridadDirección del plan de seguridad

Control InformáticoControl Informático

Responsable de FicherosResponsable de Ficheros

Organización Interna de la Seguridad Informática

3.2 Metodologías de 3.2 Metodologías de Evaluación de SistemasEvaluación de Sistemas

3.2.1 Conceptos Fundamentales3.2.1 Conceptos Fundamentales

� Análisis de Riesgos

� Auditoria Informática

Amenaza

Definiciones para profundizar las metodologías


Amenaza

Vulnerabilidad

Riesgo

Exposición o Impacto

Todos los riesgos que se presentan podemos:

Evitarlos


Evitarlos

Transferirlos

Reducirlos

Asumirlos

3.2.2.1 Metodologías cuantitativas

Basadas en un modelo matemático numérico que ayuda a la realización de trabajo.

3.2.2 Tipos de Metodologías3.2.2 Tipos de Metodologías

trabajo.

3.2.2.1 Metodologías Cualitativas/Subjetivas

Basadas en métodos estadísticos y raciocinio humano.Precisan de la involucración de un profesionalexperimentado. Pero requieren menos recursoshumanos que las metodologías cuantitativas.

CUANTITATIVACUANTITATIVA CUALITATIVA / SUBJETIVACUALITATIVA / SUBJETIVA

PPRROOSS

Enfoca pensamientos mediante el uso de números.Enfoca pensamientos mediante el uso de números.Facilita la comparación de vulnerabilidades muy Facilita la comparación de vulnerabilidades muy distintas .distintas .Proporciona una cifra “justificante” para cada Proporciona una cifra “justificante” para cada copntramedidacopntramedida

Enfoca lo amplio que se desee.Enfoca lo amplio que se desee.Plan de trabajo flexible y reactivo.Plan de trabajo flexible y reactivo.Se concentra en la identificación de eventos.Se concentra en la identificación de eventos.Incluye lectores intangibles.Incluye lectores intangibles.

CCOONNTTRRAASS

Estimación de probabilidad depende de estadísticas Estimación de probabilidad depende de estadísticas fiables inexistentes.fiables inexistentes.Estimación de las perdidas potenciales solo si son Estimación de las perdidas potenciales solo si son valores cuantificables.valores cuantificables.Metodologías estándares.Metodologías estándares.Difíciles de mantener o modificar.Difíciles de mantener o modificar.Dependencia de un profesional.Dependencia de un profesional.

Dependencia fuertemente de la habilidad y calidad Dependencia fuertemente de la habilidad y calidad del personal involucrado.del personal involucrado.Puede excluir riesgos significantes desconocidos Puede excluir riesgos significantes desconocidos (depende de la capacidad del profesional para (depende de la capacidad del profesional para usar el checkusar el check--list/guía).list/guía).Identificación de eventos reales más claros al no Identificación de eventos reales más claros al no tener que aplicarles probabilidades complejas de tener que aplicarles probabilidades complejas de calcular.calcular.Dependencia de un profesional. Dependencia de un profesional.

3.2.3.1 Metodologías de Análisis de Riesgos

3.2.1 Metodologías más comunes3.2.1 Metodologías más comunes

Cuestionario Etapa 1

Funcionamiento Esquemático básico de cualquier paqu ete

Identificar los riesgos

Calcular el impacto

Identificar las contramedidas y el coste

Simulaciones

Creación de los informes

Etapa 2

Etapa 3

Etapa 4

Etapa 6

Etapa 5

3.2.3.1 Metodologías de Análisis de Riesgos

3.2.1 Metodologías más comunes3.2.1 Metodologías más comunes

De forma genérica las metodologías existentes se diferencian en:

• Si son cuantitativas o cualitativas, o sea si para el “Qué pasa sí…?” utilizan un modelo matemático o algun sistema cercano a la elección subjetiva.

• Y además se diferencian en el propio sistema de simulación.

�Metodologías cuantitativas :

�Basadas en FIPS 65�Método de IBM :�basado en técnica de DELPHI = consenso de expertos para determinar los costos.�RISKCALC�BDSS

�Metodologías cuantitativas :

�Basadas en FIPS 65�Método de IBM

�RISKCALC�BDSS

se considera la frecuencia, esta basada en las diferentes bitácoras , logs y reportes de incidentes. El impacto se determina en forma cuantitativa (valores Económicos). Lo ideal es poder expresar el impacto en términos económicos.

Tipos de metodologías de análisis de riesgo

�BDSS�Metodologías cualitativas:

�LAVA: Los Alamos Vulnerability/ Risk Assessment�RISKPAC�MARION�CRAMM

�BDSS�Metodologías cualitativas:

�LAVA: Los Alamos Vulnerability/ Risk Assessment�RISKPAC�MARION�CRAMM

No se tiene en cuenta la frecuencia para valorar los riesgos.La tabla muestra un claro ejemplo donde se emplea una matriz impacto/posibilidad de ocurrencia de una amenaza paradeterminar el nivel de riesgo que se tiene. "Aquí el riesgo indica las pérdidas ante la posibilidad de presentarse la amenaza

Probabilidad de ocurrencia

A =riesgos que requieren pronta atención,B =no es prioritario la toma de medidas

� Marion-Francia

Método de evaluación que ofrece dos productos:

� Sistemas individuales

� Sistemas distribuidos

Marion AP+

Marion RSX


* No contempla probabilidades.* Contempla esperanzas matemáticas (aprox. numéricas)

Método cuantitativo basado en una encuesta anual al CLUSIF(base deIncidentes francesa)


Marion

Comprende seis etapas:1. Identificar los incidentes e impactos sobre el SI.2. Decidir la perdida máxima aceptable y por lo tanto los

incidentes a cubrir.3. Estimar la calidad de medidas de seguridad existentes (a partir

de una lista cuestionario), identificando vulnerabilidades yde una lista cuestionario), identificando vulnerabilidades ycontra-medidas a implementar.

4. Identificar los factores financieros que dificulten laimplementación de las contra-medidas.

5. Producir una lista priorizada de contra-medidas6. Desarrollar un plan de acción.

Presenta resultados en forma gráfica, tabular y provee ungestionador del proyecto de seguridad.

Marion

� Utiliza cuestionarios para valorar la seguridad(SI=4,NO=0,No_aplicable=3).

� Parámetros correlacionados (representan graf. Distintas soluciones de contramedidas) en cada uno de los factores(27 en 6 categorías)

� categoría de factores


1. Seguridad informática general2. Factores socioeconómicos3. Concienciación sobre la seguridad de soft4. Concienciación sobre la seguridad de materiales.5. Seguridad en explotación.6. Seguridad en desarrollo.

Marion

Valores de ponderación para diferentes sectores (ejemplos):SectorSector CATEGORCATEGORÍÍAA

11 Establecimientos financierosEstablecimientos financieros

bancosbancos


22

33

AgriculturaAgricultura

EnergEnergííaa

ConstrucciConstruccióónn

MetalMetalúúrgicargica

TransporteTransporte

ComercioComercio

HospedajeHospedaje

Marion

El análisis de riesgo lo hace bajo 10 áreas problemas:�Riesgos materiales�Sabotajes físicos�Averías�Comunicaciones.�Errores de desarrollo


�Errores de desarrollo�Errores de explotación�Fraude�Robo de información�Robo de software�Problemas de personal.

Marion


Marion

Nota:- Las pérdidas posibles no deben nunca sobrepasar el “VALOR DERIESGO MAXIMO ADMISIBLE”


Valor dado por un estudio del banco de

Francia para las distintasáreas sectoriales

� RISCKPAC

Herramientas de softwareMetodología aplicada en

Profile Analysis Corporationcon DATAPRO(1994)


con DATAPRO(1994)

� enfoque cualitativa subjetiva� resultados exportables a

� procesadores de texto� BD.� Hojas de cálculo� sistemas gráficos

� RISCKPAC

FacilidadesDel sistema

�Calcula para cada aplicación un factor de riesgo:1= nominal, ..., 5 = catastrofe.


� Entorno� Procesador� Aplicaciones

divididos en 26 categorías deRiesgo en cada nivel

�estructurada como cuestionarioen 3 niveles

HardwareAmb. Físico

Comunicaciónacceso

Riesgos relacionadosIntegridad, fraudeLógica de control

De acceso

� CRAMM-Reino Unido

� Desarrollado en 1985-1987 por BIS y CCTA(Central Computer& Telecomunication Agency Risk Analisis & Management Method, England)

� Implantado en mas de 750 Org. En europa� Metodología cualitativa y permite hacer análisis (que pasa si?)


� PRIMA (Prevención de Riesgos Informáticos con Metod ología Abierta)

� metodología española(1990)� enfoque subjetivo� Características

� Cubrir necesidades de los proyectos de un plan de seguridad� Adaptable� Cuestionarios para identificar fallas de controles� Proporciona un sistema de ayuda� Informes finales� Lista de ayuda y cuestionarios son abiertos

Identificación dedebilidades

Análisis del impactoY riesgo

Definición decontramedidas

Ponderación

AmenazasVulnerabilidades

Toma de acción


valoración decontramedidas

Preparación delPlan de acción

Informe final

PrioridadCosto Dificultadduración

RiesgosPlan de acciónPlan de proyectos

Fases de la metodologíaPRIMA

Unidad III a Pdf268019658

Documents

Transcript of Unidad III a Pdf268019658