Post on 20-Sep-2018
Ing. Nicolás Serrano
nserrano@bcu.gub.uy
Detalles del trabajo
Problema
Objetivos
Antecedentes en la FIng
Temas tratados
Estado del arte
Caso de estudio
Conclusiones
Tesis de Grado – Junio a Diciembre del 2012
Estudiante: Nicolás Serrano Tutor: Cristina Mayr Tribunal:
• María Eugenia Corti • Daniel Meerhoff • Sebastián Pizard
Centro de estudios:
• Universidad de la República Facultad de Ingeniería Instituto de Computación
La operativa de las organizaciones es soportada por la Tecnología.
• Además, la información es un activo fundamental (bien intangible con el cual la empresa obtiene un beneficio).
Es sumamente importante administrar y brindar la
seguridad adecuada de los sistemas, infraestructura, procesos, políticas, etc. de TI dentro de éstas.
Los Bancos tienen un rol muy importante en la sociedad.
Estas instituciones requieren que su soporte tecnológico reciba la auditoría adecuada, para evaluar su eficacia, eficiencia, seguridad, gestión, etc.
• Luego de realizar un estudio de estos conceptos, aplicarlos a organizaciones del tipo bancario.
Estado del arte
Auditoría de TI
Control Interno de
TI
Riesgo de TI
Seguridad Informática
Gobierno de TI
No son temas que se tengan mucho en cuenta a nivel de grado.
• Se focaliza en otros temas.
Sin antecedente estrechamente relacionado con la temática en tesis de grado o trabajos similares.
• No fue un proyecto de grado fácilmente aceptado en un principio.
De igual manera, no existen grupos de trabajo o
investigación dedicados plenamente a estos temas.
Pero…a nivel de posgrado, existen materias más relacionadas y se desarrollan tesis de maestría cercanas en la temática.
Administración del riesgo de TI • Basado en la NIST SP 800-30. • Identificación, evaluación y priorización de
vulnerabilidades y amenazas. • Medidas para evitar, mitigar o reducir su impacto.
• Adm. del Riesgo de TI integrado al ciclo de vida de los sistemas.
Gestión de la Seguridad de la Información • Basado en la familia ISO/IEC 27.000.
• Confidencialidad – Integridad – Disponibilidad. • SGSI – PDCA. • Buenas prácticas – Auditoría de un SGSI – Gobierno.
Control Interno de TI • Qué es el Control Interno
• Controles Preventivos – Evitar eventos
• Controles Detectivos – Registrar eventos
• Controles Reactivos – Mec. sistemático para detectar y corregir
• Cobit 4.1 – COBIT 5 Más allá de que haya cambiado su alcance
Gobierno de TI
• Qué es el Gobierno de TI
• Objetivos Alineación – Valor – Monitoreo - Etc
• Decisiones Principios – Arq – Estrategias – Inver.
• ISO/IEC 38.500 y MITSloan
Auditoría Misión: Realizar una revisión independiente y
especializada de las tareas, áreas o funciones de una
institución, con el fin de emitir un reporte sobre la
eficacia y eficiencia de sus operaciones y resultados.
Interna/Externa
Financiera, Fiscal, Operativa, etc…
Metodología de la Auditoría de TI
Planeación
Trabajo de campo y documentación
Detección y validación de problemas
Desarrollo de soluciones
Redacción y emisión del reporte de auditoría
Seguimiento de los problemas
Valor aportado al Banco
Focos en la auditoría de TI:
Aplicaciones
Estructura, operativa y
administración de TI
Infraestructura de red
CPD y recuperación de desastres
Seguridad de la información
Principales estándares y frameworks
utilizados:
ISO/IEC 27.001
ISO/IEC 27.002
ISO/IEC 27.007
ISO/IEC 27.014
ISO/IEC 38.500
SP 800-30
CobiT 4.1
COBIT 5
TIA 942
Entidades financieras:
Casas Financie
-ras
Consor-cios
Bancos IFEs
Coope- rativas
Adm. de Crédito
Casas de Cambio
AFAPs
Seguros
Mercado de Valores
Aspectos tecnológicos claves:
Core del Negocio
Base de Datos Redes de
Comunicaciones
Centro de Procesamiento
de Datos
Seguridad Informática y de la Información
Continuidad del Negocio
Gestión y Gobierno de TI
Plan Estratégico
Políticas y Procedimientos
Riesgo y Control Interno de TI
Servicios Tercerizados
Normativa: AGESIC
• Normas técnicas
• Políticas - Guías - Directrices
• Marco legal
• Artículos - Leyes - Decretos - Etc.
BCU
• Comunicaciones
• 2008/068 - 2008/069
• Circulares
• RNRCSF (recopilación de normas de regulación y control del sistema financiero)
• Estándares mínimos de gestión
• Tareas del Directorio - Tareas de la Alta Gerencia
• Tareas para mitigar el Riesgo Operacional - Estándares de TI
Metodología: 1. Planeación Objetivos y alcance de la Auditoría. Planificación.
Evaluación de riesgos.
Entrevistas iniciales.
2. Trabajo de Campo Análisis de datos. Entrevistas.
Documentación de hallazgos.
Cumplimiento de los objetivos previamente fijados.
3. Detección de Problemas Analizar hallazgos. Validación de estos.
Medición de su importancia.
Metodología: 4. Desarrollo de Soluciones Evaluar en conjunto con auditado las mejores
soluciones para los problemas.
Validar estos planes de acción.
5. Reporte de Auditoría Redacción del informe final.
Entrega a las personas adecuadas.
6. Seguimiento Seguimiento periódico de las debilidades/planes de
acción.
Auditoría de aplicaciones • Rastros de auditoría en el core bancario y toda aplicación sensible.
• Seguirle el rastro a las transacciones en caso de algún problema. También para estudiar posibles intentos de fraudes o ataques a los sistemas,
etc.
• En caso de tercerizar el desarrollo de los sistemas, se debería exigirle al proveedor que implemente esta funcionalidad en la aplicación.
Auditoría de la estructura, operativa y administración de TI
• Organización de TI claramente definida en el banco, con sus responsabilidades y obligaciones bien marcadas.
• TI debe ocupar el lugar indicado dentro del Banco, ni muy abajo ni muy arriba en el organigrama, para evitar casos de falta de poder que le impidan tomar decisiones, o casos de demasiado poder en donde TI obstruya al corriente funcionamiento del negocio.
• Dentro de la organización de TI, se debería velar por una adecuada segregación de funciones.
Auditoría de la infraestructura de red • Adecuados controles de seguridad y auditoría en el acceso remoto a la red
del banco (desde distintas sucursales, o incluso desde casas matrices en el extranjero).
Auditoría del centro de procesamiento de datos y recuperación
de desastres • En caso de utilizarse un sitio de contingencia, el auditor debería visitarlo y
asegurarse que cuenta con las medidas de seguridad adecuada para permitir la reanudación y continuidad de las operaciones del banco.
• Además, ya que generalmente estos sitios son compartidos con otras empresas, es necesario que el auditor evalúe las garantías de seguridad, confidencialidad y disponibilidad que le ofrece este sitio.
Auditoría de la seguridad de la información
• Existen mecanismos de reporte ante cualquier situación problemática, incidente, debilidad o malfuncionamiento; por los cuales los empleados puedan reportar al responsable de Seguridad de la Información del Banco.
Auditoría sobre los otros conceptos vistos • Administración del Riesgo de TI Existencia de algún procedimiento o metodología de
Administración del Riesgo de TI. Evaluar uso de SP 800-30.
• Gestión de la Seguridad de la Información Se podría utilizar la ISO 27.001, 27.002 o 27.007,
dependiendo de si se tiene o no, un SGSI.
• Control Interno de TI Para seguir un marco de trabajo estructurado, lo más
recomendable en la práctica, sería utilizar el modelo de Control Interno COSO, y para bajar a nivel de TI, usar CobiT 4.1 o COBIT 5.
• Gobierno de TI Evaluar las responsabilidades y decisiones claves del
Gobierno de TI. Se puede utilizar como marco la ISO 38.500.
Instituciones:
GAO IEEE ISACA ISF ISO
ITGI NIST Sandia SANS TIA
Conclusiones del trabajo: • El presente trabajo buscó explorar nuevos conocimientos en el
campo de la ingeniería en computación y en la tecnología, para luego aplicarlos en un caso de estudio lo más real posible.
• Las organizaciones grandes y complejas (como los bancos), necesitan ser auditados.
• Mantener su operativa confiable, segura y eficiente.
• Es recomendable que estas instituciones se apoyen en estándares, metodologías y frameworks conocidos y ampliamente aplicados.
Relacionado a la Fing:
• Generar conciencia sobre estos temas en la FIng.
• Más temas en las materias actuales, y más materias relacionadas (a nivel de grado).
• Posibilidad de estructurar perfiles.
¿Preguntas?
Ing. Nicolás Serrano nserrano@bcu.gub.uy