Evaluación de la Seguridad de la Información en el Área de Informática en la Municipalidad de...

“Evaluación de la seguridad de la información en el Área de

Informática en la Municipalidad de Desamparados”

Por: Víctor Fallas Silva

Setiembre, 2015

Tema de Investigación

CONTENIDO

1- Introducción2- Marco Teórico3- Marco Metodológico4- Análisis y Resultados5- Conclusiones y Resultados6- La Propuesta

ESTRUCTURA

1. Antecedentes2. Justificación3. Formulación del Problema4. Objetivos

INTRODUCCIÓN MARCO TEÓRICO MARCO METODOLÓGICO

ANÁLISIS Y RESULTADOS

CONCLUSIÓN Y RECOMENDACIÓN LA PROPUESTA

5. Variables6. Alcance7. Limitaciones




1. ANTECEDENTES 2. JUSTIFICACIÓN 3. FORMULACIÓN DEL PROBLEMA




4. OBJETIVO GENERAL:

Evaluar la seguridad de la información en la Municipalidad de Desamparados, con la finalidad de que se proponga la implementación de una metodología de Auditoría de Sistemas, bajo los parámetros de las mejores prácticas.




5. VARIABLES:

1- Seguridad de la Información.2- Política de Seguridad.3- Gestión del Riesgo.4- Compromiso del Personal con la Seguridad.

5- Clasificación de la Seguridad.6- Administración de la Identidad del Usuario.7- Respaldo de la Información.8- Auditoría de Sistemas.




6. ALCANCE: 7. LIMITACIÓN

Dotar a la Unidad de Auditoría Interna de la Municipalidad de Desamparados de una herramienta que provea una metodología para fiscalizar y revisar de forma razonable el Gobierno de las Tecnologías de Información.

El Tiempo de ejecución.




MARCO INSTITUCIONAL

La Municipalidad de Desamparados, pertenece al cantón 3º de San José. Fue creada desde el 23 de diciembre de 1876. Su primer nombre era Municipalidad de los “Juanes y los Monges”. Cuenta con un presupuesto de casi los 8 mil millones de colones.




ALGUNOS TÉRMINOS

1. Seguridad de la Información:“El proceso de protección de la información, contra una amplia gama de amenazas para asegurar la continuidad del negocio, minimizar los daños al negocio y maximizar el retorno de las inversiones y las oportunidades de negocio”.

2. Auditoría de Sistemas:Consiste en recoger, agrupar y evaluar evidencias para determinar si un sistema de información salvaguarda el activo empresarial.




ESTRUCTURA




OBSERVACIÓN

1. POLÍTICA DE SEGURIDAD - Sí política de seguridad. (Normas técnicas de la C.G.R)2. CLASIFICACIÓN DE LA SEGURIDAD - Cuarto servidores contiguo al baño sanitario. - No cámaras, no dispositivos contra incendio, no extintor. - Ingreso de computadoras personales. - Uso de llaves malla total.




OBSERVACIÓN

3. SEGURIDAD DE LA INFORMACIÓN - Servidor de Dominios. (No hay control de claves).

4. GESTIÓN DEL RIESGO - Dependencia a funcionario de Informática.




GESTIÓN DE LA SEGURIDAD




USO DE MARCO DE REFERENCIA

(N-2-2007-CO-DFOE)




GESTIÓN DEL RIESGO




EXPOSICIÓN A RIESGOS




IMPACTO A LOS RIESGOS




COMPROMISO DEL PERSONAL




CLASIFICACIÓN DE LA SEGURIDAD




DISPOSITIVOS DE SEGURIDAD




ADMINISTRACIÓN DE LA IDENTIDAD




RESPALDO DE LA INFORMACIÓN




RESULTADO DE LA

ENTREVISTA




AUDITORÍA DE SISTEMAS




LA PROPUESTA

“Implementación de una metodología de auditoría de sistemas de las tecnologías de información en la Municipalidad de

Desamparados”




OBJETIVO GENERAL

Dotar a la Auditoría Interna de la Municipalidad de Desamparados, de una metodología de auditoría de sistemas para la evaluación de las tecnologías de información, conforme a las mejores prácticas basadas en el estándar internacional Cobit 4.0




ESTRUCTURA DE LA AUDITORÍA

. El Auditor Interno.

. (2) Lic. En Contaduría.

. (1) Lic. En Derecho

. (1) Bach. En Sistemas

. (1) Secretaria




ESTRUCTURA DE METODOLOGÍA

La metodología está compuesta de dos estructuras metodológicas:

1. Herramienta que define la Planificación del Plan de Trabajo de la Auditoría.

2. Herramienta metodológica para realizar auditorías de sistemas bajo las mejores prácticas de Cobit 4.0.




ESTRUCTURA Nº 1

Define la Planificación del Plan de Trabajo de la auditoría, mediante la definición del Universo Auditable, que compone el ciclo de vida de la auditoría, basados en la priorización de la valoración del riesgo.

FASES:1. Ámbito de acción.2. Identificación del Universo Auditable.3. Análisis del riesgo.4. Determinación de días por estudio.5. Ciclo de auditoría.




ESTRUCTURA Nº 1

1. ÁMBITO DE ACCIÓN: 2. IDENTIFICACIÓN UNIVERSO AUDITABLE




ESTRUCTURA Nº 1

3. ANÁLISIS DE RIESGOS:

a. Determinación del universo auditable. b. Definición y Valoración de los elementos de la valoración del riesgo.c. Niveles de valoración de los elementos de riesgo.d. Resultados y priorización según valoración del riesgo.




ESTRUCTURA Nº 1




RESULTADO DE LA PRIORIZACIÓN




ESTRUCTURA Nº 1

4. DETERMINACIÓN DE DÍAS x ESTUDIO.5. CICLO DE AUDITORÍA.




ESTRUCTURA Nº 2

METODOLOGÍA DE AUDITORÍA DE SISTEMAS




PLANIFICACIÓN DE AUDITORÍA (A)

GUÍA DE AUDITORÍA (A)1. Objetivos y alcance de la auditoría.

ADMINISTRACIÓN DE LA AUDITORÍA (A1)1. Plan General.2. Perfil del proyecto.3. Oficio asignación del estudio.4. Oficio inicio del estudio.5. Declaración Jurada.6. Cronograma de actividades.





COMPRENSIÓN ORGANIZACIONAL (A2)1. Programa revisión preliminar.

- Revisión archivo permanente.- Revisión archivo corriente.- Visita Preliminar- Ident. Actividades sustantivas.- Medios de evaluación.

2. Ficha técnica de los sistemas.





DEFINICIÓN DEL PROGRAMA Y ALCANCE DE LA AUDITORÍA (A3)

1. Lista con la definición y análisis de los objetivos de control.2. Programa de auditoría con objetivos detallados.3. Cronograma de la auditoría.




EJECUCIÓN DE LA AUDITORÍA (B)

EVALUACIÓN DE CONTROL INTERNO (B1)1. Lista de controles existentes.

- Levantamiento de controles por procesos.- Criterios para evaluar la protección que ofrecen los

controles.2. Observaciones de control interno.

DISEÑO DE PRUEBAS (B2)- Identificación de controles claves que serán verificados




EJECUCIÓN DE LA AUDITORÍA (B)

EJECUCIÓN DE PRUEBAS (B3)1. Técnicas y herramientas de auditoría

- Técnicas para probar los controles en los sistemas- Técnicas para analizar sistemas.- Técnicas para verificar datos.- Técnicas para seleccionar y monitorear transacciones

4. ANÁLISIS DEL RESULTADO DE LAS PRUEBAS DE AUDITORÍA (B4)




COMUNICACIÓN DE RESULTADOS (C)

ESTRUCTURA Y CONTENIDO (Informe Preliminar)

1. Objetivos y alcance de la auditoría.2. Antecedentes generales.3. Observaciones o comentarios de la auditoría.

OBSERVACIONES DE LA ADMINISTRACIÓN (Informe Final)ORGANIZAR Y CERRAR LA CARPETA CON ARCHIVOS DE TRABAJO





SEGUIMIENTO A LAS RECOMENDACIONES DE LA AUDITORÍA 1. Alimentar herramienta de seguimiento de recomendaciones.2. Introducir la información que suministra la Administración y valorarla.3. Elaborar informe de seguimiento.




IMPACTO DE LA PROPUESTA

A través de la metodología propuesta se puede determinar un impacto realmente significativo a nivel social, profesional y económico




COSTO DE LA

PROPUESTA

COSTO DE LA PROPUESTA

Nº DESCRIPCIÓN COSTO EN COLONES COSTO EN

DÓLARES 1. Horas profesionales 2.434.500 4.500 2. Suministros de oficina 94.500 175 3. Transporte 30.000 55 4. Alimentación 7.000 13 5. Servic ios 55.000 102 6. Gastos Tesis 60.000 111

TOTAL INVERSIÓN ¢ 2.681.000 4.956 Fuente: Fallas Silva, Víctor. 2015. 541 Tipo de cambio de venta del 01/09/2015 del Banco Central de Costa Rica: ¢541




FODA OTROS ESTUDIOS DERIVADOS

1- Automatizar la metodología.2- Estandarizar metodologías entre municipalidades.3- Elaborar planes estratégicos más reales.

Por: Víctor Fallas Silva

Piensa bien ... Sé un MAGISTER

Evaluación de la Seguridad de la Información en el Área de Informática en la Municipalidad de...

Education

Transcript of Evaluación de la Seguridad de la Información en el Área de Informática en la Municipalidad de...